Geekly articles weekly

Svalbard - novo nome para o projeto Fui Pwned antes da venda

Em 2013, comecei a perceber que vazamentos de dados privados estavam se tornando onipresentes. De fato, esses casos se tornaram mais frequentes. E a influência desses vazamentos em suas vítimas, incluindo eu, aumentou. Cada vez mais, escrevi em um blog sobre esse tópico, que parecia ser um segmento fascinante do setor de segurança da informação: como a reutilização de senhas no Gawker e no Twitter levou a um enorme spam de mirtilo no Twitter e que as senhas dos usuários da Sony Pictures acabaram sendo as mais ruins possível esperar dessas pessoas , mas, droga, ainda é chocante ver sua senha nesse banco de dados com vazamento. Ao mesmo tempo, 59% das senhas do banco de dados da Sony coincidiam com senhas das caixas de correio do Yahoo .

Naquela época, a Adobe estava vazando dados, e isso me deixou realmente interessado nesse segmento do setor, principalmente porque eu estava naquele banco de dados. Duas vezes. Mais importante ainda, continha 153 milhões de outras pessoas. Foi um vazamento excepcionalmente grande, mesmo para os padrões atuais. Tudo isso junto - taxa de vazamento, minha análise de banco de dados e escala da Adobe - me fez pensar: eu me pergunto quantas pessoas sabem? Eles entendem que seus dados estão disponíveis ao público? Eles entendem quantas vezes ? E, talvez o mais importante: eles mudaram sua senha (sim, quase sempre a única) em outros serviços que eles usam? E, assim, nasceu o projeto HIBP: encontrei suas senhas em muitas bases vazadas.

Deixe-me falar brevemente sobre os assuntos atuais do serviço. Existem quase 8 bilhões de registros no banco de dados, quase 3 milhões de pessoas se inscreveram para receber notificações, enviei 7 milhões de mensagens sobre o vazamento de dados, outras 120 mil pessoas monitoram domínios, fizeram 230 mil consultas de pesquisa e outras 1 por correio, 1 milhão de notificações. Em um dia normal, o site tem 150.000 visitantes únicos, 10 milhões em um dia anormal, mais alguns milhões de hits na API e 10 milhões de consultas de pesquisa. Mas agora até esses números são excedidos:


A propósito, o serviço possui assinantes comerciais que dependem do HIBP. Existem várias empresas que já informam seus clientes. E existem governos em todo o mundo que usam o HIBP para proteger seus departamentos, agências policiais que o utilizam em suas investigações e todos os tipos de outros usos que eu nunca vi ou sequer imaginei . E hoje, todas as linhas de código, todas as configurações e todas as contas vazadas são processadas por mim pessoalmente. Não existe uma "equipe HIBP", há um cara que mantém tudo à tona.




Quando precisei de infográficos para explicar a arquitetura, sentei-me e fiz tudo sozinho . Eu mesmo encontrei o código-fonte de cada logotipo da empresa invadida, corte-o, redimensione-o e otimize-o. Cada vez que divulguei informações sobre hackear uma empresa que não sabia disso, tive que resolver um monte de problemas e também lidei com isso (acredite, leva muito tempo e acabou sendo o principal gargalo e o principal obstáculo para o download de novos dados). Todas as entrevistas na mídia, todos os pedidos de suporte e, francamente, quase tudo o que você poderia imaginar, foram feitos por apenas uma pessoa no seu tempo livre. Este não é apenas um problema de carga; Tornei-me cada vez mais consciente do fato de me tornar o único ponto de falha. E isso precisa ser mudado.

