Η Microsoft ισχυρίζεται ότι το 99,9% όλων των απειλών λογαριασμού μπορεί να προληφθεί προσθέτοντας MFA

99 Per Cent of Compromised Accounts Don't Use MFA

Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) ή ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) δεν είναι (και ποτέ δεν θα είναι τέλειος). Οι παρακινημένοι κυβερνοεγκληματίες έχουν ήδη αναπτύξει μια ποικιλία διαφορετικών εργαλείων και τεχνικών που τους βοηθούν να παρακάμψουν το 2FA, και τα έχουν χρησιμοποιήσει σε επιθέσεις σε πραγματικό κόσμο. Κάθε δεύτερη μέρα διαβάζουμε για το πώς μπορούν να καταργηθούν οι κωδικοί OTP και για το πώς τα μέσα, όπως το ηλεκτρονικό ταχυδρομείο και το SMS, δεν παρέχουν την ασφάλεια που απαιτείται για τη μετάδοση αυτού του είδους των πληροφοριών. Ακόμα και οι εξειδικευμένες εφαρμογές όπως το Google Authenticator δεν είναι άτρωτες για επιτυχημένες επιθέσεις, γεγονός που προκαλεί πολλές αμφιβολίες για την πρόσθετη ασφάλεια που παρέχεται από το 2FA. Σε μια παρουσίαση κατά τη διάρκεια του συνεδρίου RSA του περασμένου μήνα στο Σαν Φρανσίσκο, ο Alex Weinert, διευθυντής της Microsoft για την ασφάλεια ταυτότητας, έφερε μερικά στατιστικά στοιχεία που δείχνουν πόσο άσχετοι είναι αυτοί οι φόβοι.

Σχεδόν όλοι οι συμβιβασμένοι λογαριασμοί επιχειρήσεων δεν χρησιμοποιούν ΜΧΣ

Οι αριθμοί που παρουσιάστηκαν από την Weinert αφορούσαν τους επιχειρησιακούς χρήστες της Azure AD, της ταυτότητας και του συστήματος διαχείρισης πρόσβασης της Microsoft και λειτουργούν ως απόδειξη (σαν να ήταν απαραίτητη η απόδειξη) ότι οι λογαριασμοί που βασίζονται σε cloud λειτουργούν όλο και περισσότερο. Μόνο κατά τον μήνα Ιανουάριο, η Microsoft ανίχνευσε επιτυχείς επιθέσεις ενάντια σε λιγότερους από 1,2 εκατομμύρια λογαριασμούς. Σύμφωνα με τον Weinert, αυτό αντιπροσωπεύει το 0,5% όλων των χρηστών, κάτι που ίσως να μην ακούγεται πολύ, αλλά όταν θεωρείτε ότι είναι μόνο τα μηνιαία στατιστικά στοιχεία, τα πράγματα αρχίζουν να φαίνονται λίγο πιο ανησυχητικά. Αυτό που είναι ακόμη πιο τρομακτικό, ωστόσο, είναι η εμφανής πρόληψη όλων αυτών των επιθέσεων.

Ένα επιβλητικό 99,9% όλων των επιτυχώς διακυβευόμενων λογαριασμών δεν προστατεύεται από την ΜΧΣ, πράγμα που δείχνει πόσο άσχημα μπορεί να είναι εσφαλμένη η εστίαση. Ενώ οι χρήστες δεν μπορούν να ενεργοποιήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων επειδή ανησυχούν για το γεγονός ότι ένας κίνητρο εισβολέα μπορεί να κλέψει τους προσωρινούς κωδικούς τους, οι ίδιοι οι εισβολείς σπάζουν σε λογαριασμούς χωρίς να χρειάζονται τέτοιου είδους κωδικοί. Είναι σαφές ότι τα ποσοστά υιοθεσίας εξακολουθούν να είναι χαμηλά και παρόλο που οι ερευνητές ασφαλείας που ανακαλύπτουν ατέλειες στα συστήματα 2FA το κάνουν για το καλύτερο καλό όλων, επισημαίνοντας τις αδυναμίες, αποτρέπουν κατά λάθος τους ανθρώπους από το χαρακτηριστικό. Πρέπει να πούμε ότι αυτό δεν είναι το μόνο πρόβλημα.

