Твърде крайно е да се каже, че многофакторното удостоверяване (MFA) е неуспешно. Но не можем да кажем, че има и успех – това е емпирично очевидно. Важният въпрос е: защо?
MFA е универсално препоръчителна и често се изисква. CISA казва: „Приемането на MFA е прост начин за защита на вашата организация и може да предотврати значителен брой атаки за компрометиране на акаунти.“ NIST SP 800-63-3 изисква MFA за системи на нива на удостоверяване на автентичността (AAL) 2 и 3. Изпълнителна заповед 14028 задължава всички правителствени агенции на САЩ да въведат MFA. PCI DSS изисква MFA за достъп до среди с данни на картодържатели. SOC 2 изисква MFA. ICO на Обединеното кралство заяви: „Очакваме всички организации да предприемат основни стъпки за защита на своите системи, като например редовна проверка за уязвимости, прилагане на многофакторна автентикация…“
И все пак, въпреки тези препоръки и дори когато е въведено MFA, все още се случват нарушения. Защо?
Представете си MFA като втори, но динамичен набор от ключове за входната врата на системата. Този втори комплект се дава само на самоличността, която иска да влезе, и само ако тази самоличност е удостоверена, че може да влезе. Това е различен втори ключ, който се предоставя за всяко различно влизане.
Принципът е ясен и MFA трябва да може да предотвратява достъпа до неавтентични идентичности. Но този принцип се основава и на баланса между сигурността и ползваемостта. Ако увеличите сигурността, ще намалите използваемостта и обратно. Можете да имате много, много силна сигурност, но да останете с нещо също толкова трудно за използване. Тъй като целта на сигурността е да осигури рентабилност на бизнеса, това се превръща в главоблъсканица.
Силната сигурност може да попречи на печелившите операции. Това е особено важно в точката на достъп – ако персоналът се забави при влизане, работата му също се забавя. А ако MFA не е с максимална сила, дори персоналът на компанията (който просто иска да продължи работата си възможно най-бързо) ще намери начини да я заобиколи.
„Казано по-просто – казва Джейсън Сороко, старши сътрудник в Sectigo, – MFA повишава трудностите за злонамерения хакер, но летвата често не е достатъчно висока, за да предотврати успешна атака.“ Обсъждането и решаването на необходимия баланс при използването на MFA, за да се предпазим надеждно от лошите момчета, като същевременно се допускат бързо и лесно добрите момчета – и да се постави въпросът дали MFA наистина е необходим – е предмет на тази статия.
Основният проблем при всяка форма на удостоверяване е, че тя удостоверява използваното устройство, а не лицето, което се опитва да получи достъп. „Често се разбира погрешно – казва Крис Бонди, главен изпълнителен директор и съосновател на Mimoto, – че MFA не проверява лице, а устройство в определен момент. Не е гарантирано, че лицето, което държи това устройство, е това, което очаквате да бъде.“
Най-разпространеният метод за MFA е предоставянето на код за еднократна употреба на мобилния телефон на кандидата за влизане. Но телефоните се губят и крадат (физически попадат в неподходящи ръце), телефоните се компрометират със зловреден софтуер (което позволява на лошия играч да получи достъп до кода за MFA), а електронните съобщения за доставка се пренасочват (MitM атаки).
Към тези технологични слабости можем да прибавим и продължаващия криминален арсенал от атаки на социалното инженерство, включително размяна на SIM карти (убеждаване на оператора да прехвърли телефонния номер на ново устройство), фишинг и атаки за умора от MFA (предизвикване на поток от доставени, но неочаквани известия за MFA, докато накрая жертвата не одобри едно от тях от неудовлетвореност). Заплахата от социално инженерство вероятно ще се увеличи през следващите няколко години, като gen-AI ще добави ново ниво на сложност, автоматизиран мащаб и ще въведе дълбоко фалшив глас в целевите атаки.
