هل تريد معرفة ما إذا كان شخص ما قد سرق معرفات المستخدم وكلمات المرور الخاصة بك؟ ثم يمكنك استخدام "Have I Been Pwned"، والآن أصبح الكود الموجود خلفه مفتوح المصدر.
السؤال ليس "هل يمتلك شخص ما معرفات المستخدم وكلمات المرور الخاصة بك؟" أنا أضمن لك أن شخصًا ما لديه. لا تصدقني؟ تحقق لنفسك في هل تم Pwned (HIBP). سوف انتظر. الآن هل تصدقني؟
مفتوح المصدر
- GitHub vs GitLab: ما البرنامج المناسب لك؟
- أفضل توزيعات لينكس للمبتدئين
- Feren OS عبارة عن توزيعة Linux جميلة وسهلة الاستخدام
- كيفية إضافة مستخدمين جدد إلى جهاز Linux الخاص بك
يقوم الأشخاص بالتحقق من موقع HIBP المجاني بمعدل مليار طلب شهريًا تقريبًا. فهو يجمع البيانات من جميع الخروقات الأمنية الشخصية العديدة التي تحدث كل أسبوع أو أسبوعين. في العام الماضي وحده رأينا العشرات من خروقات البيانات. ومن الآن فصاعدا، سيتلقى HIBP الآن أيضًا كلمات مرور مخترقة تم اكتشافها أثناء تحقيقات مكتب التحقيقات الفيدرالي.
لماذا يتدخل مكتب التحقيقات الفيدرالي؟ لأن بريان أ. وقال فورندران، مساعد مدير مكتب التحقيقات الفيدرالي لقسم الإنترنت: "نحن متحمسون للدخول في شراكة مع HIBP في هذا المشروع المهم لحماية ضحايا سرقة بيانات الاعتماد عبر الإنترنت. وهذا مثال آخر على مدى أهمية الشراكات بين القطاعين العام والخاص في مكافحة الجرائم الإلكترونية."
سيتم توفير كلمات مرور مكتب التحقيقات الفيدرالي في أزواج تجزئة SHA-1 وNTLM؛ HIBP لا يحتاج إليها بنص عادي. سيتم إدخالها في النظام عندما يتم توفيرها بواسطة المكتب. وللقيام بذلك، يضيف HIBP برنامجًا جديدًا مفتوح المصدر، PwnedPasswords، للسماح بتدفق البيانات بسهولة إلى HIBP.
أوضح مؤسس HIBP، تروي هانت، خبير الأمان والمدير الإقليمي لشركة Microsoft، أنه يقوم بمصدر مفتوح للتعليمات البرمجية لأن "الفلسفة لقد كان هدف HIBP دائمًا هو دعم المجتمع، والآن أريد من المجتمع أن يساعد في دعم HIBP." تمت كتابة HIBP بتنسيق .NET ويعمل على أزور.
مع مليار عملية بحث شهريًا، أنا متأكد من أن هانت يمكنه الاستفادة من كل المساعدة التي يمكنه الحصول عليها. هو بدأ التخطيط لفتح المصدر HIBP في أغسطس 2020. اكتشف هانت بسرعة أن هذا لم يكن سهلاً. هو كتب:
كنت أعلم أن الأمر لن يكون سهلاً، لكنني كنت أعلم أيضًا أن هذا هو الشيء الصحيح الذي ينبغي القيام به لطول عمر المشروع. ما لم أكن أعرفه هو كم سيكون الأمر غير تافه لجميع أنواع الأسباب التي يمكنك تخيلها وكومة كاملة من الأسباب الأخرى التي ليست واضحة على الفور. أحد الأسباب الرئيسية هو أن هناك قدرًا كبيرًا من الجهد المبذول في اختيار شيء يتم تشغيله كمشروع حيوان أليف لشخص واحد لسنوات ونقله إلى المجال العام. لم تكن لدي أي فكرة عن كيفية إدارة مشروع مفتوح المصدر، وإنشاء نموذج الترخيص، وتنسيق المكان الذي يستثمر فيه المجتمع الجهد، وتلقي المساهمات، وإعادة تصميم عملية الإصدار، وكل أنواع الأشياء الأخرى التي أنا متأكد من أنني لم أفكر فيها حتى حتى الآن. هذا هو المكان مؤسسة .NET ادخل.
إن مؤسسة .NET ليست جزءًا من Microsoft. إنها منظمة غير ربحية مستقلة مفتوحة المصدر بموجب المادة 501(ج).
تبدأ عملية الصيد باستخدام رمز Pwned كلمة المرور لأنه سهل نسبيًا. أسباب ذلك تشمل:
إنها قاعدة تعليمات برمجية بسيطة جدًا تتكون من Azure Storage ووظيفة Azure واحدة وعامل Cloudflare.
لديه نطاق خاص به، وحساب Cloudflare، وخدمات Azure بحيث يمكن التقاطه بسهولة وفتحه بشكل مستقل لبقية HIBP.
