Video: AMONG US, but HACKER Impostor (Listopad 2024)
Pokud by sdružení Associated Press vytvořilo dvoufaktorovou autentizaci se svým účtem Twitter, pak by pro-syrští hackeři nemohli účet unést a způsobit zmatek.
Pěkný a uklizený nápad, ale ve skutečnosti ne. Zatímco dvoufaktorová autentizace je výkonným nástrojem pro zabezpečení uživatelských účtů, nemůže vyřešit všechny problémy. Mít dvoufaktorové by @ @ nepomohlo, protože hackeři se vloupali phishingovým útokem. Protivníci by jen našli jiný způsob, jak přimět uživatele k obcházení bezpečnostní vrstvy, řekl Aaron Higbee, technický ředitel společnosti PhishMe.
V úterý útočníci ze Sýrie unesli účet AP Twitter a zveřejnili falešné zprávy, v nichž tvrdí, že došlo k výbuchu v Bílém domě a že prezident byl zraněn. Za tři nebo čtyři minuty před tím, než zaměstnanci AP zjistili, co se stalo a řekli, že příběh byl nepravdivý, investoři zpanikařili a způsobili, že se průměrný průměr Dow Jones Industrial propadl přes 148 bodů. Bloomberg News odhadl, že pokles "vymazal" 136 miliard dolarů z indexu S&P 500.
Předvídatelně řada bezpečnostních odborníků okamžitě kritizovala Twitter za to, že nenabízely dvoufaktorové ověření. "Twitter opravdu potřebuje rychle se zavádět dvoufaktorové ověřování. V tomto směru jsou pozadu za trhem, " uvedl v e-mailu Andrew Storms, ředitel bezpečnostních operací v nCircle.
Skupiny vs individuální účty
Dvojfaktorová autentizace ztěžuje útočníkům únos uživatelských účtů metodami brutální síly nebo krádeží hesel pomocí metod sociálního inženýrství. Předpokládá také, že na jeden účet existuje pouze jeden uživatel.
„Dvoufaktorová autentizace a další opatření pomohou snížit počet hacků proti jednotlivým účtům. Ale ne skupinové účty, “ řekl Sean Sullivan, bezpečnostní výzkumník společnosti F-Secure, bezpečnostní agentuře SecurityWatch .
AP, podobně jako mnoho jiných organizací, měl pravděpodobně do dne @AP během dne vysílán více zaměstnanců. Co se stane, když se někdo pokusí odeslat příspěvek na Twitter? Každý pokus o přihlášení vyžaduje, aby osoba, která má registrované zařízení, ať už jde o chytrý telefon nebo hardwarový token, poskytla kód druhého faktoru. V závislosti na použitém mechanismu to může být každý den, každých několik dní nebo kdykoli je přidáno nové zařízení.
„Stává se to docela významnou překážkou produktivity, “ řekl Jim Fenton, CSO OneID, pro SecurityWatch .
Řekněme, že chci přispívat do @SecurityWatch. Musel bych buď IM nebo zavolat svému kolegovi, který „vlastnil“ účet, aby získal dvoufaktorový kód. Nebo jsem se nemusel přihlásit po dobu 30 dnů, protože můj notebook byl autorizovaným zařízením, ale nyní je to 31. den. A o víkendu. Představte si potenciální minová pole sociálního inženýrství.
„Jednoduše řečeno, dvoufaktorová autentizace nebude stačit k ochraně lidí, “ řekl Sullivan.
Dvoufaktorové ověření není lék
Dvojfaktorová autentizace je dobrá věc, mocný nástroj, ale nedokáže udělat vše, jako je zabránění phishingovým útokům, řekl Fenton. Ve skutečnosti, v rámci běžných dvoufaktorových autentizačních řešení mohou být uživatelé snadno oklamáni do autentizačního přístupu, aniž by si to uvědomovali, řekl Fenton.
Představte si, že bych poslal zprávu svému šéfovi: Nelze se přihlásit k @securitywatch. Pošlete mi kód?
Dvojfaktorová autentizace ztěžuje phishing účtu, ale nebrání úspěšnému útoku, uvedl Higbee PhishMe. Na firemním blogu PhishMe ilustroval, jak phishing obcházení dvou faktorů právě zužuje okno útoku.
Nejprve uživatel klikne na odkaz v phishingovém e-mailu, přistane na přihlašovací stránce a na falešné webové stránce zadá správné heslo a platný dvoufaktorový kód. V tomto okamžiku se musí útočník pouze přihlásit, než vyprší platnost platných přihlašovacích údajů. Organizace používající tokeny RSA mohou regenerovat kód každých 30 sekund, ale pro web sociálních médií může být doba vypršení platnosti několik hodin nebo dní pryč.
"Tím nechci říci, že by Twitter neměl implementovat robustnější vrstvu autentizace, ale také vyvolává otázku, jak daleko by to mělo jít?" Higbee řekl a dodal, že Twitter nebyl původně určen pro skupinové použití.
Obnovení je větší problém
Implementace dvoufaktorové autentizace u předních dveří nebude znamenat dřep, pokud mají zadní dveře plynulý zámek - slabý proces resetování hesla. Použití sdílených tajemství, jako je například mateřské jméno vaší matky, k vytvoření a obnovení přístupu k účtu „je Achillovou patou dnešních ověřovacích postupů, “ řekl Fenton.
Pokud útočník zná uživatelské jméno, resetování hesla je pouze otázkou zachycení resetovacího e-mailu. To může znamenat vloupání do e-mailového účtu, což se může velmi dobře stát.
I když otázky týkající se hesla mají své vlastní problémy, Twitter je nenabízí jako součást procesu resetování. Vše, co někdo potřebuje, je uživatelské jméno. I když existuje možnost „vyžadovat osobní údaje k obnovení hesla“, jediná požadovaná další informace jsou snadno dostupné e-mailové adresy a telefonní číslo.
"Twitter účty se budou i nadále hackovat a Twitter musí udělat několik věcí, aby ochránil své uživatele - nejen dva faktory, " řekl Sullivan.