Тези слабости се отнасят за всички системи за макросигурност, които се основават на споделен еднократен код, който по същество е просто допълнителна парола. „Всички споделени тайни са изложени на риск от прихващане или събиране от нападател“, казва Сороко. „Еднократна парола, генерирана от приложение, която трябва да се въведе в уебстраница за удостоверяване, е също толкова уязвима, колкото и парола за регистриране на ключове или фалшива страница за удостоверяване.“
Съществуват и по-сигурни методи от простото споделяне на таен код с мобилния телефон на потребителя. Можете да генерирате кода локално на устройството (но това запазва основния проблем с удостоверяването на устройството, а не на потребителя) или можете да използвате отделен физически ключ (който, подобно на мобилния телефон, може да бъде изгубен или откраднат).
Обичайният подход е да се включи или да се изисква някакъв допълнителен метод за свързване на устройството за MFA със съответното лице. Най-разпространеният метод е устройството да бъде достатъчно „собственост“ на потребителя, за да се наложи той да докаже самоличността си, обикновено чрез биометрични данни, преди да получи достъп до него. Най-често срещаните методи са идентификация на лицето или пръстови отпечатъци, но нито един от тях не е безпогрешен. Както лицата, така и пръстовите отпечатъци се променят с времето – пръстовите отпечатъци могат да бъдат белязани или износени до степен да не работят, а идентификацията на лицето може да бъде фалшифицирана (друг проблем, който вероятно ще се задълбочи с дълбоките фалшиви изображения.
„Да, MFA работи, за да повиши нивото на трудност на атаката, но успехът му зависи от метода и контекста“, добавя Сороко. „Въпреки това нападателите заобикалят MFA чрез социално инженерство, използване на „умората от MFA“, атаки от типа „човек по средата“ и технически недостатъци като размяна на SIM карти или кражба на сесийни бисквитки.“
Прилагането на силна MFA само добавя слой след слой от сложността, необходима за правилното ѝ изпълнение, и е спорно дали в крайна сметка е възможно да се реши технологичен проблем, като му се придаде повече технология (което всъщност може да доведе до нови и различни проблеми). Именно тази сложност добавя нов проблем: това решение за сигурност е толкова сложно, че много компании не си правят труда да го приложат или го правят само с тривиална загриженост.
Историята на сигурността демонстрира непрекъснато състезание в скок между нападатели и защитници. Нападателите разработват нова атака; защитниците разработват защита; нападателите се научават как да оборят тази атака или преминават към друга атака; защитниците разработват… и така нататък, вероятно до безкрай с нарастваща сложност и без постоянен победител. „MFA се използва от повече от 20 години“, отбелязва Бонди. „Както при всеки друг инструмент, колкото по-дълго съществува, толкова повече време са имали лошите играчи, за да направят нововъведения срещу него. И, честно казано, много от подходите за MFA не са се развили много с течение на времето.“
Два примера за иновации от страна на атакуващите ще бъдат показани: AitM с Evilginx; и хакването на MGM Resorts през 2023 г.
Evilginx
На 7 декември 2023 г. CISA и британската NCSC предупреждават, че Star Blizzard (известна още като Callisto, Coldriver и BlueCharlie) е използвала Evilginx в целенасочени атаки срещу академични среди, отбрана, правителствени организации, неправителствени организации, мозъчни тръстове и политици главно в САЩ и Обединеното кралство, но също и в други страни от НАТО.
Star Blizzard е сложна руска група, която „почти сигурно е подчинена на руската Федерална служба за сигурност (ФСБ) Център 18“. Evilginx е лесно достъпна рамка с отворен код, която първоначално е разработена в помощ на службите за пентестване и етично хакерство, но е широко използвана от противници за злонамерени цели.
„Star Blizzard използва рамката с отворен код Evilginx в своята spear phishing дейност, която им позволява да събират идентификационни данни и сесийни бисквитки, за да заобиколят успешно използването на двуфакторна автентикация“, предупреждава CISA/NCSC.
