อัพเดทรายสัปดาห์ 296

อัพเดทรายสัปดาห์ 296

การละเมิดข้อมูล การพิมพ์ 3 มิติ และรหัสผ่าน – เป็นเรื่องปกติของสิ่งต่างๆ ในสัปดาห์นี้ โดยเฉพาะอย่าง ยิ่ง โปรแกรมดาวน์โหลด Pwned Passwords สุดเจ๋งที่ฉันรู้ว่ามีหลายคนรออยู่ และในที่สุดเราก็ได้ปล่อยออกมาแล้ว มันเข้าถึง k-anonymity API ที่มีอยู่มากกว่า 1 ล้านครั้ง และ API นั้นก็มีการร้องขอ 2 พันล้าน ครั้งต่อเดือน ดังนั้นฉันอยากรู้ว่าจะเกิดอะไรขึ้นถ้าทุกคนเริ่มเรียกใช้ตัวดาวน์โหลดพร้อมกัน… 🤔

อัพเดทรายสัปดาห์ 296
อัพเดทรายสัปดาห์ 296
อัพเดทรายสัปดาห์ 296
อัพเดทรายสัปดาห์ 296

อ้างอิง

  1. นี่เป็นแนวทางที่ดีกว่ามากสำหรับสาเหตุที่ทำให้ hot end ของเครื่องพิมพ์ 3 มิติรั่วที่ส่วนบนของบล็อกความร้อน (ภาพที่มีทำให้เข้าใจง่าย)
  2. เนื่องจากฉันทำคาร์ทริดจ์ฮีทเตอร์แตกอยู่ดี Revo 6 ควรทำงาน (ดูว่าหัวฉีดและตัวแบ่งความร้อนทั้งหมดเป็นส่วนหนึ่งอย่างไร)
  3. โปรแกรมดาวน์โหลด Pwned Passwords มาแล้ว! (นี่เป็นเครื่องมือเล็กๆ ที่ยอดเยี่ยมที่ Stefán รวบรวมไว้)
  4. สนับสนุนโดย: Kolide มอบการรักษาความปลอดภัยปลายทางสำหรับทีมที่ให้ความสำคัญกับความเป็นส่วนตัว ความโปร่งใส และประสิทธิภาพการทำงานของพนักงาน ลอง Kolide ฟรีวันนี้!

กำลังดาวน์โหลดรหัสผ่าน Pwned แฮชด้วย HIBP Downloader

กำลังดาวน์โหลดรหัสผ่าน Pwned แฮชด้วย HIBP Downloader

ก่อนวันคริสต์มาส คำมั่นสัญญาที่จะเปิดตัว Pwned Passwords แบบโอเพ่นซอร์สอย่างเต็มรูปแบบซึ่งได้รับข้อมูลสดใหม่จาก FBI และ NCA ในที่สุดก็เป็นจริง เราผลักโค้ดออกไป เผยแพร่บล็อกโพสต์ ปัดฝุ่นตัวเอง และนั่นก็เท่านั้น ชนิด – เหลือเพียงสิ่งเดียวเท่านั้น …

k-anonymity API นั้น น่ารัก และนั่นไม่ใช่แค่ฉันที่พูดแบบนั้น นั่นคือคนที่โหวตด้วยเท้าของพวกเขา:

กำลังดาวน์โหลดรหัสผ่าน Pwned แฮชด้วย HIBP Downloader

นั่นคือ 58% โดยปริมาณจากโพสต์บล็อกของฉันในเดือนธันวาคม เมื่อ 5 เดือนที่แล้วจนถึงวันนี้ นอกจากนี้ยังเป็นเพียงข้อผิดพลาดในการปัดเศษของอัตราส่วนการเข้าชมแคช 100% 😎 แต่สิ่งที่ยังคงอยู่คือคำสัญญาที่ฉันทำไว้ในโพสต์บล็อกที่แล้ว:

สุดท้ายนี้ ณ ตอนนี้ โค้ดสำหรับรับไพพ์ไลน์การส่งผ่านข้อมูลและถ่ายโอนรหัสผ่านทั้งหมดไปยังคลังข้อมูลที่สามารถดาวน์โหลดได้ยังไม่ได้ถูกเขียนขึ้น เราต้องการทำสิ่งนี้ – เรามีความตั้งใจทุกประการที่จะทำเช่นนี้ – แต่ด้วยระยะเวลาระหว่างการเผยแพร่แต่ละครั้ง เราไม่รู้สึกว่าจำเป็นต้องเร่งรีบ

แนวคิดในการนำช่วงแฮช 16^5 มารวมเข้าด้วยกันเป็นไฟล์เก็บถาวรแบบเสาหินเดียว จากนั้นทำให้การดาวน์โหลดทั้งหมดดูเหมือนเป็นงานที่ไม่สำคัญ นอกจากนี้ ฉันยังคงเลียบาดแผลจาก ค่าใช้จ่าย มหาศาล ที่ฉันได้รับหลังจากปล่อยไฟล์เก็บถาวรล่าสุด และเกินขีดจำกัดที่แคชได้ในขณะนั้นบนขอบของ Cloudflare และนั่นคือตอนที่มันกระทบใจฉัน ทำไมเราไม่เขียนสคริปต์เพื่อดาวน์โหลดแฮชทั้งหมดจาก k-anonymity API เดียวกันที่องค์กรจำนวนมากใช้อยู่แล้ว มันเป็นเพียงคำขอ 16^5 แยกกันและคำตอบสามารถทิ้งลงในไฟล์ข้อความขนาดใหญ่ มันจะยากแค่ไหน? เกือบทั้งหมดจะถูกแคชและมีการบีบอัด brotli ที่มีประสิทธิภาพสูงสุดระหว่างไคลเอนต์และขอบ Cloudflare ดังนั้นมันควรจะเร็วเช่นกัน ดังนั้น… ทำไมไม่

ฉันส่งต่อความคิดนี้ไปที่ Stefán และด้วยวิธีที่เท่แบบไอซ์แลนด์โดยทั่วไปของเขา เขาไม่เพียงแต่สร้างคุณลักษณะนี้เท่านั้น แต่ยังทำได้ดีกว่าที่ฉันคิดไว้มากในตอนแรก นี่คือวิธีการทำงานในรูปแบบจุด:

  1. มีพื้นที่เก็บข้อมูลสาธารณะสำหรับ Pwned Passwords Downloader บน Github ซึ่งคุณสามารถรับรหัส ส่ง PR หรือแจ้งปัญหาได้
  2. นอกจากนี้ยังมี แพ็คเกจ NuGet ดังนั้นหากคุณไม่ต้องการดาวน์โหลดและคอมไพล์โค้ดด้วยตัวเอง คุณสามารถดึงไฟล์สั่งการได้โดยตรงผ่านบรรทัดคำสั่ง

และนั่นแหล่ะ เรียกใช้และดูเหมือนว่านี้:

กำลังดาวน์โหลดรหัสผ่าน Pwned แฮชด้วย HIBP Downloader

สวิตช์ -p กำหนดระดับของการขนานที่จะใช้และเมื่อเรียกใช้ใน Azure VM I ทดสอบจากนี้ จะใช้เวลา 26 นาทีในการดึงทุกอย่างลง เห็นได้ชัดว่า YMMV ขึ้นอยู่กับความเร็วในการเชื่อมต่อ แต่ด้วยอัตราส่วนการเข้าถึงแคชขนาดใหญ่ (ยังสะท้อนอยู่ในผลลัพธ์ด้านบน) อย่างน้อย คุณจะสามารถดึงช่วงแฮชเกือบทุกช่วงจากตำแหน่งที่อยู่ใกล้คุณมาก

