Video: AMONG US, but HACKER Impostor (Decembris 2024)
No „ ja tikai… ” zemes, ja Associated Press būtu izveidojis divu faktoru autentifikāciju ar savu Twitter kontu, tad pro-Sīrijas hakeri nebūtu varējuši nolaupīt kontu un nodarīt postu.
Jauka un kārtīga ideja, bet patiesībā nē. Lai gan divu faktoru autentifikācija ir spēcīgs līdzeklis lietotāju kontu nodrošināšanai, tā nevar atrisināt visas problēmas. Ja būtu divi faktori, @AP nebūtu palīdzējis, jo hakeri ielauzās caur pikšķerēšanas uzbrukumu. Pretinieki vienkārši atradīs vēl vienu veidu, kā pievilināt lietotājus apiet drošības slāni, sacīja Āris Higbejs, PhishMe CTO.
Otrdien pro Sīrijas hakeri nolaupīja AP Twitter kontu un ievietoja viltus ziņu trauksmi, apgalvojot, ka Baltajā namā ir noticis sprādziens un ka prezidents ir ievainots. Trīs vai četru minūšu laikā pirms AP darbinieki izdomāja notikušo un sacīja, ka sižets ir nepatiess, investori panikā un panāca, ka Dow Jones Industrial vidējais kritums pārsniedz 148 punktus. Bloomberg News lēš, ka kritums "izslaucīja" 136 miljardus dolāru no S&P 500 indeksa.
Paredzams, ka vairāki drošības eksperti nekavējoties kritizēja Twitter, ka tā nepiedāvā divu faktoru autentifikāciju. "Twitter patiešām ir nepieciešams ātri iegūt divu faktoru autentifikāciju. Viņi šajā ziņā ir tālu aiz tirgus, " e-pastā sacīja nCircle drošības operāciju direktors Endrjū Storms.
Grupas vs individuālie konti
Divfaktoru autentifikācija apgrūtina uzbrucēju nolaupīšanu lietotāju kontos, izmantojot brutālu spēku vai zagt paroles, izmantojot sociālās inženierijas metodes. Tāpat tiek pieņemts, ka vienā kontā ir tikai viens lietotājs.
"Divfaktoru autentifikācija un citi pasākumi palīdzēs samazināt hakerus pret atsevišķiem kontiem. Bet ne grupas kontus, " aģentūrai SecurityWatch stāstīja Sean Sullivan, F-Secure drošības pētnieks.
AP, tāpat kā daudzās citās organizācijās, iespējams, bija vairāki darbinieki, kuri visu dienu norīkoja vietnē @AP. Kas notiktu jebkurā laikā, kad kāds mēģina izlikt ziņu vietnē Twitter? Katram pieteikšanās mēģinājumam personai, kurai ir reģistrēta ierīce, neatkarīgi no tā, vai tas ir viedtālrunis vai aparatūras marķieris, ir jāsniedz otrā faktora kods. Atkarībā no izmantotā mehānisma, tas var būt katru dienu, ik pēc pāris dienām vai ikreiz, kad tiek pievienota jauna ierīce.
"Tas kļūst par diezgan nozīmīgu šķēršļu produktivitātei, " Džims Fentons, OneID CSO, sacīja SecurityWatch .
Saka, ka gribu nosūtīt vietnē @SecurityWatch. Lai iegūtu divu faktoru kodu, man vajadzēja sazināties ar tūlītēju ziņojumu vai piezvanīt manam kolēģim, kuram “piederēja” konts. Vai arī man nebija jāpiesakās 30 dienas, jo mans klēpjdators bija pilnvarota ierīce, bet tagad tā ir 31. diena. Un nedēļas nogale. Iedomājieties iespējamos sociālās inženierijas mīnu laukus.
"Vienkārši sakot, ar divu faktoru autentifikāciju nepietiks, lai aizsargātu cilvēkus, " sacīja Sulivans.
Divfaktoru autentifikācija nav ārstējama
Divfaktoru autentifikācija ir laba lieta, spēcīgs rīks, taču tas nevar darīt visu, piemēram, novērst pikšķerēšanas uzbrukumus, sacīja Fentons. Faktiski, izmantojot kopējus divu faktoru autentifikācijas risinājumus, lietotājus var viegli pievilināt piekļuves autentificēšanā, to neapzinoties, sacīja Fentons.
Iedomājieties, ja es sūtītu īsziņu ar savu bosu: Nevaru pieteikties vietnē @securitywatch. Vai sūtīt man kodu?
Divfaktoru autentifikācija apgrūtina pikšķerēšanu no konta, bet neliedz uzbrukumam būt veiksmīgam, sacīja PhishMe's Higbee. Uzņēmuma emuārā PhishMe parādīja, kā pikšķerēšana, apejot divus faktorus, tikai sašaurina uzbrukuma logu.
Vispirms lietotājs noklikšķina uz saites pikšķerēšanas e-pastā, nolaižas pieteikšanās lapā un viltus vietnē ievada pareizo paroli un derīgu divu faktoru kodu. Šajā brīdī uzbrucējam vienkārši jāpiesakās, pirms beidzas derīgo pieteikšanās akreditācijas dati. Organizācijas, kas izmanto RSA marķierus, var atjaunot kodu ik pēc 30 sekundēm, bet sociālā medija vietnē derīguma termiņš var būt vairākas stundas vai dienas.
"Tas nenozīmē, ka Twitter nevajadzētu ieviest spēcīgāku autentifikācijas slāni, bet tas arī uzdod jautājumu par to, cik tālu tam vajadzētu iet?" Higbejs sacīja, piebilstot, ka Twitter sākotnēji nebija paredzēts grupu lietošanai.
Atiestatīšana ir lielāka problēma
Divfaktoru autentifikācijas ieviešana pie ārdurvīm nenozīmē tupēšanu, ja aizmugurējām durvīm ir neīsena atslēga - vāja paroles atiestatīšanas procedūra. Kopīgu noslēpumu, piemēram, jūsu mātes pirmslaulības uzvārda, izmantošana piekļuves izveidošanai un atkopšanai kontam "ir mūsdienu autentifikācijas prakses Ahileja papēdis", sacīja Fentons.
Kad uzbrucējs zina lietotājvārdu, paroles atiestatīšana ir tikai jautājums par atiestatīšanas e-pasta ziņojuma pārtveršanu. Tas var nozīmēt ielaušanos e-pasta kontā, kas ļoti labi var notikt.
Kaut arī jautājumiem par paroles mājieniem ir savas problēmas, Twitter tos pat nepiedāvā kā daļu no tā atiestatīšanas procesa. Lietotājam ir nepieciešams tikai kāds. Lai gan pastāv iespēja “pieprasīt personisku informāciju, lai atiestatītu manu paroli”, vienīgā nepieciešamā papildu informācija ir viegli iegūstamās e-pasta adreses un tālruņa numurs.
"Twitter konti turpinās uzlauzti, un Twitter ir jādara vairākas lietas, lai aizsargātu savus lietotājus - ne tikai divu faktoru, " sacīja Sullivans.