На 19 септември 2024 г. Abnormal Security описва как атаката „атакуващ по средата“ (AitM – специфичен вид MitM)) работи с Evilginx. Нападателят започва със създаването на фишинг сайт, който е огледален на легитимен сайт. Сега това може да стане по-лесно, по-добре и по-бързо с помощта на gen-AI.
Този сайт може да функционира като водоизточник, който чака жертви, или конкретни цели могат да бъдат социално инженерно подтикнати да го използват. Да кажем, че това е „сайт“ на банка. Потребителят иска да влезе в системата, съобщението се изпраща на банката и потребителят получава MFA код, за да влезе действително в системата (и, разбира се, нападателят получава данните на потребителя).
Но Evilginx не търси кода за MFA. В момента той действа като прокси между банката и потребителя. „След като се удостовери – казва Permiso, – нападателят улавя сесийните бисквитки и може да използва тези бисквитки, за да се представи за жертвата при бъдещи взаимодействия с банката, дори и след като процесът MFA е приключил… След като нападателят улови идентификационните данни на жертвата и сесийните бисквитки, той може да влезе в сметката на жертвата, да промени настройките за сигурност, да премести средства или да открадне чувствителни данни – всичко това без да задейства MFA сигналите, които обикновено предупреждават потребителя за неоторизиран достъп.“
Успешното използване на Evilginx отрича еднократния характер на MFA кода.
През 2023 г. MGM Resorts е хакната, което става публично известно на 11 септември 2023 г. Тя е била пробита от Scattered Spider и след това откупена от AlphV (организация, предлагаща откуп като услуга). Vx-underground, без да назовава Scattered Spider, описва „нарушителя“ като подгрупа на AlphV, което предполага връзка между двете групи. „Тази конкретна подгрупа на ransomware от ALPHV си е създала репутация на забележително талантлива в социалното инженерство за първоначален достъп“, пише Vx-underground.
Връзката между Scattered Spider и AlphV по-скоро е била връзка между клиент и доставчик: Scattered Spider е нарушил сигурността на MGM и след това е използвал рансъмуера AlphV RaaS, за да получи допълнителни приходи от нарушението. Тук ни интересува, че Scattered Spider е „забележително надарен в социалното инженерство“, т.е. способността му да заобиколи MFA на MGM Resorts чрез социално инженерство.
Като цяло се смята, че групата първо е придобила идентификационните данни на служителите на MGM, които вече са били достъпни в тъмната мрежа. Тези данни обаче не биха могли сами да преминат през инсталирания MFA. Така че следващият етап е бил OSINT в социалните медии. „С допълнителна информация, събрана от профила на високопоставен потребител в LinkedIn – съобщи CyberArk на 22 септември 2023 г. – те се надяваха да заблудят службата за помощ, за да нулират многофакторната автентикация (MFA) на потребителя. Те успяха.“
След като е демонтирал съответната MFA и е използвал предварително придобити пълномощия, Scattered Spider е получил достъп до MGM Resorts. Останалото е история. Те създали постоянство „чрез конфигуриране на изцяло допълнителен доставчик на идентичност (IdP) в наемателя Okta“ и „ексфилтрирали неизвестни терабайти данни“.
Дойде моментът да вземат парите и да избягат, като използват рансъмуера AlphV. Scattered Spider криптира няколкостотин от техните ESXi сървъри, на които бяха разположени хиляди виртуални машини, поддържащи стотици системи, широко използвани в хотелиерството“.
В последвалата си декларация SEC 8-K MGM Resorts признава отрицателно въздействие в размер на 100 млн. долара и допълнителни разходи от около 10 млн. долара за „технологични консултантски услуги, правни такси и разходи за други консултанти от трети страни“.
Но важното, което трябва да се отбележи, е, че този пробив и загуба не са причинени от експлоатирана уязвимост, а от социални инженери, които са преодолели MFA и са влезли през отворена входна врата.
