Токените за удостоверяване, разбира се, не са истински физически токени. Но когато срокът на валидност на тези цифрови идентификатори не изтича редовно или те не са прикрепени за използване само от определено устройство, за киберпрестъпниците те са на цената на златото.
Токените за автентификация (или „сесийни токени“, както обикновено ги наричат) са важна част от киберсигурността. Те капсулират данни за оторизация за влизане, за да позволят валидиране на приложения и сигурни, автентифицирани влизания в мрежи, приложения за софтуер като услуга (SaaS), изчисления в облак и системи на доставчици на идентичност (IdP) или единно влизане (SSO) за повсеместен достъп до корпоративни системи. Което означава, че всеки, който притежава токен, има златен ключ към корпоративните системи – без да търси предизвикателството на многофакторната автентикация (MFA).
Срокът на живот на токена често се използва за постигане на компромис между сигурността и удобството на служителите, като позволява на потребителите да се удостоверят веднъж, за да поддържат постоянен достъп до приложения за определен период от време. Заплахите обаче все по-често се сдобиват с тези токени чрез атаки adversary-in-the-middle (AitM), при които атакуващият се намира по средата между потребителя и легитимните приложения, за да открадне удостоверенията или токените, и чрез атаки pass-the-cookie, при които се използват сесийни бисквитки, съхранявани в браузърите.
Личните устройства също имат кешове на браузъри, но не трябва да преминават през строгите изисквания за сигурност на корпоративните системи. Те са по-лесно компрометирани от заплахи, които могат да прихващат токени директно от слабо защитени лични устройства. Въпреки това личните устройства често имат достъп до корпоративни SaaS приложения, което представлява заплаха за корпоративните системи.
След като заплахата получи токена, тя разполага и с всички права и оторизации, които са предоставени на потребителя. Ако са уловили токена на IdP, те могат да получат достъп до всички възможности за SSO на корпоративните приложения, интегрирани с IdP – без MFA. Ако става въпрос за удостоверение на ниво администратор със съответните привилегии, те могат потенциално да извършат опустошителни действия срещу системите, данните и резервните копия. Колкото по-дълго токенът е активен, толкова повече могат да получат достъп, да откраднат и да нанесат щети. Освен това после те могат да създават нови акаунти, които вече не изискват използването на токена за постоянен достъп до мрежата.
Макар че по-честото изтичане на срока на валидност на токените за сесии няма да спре този вид атаки, то значително ще намали рисковия отпечатък, като съкрати прозореца на възможност за функциониране на токена. За съжаление, често виждаме, че токените не се изчерпват на редовни интервали, а някои доклади за пробиви показват, че срокът на валидност на токените по подразбиране се удължава умишлено.
Миналата година в новините се появиха няколко случая на пробив, свързани с прихванати токени за удостоверяване. Два от случаите бяха свързани с компрометирани токени на IdP. Според Okta извършителите са били в техните системи от 28 септември до 17 октомври поради компрометиране на личен акаунт в Gmail. Запазената парола в акаунта в Gmail е била синхронизирана в браузъра Chrome, което е позволило достъп до служебен акаунт, вероятно без прилагане на MFA. След като са влезли в служебния акаунт, хакерите са успели да уловят други токени за сесии на клиенти от HAR файлове, съхранявани в ServiceNow. Нарушението в крайна сметка е засегнало всички потребители на Okta за поддръжка на клиенти.
Забележително е, че на 23 ноември 2023 г. Cloudflare открива заплаха, насочена към нейните системи, използвайки сесийни токени от пробива в Okta. Това показва, че тези сесийни токени не са били изтекли цели 30 до 60 дни след нарушението на Okta – не като рутинен ход на работата и не като реакция на самото нарушение.
През септември 2023 г. Microsoft също влезе в новините, като разкри, че заплахите са получили ключ за подписване на потребителите от срив на Windows. След това са го използвали, за да компрометират акаунти в Exchange и Active Directory, като са използвали неизвестен бъг, който е позволявал на корпоративните системи да приемат токени за сесии, подписани с потребителския ключ за подписване. Това е довело до кражбата на 60 000 имейла на Държавния департамент на САЩ. Възможно е този пробив да не е бил толкова въздействащ, ако токените са били изтекли (или прикрепени).
Основният урок за организациите е, че токените представляват риск – но има начини да се минимизират тези рискове и да се изпълни по-агресивна програма за управление на токени:
По-дългите срокове на валидност на токените осигуряват удобство на потребителите, но на висока цена за сигурността. Токените са активна мишена на заплахите, така че искането от потребителите да се удостоверяват отново всяка седмица е малко неудобство, когато се има предвид много високата обща цена на пробива.
Автор: Джон А. Смит, основател и главен служител по сигурността, Conversant Group
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.