ฉันตระหนักดีว่าช่องว่างเดียวที่เรามีคือสิ่งนี้ไม่ได้ทำให้รุ่น NTLM สามารถดาวน์โหลดได้และมีคนรออยู่ที่นั่นอย่างใจจดใจจ่อ ฉันสงสัยว่าเราจะใช้วิธีที่คล้ายกันที่นั่น ดังนั้นโปรดคอยติดตาม มันไม่ควรจะเป็นเรื่องใหญ่ตอนนี้ เราได้สร้างรูปแบบแล้ว ฉันยังตระหนักดีว่าในการทำให้เครื่องมือนี้มีประโยชน์มากขึ้น จะสะดวกที่จะรู้ว่าเมื่อใดควรเรียกใช้จริงโดยดูว่ามีการเพิ่มแฮชรหัสผ่านใหม่จำนวนเท่าใดตั้งแต่วันที่กำหนด นั่นอยู่ในรายการ เรารู้ว่าเป็นที่ต้องการ และโดยเฉพาะอย่างยิ่งเมื่อรหัสผ่านขาเข้ามีจำนวนมากขึ้น ฉันรู้ว่ามันจะมีประโยชน์มากสำหรับผู้คน

ดังนั้น ออกไปคว้าเครื่องมือ ดึงแฮชลงเมื่อใดก็ตามที่คุณรู้สึกอยากทำ และทำสิ่งดีๆ กับมัน ตอนนี้ฉันค่อนข้างอยากรู้ว่าหมายเลข API ที่เข้าชมนั้นเป็นอย่างไรเมื่อมวลชนคว้าเครื่องมือนี้และสร้างคำขอ 1M+ แต่ละรายการ😊

อัพเดทรายสัปดาห์ 295

อัพเดทรายสัปดาห์ 295

เรื่องสั้นในสัปดาห์นี้เนื่องจาก 7 วันก่อนหน้าหายไปพร้อมกับ AusCERT และข้อผูกมัดอื่นๆ เป็นเรื่องดีที่ไม่ได้กลับมาที่งานเท่านั้น แต่ยังได้พบปะสังสรรค์และเข้าร่วมในสิ่งที่เกี่ยวข้องทั้งหมดที่มีแนวโน้มว่าจะไปด้วยกันด้วย ฝากทวีตนี้ไว้เป็นไฮไลท์เล็กๆ น้อยๆ ให้กับฉัน มีอารีย์อยู่ข้างในงานและดูความกระตือรือร้นของเขาในการเป็นส่วนหนึ่งของอุตสาหกรรมที่ฉันรัก 😊

ที่ #AusCERT กับอารีย์ เนื่องในวัน “พาลูกชายไปทำงาน” 🙂

ต่อไปฉันจะมาสตรีม 2 เวลา 14:45 น. พูดคุยเกี่ยวกับ Pwned Passwords, FBI, NCA และมอบสิ่งทั้งหมดให้กับชุมชน มาทักทายกัน! https://t.co/PqSgb1AjMS pic.twitter.com/Z88xIrrHYW

– ทรอยฮันท์ (@troyhunt) วันที่ 12 พฤษภาคม พ.ศ. 2565

อัพเดทรายสัปดาห์ 295
อัพเดทรายสัปดาห์ 295
อัพเดทรายสัปดาห์ 295
อัพเดทรายสัปดาห์ 295

อ้างอิง

  1. ไมค์บูมอาร์ม Elgato ใหม่นั้นเนียนมาก (ฉันบังเอิญสั่งรุ่น “LP” แบบเตี้ยโดยไม่ได้ตั้งใจ ซึ่งกลายเป็นว่าพอดีกับพื้นที่มากกว่ามาก)
  2. ฉันพูดถึงตัวดาวน์โหลด Pwned Passwords ในวิดีโอ ดังนั้นฉันจึงแชร์ลิงก์อีกครั้งที่นี่ (ฉันหวังว่าจะเขียนบล็อกเกี่ยวกับเรื่องนี้ในสัปดาห์ที่จะถึงนี้ เพียงแค่ต้องมีการปรับแต่งเล็กน้อยก่อน)
  3. สนับสนุนโดย: Varonis สำหรับ Salesforce ตรวจจับพฤติกรรมที่น่าสงสัยและเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัย Salesforce ของคุณ ทดลองใช้ฟรี!

