Videó: AMONG US, but HACKER Impostor (November 2024)
A " ha csak… " földjeiről, ha az Associated Press kétfaktoros hitelesítést állított volna fel Twitter-fiókjával, akkor a szíria-támogató hackerek nem voltak képesek eltéríteni a fiókot és pusztítást okozni.
Szép és rendezett ötlet, de a valóságban nem. Bár a két tényezővel történő hitelesítés hatékony eszköz a felhasználói fiókok biztonságos védelmére, az összes problémát nem tudja megoldani. A két tényező megszervezése nem segített volna a @AP-nál, mert a hackerek adathalász támadás útján léptek be. Az ellenfelek csak egy másik módszert találnának arra, hogy rácsapják a felhasználókat a biztonsági réteg megkerülésére - mondta Aaron Higbee, a PhishMe műszaki vezetője.
Kedden a szírbarát hackerek eltérítették az AP Twitter fiókját, és hamis híreket küldtek, amelyekben a Fehér Házban robbanás történt, és hogy az elnök megsérült. A három vagy négy perc múlva az AP munkatársai kitalálták, mi történt, és azt állították, hogy a történet hamis, a befektetők pánikba estek, és a Dow Jones Industrial átlaga 148 pont fölé zuhant. A Bloomberg News becslése szerint az árfolyam 136 milliárd dollárt „megsemmisített” az S&P 500 indexből.
Előreláthatóan számos biztonsági szakértő azonnal kritizálta a Twitter-t, hogy nem kínál kétfaktoros hitelesítést. "A Twitternek ténylegesen gyorsan ki kell hajtania két tényezőjű hitelesítést. Ebben jóval lemaradnak a piacról" - mondta egy e-mailben Andrew Storms, az nCircle biztonsági műveleteinek igazgatója.
Csoportok vs. egyedi számlák
A két tényezővel történő hitelesítés megnehezíti a támadók számára a felhasználói fiókok eltérítését brutális erő módszerekkel vagy jelszavak ellopásával a társadalmi mérnöki módszerekkel. Azt is feltételezi, hogy fiókonként csak egy felhasználó van.
"Két tényezős hitelesítés és egyéb intézkedések segítenek csökkenteni az egyedi fiókok elleni csapdákat. De nem a csoportos fiókok esetében." - mondta Sean Sullivan, az F-Secure biztonsági kutatója az SecurityWatch-nek .
Az AP-hez, akárcsak sok más szervezethez, valószínűleg több alkalmazott dolgozott egész nap a @AP-ban. Mi történne, amikor valaki megpróbál feladni a Twitteren? Minden bejelentkezési kísérlet megköveteli, hogy a regisztrált eszközzel rendelkező személy, legyen az okostelefon vagy hardver token, adja meg a második tényező kódját. A működő mechanizmustól függően ez lehet minden nap, néhány nap, vagy bármilyen új eszköz hozzáadásakor.
"Ez elég jelentős akadályt jelent a termelékenység szempontjából" - mondta Jim Fenton, az OneID CSO.
Tegyük fel, hogy el akarok küldeni a @SecurityWatch webhelyre. Vagy IM-hez kell hívnom, vagy fel kell hívnom a kollégámnak, aki "birtokolta" a számlát, hogy megkapjam a két tényező kódját. Vagy nem kellett bejelentkeznem 30 napig, mert a laptopom egy engedélyezett eszköz volt, de most a 31. nap. És a hétvégén. Képzelje el a potenciális szociális mérnöki aknamezőket.
"Egyszerűen fogalmazva: a két tényezőjű hitelesítés nem lesz elég az emberek védelméhez" - mondta Sullivan.
Kétfaktoros hitelesítés nem minden
A két tényezővel történő hitelesítés jó dolog, hatékony eszköz, de nem képes mindent megtenni, például megakadályozni az adathalász támadásokat - mondta Fenton. Valójában a közös kétfaktoros hitelesítési megoldások révén a felhasználókat könnyen becsaphatják a hozzáférés hitelesítésébe anélkül, hogy ezt megismernék - mondta Fenton.
Képzelje el, ha szöveges üzenetet küldtem a főnökömnek: Nem tudok bejelentkezni a @securitywatch oldalra. Küld nekem egy kódot?
A két tényezővel történő hitelesítés megnehezíti a fiókok kémkedését, de nem akadályozza meg a támadás sikerességét - mondta a PhishMe munkatársa. A vállalati blogban a PhishMe bemutatta, hogy a két tényezőt megkerülő adathalászat csak szűkíti a támadási ablakot.
Először a felhasználó rákattint egy adathalász e-mailben található linkre, leszáll egy bejelentkezési oldalra, és beírja a megfelelő jelszót és érvényes kéttényezős kódot a hamis webhelyen. Ezen a ponton a támadónak csak be kell jelentkeznie, mielőtt az érvényes bejelentkezési hitelesítő adatok lejárnak. Az RSA tokeneket használó szervezetek 30 másodpercenként visszaállíthatnak egy kódot, de a közösségi média webhelyén a lejárati idő több óra vagy nap lehet.
"Ez nem azt jelenti, hogy a Twitter nem hajthat végre erősebb hitelesítési réteget, de felteszi a kérdést is, hogy meddig kell mennie?" Higbee mondta, és hozzátette, hogy a Twitter-t eredetileg nem csoportos felhasználásra tervezték.
Az újraindítás nagyobb probléma
A két tényezővel történő hitelesítés végrehajtása a bejárati ajtónál nem jelent guggolást, ha a hátsó ajtó gyenge zárral rendelkezik - gyenge a jelszó-visszaállítási folyamat. A megosztott titkok, például az anyád leánykori nevének használata a fiókhoz való hozzáférés létrehozásához és helyreállításához "a mai hitelesítési gyakorlat Achilles-sarka" - mondta Fenton.
Amikor a támadó tudja a felhasználónevet, a jelszó-visszaállítás csak a visszaállítási e-mail megszakításának kérdése. Ez azt jelentheti, hogy behatolunk az e-mail fiókba, ami nagyon jól megtörténhet.
Míg a jelszó-jelöléssel kapcsolatos kérdéseknek vannak saját problémáik, a Twitter még az újraindítási folyamat részeként sem ajánlja fel őket. Mindenkinek szüksége van a felhasználónevére. Noha lehetőség van arra, hogy "személyes adatokat kérjen a jelszavam visszaállításához", az egyetlen további szükséges információ a könnyen elérhető e-mail címek és a telefonszám.
"A Twitter-fiókok továbbra is feltörtek, és a Twitternek több dolgot kell tennie a felhasználók védelme érdekében - nem csak két tényezőt" - mondta Sullivan.