И така, като се има предвид, че MFA очевидно се преодолява, и като се има предвид, че тя удостоверява само устройството, а не потребителя, трябва ли да се откажем от нея?
Отговорът е категорично „Не“. Проблемът е, че неправилно разбираме целта и ролята на MFA. Всички препоръки и разпоредби, в които се настоява, че трябва да приложим MFA, ни накараха да повярваме, че това е сребърният куршум, който ще защити нашата сигурност. Това просто не е реалистично.
Обърнете внимание на концепцията за предотвратяване на престъпления чрез проектиране на околната среда (CPTED). Тя е застъпена от криминолога К. Рей Джефри през 70-те години на миналия век и се използва от архитектите за намаляване на вероятността от престъпна дейност (например кражба с взлом).
Опростено, теорията предполага, че пространство, изградено с контрол на достъпа, териториално укрепване, наблюдение, непрекъсната поддръжка и подпомагане на дейността, ще бъде по-малко обект на престъпна дейност. Това няма да спре решителния взломаджия, но ако му е трудно да влезе и да остане скрит, повечето взломаджии просто ще се преместят на друга, по-малко добре проектирана и по-лесна цел. Така че целта на CPTED не е да премахне престъпната дейност, а да я отклони.
Този принцип се прилага в киберпространството по два начина. Първо, той признава, че основната цел на киберсигурността не е да елиминира киберпрестъпната дейност, а да направи пространството твърде трудно или твърде скъпо за преследване. Повечето престъпници ще потърсят място, което е по-лесно за взлом или пробив, и – за съжаление – почти сигурно ще го намерят. Но това няма да сте вие.
Второ, имайте предвид, че CPTED говори за цялостна среда с множество акценти. Контрол на достъпа: но не само на входната врата. Наблюдение: петорното тестване може да открие слаб заден вход или счупен прозорец, а вътрешното откриване на аномалии може да разкрие, че взломаджията вече е вътре. Поддръжка: използвайте най-новите и най-добрите инструменти, поддържайте системите в актуално състояние и с актуализирани версии. Подкрепа на дейността: подходящи бюджети, добро управление, подходящо възнаграждение и т.н.
Това са само основите и могат да се включат още. Но основният момент е, че както при физическото, така и при кибернетичното CPTED трябва да се вземе предвид цялата среда, а не само входната врата. Тази входна врата е важна и трябва да бъде защитена. Но колкото и силна да е защитата, тя няма да победи взломаджията, който си проправи път вътре или намери незатворен, рядко използван заден прозорец.
Ето как трябва да разглеждаме MFA: съществена част от сигурността, но само част от нея. Тя няма да победи всички, но може би ще забави или отклони мнозинството. Съществена част от кибернетичната CPTED е укрепването на входната врата с втора ключалка, която изисква втори ключ.
Тъй като традиционните потребителско име и парола на входната врата вече не забавят или отклоняват нападателите (потребителското име обикновено е имейл адресът, а паролата е твърде лесна за фалшифициране, промъкване, споделяне или отгатване), наш дълг е да подсилим удостоверяването и достъпа до входната врата, за да може тази част от нашия дизайн на средата да изиграе своята роля в цялостната ни защита на сигурността.
Очевидният начин е да се добави допълнителна ключалка и ключ за еднократна употреба, който не се създава от потребителя, нито е известен на потребителя преди използването му. Това е подходът, известен като многофакторно удостоверяване. Но както видяхме, настоящите реализации не са надеждни. Основните методи са отдалечено генериране на ключове, изпратени до устройството на потребителя (обикновено чрез SMS до мобилно устройство); локален код, генериран от приложение (като Google Authenticator); и локално притежавани отделни генератори на ключове (като Yubikey от Yubico).