การเปิดเผยข้อมูลการละเมิด: นี่เป็นเหตุผลว่าทำไมจึงยาก

การเปิดเผยข้อมูลการละเมิด: นี่เป็นเหตุผลว่าทำไมจึงยาก

เป็นเวลาหลายปีแล้วที่ฉันคร่ำครวญเกี่ยวกับเวลาที่ฉันพยายามเปิดเผยการละเมิดข้อมูลต่อบริษัทที่ได้รับผลกระทบ จนถึงตอนนี้เป็นกิจกรรมที่ใช้เวลานานที่สุดในการประมวลผลการละเมิดสำหรับ Have I Been Pwned (HIBP) และบอกตรงๆ ว่าเป็นงานที่ไม่เห็นคุณค่ามากที่สุดที่ฉันสามารถจินตนาการได้ การค้นหารายละเอียดการติดต่อเป็นเรื่องยาก ได้รับการตอบกลับเป็นเรื่องยาก การไม่มีองค์กรเพียงแค่คิดโดยอัตโนมัติว่าคุณกำลังพยายามทำให้พวกเขาเป็นเงินสดเป็นเรื่องยาก ที่จริงแล้วยากมาก ฉันคิดว่าฉันจะบันทึกกระบวนการตั้งแต่ต้นจนจบและแชร์ต่อสาธารณะเพื่อช่วยแสดงให้เห็นว่ากระบวนการนี้เจ็บปวดเพียงใด

ฉันยื่นฟ้อง (ถูกกล่าวหา) Avvo ในตะกร้าที่ “แข็งเกินไป” เมื่อนานมาแล้วและหลังจากที่เห็นทวีตนี้เมื่อสัปดาห์ที่แล้วก็มีเสียงกริ่งดังขึ้นในหัวของฉัน:

@troyhunt ดูเหมือนว่า @avvo ละเมิดรายชื่อผู้ใช้ของพวกเขา ฉันได้รับอีเมลหลอกลวง “คุณถูกแฮ็ก” ตามที่อยู่เฉพาะ Avvo ของฉัน ไม่มีรหัสผ่าน ฉันเดาว่ามันถูกแฮชแล้ว

— pḧÿzömë (@phyzome) 4 เมษายน 2565

ด้วยลางสังหรณ์ว่ากระบวนการนี้จะไม่ง่ายนัก ฉันจึงเริ่มบันทึกและเริ่มต้นกระบวนการเปิดเผยข้อมูลตามปกติ มันล้มเหลว – โดยสิ้นเชิง – แต่อย่างน้อยตอนนี้ฉันก็มีทุกสิ่งที่ฉันได้ทำไปแล้วซึ่งฉันได้ติดต่อและที่ฉันเคย มีส่วนร่วม ด้วย แต่ยังคงไม่มีประโยชน์ นี่คือสิ่งที่:

การละเมิดข้อมูล Avvo สามารถค้นหาได้ใน HIBP เมื่อถึงเวลาที่ฉันส่งการแจ้งเตือน พวกเขาก็ไปถึง 20,183 คนคอยตรวจสอบบัญชีของตน และอีก 9,637 คนคอยตรวจสอบโดเมนด้วยที่อยู่อีเมลที่ได้รับผลกระทบ ฉันจะอัปเดตโพสต์นี้ด้วยข้อมูลที่เกี่ยวข้องเพิ่มเติมหากมีขึ้นในอนาคต

