Видео: AMONG US, but Crewmate is HACKING (Ноябрь 2024)
Из страны " если бы только… " Если бы Ассошиэйтед Пресс установило двухфакторную аутентификацию со своим аккаунтом в Твиттере, то просирийские хакеры не смогли бы взломать аккаунт и нанести ущерб.
Хорошая и аккуратная идея, но на самом деле нет. Хотя двухфакторная проверка подлинности является мощным средством защиты учетных записей пользователей, она не может решить все проблемы. Два фактора не помогли бы @AP, потому что хакеры взломали фишинговую атаку. По словам Аарона Хигби (Aaron Higbee), технического директора PhishMe, злоумышленники найдут другой способ обмануть пользователей, чтобы обойти уровень безопасности.
Во вторник просирийские хакеры взломали учетную запись AP Twitter и опубликовали фальшивое сообщение о том, что в Белом доме произошел взрыв и что президент получил ранения. За три или четыре минуты до того, как сотрудники AP выяснили, что произошло, и сказали, что история была ложной, инвесторы запаниковали и вызвали падение индекса Dow Jones Industrial Industrial выше 148 пунктов. Bloomberg News подсчитал, что падение индекса S & P 500 "стерло" 136 миллиардов долларов.
Как и ожидалось, ряд экспертов по безопасности сразу же раскритиковали Twitter за то, что он не предлагал двухфакторную аутентификацию. «Твиттеру действительно нужно быстро развернуть двухфакторную аутентификацию. В этом они сильно отстают от рынка», - сказал Эндрю Стормс, директор по безопасности в nCircle, в электронном письме.
Группы против индивидуальных учетных записей
Благодаря двухфакторной аутентификации злоумышленникам становится сложнее взломать учетные записи пользователей, используя методы перебора или кражи паролей с помощью методов социальной инженерии. Это также предполагает, что есть только один пользователь для каждой учетной записи.
«Двухфакторная проверка подлинности и другие меры помогут снизить количество взломов отдельных учетных записей. Но не групповых учетных записей», - сказал Шон Салливан, исследователь безопасности F-Secure, в интервью SecurityWatch .
В AP, как и во многих других организациях, вероятно, работало несколько человек в течение дня на @AP. Что произойдет, если кто-то попытается опубликовать в Твиттере? Каждая попытка входа в систему требует, чтобы человек, имеющий зарегистрированное устройство, будь то смартфон или аппаратный токен, предоставил код второго фактора. В зависимости от используемого механизма это может происходить каждый день, каждые несколько дней или всякий раз, когда добавляется новое устройство.
«Это становится довольно существенным препятствием для повышения производительности», - сказал Джим Фентон, директор OneID, в интервью SecurityWatch .
Скажем, я хочу опубликовать в @SecurityWatch. Я должен был бы или IM или позвонить моему коллеге, который "владел" учетной записью, чтобы получить двухфакторный код. Или я не должен был входить в систему в течение 30 дней, потому что мой ноутбук был авторизованным устройством, но теперь это 31-й день. И выходные. Представьте себе потенциальные минные поля социальной инженерии.
«Проще говоря, двухфакторной аутентификации недостаточно для защиты людей», - сказал Салливан.
Двухфакторная аутентификация не панацея
По словам Фентона, двухфакторная аутентификация - это хорошая вещь, мощный инструмент, но она не может делать все, например, предотвращать фишинговые атаки. По словам Фентона, в рамках обычных решений двухфакторной аутентификации пользователи могут легко обмануть аутентификацию доступа, даже не осознавая этого.
Представьте себе, если бы я написал своему боссу: не могу войти в @securitywatch. Отправить мне код?
Двухфакторная аутентификация усложняет фишинг учетной записи, но не препятствует успешной атаке, сказал Хигби из PhishMe. В блоге компании PhishMe проиллюстрировал, как фишинг, обходящий двухфакторный фактор, только сужает окно атаки.
Сначала пользователь щелкает ссылку в фишинговом электронном письме, попадает на страницу входа и вводит правильный пароль и действительный двухфакторный код на фальшивом веб-сайте. На этом этапе злоумышленнику просто необходимо войти в систему до истечения срока действия действительных учетных данных. Организации, использующие токены RSA, могут обновлять код каждые 30 секунд, но для сайта социальной сети срок действия может истекать через несколько часов или дней.
«Это не значит, что Twitter не должен реализовывать более надежный уровень аутентификации, но также возникает вопрос о том, как далеко он должен зайти?» Хигби сказал, добавив, что Twitter изначально не был предназначен для группового использования.
Сброс - большая проблема
Внедрение двухфакторной аутентификации на входной двери не будет означать приседания, если на задней двери имеется надёжный замок - слабый процесс сброса пароля. Использование общих секретов, таких как девичья фамилия вашей матери, для создания и восстановления доступа к учетной записи «является ахиллесовой пятой современных методов аутентификации», - сказал Фентон.
Когда злоумышленник знает имя пользователя, сброс пароля - это просто вопрос перехвата сброса электронной почты. Это может означать взлом аккаунта электронной почты, что вполне может произойти.
Хотя у вопросов с подсказками паролей есть свои проблемы, Twitter даже не предлагает их как часть процесса сброса. Все, что нужно, это имя пользователя. В то время как есть опция «требовать личную информацию для сброса моего пароля», единственная дополнительная информация - это легко доступные адреса электронной почты и номер телефона.
«Аккаунты Twitter будут и дальше взламываться, и Twitter должен сделать несколько вещей, чтобы защитить своих пользователей, а не только два фактора», - сказал Салливан.