Domov Securitywatch Ako zaseknúť twitter dvojfaktorové overenie

Ako zaseknúť twitter dvojfaktorové overenie

Video: Cybersecurity Expert Answers Hacking Questions From Twitter | Tech Support | WIRED (November 2024)

Video: Cybersecurity Expert Answers Hacking Questions From Twitter | Tech Support | WIRED (November 2024)
Anonim

Poukázali sme na niektoré problémy s novou dvojfaktorovou autentifikáciou Twitter. Napríklad, keďže s účtom môže byť spojené iba jedno telefónne číslo, dvojfaktorová autentifikácia služby Twitter nebude fungovať pre organizácie, ako je Associated Press, The Onion alebo The Guardian. Boli hacknutí; mohli by byť znova napadnutí rovnakým spôsobom. Odborníci na bezpečnosť však naznačujú, že problém je horší, oveľa horší.

Twitter's Two-Step Programme

Opýtajte sa Josha Alexandra, generálneho riaditeľa autorizačnej spoločnosti Toopher, o tom, ako by ste sa mali pokúsiť hackovať Twitter, keď je zavedená dvojfaktorová autentifikácia. Povie vám, že to urobíte presne rovnakým spôsobom, ako ste to urobili pred príchodom dvojfaktorovej autentifikácie.

V krátkom prehratom videu o dvojfaktorovej autentifikácii Twitter Alexander blahoželá Twitterovi k pripojeniu sa k „bezpečnostnému dvojkrokovému programu“ ak vykonaniu prvého kroku, pričom pripúšťa problém. Ďalej ilustruje, ako málo pomáha dvojfaktorová autentifikácia založená na SMS. „Vaše nové riešenie necháva dvere otvorené dokorán, “ uviedol Alexander, „za tie isté útoky typu muž-uprostred, ktoré ohrozili reputáciu hlavných spravodajských zdrojov a celebrít.“

Proces začína hackerom, ktorý posiela presvedčivý e-mail, správu, ktorá mi odporúča zmeniť svoje heslo na Twitter, s odkazom na falošnú Twitter stránku. Keď to urobím, hacker použije moje zachytené prihlasovacie údaje na spojenie so skutočným Twitterom. Twitter mi pošle overovací kód a zadám ho, čím ho odovzdám hackerovi. V tomto momente je účet pozastavený. Pozrite si video - veľmi jasne ukazuje tento proces.

Nie je žiadnym prekvapením, že Toopher ponúka iný druh dvojfaktorovej autentifikácie založenej na smartfónoch. Riešenie Toopher sleduje vaše obvyklé miesta a obvyklé činnosti a dá sa nastaviť tak, aby automaticky schvaľovalo obvyklé transakcie. Namiesto toho, aby vám poslal kód na dokončenie transakcie, pošle oznámenie push s podrobnosťami o transakcii vrátane používateľského mena, stránky a príslušného výpočtu. Netestoval som to, ale vyzerá to rozumne.

Vyhnite sa dvojfaktorovému prevzatiu

Bezpečnostná hviezda Mikko Hypponnen z F-Secure predstavuje ešte hroznejší scenár. Ak ste nepovolili dvojfaktorové overenie, môže vám ho pomocou svojho telefónu nastaviť malefaktor, ktorý získa prístup k vášmu účtu.

V príspevku na blogu upozorňuje spoločnosť Hypponen na to, že ak niekedy posielate tweety prostredníctvom SMS, už máte k svojmu účtu priradené telefónne číslo. Je ľahké zastaviť toto združenie; jednoducho napíšte STOP na Twitter kód pre vašu krajinu. Uvedomte si však, že aj tým sa zastaví dvojfaktorová autentifikácia. Poslaním GO sa znova zapne.

Z tohto hľadiska Hypponen predstavuje strašidelný sled udalostí. Hacker najskôr získa prístup k vášmu účtu, napríklad prostredníctvom správy o neoprávnenom získavaní údajov (phishing). Potom poslal SMS z vlastného telefónu na príslušný krátky kód a podľa niekoľkých pokynov nakonfiguroval váš účet tak, aby sa do jeho telefónu dostal dvojfaktorový overovací kód. Ste uzamknutí.

Táto technika nebude fungovať, ak ste už povolili dvojfaktorové overenie. „Možno by ste mali povoliť 2FA vo svojom účte, “ navrhol Hypponen, „skôr ako to urobí niekto iný.“ Nie je mi úplne jasné, prečo útočník nemohol najskôr použiť spoofing pomocou SMS na zastavenie dvojfaktorovej autentifikácie a potom pokračovať v útoku. Mohol by som byť viac paranoidný ako Mikko?

Ako zaseknúť twitter dvojfaktorové overenie