อัพเดทประจำสัปดาห์ 291

อัพเดทประจำสัปดาห์ 291

สัปดาห์นี้ค่อนข้างยาว เนื่องจากมีหลายสิ่งหลายอย่างพร้อมกันในเวลาเดียวกัน เห็นได้ชัดว่าเสียงพึมพำเป็นเสียงที่เจ๋งที่สุดและเป็นเรื่องที่น่าสนใจที่จะได้ยินประสบการณ์ของคนอื่นกับพวกเขา นี่เป็นเพียงเทคโนโลยีที่เจ๋งสุด ๆ และฉันจำไม่ได้ว่าครั้งสุดท้ายที่ฉันดูสินค้าอุปโภคบริโภคและคิดว่า “ว้าว ฉันไม่รู้ว่าพวกเขาสามารถทำเช่น นั้นได้! ” ลองดูสิและอีกเพียบในวิดีโอของสัปดาห์นี้ด้านล่าง 👇

อัพเดทประจำสัปดาห์ 291
อัพเดทประจำสัปดาห์ 291
อัพเดทประจำสัปดาห์ 291
อัพเดทประจำสัปดาห์ 291

อ้างอิง

  1. ขณะที่การเดินทางค่อยๆ กลับมามีกิจกรรมอีกมากมายที่คุณสามารถติดตามฉันได้ (โปรดติดตามที่แทสเมเนียในเดือนกรกฎาคมด้วย)
  2. วันนี้เมื่อ 7 ปีที่แล้ว ฉันออกจากอาชีพ 14 ปีที่ไฟเซอร์… (…และไม่เคยหันหลังกลับไปเลย!)
  3. โดรน DJI Air 2S สุดเจ๋ง! (ฉันจะโพสต์ไปที่กระทู้นั้นต่อไปในขณะที่ฉันหาวิธีใช้งานสิ่งนั้น)
  4. ไม่เห็นตัวเองทำ แต่ใช่ คุณสามารถพิมพ์ 3 มิติเฟรมเพื่อติดเส้นก๋วยเตี๋ยวที่ตัดกับโดรนของคุณ (ใครก็ตามที่สะเทินน้ำสะเทินบก?)
  5. ฉันไม่ชอบตัวบ่งชี้ความแข็งแกร่งของรหัสผ่านแบบนี้ เลย (ไม่มีการใช้งานจริงที่ผู้คนสามารถนำไปใช้ได้จริง ๆ )
  6. สวัสดี นี่คือบล็อกโพสต์ว่าฉันไม่ชอบเครื่องวัดความรัดกุมของรหัสผ่านมากแค่ไหน! (ผ่านไป 5 ปี ยังคงเป็นเรื่องจริง)
  7. RaidForums ไม่มีอีก แล้ว (และเป็นเช่นนั้น มีอย่างอื่นเข้ามาแทนที่)
  8. รัฐบาลมาซิโดเนียเหนือเป็นรัฐบาลที่ 32 ที่เข้าถึง HIBP API สำหรับการตรวจสอบและสืบค้นโดเมน gov ของพวกเขา (นั่นเป็นอันที่สามติดต่อกันจากภูมิภาคนั้นของโลก)
  9. สนับสนุนโดย: ดีแทค ตรวจจับและป้องกันรหัสผ่านที่ไม่รัดกุม รั่วไหล และแชร์กับ EPAS ซึ่งเป็นโซลูชันที่สอดคล้องกับความเป็นส่วนตัวที่ได้รับการจดสิทธิบัตรซึ่งใช้ใน 40 ประเทศ ทดลองใช้ฟรี!

ต้อนรับรัฐบาลมาซิโดเนียเหนือให้ฉันได้รับ Pwned

ต้อนรับรัฐบาลมาซิโดเนียเหนือให้ฉันได้รับ Pwned

ใน การเสนอราคาอย่างต่อเนื่องของฉันเพื่อให้ข้อมูลที่เป็นประโยชน์มากขึ้นเกี่ยวกับการละเมิดข้อมูลที่มีให้กับรัฐบาลระดับประเทศที่ได้รับผลกระทบ วันนี้ฉันยินดีเป็นอย่างยิ่งที่จะต้อนรับ CERT ระดับชาติครั้งที่ 32 ว่าฉันเคยถูก Pwned สาธารณรัฐมาซิโดเนียเหนือ! ตอนนี้พวกเขาร่วมมือกับคู่ค้าทั่วโลกในการเข้าถึงระดับ API ฟรีเพื่อตรวจสอบและค้นหาโดเมนของรัฐบาล

