Dla części z Was to, co napiszemy nie będzie niczym odkrywczym. Antyweb ma jednak misję dotarcia również do mniej świadomych czytelników, którzy poznali już dwuskładnikowe uwierzytelnianie i korzystają z niego na co dzień, ale nie wiedzą, że i na to jest metoda. Warto być świadomym możliwości przejęcia naszego konta, bo wbrew pozorom jest to bardzo prosta operacja.
Obszerne opracowanie autorstwa Nethanela Gelerntera, Seni Kalmy, Bara Magnezi'ego oraz Hena Porcilana z IEEE Security wskazuje, że dróg dotarcia do celu ataku mimo dwuskładnikowego uwierzytelniania jest mnóstwo. Wcale nie trzeba atakować bezpośrednio infrastruktury, z której zamierzamy wykraść dane. Nie trzeba także atakować żadnej innej, gdzie mogą znajdować się "dane porównawcze", które mogą nam posłużyć do kolejnych przejęć w innych usługach. Wystarczy odrobina socjotechniki i pomysłowości (czyli atak Man in the Middle) - ludzie mogą dać się nabrać i dosłownie sami zastawić na siebie wnyki.
Niektórym z nas wydaje się, że jesteśmy absolutnie bezpieczni tylko dlatego, że aktywowaliśmy funkcję dwuskładnikowego uwierzytelniania w newralgicznych usługach. Do obsługi tego mechanizmu mamy albo aplikacje, albo standardowy dla telefonów komórkowych kanał informacyjny, czyli wiadomości tekstowe. W razie nierozpoznanego logowania z nowego urządzenia, osobno zostaniemy poproszeni o podanie kodu, który zostanie nam dostarczony w ramach aplikacji - menedżera logowań lub wiadomości tekstowej. Ta pierwsza opcja jest znacznie bezpieczniejsza. Druga natomiast jest banalnie prosta do "ominięcia".
Wyobraźcie sobie, że nastała moda na logowanie się do jakiejś fenomenalnej usługi. Jak niewiele ludziom trzeba do tego, aby podłapać ciekawy temat? Spójrzcie na Pokemon Go. Niedoceniana przez niektórych gra nagle stała się hitem. Oczywiście to bardzo jaskrawy przykład, ale pokazuje on, w jak prosty sposób można uzyskać ogromną popularność. Do ataku hakerskiego wcale nie potrzebujemy milionów użytkowników - wystarczy tylko kilku. I przede wszystkim - dobry plan.
Załóżmy, że istnieje serwis, którego celem jest wykradnięcie podstawowych danych. Mamy na oku konkretną grupę użytkowników (na przykład osoby korzystające z danych usług pocztowych). Przy założeniu, że są one chronione tylko przez pytanie zabezpieczające (na przykład: jak nazywa się Twój pies?), możemy w naszym formularzy zawrzeć dokładnie te same pytania, co w interesujących nas usługach, licząc na to, że użytkownik z czystego lenistwa wybierze je ponownie i... poda taką samą odpowiedź. Jeżeli ustalacie swoje odpowiedzi zabezpieczające, unikajcie też bardzo popularnych, z pozoru niepasujących do pytań wyrazów. Na przykład, jeżeli strona pyta Was o imię psa, nie odpowiadajcie na to: "dupa", bo sprytny atakujący pozwoli sobie sprawdzić kilka oczywistych w tej sytuacji odpowiedzi.
Jedna sprawa jest załatwiona, tak? A co z uwierzytelnianiem dwuskładnikowym? To realizowane przez aplikację jest trudne do przechwycenia. Ale już, gdy korzystamy z SMS-ów, może się okazać, że wykradzenie nam danych będzie stosunkowo proste. Wystarczy, że w naszym fake-serwisie stworzymy formularz pytający nas o numer telefonu, konieczny do zweryfikowania konta. Tuż po poprawnym przesłaniu formularza, otrzymujemy monit o konieczności wpisania kodu zabezpieczającego, który został właśnie wysłany na nasz numer telefonu. W tym czasie, automatyczny mechanizm zbudowany przez cyberprzestępców rozpoczyna procedurę przypomnienia hasła w atakowanej usłudze, do którego konieczne jest podanie kodu z telefonu. Jeżeli ofiara jest nieuważna, nie zauważy, że żądanie nie odpowiada usłudze, jaka wysłała do nas ów kod i poda go hakerom.
Nie wpadajmy w panikę. Ów tekst nie ma na celu straszenie kogokolwiek - wskazujemy bardziej na stosunkowo prostą metodę ataku, która nie wymaga uzyskania dostępu do interesującej cyberprzestępców infrastruktury. Burzy też przekonanie o tym, że dwuskładnikowe uwierzytelnianie to "Święty Graal" zabezpieczeń w ogóle. W odpowiednich warunkach cyberprzestępca jest złamać i taki mechanizm, choć jak widzicie, wygląda to bardzo karkołomnie. Niemniej, jeżeli jest możliwe, to i nie zdziwiłbym się, gdyby ktoś ten mechanizm znacznie dopracował, automatyzację dopieszczając do perfekcji i zgarniając z tego powodu kupę skradzionego szmalu.
Ale, jeżeli lubicie czuć się absolutnie bezpiecznie - pamiętajcie o kilku rzeczach. Pola z pytaniami weryfikującymi traktujcie jako "dodatkowe hasło" do usługi, które możecie wygenerować w dowolnym menedżerze. Oczywiście, nie warto, aby było ono korespondujące z zadanym pytaniem i czego trzeba się absolutnie trzymać - nie można go użyć więcej niż jeden raz. Dodatkowo, zadbajcie, by o dwuskładnikowe uwierzytelnianie dbała aplikacja, a nie kody SMS. Nie wszędzie jest to możliwe, ale tam gdzie to da się zrobić - warto wykonać.
I ostatecznie - bądźcie ostrożni. Zdrowego rozsądku nie zastąpi Wam żadne uwierzytelnianie, choćby kazało Wam robić salta, albo jaskółkę.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
