Většina organizací, které loni utrpěly průnik, měla vícefaktorové ověřování zapnuté. To je ta nepříjemná část. Útočníci druhý faktor neprolomili; obešli ho pomocí technik, které fungují právě proto, že zavedené MFA nutí unaveného člověka učinit bezpečnostní rozhodnutí v tu nejnevhodnější chvíli.
Pokud je vaším MFA kód přes SMS nebo jednodotykové „Schválit?“, stojí to za deset minut vaší pozornosti. Tyto dvě metody dnes patří mezi ty, které útočníci obcházejí, nikoli mezi ty, které je zastaví.
Tři útoky, které porazí „nějaké MFA“
- Push-bombing (únava z MFA). Útočník už heslo má (z uniklé databáze, z phishingu nebo z jeho opakovaného použití). Spouští jedno přihlášení za druhým a chrlí na telefon uživatele proud výzev ke schválení, dokud někdo ze zmatku nebo prostě jen aby to přestalo, neklikne na Schválit. Jeden dotek a jsou uvnitř. Takto začalo několik průniků do známých firem.
- Výměna SIM (SIM swapping). SMS nikdy nebyla navržena jako bezpečnostní kanál. Útočník, který přesvědčí (nebo podplatí) mobilního operátora, aby přenesl číslo na novou SIM, dostává každý jednorázový kód, který na něj přijde. Žádný škodlivý kód, žádná phishingová stránka – jen telefonát na zákaznickou linku.
- Adversary-in-the-middle (AiTM). Přesvědčivě falešná přihlašovací stránka v reálném čase zprostředkovává tu skutečnou. Oběť zadá své heslo i svůj kód; útočník oboje okamžitě přepošle a ukradne výsledný relační token. Kód byl platný. MFA „fungovalo“. Účet je přesto ztracen.
Společný jmenovatel: každá z těchto metod závisí na tajemství nebo schválení, které lze přeposlat: zkopírovat od oprávněného uživatele a přehrát útočníkem. Zastavte přeposlání a všechny tři útoky padnou s ním.
Co je skutečně zastaví: ověřování odolné vůči phishingu, vázané na hardware
„Odolné vůči phishingu“ není marketingový obrat. Pojmenovává to konkrétní vlastnost. Zároveň musí platit dvě věci: klíč nikdy nesmí opustit zařízení uživatele, takže není co zachytit a znovu použít; a uživatel si musí přečíst přesně to, co schvaluje, takže se nic neschválí naslepo.
- Klíč žije v zabezpečeném hardwaru telefonu. Je tam vygenerován a nelze ho exportovat, zkopírovat ani přenést výměnou SIM. Neexistuje žádné sdílené tajemství uložené v databázi ani přicházející přes SMS, a právě to uzavírá odposlech, výměnu SIM i přeposílání při AiTM.
- Vidíte přesně to, co schvalujete. To je ta část, která zastaví push-bombing, a stojí za to být přesný: jakmile výzva dorazí na telefon, nepomůže žádný klíč ani biometrie, protože útok jednoduše žádá uživatele, aby řekl ano. Biometrie pouze potvrdí, že klikající je majitel telefonu, nikoli že je přihlášení legitimní. Push-bombing porazí to, že každá výzva nese konkrétní, čitelný popis přesně toho, co se schvaluje: tohle přihlášení, tenhle server, odsud, teď. Výzva, kterou uživatel sám nevyvolal, je viditelně cizí, a proto ji odmítne. Ochranou je popis natolik přesný, aby se dal přečíst na první pohled, nikoli unavený člověk vzdorující prázdnému „Schválit?“.
- Relaci nelze přehrát. Protože podpis je kryptografický a vázaný na konkrétní požadavek, AiTM proxy nemá co ukrást.
To je rozdíl mezi MFA, které laťku zvedá, a MFA, které si útočník už dávno naskriptoval a překonal.
Kde do toho zapadá Notakey
Notakey bylo postaveno přesně kolem této vlastnosti. Klíč uživatele se generuje uvnitř zabezpečeného hardwaru jeho telefonu a nikdy ho neopustí a každé schválení je podepsaný, časově označený záznam o konkrétní akci, nikoli anonymní dotek.
- Žádné sdílené tajemství k phishingu, žádná SMS k odposlechu, žádný kód k přeposlání.
- Proti push-bombingu je obranou to, co si uživatel přečte: každá výzva ukazuje přesný popis toho, co se schvaluje (který systém, která akce, odkud), takže výzva, kterou nikdo nevyvolal, je na první pohled zřejmá a bude odmítnuta. Není co schvalovat naslepo.
- Pokrývá cesty, které útočníci skutečně používají; viz praktické návody pro 2FA na VPN přes RADIUS, vzdálenou plochu Windows a Linux SSH.
Přesvědčte se sami
Nejrychlejší způsob, jak ten rozdíl pocítit, je schválit transakci způsobem odolným vůči phishingu: přečíst a podepsat konkrétní akci z vlastního telefonu, místo klepnutí na výzvu bez kontextu.
Vyzkoušejte živé demo a podepište jednu asi za dvě minuty, nebo požádejte o demo a my namapujeme vaše přihlášení k VPN, SSO nebo Windows na pilotní provoz na vaší vlastní infrastruktuře.