ฉันหวังว่าจะได้ต้อนรับรัฐบาลอื่นๆ ในอนาคต และสร้างการสนับสนุนเพิ่มเติมเพื่อช่วยเหลือพวกเขาจากการรั่วไหลของข้อมูลต่อไป

อัพเดทรายสัปดาห์ 290

อัพเดทรายสัปดาห์ 290

ฉันหวังว่าการตั้งเวลาล่วงหน้าเหล่านี้จะทำงานได้ดีสำหรับทุกคน การวิเคราะห์แนะนำผู้ชมที่สูงขึ้นอย่างแน่นอน ดังนั้นฉันจะกำหนดเวลาเหล่านี้และปรับปรุงสิ่งทั้งหมดต่อไป นอกจากนั้น สัปดาห์นี้ก็เหมือนเดิมกับการละเมิด เทคโนโลยี และการใช้ชีวิตตามปกติ สนุก😊

อัพเดทรายสัปดาห์ 290
อัพเดทรายสัปดาห์ 290
อัพเดทรายสัปดาห์ 290
อัพเดทรายสัปดาห์ 290

อ้างอิง

  1. ฉันลืมพูดคุยเกี่ยวกับกิจกรรมที่จะเกิดขึ้น (นั่นคือรายการของสิ่งที่จะเกิดขึ้นในปี 2565 ฉันจะพยายามไม่ลืมที่จะพูดคุยในสัปดาห์หน้าเนื่องจากฉันจะไปซิดนีย์ในสัปดาห์ต่อมาสำหรับงาน Akamai)
  2. เว็บไซต์อสังหาริมทรัพย์ในอินโดนีเซีย Travelio ถูกละเมิด (ย้อนหลังไปถึงปีที่แล้ว แต่ตอนนี้ข้อมูลอยู่ใน HIBP)
  3. จิ้งหรีดจำนวนมากร้องเจี๊ยก ๆ ที่ Avvo (นี่กลายเป็นกรณีตำราเรียนว่าทำไมการเปิดเผยจึงยากมาก)
  4. สกอตต์เขียนบล็อกโพสต์ที่ยอดเยี่ยมบน PCI DSS 4.0 (น่าสนใจมากที่เห็นว่าโฟกัสได้เปลี่ยนไปมากเพียงใดในการป้องกันการโจมตีสไตล์ Magecart ผ่าน JavaScript ที่ถูกบุกรุก)
  5. สนับสนุนโดย: Varonis สำหรับ Salesforce ตรวจจับพฤติกรรมที่น่าสงสัยและเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัย Salesforce ของคุณ ทดลองใช้ฟรี!

ยินดีต้อนรับรัฐบาลเซอร์เบียให้ฉันได้รับ Pwned

ยินดีต้อนรับรัฐบาลเซอร์เบียให้ฉันได้รับ Pwned

การสนับสนุนรัฐบาลแห่งชาติ เป็นรากฐานที่สำคัญของ Have I Been Pwned ในช่วง 4 ปีที่ผ่านมา วันนี้ฉันดีใจมากที่ได้ต้อนรับรัฐบาลที่ 31 เซอร์เบีย! ขณะนี้ National CERT และ Gov-CERT ของสาธารณรัฐเซอร์เบียมีการเข้าถึงฟรีและสมบูรณ์เพื่อสอบถามโดเมนของรัฐบาลผ่าน API

การเปิดเผยข้อมูลของหน่วยงานรัฐบาลในการละเมิดข้อมูลยังคงเป็นบริการที่มีคุณค่า ฉันดีใจที่เห็นว่า CERT ระดับประเทศดำเนินการต่อไป