Всеки от тези методи решава някои от заплахите за MFA, но нито един от тях не решава всички. Нито един от тях не променя основния проблем с удостоверяването на устройството, а не на неговия потребител, и макар че някои от тях могат да предотвратят лесното прихващане, нито един не може да устои на постоянни и сложни атаки на социалното инженерство. Въпреки това MFA е важна: тя отклонява или пренасочва всички, освен най-решителните нападатели.
Ако някой от тези нападатели успее да заобиколи или преодолее MFA, той има достъп до вътрешната система. Част от дизайна на средата, която включва вътрешно наблюдение (откриване на лоши хора) и поддръжка на дейността (подпомагане на добрите хора), поема контрола. Откриването на аномалии е съществуващ подход за корпоративните мрежи. Системите за откриване на мобилни заплахи могат да помогнат да се предотврати превземането на мобилни телефони от лоши момчета и прихващането на SMS MFA кодове.
В публикувания на 25 септември 2024 г. Доклад за мобилните заплахи на Zimperium за 2024 г. се отбелязва, че 82% от фишинг сайтовете са насочени специално към мобилни устройства и че уникалните образци на зловреден софтуер са се увеличили с 13% спрямо миналата година. Заплахата за мобилните телефони, а следователно и за всички MFA, които зависят от тях, се увеличава и вероятно ще се влоши с навлизането на изкуствения интелект на противника.
Не бива да подценяваме заплахата, идваща от ИИ. Не че той ще въведе нови заплахи, но ще увеличи сложността и мащаба на съществуващите заплахи – които вече работят – и ще намали бариерата за навлизане на по-малко сложни нови колективи. „Ако исках да издигна фишинг уебсайт – коментира Керн Смит, вицепрезидент за Северна и Южна Америка в Zimperium, – исторически щеше да ми се наложи да науча малко кодиране и да търся много в Google. Сега просто влизам в ChatGPT или в един от десетките подобни инструменти за генно-информационен интерфейс и казвам: „Сканирай ми уебсайт, който може да улавя идентификационни данни и да прави XYZ…“ Без да имам наистина значителен опит в кодирането, мога да започна да изграждам ефективен инструмент за атака на MFA.“
Както видяхме, MFA няма да спре решителния нападател. „Необходими са сензори и алармени системи на устройствата – продължава той, – за да можете да видите дали някой се опитва да тества границите и да започнете да изпреварвате тези лоши типове.“
Системата за защита от мобилни заплахи на Zimperium открива и блокира фишинг URL адреси, а нейното откриване на зловреден софтуер може да ограничи злонамерената дейност на опасен код в телефона.
Но винаги си струва да се вземе предвид елементът на поддръжка при проектирането на средата за сигурност. Нападателите винаги въвеждат иновации. Защитниците трябва да правят същото. Пример в този подход е универсалната графика за идентичност Permiso, обявена на 19 септември 2024 г. Инструментът съчетава идентичностно ориентирано откриване на аномалии, комбинирайки повече от 1000 съществуващи правила и текущо машинно обучение, за да проследява всички идентичности във всички среди. В примерен сигнал се описва: Метод по подразбиране на MFA понижен; Регистриран слаб метод за удостоверяване; Извършена чувствителна заявка за търсене… и т.н.
Важният извод от тази дискусия е, че не можете да разчитате на MFA, за да запазите системите си в безопасност – но той е съществена част от цялостната ви среда за сигурност. Сигурността не е само защита на входната врата. Тя започва оттам, но трябва да се разглежда в цялата среда. Сигурността без MFA вече не може да се счита за сигурност.
Автор: Кевин Таунсенд – старши сътрудник в SecurityWeek. Той пише за въпроси, свързани с високите технологии, отпреди раждането на Microsoft. През последните 15 години се е специализирал в областта на информационната сигурност и е публикувал хиляди статии в десетки различни списания – от „Таймс“ и „Файненшъл таймс“ до актуални и отдавна несъществуващи компютърни списания.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