É hora de crescer


Foi uma introdução longa, mas eu queria descrever a situação para chegar ao ponto logicamente: HIBP, é hora de crescer. É hora de passar de um cara fazendo o que pode, em seu tempo livre, para uma estrutura com mais recursos e melhores recursos, que pode fazer muito mais do que eu jamais poderia fazer sozinha. Para entender melhor por que estou escrevendo isso agora, vamos compartilhar a imagem com o Google Analytics:



O gráfico exibe 12 meses até 18 de janeiro deste ano e o aumento corresponde ao carregamento de contas da Coleção nº 1 . Isso também corresponde ao dia em que fui à Europa por algumas semanas de conferências de "negócios comuns", que foram precedidas por vários dias conversando com meu filho de 9 anos e bons amigos em uma cabana de madeira no meio das neves da Noruega. Fui bombardeado sem precedentes com e-mails, tweets e telefonemas em todos os canais imagináveis, devido à enorme atenção que o HIBP recebeu em todo o mundo. Desliguei todos os aparelhos, sentados junto à pequena lareira, desfrutando de bebidas e de uma boa conversa. Naquele momento, percebi que estava muito perto do esgotamento. Tenho certeza de que ainda não me queimei, mas também percebi que posso ver esse momento em um futuro não muito distante se não fizer algumas mudanças importantes na minha vida (gostaria de falar sobre isso no futuro, porque aqui estão algumas lições muito importantes, mas agora quero estabelecer um contexto em relação ao tempo e contar o que acontecerá a seguir). Tudo isso aconteceu ao mesmo tempo em que viajei pelo mundo, falei em eventos, realizei seminários e fiz um milhão de outras coisas para que a vida continuasse.

Para ser completamente honesto, foi um ano extremamente ocupado. A atenção adicional que o HIBP começou a receber em janeiro nunca retornou ao nível de 2018, mas simplesmente continuou a crescer. Fiz várias alterações para se adaptar à carga de trabalho. Talvez um dos mais óbvios seja o enorme declínio da participação nas redes sociais, especialmente no Twitter:



Até dezembro do ano passado, twitei uma média de 1.141 vezes por mês (por algum motivo, a função de exportação não incluía maio e junho de 2017 e apenas metade de julho, por isso omiti esses meses no gráfico). De fevereiro a maio deste ano, o número caiu para 315, ou seja, a partir de janeiro eu recusei as redes sociais em 72%. Isso pode parecer um fato frívolo, mas esse é um número significativo que está diretamente relacionado ao impacto na minha vida de atenção ao HIBP. A mesma coisa se você olhar para as estatísticas das postagens do blog. Publiquei religiosamente vídeos semanais, mas tive que reduzir todos os outros posts técnicos que amava escrever na última década.

Quando voltei dessa viagem, tive conversas ocasionais com várias organizações que achei que poderiam estar interessadas em comprar o HIBP. Foram conversas em um ambiente confortável com conhecidos, de modo que a situação não causou nenhum estresse. Essa não é a primeira vez que eu tenho essas discussões - já fiz isso várias vezes quando as organizações entraram em contato e perguntaram qual era meu interesse na venda - mas essa foi a primeira vez desde que a sobrecarga de gerenciar um serviço foi além horários. Havia um grande entusiasmo genuíno, mas rapidamente percebi que, quando se trata de discussões desse tipo, aqui sou um leigo completo. É claro que posso processar bilhões de entradas desbloqueadas e executar serviços on-line sozinhos usados ​​por centenas de milhões de pessoas, mas esse é um jogo completamente diferente. É hora de pedir ajuda.

Projeto Svalbard


Em abril, durante uma conversa regular com as pessoas da KPMG sobre algumas coisas financeiras comuns (eu me reunia regularmente com consultores, pois minha condição financeira se tornava mais difícil ), eles sugeriram conversar com a equipe do departamento de fusões e aquisições sobre como encontrar um novo Casa para HIBP. Foi conveniente para mim fazer isso: temos um relacionamento de longo prazo e eles entendem não apenas a essência do HIBP, mas também outras coisas sensíveis que eu sempre faço online. Essa foi uma decisão fácil: eu precisava de ajuda e eles têm a experiência e o conhecimento certos.

Conhecendo essas pessoas, rapidamente ficou claro que tipo de apoio eu realmente precisava. A principal coisa que percebi foi que nunca tive tempo para dar um passo atrás e ver o que o HIBP realmente faz. Isso pode parecer estranho, mas como o projeto cresceu organicamente ao longo dos anos e eu o construí em resposta a uma combinação de necessidades urgentes, não encontrei tempo para dar um passo atrás e dar uma olhada holística em tudo isso. E não tive tempo suficiente para ver o que ele poderia fazer. Mais tarde voltarei a esse tópico - quantas oportunidades de fazer muito mais e realmente preciso do apoio de pessoas versadas nos negócios.

