როგორ ამცირებენ ფიშერები FIDO MFA-ს უსაფრთხოებას

ბოლოდროინდელი ცნობების საპირისპიროდ, ფიშინგის ეს მეთოდი FIDO-ს დაცვას ვერ ამარცხებს.

მკვლევრებმა ცოტა ხნის წინ განაცხადეს, რომ წააწყდნენ ფიშინგ შეტევას, რომელიც FIDO-ზე (Fast Identity Online) დაფუძნებული მრავალფაქტორიანი ავთენტიფიკაციის სქემის გვერდის ავლას ახერხებს. ეს რომ სიმართლე ყოფილიყო, უსაფრთხოების ფირმა Expel-ის მიერ ხუთშაბათს გამოქვეყნებული ინფორმაცია უდიდესი სიახლე იქნებოდა, რადგან FIDO ფართოდ მიიჩნევა ფიშინგ შეტევების მიმართ იმუნურად. Expel-ის ანგარიშის გაანალიზების შემდეგ, დარწმუნებული ვარ, რომ შეტევა FIDO-ს დაცვის მექანიზმების გვერდის ავლას არ ახდენს, ყოველ შემთხვევაში, იმ გაგებით, რა გაგებითაც სიტყვა „გვერდის ავლა“ (bypass) უსაფრთხოების წრეებში გამოიყენება. სინამდვილეში, შეტევა MFA პროცესის დონეს უფრო სუსტ, არა-FIDO-ზე დაფუძნებულ პროცესამდე სწევს დაბლა. შესაბამისად, შეტევა უკეთესად აღიწერება, როგორც FIDO-ს დონის დაწევის შეტევა (downgrade attack).

მოწყობილობებს შორის ავტორიზაციის ბოროტად გამოყენება

Expel-ის თქმით, „თავდასხმის ახალი ტექნიკა“ იწყება ელექტრონული წერილით, რომელიც Okta-ს, ფართოდ გამოყენებული ავთენტიფიკაციის პროვაიდერის, ყალბი ავტორიზაციის გვერდზე გადადის. ის მნახველებს სთხოვს, შეიყვანონ თავიანთი მომხმარებლის სახელი და პაროლი.

FIDO-ს სპეციფიკაცია სწორედ ასეთი სცენარების შესამცირებლად შეიქმნა და მომხმარებლებს ავთენტიფიკაციის დამატებით ფაქტორს სთხოვს უსაფრთხოების გასაღების სახით, რომელიც შეიძლება იყოს passkey, სმარტფონი ან Yubikey-ს მსგავსი მოწყობილობა.

Expel-ის თქმით, ჰაკერულმა ჯგუფმა, PoisonSeed-მა, ამ გადამწყვეტი ნაბიჯის გვერდის ავლის ჭკვიანური გზა იპოვა. როდესაც მომხმარებელი ყალბ Okta-ს საიტზე მომხმარებლის სახელსა და პაროლს შეიყვანს, PoisonSeed-ის წევრი მათ რეალურ დროში ნამდვილ Okta-ს ავტორიზაციის გვერდზე შეიყვანს და ითხოვს მოწყობილობებს შორის ავტორიზაციას (cross-device sign-in). ავტორიზაციის პორტალი აჩვენებს QR კოდს, რომელსაც ფიშინგ საიტი მყისიერად იღებს და მომხმარებელს ყალბ საიტზე უჩვენებს. მომხმარებელი მას თავისი MFA ავთენტიფიკატორით ასკანერებს და თავდამსხმელები ანგარიშში შედიან.

როგორ ხდის FIDO ასეთ შეტევებს შეუძლებელს

უსაფრთხოების ფირმის თქმით, საბოლოო შედეგი იყო „შუაში მყოფი აქტორის“ (adversary-in-the-middle) შეტევა, რომელმაც QR კოდის პროცესში ჩარევით FIDO MFA-ს გვერდი აუარა. როგორც აღვნიშნეთ, FIDO-ს სპეციფიკაციის ავტორებმა ასეთი თავდასხმის ტექნიკა გაითვალისწინეს და შექმნეს დაცვის მექანიზმები, რომლებიც მათ შეუძლებელს ხდის, ყოველ შემთხვევაში, Expel-ის მიერ აღწერილი ფორმით. Okta-ს MFA პროცესი რომ FIDO-ს მოთხოვნებს იცავდეს, ავტორიზაცია სულ მცირე ორი მიზეზის გამო ჩავარდებოდა.

პირველ რიგში, FIDO-ს სტანდარტით, მოწყობილობა, რომელიც ავთენტიფიკაციას უზრუნველყოფს, ფიზიკურად საკმარისად ახლოს უნდა იყოს თავდამსხმელის მოწყობილობასთან, რათა Bluetooth-ით დაუკავშირდეს. ამის გარეშე ავთენტიფიკაცია ჩავარდება.

მეორე, გამოწვევა, რომელსაც ჰიბრიდულმა მოწყობილობამ ხელი უნდა მოაწეროს, დაკავშირებული იქნებოდა ყალბი საიტის დომენთან (მაგ. okta[.]login-request[.]com) და არა ნამდვილ Okta.com დომენთან. მაშინაც კი, თუ ჰიბრიდული მოწყობილობა თავდამსხმელის მოწყობილობასთან ახლოს იქნებოდა, ავთენტიფიკაცია მაინც ჩავარდებოდა, რადგან URL-ები არ ემთხვევა.

ის, რაც Expel-მა, სავარაუდოდ, აღმოაჩინა, არის შეტევა, რომელმაც FIDO MFA-ს დონე უფრო სუსტი MFA ფორმით დაწია. სავარაუდოდ, ეს სუსტი ავთენტიფიკაცია მსგავსი იყო იმისა, რასაც ტელევიზორში Netflix-ის ან YouTube-ის ანგარიშში სმარტფონით შესასვლელად ვიყენებთ. თუ ეს ასეა, ორგანიზაციის Okta-ს ავტორიზაციის გვერდის ადმინისტრატორს შეგნებულად უნდა აერჩია MFA-ს უფრო სუსტ ფორმაზე გადასვლის დაშვება. შესაბამისად, შეტევა უფრო ზუსტად კლასიფიცირდება, როგორც FIDO-ს დონის დაწევის შეტევა და არა გვერდის ავლა.

Expel-ის წარმომადგენელი ამას დაეთანხმა და განაცხადა: „ეს არ არის FIDO გასაღების გვერდის ავლის შეტევა. ეს დონის დაწევის შეტევაა, როგორც თქვენ სწორად აღნიშნეთ“. წარმომადგენლის თქმით, Expel-ი პოსტის განახლების პროცესშია. ასეთი თავდასხმებისგან თავის დასაცავად, ადმინისტრატორებმა კარგად უნდა დაფიქრდნენ, სანამ თავიანთ FIDO-თი დაცულ ავთენტიფიკაციის პროცესებს სხვა, უფრო სუსტ ფორმებზე გადასვლის საშუალებას მისცემენ. საბოლოო მომხმარებლებმა კი უნდა ეცადონ, გამოიყენონ მხოლოდ FIDO-თავსებადი ავთენტიფიკაციის ფორმები. ამასობაში, ადამიანებმა, რომლებიც passkey-ებს ეყრდნობიან, მისი გამოყენება თამამად უნდა გააგრძელონ.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.