إنه غير تجاري تمامًا بدون أي تكاليف لواجهة برمجة التطبيقات (API) أو خدمات مؤسسية مثل الأجزاء الأخرى من HIBP (أريد أن تظل جهود المجتمع في المجتمع).
البيانات التي تحرك كلمات المرور Pwned متاحة بالفعل مجانًا في المجال العام عبر مجموعات التجزئة القابلة للتنزيل.
وبالتالي، يمكن لـ Hunt "رفع ونقل" كلمات المرور Pwned إلى أرض مفتوحة المصدر بطريقة واضحة جدًا مما يجعلها المكان الواضح للبدء. إنه أيضًا توقيت رائع لأنه كما قلت سابقًا، أصبح الآن جزءًا مهمًا من العديد من الخدمات عبر الإنترنت، وتضمن هذه الخطوة أن يتمكن أي شخص من تشغيل مثيل كلمات المرور Pwned الخاصة به إذا اختار ذلك."
ويأمل هانت "أن يشجع هذا على اعتماد أكبر للخدمة بسبب الشفافية التي تتمتع بها إن فتح قاعدة التعليمات البرمجية يجلب معه الثقة في أن الأشخاص يمكنهم دائمًا "إنشاء قواعدهم الخاصة" إذا فعلوا ذلك يختار. ربما لا يريدون تبعية واجهة برمجة التطبيقات المستضافة، وربما يريدون فقط موقعًا احتياطيًا إذا واجهت زوالًا مبكرًا في حادث جت سكي مؤسف. وهذا يعطي الناس خيارات."
في وقت واحد كان هانت قد فكر في بيع HIBP. مع هذه الخطوة مفتوحة المصدر، يبدو أن هذا لم يعد هو الحال.
ال يتم الاحتفاظ برمز HIBP على GitHub. انها مرخصة بموجب ترخيص BSD 3-بند.
الخطة الشاملة هي:
هناك نقطة نهاية تمت مصادقتها ستتلقى أزواج كلمات مرور SHA-1 وNTLM. سيكون زوج التجزئة مصحوبًا أيضًا بانتشار يشير إلى عدد مرات رؤيته في المجموعة التي أدت إلى الكشف عنه.
عند استلام كلمات المرور، يجب استخراج تجزئات SHA-1 في بنية Azure Blob Storage الموجودة. هذا ليس أكثر من 16^5 ملفات نصية مختلفة (لأن كل تجزئة SHA-1 يتم الاستعلام عنها بواسطة بادئة مكونة من 5 أحرف)، يحتوي كل منها على لاحقة تجزئة SHA-1 بحجم 35 بايت لكل كلمة مرور تمت مشاهدتها مسبقًا وعدد المرات التي تم فيها ذلك مرئي.
"مستخرج في" يعني إما إضافة تجزئة SHA-1 جديدة وانتشارها أو تحديث معدل الانتشار حيث تمت رؤية التجزئة من قبل.
يجب إضافة كل من تجزئات SHA-1 وNTLM إلى مجموعة بيانات قابلة للتنزيل لاستخدامها دون اتصال بالإنترنت ووفقًا النقطة السابقة، وهذا يعني إنشاء بعض الإدخالات الجديدة وتحديث الأعداد على الإدخالات الموجودة. ونظرًا للتكرار المحتمل لكلمات المرور الجديدة وحجم المجموعة القابلة للتنزيل (التي تصل سعتها المضغوطة إلى 12.5 جيجابايت حاليًا)، فإن تفكيري هو جعل هذه العملية شهرية.
بعد تعديل الملف الموجود في وحدة تخزين الكائنات الثنائية كبيرة الحجم أو المجموعة الكاملة القابلة للتنزيل، يجب إبطال عنصر ذاكرة التخزين المؤقت Cloudflare المقابل. سيؤثر هذا على نسبة دخول ذاكرة التخزين المؤقت والتي تؤثر بعد ذلك على الأداء وتكلفة الخدمات على الأصل في Azure. قد نحتاج إلى الحد من تأثير ذلك من خلال تحديد المعدل الذي يمكن أن يحدث به إبطال ذاكرة التخزين المؤقت (أي ليس أكثر من مرة واحدة يوميًا لأي عنصر محدد في ذاكرة التخزين المؤقت).
ومع ذلك، كما يعترف هانت، فإن هذا عمل قيد التنفيذ إلى حد كبير: "ليس لدي كل الإجابات حول الكيفية التي ستسير بها الأمور". تابع من هنا." ولكن بمساعدتك ومكتب التحقيقات الفيدرالي ومؤسسة .NET، يعد HIBP بأن يكون أكثر فائدة من أبدًا.
قصص ذات الصلة:
- حصدت شبكة Emotet الروبوتية 4.3 مليون عنوان بريد إلكتروني. الآن يستخدم مكتب التحقيقات الفيدرالي تطبيق Have I Been Pwned لتنبيه الضحايا
- لقد تم Pwned لإصدار قاعدة التعليمات البرمجية لمجتمع مفتوح المصدر
- أكبر الاختراقات وخروقات البيانات لعام 2020