Video: Why One Fake Tweet Dropped the Market (Marraskuu 2024)
" Jos vain… " -maasta, jos Associated Press olisi asettanut kahden tekijän todennuksen Twitter-tililleen, Syyrian kannattajat eivät olisi voineet kaapata tiliä ja tuhota tuhoa.
Mukava ja siisti idea, mutta todellisuudessa ei. Kaksitekijäinen todennus on tehokas työkalu käyttäjätilien turvaamiseksi, mutta se ei pysty ratkaisemaan kaikkia ongelmia. Kahden tekijän omaaminen ei olisi auttanut @AP: ta, koska hakkerit murtautuivat tietokalasteluhyökkäyksen kautta. Viholliset löytäisivät vain uuden tavan huijata käyttäjiä ohittamaan tietoturvakerroksen, PhishMen johtaja Aaron Higbee kertoi.
Syyriasta kannattavat hakkerit kaappaavat tiistaina AP: n Twitter-tilin ja lähettivät vääriä uutisia, jotka väittivät räjähdyksen Valkoisessa talossa ja että presidentti oli loukkaantunut. Kolmen tai neljän minuutin aikana ennen AP: n työntekijöiden selvittämistä tapahtuneesta ja kerrotun tarinan olevan väärä, sijoittajat paniikkivat ja aiheuttivat Dow Jones Industrialin keskiarvon putoamisen yli 148 pisteeseen. Bloomberg News arvioi, että lasku "pyyhki" 136 miljardia dollaria S&P 500 -indeksistä.
Ennakoitavasti joukko tietoturva-asiantuntijoita kritisoi heti Twitteriä siitä, ettei se tarjoa kaksifaktorista todennusta. "Twitterin on todellakin saatava aikaan kaksifaktorisen todennuksen käyttöönotto nopeasti. He ovat kaukana markkinoista tässä", nCirclen turvatoimintojen johtaja Andrew Storms sanoi sähköpostissa.
Ryhmät vs. yksittäiset tilit
Kaksitekijäinen todennus vaikeuttaa hyökkääjien käyttäjän kaappaamista käyttäjätilien avulla raa'alla voimalla tai salasanojen varastamiseen sosiaalisen suunnittelun menetelmillä. Oletetaan myös, että tiliä kohden on vain yksi käyttäjä.
"Kahden tekijän todennus ja muut toimenpiteet auttavat vähentämään yksittäisten tilien hakkerointia. Mutta ei ryhmätilejä", F-Securen tietoturvatutkija Sean Sullivan kertoi SecurityWatchille .
AP: llä, kuten monilla muillakin organisaatioilla, oli todennäköisesti useita työntekijöitä lähettämässä sähköpostia @AP: iin koko päivän ajan. Mitä tapahtuisi milloin tahansa joku yrittää lähettää Twitteriin? Jokainen sisäänkirjautumisyritys edellyttää, että henkilö, jolla on rekisteröity laite, on se sitten älypuhelin tai laitteisto-token, toimittamaan toisen tekijän koodin. Käytetystä mekanismista riippuen tämä voi olla joka päivä, muutaman päivän välein tai aina kun uutta laitetta lisätään.
"Se tulee melko merkittäväksi esteeksi tuottavuudelle", OneID: n CSO: n johtaja Jim Fenton kertoi SecurityWatchille .
Sanotaan, että haluan lähettää viestin @SecurityWatch-sivustoon. Minun on joko joko pikaviestinä tai soitettava kollegalleni, joka "omistaa" tilin saadakseni kaksikerroisen koodin. Tai minun ei tarvinnut kirjautua sisään 30 päivän ajan, koska kannettava tietokone oli valtuutettu laite, mutta nyt on 31. päivä. Ja viikonloppu. Kuvittele mahdolliset sosiaalitekniikan miinakentät.
"Yksinkertaisesti sanottuna, kaksifaktorinen todennus ei riitä suojelemaan ihmisiä", Sullivan sanoi.
Kaksifaktorinen todennus ei ole parannuskeino
Kaksitekijäinen todennus on hyvä asia, tehokas työkalu, mutta se ei voi tehdä kaikkea, kuten estää tietojenkalasteluhyökkäyksiä, sanoi Fenton. Itse asiassa tavallisissa kaksifaktorisissa todennusratkaisuissa käyttäjät voidaan huijata helposti todentamaan käyttöoikeudet tajuamatta sitä, Fenton sanoi.
Kuvittele, jos läheisin tekstiviestillä pomolleni: En voi kirjautua sisään @securitywatch-palveluun. Lähetä minulle koodi?
Kahden tekijän todennus vaikeuttaa tilin kalastamista, mutta ei estä hyökkäystä onnistumasta, PhishMe: n Higbee sanoi. PhishMe havaitsi yrityksen blogissa, kuinka kahta tekijää ohittava kalastelu vain kaventaa hyökkäysikkunaa.
Ensinnäkin käyttäjä napsauttaa linkkiä kalastelusähköpostiviestissä, laskeutuu sisäänkirjautumissivulle ja kirjoittaa oikean salasanan ja voimassa olevan kaksifaktorisen koodin väärennettyyn verkkosivustoon. Tässä vaiheessa hyökkääjän on vain kirjauduttava sisään, ennen kuin voimassa olevat kirjautumistiedot vanhenevat. RSA-tunnuksia käyttävät organisaatiot voivat luoda koodin 30 sekunnin välein, mutta sosiaalisen mediasivuston viimeinen käyttöaika voi olla useita tunteja tai päiviä.
"Tämä ei tarkoita sitä, että Twitterin ei pitäisi toteuttaa vankempaa todennuskerrosta, mutta se herättää myös kysymyksen siitä, kuinka pitkälle sen pitäisi mennä?" Higbee sanoi ja lisäsi, että Twitteriä ei ole alun perin suunniteltu ryhmäkäyttöön.
Palautukset ovat suurempi ongelma
Kaksikerroisen todennuksen käyttöönotto etuovella ei tarkoita kyykkyä, jos takaovessa on ohut lukitus - heikko salasanan palautusprosessi. Jaettujen salaisuuksien, kuten äitisi tyttönimen, käyttö tilin käyttöoikeuksien luomiseen ja palauttamiseen "on tämän päivän todennuskäytäntöjen Achilles-kantapää", Fenton sanoi.
Kun hyökkääjä tietää käyttäjänimen, salasanan palauttaminen on vain kysymys kuittaamalla nollaussähköposti. Tämä voi tarkoittaa tunkeutumista sähköpostitilille, mikä voi todella tapahtua.
Vaikka salasanavihjekysymyksillä on omat ongelmansa, Twitter ei edes tarjoa niitä osana sen nollausprosessia. Kaikki käyttäjät tarvitsevat käyttäjänimen. Vaikka on olemassa vaihtoehto "vaatia henkilökohtaisten tietojen palauttamista salasanani", ainoat vaadittavat lisätiedot ovat helposti saatavissa olevat sähköpostiosoitteet ja puhelinnumero.
"Twitter-tilien hakkerointi jatkuu edelleen, ja Twitterin on tehtävä useita asioita käyttäjiensä suojelemiseksi - ei vain kahden tekijän", Sullivan sanoi.