Dauguma organizacijų, kurios pernai patyrė saugumo pažeidimą, turėjo įjungtą daugiafaktorę autentifikaciją. Tai ir yra nemaloniausia dalis. Užpuolikai neišlaužė antro veiksnio; jie jį apėjo, pasitelkę metodus, kurie veikia kaip tik todėl, kad įdiegta MFA reikalauja iš pavargusio žmogaus priimti saugumo sprendimą pačiu netinkamiausiu momentu.
Jeigu jūsų MFA yra SMS kodas arba vieno bakstelėjimo „Patvirtinti?“ pranešimas, šie dešimt minučių verti jūsų dėmesio. Būtent šių dviejų metodų užpuolikai dabar tikslingai vengia, o ne bijo. Jie jų nesustabdo.
Trys atakos, kurios įveikia „šiokią tokią MFA“
- Push užtvindymas (MFA nuovargis). Užpuolikas slaptažodį jau turi (iš nutekėjusios duomenų bazės, suktybės ar pakartotinio naudojimo). Jis vėl ir vėl bando prisijungti, siųsdamas į naudotojo telefoną nesibaigiančią patvirtinimo pranešimų srovę, kol galiausiai kas nors, iš sumaišties arba tiesiog norėdamas, kad tai liautųsi, bakstelėja Patvirtinti. Vienas bakstelėjimas ir jie viduje. Nuo to prasidėjo ne vienas plačiai nuskambėjęs pažeidimas.
- SIM apkeitimas. SMS niekada nebuvo sukurta kaip saugumo kanalas. Užpuolikas, kuris įtikina (arba papapirkti) mobiliojo ryšio operatorių perkelti numerį į naują SIM kortelę, gauna visus jam siunčiamus vienkartinius kodus. Jokio kenkėjiško kodo, jokio suktybių puslapio – tik skambutis į klientų aptarnavimo liniją.
- Tarpininko ataka (adversary-in-the-middle, AiTM). Įtikinamas netikras prisijungimo puslapis realiu laiku persiunčia užklausas tikrajam. Auka įveda slaptažodį ir kodą; užpuolikas abu akimirksniu perduoda toliau ir pasisavina gautą seanso žetoną. Kodas buvo galiojantis. MFA „suveikė“. Paskyra vis tiek prarasta.
Bendra gija: kiekvienas šių metodų remiasi paslaptimi arba patvirtinimu, kurį galima perduoti: nukopijuoti iš teisėto naudotojo ir pakartoti užpuoliko naudai. Sustabdykite perdavimą ir visos trys atakos kartu sustos.
Kas juos iš tikrųjų sustabdo: suktybėms atspari, prie įrenginio susieta autentifikacija
„Atsparumas suktybėms“ nėra rinkodaros posakis. Tai konkreti savybė. Vienu metu turi galioti du dalykai: raktas niekada negali palikti naudotojo įrenginio, tad nėra ko pagrobti ir pakartoti; ir naudotojas gali perskaityti tiksliai tai, ką patvirtina, tad niekas nepatvirtinama aklai.
- Raktas glūdi telefono saugioje aparatinėje įrangoje. Jis ten sugeneruojamas ir jo negalima eksportuoti, nukopijuoti ar perkelti apkeičiant SIM. Nėra jokios bendros paslapties, gulinčios duomenų bazėje ar atkeliaujančios per SMS, ir būtent tai užkerta kelią perėmimui, SIM apkeitimui ir AiTM perdavimui.
- Galite perskaityti tiksliai tai, ką patvirtinate. Būtent ši dalis sustabdo push užtvindymą, ir čia verta būti tiksliems: kai užklausa jau pasiekia telefoną, nei raktas, nei biometrija nebepadeda, nes ataka tiesiog prašo naudotojo pasakyti „taip“. Biometrija tik patvirtina, kad bakstelėja telefono savininkas, bet ne tai, kad prisijungimas teisėtas. Push užtvindymą įveikia tai, kad kiekviena užklausa turi konkretų, aiškiai perskaitomą aprašymą, ką tiksliai patvirtinama: šitą prisijungimą, į šitą serverį, iš šitos vietos, dabar. Naudotojo neinicijuotas pranešimas iškart matomai ne jo, tad jis jį atmeta. Apsauga yra pakankamai tikslus, vienu žvilgsniu perskaitomas aprašymas, o ne pavargęs žmogus, priešinantis tuščiam „Patvirtinti?“.
- Seanso negalima pakartoti. Kadangi parašas yra kriptografinis ir susietas su užklausa, AiTM tarpininkas nebeturi ką vertingo pavogti.
Būtent tuo skiriasi MFA, kuri kelia kartelę, nuo MFA, kurią užpuolikas jau yra iš anksto suprogramavęs apeiti.
Kaip čia įsipina Notakey
Notakey buvo sukurta būtent aplink šią savybę. Naudotojo raktas sugeneruojamas telefono saugioje aparatinėje įrangoje ir jos niekada nepalieka, o kiekvienas patvirtinimas yra pasirašytas, laiko žyma pažymėtas konkretaus veiksmo įrašas, o ne anoniminis bakstelėjimas.
- Nėra bendros paslapties, kurią būtų galima išgauti suktybe, nėra SMS, kurią būtų galima perimti, nėra kodo, kurį būtų galima perduoti.
- Prieš push užtvindymą gynyba yra tai, ką naudotojas perskaito: kiekviena užklausa rodo tikslų aprašymą, ką būtent patvirtinama (kokią sistemą, kokį veiksmą, iš kur), tad niekieno neinicijuotas pranešimas iškart aiškiai pastebimas ir atmetamas. Nėra ko patvirtinti aklai.
- Ji apima būtent tuos kelius, kuriais užpuolikai iš tikrųjų naudojasi; žr. praktinius vadovus: 2FA VPN’ui per RADIUS, „Windows“ nuotolinis darbalaukis ir „Linux“ SSH.
Įsitikinkite patys
Greičiausias būdas pajusti skirtumą yra patvirtinti operaciją suktybėms atspariu būdu: perskaitant ir pasirašant konkretų veiksmą savo telefone, o ne bakstelint pranešimą be jokio konteksto.
Išbandykite tiesioginę demonstraciją ir pasirašykite vieną maždaug per dvi minutes arba užsisakykite demonstraciją, ir mes priderinsime jūsų VPN, SSO ar „Windows“ prisijungimus prie bandomojo diegimo jūsų pačių infrastruktūroje.