Video: How easy is it to tweet as anyone? | Twitter Hacks & Bug Bounty (November 2024)
Ak by združenie Associated Press vytvorilo dvojfaktorovú autentizáciu so svojím účtom Twitter, pro-sýrski hackeri by neboli schopní tento účet ukradnúť a spôsobiť zmätok.
Pekný a uprataný nápad, ale v skutočnosti nie. Aj keď dvojfaktorová autentifikácia je výkonným nástrojom na zabezpečenie používateľských účtov, nedokáže vyriešiť všetky problémy. Zdvojnásobenie dvojnásobného faktora by nepomohlo @AP, pretože hackeri sa vloupali prostredníctvom phishingového útoku. Protivníci by len našli iný spôsob, ako prinútiť používateľov obísť bezpečnostnú vrstvu, uviedol Aaron Higbee, CTO spoločnosti PhishMe.
V utorok pro-sýrski hackeri uniesli účet AP Twitter a zverejnili falošné varovanie, podľa ktorého došlo k výbuchu v Bielom dome a že prezident bol zranený. Za tri alebo štyri minúty pred tým, ako pracovníci AP zistili, čo sa stalo a povedali, že príbeh je nepravdivý, investori spanikárili a spôsobili, že priemerný priemer Dow Jones Industrial sa prepadol o 148 bodov. Bloomberg News odhaduje, že pokles "vymazal" 136 miliárd dolárov z indexu S&P 500.
Predvídateľne niekoľko bezpečnostných expertov okamžite kritizovalo Twitter za to, že neponúka dvojfaktorové overenie. "Twitter skutočne potrebuje rýchlo získať dvojfaktorové overenie. V tomto smere sú pozadu za trhom, " uviedol e-mail Andrew Storms, riaditeľ bezpečnostných operácií v spoločnosti nCircle.
Skupiny vs individuálne účty
Dvojfaktorová autentifikácia sťažuje útočníkom ukradnúť používateľské účty pomocou metód hrubou silou alebo odcudzenia hesiel pomocou metód sociálneho inžinierstva. Tiež sa predpokladá, že na jeden účet existuje iba jeden používateľ.
„Dvojfaktorová autentifikácia a ďalšie opatrenia pomôžu znížiť počet hackov proti jednotlivým účtom. Ale nie skupinové účty, “ povedal Sean Sullivan, bezpečnostný výskumník spoločnosti F-Secure, pre agentúru SecurityWatch .
AP, podobne ako mnoho iných organizácií, pravdepodobne vysielalo cez @AP po celý deň viacero zamestnancov. Čo sa stane, keď sa niekto pokúsi uverejniť príspevok na Twitteri? Každý pokus o prihlásenie vyžaduje, aby osoba, ktorá má registrované zariadenie, či už ide o smartfón alebo hardvérový token, poskytla kód druhého faktora. V závislosti od zavedeného mechanizmu to môže byť každý deň, každých pár dní alebo kedykoľvek sa pridáva nové zariadenie.
„Stáva sa to veľmi dôležitým prekážkou produktivity, “ povedal Jim Fenton, CSO spoločnosti OneID, spoločnosti SecurityWatch .
Povedzme, že chcem uverejniť príspevok v službe @SecurityWatch. Musel by som buď IM alebo zavolať kolegovi, ktorý „vlastnil“ účet, aby získal dvojfaktorový kód. Alebo som sa nemusel prihlásiť 30 dní, pretože môj prenosný počítač bol autorizovaným zariadením, ale teraz je to 31. deň. A cez víkend. Predstavte si potenciálne mínové polia sociálneho inžinierstva.
„Jednoducho povedané, dvojfaktorové overenie nebude stačiť na ochranu ľudí, “ povedal Sullivan.
Dvojfaktorové overenie nie je liekom na všetko
Dvojfaktorová autentifikácia je dobrá vec, výkonný nástroj, ale nedokáže urobiť všetko, napríklad zabrániť phishingovým útokom, uviedol Fenton. V skutočnosti pri bežných dvojfaktorových autentifikačných riešeniach môžu byť používatelia ľahko podvedení k autentifikačnému prístupu bez toho, aby si to uvedomili, uviedol Fenton.
Predstavte si, že by som poslal správu svojmu šéfovi: Nemôžem sa prihlásiť do @securitywatch. Pošlite mi kód?
Dvojfaktorová autentifikácia sťažuje phishingový účet, ale nebráni úspešnému útoku, uviedla Higbee z PhishMe. Na firemnom blogu PhishMe ilustroval, ako phishing obchádzajúci dvojfaktor iba obmedzuje okno útoku.
Používateľ najskôr klikne na odkaz v phishingovom e-maile, pristane na prihlasovacej stránke a na falošnú webovú stránku zadá správne heslo a platný dvojfaktorový kód. V tomto okamihu sa útočník musí prihlásiť skôr, ako vyprší platnosť platných prihlasovacích údajov. Organizácie používajúce tokeny RSA môžu regenerovať kód každých 30 sekúnd, ale v prípade stránok so sociálnymi médiami môže byť doba vypršania platnosti niekoľko hodín alebo dní.
„To neznamená, že by Twitter nemal implementovať robustnejšiu vrstvu autentifikácie, ale vyvoláva otázku, ako ďaleko by to malo ísť?“ Higbee dodal, že Twitter nie je pôvodne určený pre skupinové použitie.
Obnovenie je väčším problémom
Implementácia dvojfaktorovej autentifikácie na predných dverách nebude znamenať drep, ak zadné dvere majú nekrytý zámok - slabý proces obnovenia hesla. Použitie zdieľaných tajomstiev, napríklad rodného mena vašej matky, na vytvorenie a obnovenie prístupu k účtu „je Achillovou pätou dnešných postupov overovania pravosti, “ uviedol Fenton.
Keď útočník pozná používateľské meno, obnovenie hesla je iba otázkou zachytenia resetovacieho e-mailu. Môže to znamenať prienik do e-mailového účtu, čo sa môže veľmi dobre stať.
Aj keď otázky týkajúce sa hesiel majú svoje vlastné problémy, služba Twitter ich dokonca neposkytuje ako súčasť procesu obnovenia. Všetko, čo niekto potrebuje, je užívateľské meno. Aj keď existuje možnosť „vyžadovať osobné údaje na obnovenie hesla“, jediná požadovaná dodatočná informácia je ľahko získateľná e-mailová adresa a telefónne číslo.
"Twitter účty sa budú naďalej hackovať a Twitter musí urobiť niekoľko vecí, aby chránil svojich používateľov - nielen dvojfaktorové, " uviedol Sullivan.