Uma das primeiras tarefas foi criar o nome do projeto à venda: aparentemente, é assim que as coisas são feitas. Havia muitas opções terrivelmente kitsch e muitas outras que se baseavam em infobes de chavões, e então pensei: lembre-se desse armazenamento maciço de sementes além do Círculo Polar Ártico? Eu já vi links para isso antes, e a ideia de um enorme repositório armazenando algo valioso para ajudar a humanidade começou a ressoar. Acontece que este lugar é chamado Svalbard (a World Seed Store em Svalbard) e fica assim:



Também ficou localizado na Noruega, e tudo isso começou a soar como um nome próprio, começando com a analogia óbvia de armazenar um grande número de "unidades". Há um vídeo interessante, há alguns anos, que diz que a capacidade do Repositório Mundial é de cerca de um bilhão de sementes - não tantos registros quanto no HIBP, mas você entende a ideia. Então existe um nome: é um pouco estranho. Svalbard é difícil de pronunciar para aqueles que não estão familiarizados com a palavra (embora este vídeo ajude ), assim como ... pwned. E, finalmente, a Noruega é de grande importância para mim: quase cinco anos atrás, minha primeira apresentação no exterior aconteceu lá. Falei na frente de uma sala lotada e, quando a platéia saiu, cada um deles jogou um cartão verde na caixa.


Este foi um ponto de virada na minha carreira. Em janeiro deste ano, eu estava novamente na Noruega, quando o HIBP literalmente enlouqueceu, como você viu no gráfico anterior. Foi lá, em uma pequena cabana no meio da neve, eu percebi que era hora do HIBP crescer. E por pura coincidência, hoje estou publicando este artigo novamente da Noruega, tendo chegado à NDC Oslo pelo sexto ano consecutivo. Como você pode ver, Svalbard é um bom nome.

Meu compromisso com o futuro do HIBP


Então, o que significa se outra empresa adquirir o HIBP? Sinceramente, não sei exatamente como será, então vamos compartilhar abertamente meus pensamentos de hoje, e há alguns pontos realmente importantes que quero enfatizar:

  1. A pesquisa de usuários deve permanecer livre . O serviço foi tão bem-sucedido porque garanti a ausência de barreiras para as pessoas que estão procurando seus dados. E eu absolutamente quero que continue assim. Portanto, este item vai para o número 1.
  2. Continuarei fazendo parte do HIBP . Pretendo fazer parte da transação, ou seja, a empresa me receberá junto com o projeto. A marca HIBP está indissoluvelmente ligada à minha, e devo ficar agora.
  3. Eu quero implementar competentemente muito mais funções . Há toneladas de coisas que eu quero fazer com o HIBP e simplesmente não posso fazê-las. Este é um projeto com enorme potencial além do que já foi alcançado, e pretendo fazê-lo.
  4. Eu quero alcançar um público muito maior do que agora . Agora, o público é enorme, mas ainda assim são apenas alguns usuários que precisam ser informados sobre o vazamento de seus dados pessoais.
  5. Muito mais pode ser feito para mudar o comportamento do consumidor . O seqüestro automatizado de contas ( preenchimento de credenciais ) é um grande problema no momento e só existe por causa da reutilização de senha. Quero que o HIBP desempenhe um papel muito maior na alteração da maneira como as pessoas gerenciam suas contas.
  6. As organizações podem se beneficiar muito mais do HIBP . Seguindo o parágrafo anterior, os serviços do usuário podem proteger seus clientes muito melhor contra essa forma de ataque, e os dados do HIBP podem desempenhar um papel significativo (e algumas organizações já aproveitam essa oportunidade).
  7. Deveria haver mais abertura - e mais dados . Eu já mencionei quão onerosa é a responsabilidade de revelar o fato de hackers, e Svalbard torna possível corrigi-lo. Um monte de organizações não sabem que foram invadidas, simplesmente porque eu não tive tempo para lidar com tudo isso.

