Zlonamjernici, ili hakeri, ili hrvatskim jezikom rečeno - počinitelji kaznenih dijela, uvijek su dva koraka ispred nas i ispred naših stručnjaka u području informacijske sigurnosti.
Mnogima u svijetu je hakiranje u poslovne i privatne račune profesija kojoj se potpuno posvećuju, očito jer im se i isplati biti s one strane zakona.
Mi, kao potencijalne ili već stvarne žrtve uspješnog unaprjeđivanja znanja zlonamjernika, imamo dvije opcije: prepustiti se sudbini i nadati se da nećemo biti zanimljivi nikom od njih, ili učiti svaki dan i primjenjivati nove mjere sprječavanja probijanja naših računa te krađa naših podataka i strateških informacija.
Mi smo uvijek za drugu opciju i to je i razlog zbog kojeg pišemo ovaj post.
Glavni razlog pisanja i javne objave ovog posta je naša želja da skrenemo pozornost svim organizacijama i svim pojedincima da je danas sve podložno hakiranju, točnije, sve što je dostupno online.
Svi smo mi dugo vremena uvjeravani da su MFA (dvo-faktorska autentifikacija) i MFA (multifaktorska autentifikacija) upravo ono što nas štiti od zlonamjernog probijanja.
Međutim, tome nije tako i to dokazuju i slučajevi kojima svjedočimo, i koji nas uče kako se MFA probija:
- Socijalni inženjering
Tu su najslabija karika zaposlenici organizacije, prvenstveno oni nedovoljno educirani ili neoprezni.
Metoda je slijedeća: zaposlenik prima email poruku kojom ga se poziva da potvrdi svoj pokušaj logiranja na određeni servis, aplikaciju ili web stranicu, klikom na ponuđeni link. Neoprezni pojedinac klikom na link biva odveden na web stranicu koja izgleda prilično uvjerljivo, a koja služi da u nju unesemo poseban sigurnosni kod nužan za MFA autentifikaciju.
Takva metoda često se naziva i MitM - Man in the Middle.
Unošenjem sigurnosnog koda na neautentičnoj web stranici mi otkrivamo sigurnosni kod zlonamjerniku, koji ga koristi za autentificirano logiranje u naše ime.
Ovdje je jedno od rješenja da se za MFA autentifikaciju obvezno uvede provjera lokacije korisnika, uz uvjet da se korisnik ne prijavljuje putem VPN klijenta.
Ako i sami dobijemo neku email ili sms poruku da unesemo sigurnosni kod, valja provjeriti koja se lokacija spominje u poruci i ima li ista ikakve veze s našom stvarnom lokacijom.
- Poruke na mobilni broj i SIM swap
Vrlo često korištena metoda MFA autentifikacije je putem poruka ili pop-up prozora na pametnom telefonu, povezana s našim mobilnim brojem, kojeg smo dali upravo u svrhu MFA autentifikacije.
Međutim, zlonamjernici sve više koriste tzv. SIM swap metodu, kojom se privremeno naš mobilni broj koristi na drugom pametnom uređaju, tako da i SMS poruke s linkom za upis sigurnosnog koda dolaze privremenom drugom vlasniku našeg telefonskog broja.
Koliko je ta pojava općeprisutna, možemo se sami uvjeriti na ovom linku:
https://krebsonsecurity.com/?s=sim+swap+attacks
Stoga je topla preporuka da odustanemo od korištenja MFA autentifikacije putem SMS poruka, odnosno, vezanja MFA autentifikacije uz telefonski broj.
- Potvrđivanje pokušaja logina iako se uopće ne pokušavamo logirati
Ovakvi pokušaji probijanja sigurnosnih rupa napih sustava i računa su na prvi pogled "djetinjasti", ali su u stvarnosti sve zastupljeniji.
Od slučajeva kad organizacija odredi da sve potvrde autentifikacije na upite mora dati jedna ili više ovlaštenih osoba u organizaciji, koje počinju biti zatrpane brojnim login upitima i koje lako mogu previdjeti da je među tim zahtjevima bio i zlonamjerni pokušaj.
Uslijed pretrpanosti prihvaćaju i potvrđuju sve zahtjeve, nalik na pokušaj našeg poštara na ulazu u stambenu zgradu, koji pozvoni na sve zvonce jer zna da će mu sigurno netko otvoriti bez ikakve provjere.
...................................................
Razumno je upitati se sad - kakve veze ima sve to s GDPR-om i koje su posljedice.
Ako se sigurnosnim propustima uzrokuje kompromitiranje osobnih podataka, tada je na organizaciji apsolutna krivica za nepoštivanje GDPR-a, točnije članaka 24. i 32. Svaki voditelj i izvršitelj obrade obvezan je osigurati primjerene organizacijske i tehničke mjere sigurnosti, kako se ovakve provale MFA autentifikacije ne bi događale.
Prva od mjera je definitivno osvještavanje i edukacija zaposlenika i članova tima o konkretnim primjerima phishinga, socijalnog inženjeringa i drugih metoda probijanja sigurnosnih postavki organizacije.
Nakon toga valja redovito testirati sve implementirane sigurnosne mjere, koje smo uveli u skladu s rizicima koje smo prethodno prepoznali i vrednovali.
A ključ osiguranja kontinuiteta sigurnosnih mjera je kontinuirana edukacija i praćenje relevantnih izvora znanja o novim inovativnim metodama hakera.
Više materijala na ovu temu može se pronaći na ovom linku:
https://blog.knowbe4.com/making-better-push-based-mfa