Hlavní navigace

Neuniklo vám heslo nebo privátní klíč? Zjistíte to v databázích úniků

Petr Krčmář

Úniků citlivých údajů přibývá, na veřejnost se dostávají tak zásadní věci jako hesla nebo dokonce privátní klíče. Existují ovšem veřejné databáze takových úniků a v nich můžete hlídat, zda se vás to netýká také.

Doba čtení: 3 minuty

Sdílet

O únicích dat slýcháme v poslední době velmi často, především o těch největších. Desítky či stovky milionů uživatelských účtů včetně hesel a e-mailových adres se dostávají na internet. Špatně zahašovaná hesla lze navíc s trochou úsilí prolomit a dostat se tak k otevřené podobě hesel. Pokud je uživatelé používají na více svých službách, vážný incident je na světě.

Naštěstí vedle těch zlých hochů existují také ti hodní, kteří zveřejněná data sbírají, aby mohli varovat uživatele. Díky jejich práci máte možnost si svá data hlídat a být včas varování v případě, že nastane problém. Ukážeme si dva nástroje, které vám v tom mohou pomoci.

Have I Been Pwned

Známý bezpečnostní expert Troy Hunt provozuje nástroj s trochu krkolomným názvem Have I Been Pwned, který bychom mohli přeložit jako Byl jsem pokořen? Funguje jako vyhledávač v databázi různých úniků uživatelských účtů. Těch zná několik miliard z mnoha různých zdrojů a další rychle přibývají.

Základní použití je velmi snadné, stačí do vyhledávacího políčka vložit libovolnou e-mailovou adresu a dozvíte se, zda se objevila v nějakém ze zaznamenaných úniků. Pokud ano, dostanete k dispozici rovnou celou řadu podrobností o tom, kde přesně a při jaké příležitosti se heslo objevilo.

To ale není vše, služba vás dokáže automaticky notifikovat, pokud se váš účet v úniku objeví. Stačí v hlavním menu vybrat položku Notify me, vložit svou adresu a poté potvrdit testovací e-mail. Služba vás bude automaticky informovat o novinkách.

Stejně tak je možné hlídat celou doménu, na které přijímáte třeba firemní poštu. Správce se tak může dozvědět, že některý z jeho uživatelů má kompromitované heslo. Tato funkce se skrývá pod položkou Domain search a opět bude vyžadovat ověření, tentokrát jedním ze čtyř způsobů: zasláním e-mailu na standardní správcovskou adresu, vložením <meta> tagu do webu, nahráním souboru do kořene nebo vložením záznamu do DNS.

Poslední možností je nechat v databázi vyhledat přímo konkrétní heslo. To je velmi delikátní operace, protože webu předáváte heslo samotné. Troy Hunt je si toho samozřejmě vědom a přestože jde o známou osobnost z bezpečnostní komunity, nezůstal jen u prohlášení o důvěře. Celý proces popsal a postavil na principu k-anonymity. Klient se serveru vždy ptá jen na malou část haše vzniklého z hesla a server tedy heslo nezná a nemůže zjistit. V databázi vyhledá všechny haše začínající stejným prefixem a klientovi je předá. Je pak na něm, aby mezi haši našel ten svůj, pokud tam je.

Pokud chcete se službou komunikovat jinak než přes webové rozhraní, nabízí také RESTful API. Nezapomeňte si přečíst dokumentaci a podívat se, jak je dovoleno API využívat. Pokud se vám služba líbí a používáte ji, zvažte zaslání drobného příspěvku na provoz.

pwnedkeys

Matt Palmer, mimochodem jeden z vývojářů Debianu, představil čerstvou novinku v podobě služby pwnedkeys. Opět krkolomný název, který bychom mohli přeložit jako Pokořené klíče. Na rozdíl od předchozího projektu se nezabývá uživatelskými hesly, ale veřejnými klíči asymetrické kryptografie. Slouží k tomu, abyste se přesvědčili, že vámi používaný či akceptovaný klíč nekoluje někde po internetu.

Klíče mohou do internetu unikat různými způsoby: vývojář je omylem pošle na GitHub, jsou součástí uvolněného softwarového balíčku nebo se k nim nějaký útočník dostane chybou v aplikaci. Velmi často je pak možné privátní klíče vyhledat pomocí Google, protože se válejí někde po webu a vyhledávací robot na ně narazí.

K vyhledávání v databázi je potřeba použít API, kterému předáte otisk veřejného či privátního klíče. Služba vám vrátí jednoduchou informaci o tom, zda privátní klíč má či nikoliv. Navíc přiloží i důkaz, protože pomocí privátního klíče výslednou odpověď podepíše. Nejjednodušší je ke komunikaci použít nástroj pwnedkeys-tools, který přijímá klíče samostatně nebo vložené v certifikátech či žádostech o vystavení certifikátu (CSR).

Pokud naopak na zveřejněný privátní klíč někde narazíte, můžete jej do služby zaslat a on bude přidán do databáze. Pokud naopak svůj klíč v databázi najdete, měli byste jej co nejrychleji nahradit a hlavně vypátrat, jak se ten původní dostal na světlo světa. Jako příjemce zprávy používající tento klíč byste měli okamžitě spustit poplach a zprávě nevěřit.