A tavaly feltört szervezetek többségénél be volt kapcsolva a többfaktoros hitelesítés. Ez a kellemetlen tanulság. A támadók nem törték fel a második faktort, hanem megkerülték, olyan módszerekkel, amelyek épp azért működnek, mert a használt MFA egy fáradt embertől várja el, hogy a lehető legrosszabb pillanatban hozzon biztonsági döntést.
Ha az Ön MFA-ja egy SMS-kód vagy egy egyérintéses „Jóváhagyja?“ push, érdemes rá tíz percet szánnia. Ma már ez az a két módszer, amelyet a támadók kihasználnak, nem pedig az, amely megállítaná őket.
Három támadás, amely átveri a „valamilyen MFA-t“
- Push-bombing (MFA-kifáradás). A támadónak már megvan a jelszó: egy kiszivárgott adatbázisból, adathalászatból vagy jelszó-újrahasznosításból. Egyik bejelentkezést indítja a másik után, jóváhagyási kérések áradatát zúdítva a felhasználó telefonjára, amíg valaki zavarában (vagy csak hogy vége legyen) rá nem koppint a Jóváhagyás gombra. Egyetlen koppintás, és bent vannak. Így indult több közismert adatszivárgás is.
- SIM-csere. Az SMS-t sosem biztonsági csatornának tervezték. Az a támadó, aki ráveszi (vagy megvesztegeti) a mobilszolgáltatót, hogy egy telefonszámot új SIM-re helyezzen át, megkap minden oda küldött egyszer használatos kódot. Nincs kártevő, nincs adathalász oldal: csak egy telefonhívás az ügyfélszolgálatnak.
- Adversary-in-the-middle (AiTM). Egy meggyőző hamis bejelentkezési oldal valós időben közvetíti a valódit. Az áldozat beírja a jelszavát és a kódját; a támadó mindkettőt azonnal továbbítja, és ellopja a keletkező munkamenet-tokent. A kód érvényes volt. Az MFA „működött“. A fiók mégis odaveszett.
A közös szál: mindegyik módszer olyan titokra vagy jóváhagyásra épít, amelyet továbbítani lehet: lemásolni a jogos felhasználótól, majd a támadó által lejátszani. Állítsa meg a továbbítást, és mindhárom támadás vele együtt megáll.
Ami valóban megállítja őket: adathalászat-ellenálló, hardverhez kötött hitelesítés
Az „adathalászat-ellenálló“ nem marketingszöveg. Egy konkrét tulajdonságot nevez meg. Két dolognak kell egyszerre igaznak lennie: a kulcs soha nem hagyhatja el a felhasználó eszközét, így nincs mit elfogni és újrafelhasználni; a felhasználó pedig pontosan el tudja olvasni, mit hagy jóvá, így semmit sem hagy jóvá vakon.
- A kulcs a telefon biztonságos hardverében él. Ott jön létre, és nem exportálható, nem másolható, és nem SIM-cserélhető. Nincs megosztott titok egy adatbázisban vagy SMS-ben megérkezve. Épp ez zárja el a lehallgatás, a SIM-csere és az AiTM-továbbítás útját.
- Pontosan el tudja olvasni, mit hagy jóvá. Ez az a rész, amely megállítja a push-bombingot, és érdemes pontosnak lenni: sem kulcs, sem biometria nem segít, ha egy kérés már eljutott a telefonra, mert a támadás egyszerűen arra kéri a felhasználót, hogy mondjon igent. A biometria csupán azt igazolja, hogy a telefon tulajdonosa az, aki koppint, nem azt, hogy a bejelentkezés jogos. A push-bombingot az győzi le, hogy minden kérés konkrét, olvasható leírást hordoz arról, mit hagynak jóvá pontosan: ez a bejelentkezés, ez a kiszolgáló, innen, most. Egy olyan kérés, amelyet a felhasználó soha nem kezdeményezett, láthatóan nem az övé, ezért elutasítja. A védelem egy annyira pontos leírás, hogy egy pillantással elolvasható, nem pedig egy fáradt ember, aki egy üres „Jóváhagyja?“ kérdésnek próbál ellenállni.
- A munkamenet nem játszható le újra. Mivel az aláírás kriptográfiai és a kéréshez kötött, egy AiTM-proxynak nincs mit ellopnia.
Ez a különbség aközött az MFA között, amely feljebb emeli a lécet, és aközött, amelyet a támadó már készen megírt szkripttel megkerül.
Hol illeszkedik ide a Notakey
A Notakey pontosan e tulajdonság köré épült. A felhasználó kulcsa a telefon biztonságos hardverén belül jön létre, és soha nem hagyja el azt, minden jóváhagyás pedig egy aláírt, időbélyeggel ellátott feljegyzés a konkrét műveletről, nem egy névtelen koppintás.
- Nincs megosztott titok, amit el lehetne halászni, nincs SMS, amit le lehetne hallgatni, nincs kód, amit tovább lehetne adni.
- A push-bombing ellen a védelem az, amit a felhasználó elolvas: minden kérés pontos leírást mutat arról, mit hagynak jóvá: melyik rendszert, melyik műveletet, honnan, így egy olyan kérés, amelyet senki sem kezdeményezett, ránézésre nyilvánvaló, és elutasításra kerül. Semmit sem kell vakon jóváhagyni.
- Lefedi azokat az utakat, amelyeket a támadók valóban használnak. Lásd a gyakorlati útmutatókat: 2FA VPN-en RADIUS-szal, Windows távoli asztal és Linux SSH.
Győződjön meg róla saját maga
A különbséget úgy érezheti meg a leggyorsabban, ha adathalászat-ellenálló módon hagy jóvá egy tranzakciót, a saját telefonjáról olvasva és aláírva egy konkrét műveletet, ahelyett hogy egy szövegkörnyezet nélküli kérésre koppintana.
Próbálja ki az élő demót, és körülbelül két perc alatt aláír egyet, vagy kérjen bemutatót, és feltérképezzük, hogyan illeszthető pilot projektbe a saját infrastruktúráján a VPN-, SSO- vagy Windows-bejelentkezése.