Uvodnik: Muke sa lozinkama i autetifikacijama
Pre nekih pet godina Microsoft, Google i mnogi drugi su počeli da propagiraju dvofaktorsku autentifikaciju (2FA) kao metod koji će nas spasti od nesigurnih lozinki i tako učiniti rad sa računarima bitno bezbednijim. Poverovali smo im i počeli da koristimo ovaj metod. „Loši momci“ im nisu poverovali, a poslednji meseci pokazuju da 2FA i nije tako sigurna…
Jedna beogradska firma je u zadnjem trenutku izbegla gubitak od više desetina hiljada evra koje je trebalo da uplati partneru sa kojim dugo posluje, ali koji je navodno promenio broj računa. Srećom pa je neko ipak pozvao partnera radi finalne provere. Ispostavilo se da su napadači dobili potpun pristup Microsoft 365 nalogu firme, imali uvid u kompletnu komunikaciju i slali naoko autentične e-mail-ove… i tako barem tri meseca. Gradili su sliku o tokovima novca, kako bi se u pogodnom momentu uključili i poslali nove instrukcije za plaćanje. Da ne bi pobudili sumnju drugih kolega iz firme, registrovali su (i platili Bitcoin-ima) domen tako da se od pravog razlikuje za jedno slovo. A svuda je korišćena 2FA…
Dvofaktorska provera zvuči kao neprobojan oklop. Nakon što na PC-ju unesete korisničko ime i lozinku, potrebno je da pokrenete Authenticator na smartfonu i potvrdite da ste to vi. Ako računar nije kompromitovan, ova procedura zvuči veoma bezbedno, pa se postavlja pitanje kako ju je neko izigrao?
Teško je očekivati od korisnika da se maši smartfona kad god proverava e-mail. Zbog toga se nakon uspešne prijave generiše token koji je dovoljan za pristup pošti: kroz 2FA na konkretnom računaru prolazite samo jednom. Dakle, ko ima token, imaće i pristup svim podacima. Taj token dođe nešto kao lozinka, samo što je komplikovan i niko ga ne može napraviti… ali ga može ukrasti. Kako? Hakerima je najjednostavnije da podmetnu „posrednički“ računar. Na njemu se nalazi posebno pripremljen sistem koji simulira prijavu, šalje te podatke pravom serveru i… preuzima token. Nakon toga haker ima pristup pošti korisnika.
U slučaju konkretne firme, službenik je kliknuo na link u phishing e-mail-u, koji je vodio do proxy servera kroz koji se službenik zaista prijavio na Microsoft 365 dajući svoj username, password i odobravajući pristup kroz 2FA. Token je generisan, ostao je na proxy serveru i kriminalac ga je posle toga mesecima koristio za pripremu napada. Na sličan način je prošle godine hakovan i poznati YouTube kanal Linus Tech Tips – pogledajte video u kome je procedura detaljno opisana.
Neke stvari ovde zvone na uzbunu: zašto Microsoft dopušta da se korisnik prijavi sa više od dva ili tri uređaja? Zašto dopuštaju uzastopne prijave iz raznih krajeva sveta – u opisanom slučaju korisnik je „radio“ sa dva računara udaljena hiljadama kilometara (mada, i geo lokacija može da se lažira). Zašto nije ponuđena mogućnost kontrole trajanja tokena? Dodatne zaštite možete uključiti samo na višim nivoima Microsoft 365 pretplate; recimo, Entra ID P2 (9 dolara po korisniku mesečno) omogućava da uključite provere koje bi zaustavile konkretan napad. Tu je, doduše, potreban i administrator koji je sposoban da sve to podesi, a da rad korisnika pri tom ne učini neprijatno komplikovanim.
Čak ni uz sve te mere, bezbednost nije potpuna – token na disku ostaje potencijalna opasnost. Možda bi bilo bolje kada bi tokeni bili na nekom nezavisnom uređaju, kao što je YubiKey, uz hardversko odobravanje pristupa privatnim ključevima. Na PC-ju bi to bilo moguće, ako je korisnik spreman da pipne uređaj kad god skuplja e-mail. Sa telefona bi to teško išlo, jer korisnik uvek bira lakši rad, žrtvujući bezbednost. A to pre ili posle dođe na naplatu…