Nova ‘phishing’ tehnika za uspešen napad na večnivojsko avtentikacijo

Kako poteka napad, s katerim napadalec pridobi uporabniško geslo?

1. korak: Napadalec pripravi lažno vstopno okno
2. korak: Napadalec pošlje svoji žrtvi ‘phishing’ e-sporočilo, s povezavo na lažno vstopno okno
3. korak: Nepazljiv uporabnik v lažno vstopno okno vpiše svoje geslo
4. korak: Napadalec tako dobi geslo, nato nadaljnjo komunikacijo žrtve preusmeri na pravo vstopno točko.

V četrtem koraku morebiti uporabnik začuti, da nekaj ni v redu, a se napadalec že umakne, zato je velika verjetnost, da žrtev nič ne posumi.

Za tovrsten napad poznamo zelo dobro zdravilo in to je večnivojska avtentikacija. Napad namreč predvideva le enkraten vnos gesla. V primeru, ko avtentikacija zahteva več od tega, napad ne bo uspešno izveden.

Vse več podjetij je že pričelo uvajati sisteme večnivojske avtentikacije. To je odlična novica, kar pa, kot bomo videli, napadalcev ne ustavi pri njihovem delu. Izkaže se, da se njihove zmožnosti uspešne izvedbe napada tu ne končajo.

Kako lahko napadalec uspešno izvede napad na večnivojsko avtentikacijo?

Ponovno poglejmo korake izvedbe klasičnega napada z lažnim portalom, a z drugačno predpostavko. Kaj, če napadalec v četrtem koraku ne izvede ‘samo’ kraje gesla, ampak se dejansko aktivno vključi v komunikacijo med pravim strežnikom in žrtvijo.

Napadalec s ‘phishing’ e-sporočilom zavede žrtev, da obišče lažni portal in vse, kar uporabnik vpiše v portal, se takoj prenese na pravi portal, kot tudi vsi odgovori portala do porabnika.

V tej točki lahko napadalec neposredno poseže v logiko avtentikacije. In kljub vsej kompleksnosti sistema avtentikacije, ga lahko spremlja in nato tudi zlorabi.

Učinkovitost napada je tesno povezana s tipično lastnostjo spletnih aplikacij. Te v fazi avtentikacije postopek ‘zapletejo’. A takoj ko je uspešno zaključen, se celotna avtentikacija zoži na preverjanje ustrezne ‘Cookie’ vrednosti uporabnika. Napadalec mora z ustrezno programsko opremo zgolj na pravi način voditi postopek kot ‘man-in-the-middle’ do uspešnega zaključka. Tako lažni portal enostavno ukrade ‘Cookie’ vrednost, s katero se napadalec lahko brez ovir prijavi v aplikacijo.

Ideja o načinu izvede omenjenega napada je dokaj stara in enostavna. Zaradi težavnosti izvedbe je zato obstajala samo kot ideja. Prvi del – priprava lažne strani, kjer žrtev vpiše svoje statično geslo – ne predstavlja posebnega izziva. Zaplete se pri pripravi interaktivnega ‘proxy’ portala, ki lahko sledi avtentikacijskim korakom.

Kako poskrbeti za pravilno prijavo v sisteme, varovanje aplikacij in varna gesla, lahko preberete tudi v beli knjigi ‘Varna avtentikacija’

V javnosti se je sedaj pojavila programska oprema Evilginx, s katero je izvedba napada v praksi bistveno lažja. Oprema je javno dostopna in na dokaj enostaven način ponuja izvedbo zgoraj opisane zlorabe. Ko pridemo v situacijo, da se za znano ranljivost v javnosti pojavi tudi oprema za zlorabo ranljivosti, se nivo grožnje bistveno poveča. S pojavom programske opreme Evilginx lahko tudi v Sloveniji zelo kmalu doživimo učinkovit in uspešen napad na večnivojsko avtentikacijo. Napad smo v testih pri nas že uspešno preizkusili.

Katere so možne rešitve?

V organizacijskem smislu je potrebno preveriti, ali morajo res biti vsa vstopna okna dostopna javnosti, kot tudi posvetiti posebno pozornost osveščanju uporabnikov o nevarnostih, ki jim prežijo. Edini zares učinkovit način za to je izvedba »požarnih vaj«, ko z izvedbo napada v kontroliranih okoliščinah preverite dejanski nivo znanja. Uporabniki se na svojih napakah največ naučijo o pravilnih oz. nevarnih reakcijah. V tehničnem pogledu pa je rešitev uporaba SSL avtentikacijskih mehanizmov. Več o tem pa v prihodnjih prispevkih.

Rezervirajte si posvet pri naših strokovnjakih, s katerimi se lahko pogovorite o dejanskem testu varnosti vaših vstopnih avtentikacijskih mehanizmov in ugotovite nivo ogroženost, ki ste mu izpostavljeni. Testirajte jih, preden to namesto vas opravijo napadalci.