Eu tenho um entendimento claro de que organizações específicas podem ajudar com esses pontos. Há também um segundo grupo, ao qual tenho grande respeito, mas que estão mais bem equipados para ajudar a conseguir isso. À medida que o processo se desenvolve, a KPMG ajudará a determinar mais claramente quais organizações se enquadram na primeira categoria. Estou certo de que você pode imaginar que há discussões muito sérias: como o HIBP se encaixará na empresa, como eles me ajudarão a alcançar esses objetivos e se essa empresa é adequada para um serviço tão valioso como o HIBP. Tenho algumas considerações pessoais importantes, incluindo com quem me sinto à vontade para trabalhar, um horário gratuito e, é claro, o lado financeiro. Para ser sincero, é igualmente desafiador e emocionante.

Antes de publicar este artigo, entrei em contato com todas as partes interessadas que possam ser relevantes para o projeto Svalbard. Expliquei meus motivos e minha visão sobre o futuro do HIBP: que o projeto não deveria apenas se tornar mais confiável, mas também fortalecer significativamente sua influência na situação com vazamentos maciços de dados. Isso já levou a algumas discussões realmente produtivas com organizações que poderiam ajudar o HIBP a ter um impacto muito mais positivo no setor. Houve um grande entusiasmo e apoio a esse processo, o que é encorajador.

Você pode perguntar, por que não registrar uma empresa comercial e simplesmente não contratar pessoas? Obviamente, tive a oportunidade de financiar a empresa por conta própria ou através de vários capitalistas de risco que me bateram por muitos anos. Mas não o fiz, porque uma empresa comercial aumenta significativamente minhas responsabilidades, enquanto eu precisava do contrário. A partir desse dia, eu não poderia sair por uma semana e, se tentasse me desconectar por um dia, ficaria sempre preocupado em perder algo importante. Com o tempo, a criação de uma empresa pode me permitir relaxar, mas somente depois de investir uma quantidade significativa de tempo (e dinheiro), e não é isso que é necessário no momento.

Sumário


Estou extremamente empolgado com o potencial do projeto Svalbard. Nessas discussões iniciais com outras organizações, já estou começando a ver como os contornos de uma melhor gestão de todo o ecossistema na área de vazamento de dados aparecem. Imagine um futuro no qual eu possa receber e processar muito mais dados, entrar em contato ativamente com as organizações afetadas, ajudá-las no processo de resolução do incidente, ajudar usuários como você e eu a entender melhor o que está acontecendo (e o que fazer a respeito) e, em Por fim, reduza o dano de tais vazamentos para organizações e usuários. E isso vai muito além, porque, após o vazamento, muito mais pode ser feito, principalmente na luta contra ataques como o seqüestro automático de contas na alta velocidade que vemos hoje em dia. Estou realmente satisfeito com o sucesso do HIBP, mas até agora isso é apenas a ponta do iceberg.

Tomei essa decisão quando tenho total controle sobre o processo. Não estou sob nenhum tipo de pressão (exceto uma carga de trabalho alta, é claro) e tenho tempo para procurar o comprador para seguir seu curso e encontrar o melhor candidato para o projeto. E como sempre no HIBP, continuo fazendo tudo com total transparência, descrevendo esse processo em detalhes aqui. Eu realmente reconheço a confiança dos usuários e todos os dias eles me lembram a responsabilidade que vem com essa confiança.

O HIBP tem menos de seis anos, mas é o culminar do trabalho de toda a minha vida. Ainda me lembro vividamente do início dos anos 90, quando comecei a criar software para a Internet e sonhei em criar algo grande: “Não é de surpreender que eu me sente aqui em casa e escreva código que um dia possa ter um impacto real sobre o mundo inteiro? " Tive algumas partidas falsas e foi preciso uma combinação de fatores para tornar o HIBP o que é hoje, e era exatamente isso que eu esperava. O projeto Svalbard é a realização desse sonho, e estou extremamente empolgado com as oportunidades que surgirão como resultado.

Source: https://habr.com/ru/post/pt456796/

More articles:


All Articles