Τα πρωτόκολλα ελέγχου ταυτότητας παλαιού τύπου και η κακή διαχείριση κωδικών πρόσβασης βοηθούν επίσης τους χάκερς

Δεν πρέπει να ξεχνάμε ότι μιλάμε για επιχειρηματικούς λογαριασμούς, γεγονός που κάνει τα πράγματα πολύ πιο περίπλοκα. Όπως επισήμανε η Microsoft, συχνά, η ΜΧΣ δεν αποτελεί καν επιλογή για τους χρήστες.

Σύμφωνα με τον πιο δημοφιλή πωλητή OS στον κόσμο, η συντριπτική πλειοψηφία των επιθέσεων εξαγοράς λογαριασμού απευθύνονται σε οργανισμούς που χρησιμοποιούν αυτό που η Microsoft ονομάζει "authentication authentication". Αυτοί οι οργανισμοί έχουν κατασκευάσει ολόκληρη την υποδομή πληροφορικής γύρω από παλιά πρωτόκολλα που δεν επιτρέπουν καθόλου τη χρήση 2FA. Σαφώς, οι επιτιθέμενοι γνωρίζουν πόσο αδύναμοι είναι αυτά τα πρωτόκολλα και δεν θα αποφύγουν να εκμεταλλευτούν αυτό το γεγονός. Δυστυχώς, η μετάβαση σε ένα πιο σύγχρονο και ασφαλές σύστημα επαλήθευσης συχνά συνεπάγεται πολλή δουλειά και χρόνο διακοπής που οι εταιρείες απλά δεν μπορούν να αντέξουν οικονομικά, πράγμα που σημαίνει ότι οι χρήστες δεν έχουν ποτέ τη δυνατότητα να χρησιμοποιήσουν έλεγχο ταυτότητας δύο παραγόντων. Αυτό δεν πρέπει να αποτελεί δικαιολογία για την κακή ασφάλεια του λογαριασμού τους.

Ο Alex Weinert δήλωσε στην παρουσίασή του ότι οι χάκερ χρησιμοποίησαν τον ψεκασμό με κωδικό για να χάσουν περίπου το 40% των συμβιβασμένων λογαριασμών του Ιανουαρίου. Σε μια επίθεση ψεκασμού με κωδικό πρόσβασης, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια σχετικά σύντομη λίστα κωδικών που χρησιμοποιούνται συνήθως και τα δοκιμάζουν σε ένα ευρύτερο φάσμα ονομάτων χρηστών. Επειδή πολλοί άνθρωποι έχουν την τάση να χρησιμοποιούν κοινούς, εύκολο να μαντέψουν κωδικούς πρόσβασης, οι επιθέσεις είναι συχνά επιτυχείς.

Ένα άλλο 40% των 1,2 εκατομμυρίων λογαριασμών που καταρτίστηκαν κατά τη διάρκεια του πρώτου μήνα του έτους έπεσαν θύματα παραβιάσεων επιθέσεων επανάληψης. Η επανάληψη παραβίασης είναι προφανώς όρος της Microsoft για τη γνησιότητά της - μια επίθεση κατά την οποία οι χάκερ χρησιμοποιούν ονόματα χρηστών και κωδικούς πρόσβασης κλεμμένους από μια ηλεκτρονική υπηρεσία για να ανοίξουν λογαριασμούς σε πολλούς άλλους ιστότοπους. Για άλλη μια φορά, η αμελής στάση των ανθρώπων απέναντι στην ασφάλεια των λογαριασμών τους και η τάση τους να επαναχρησιμοποιούν τους κωδικούς τους καθιστούν την επίθεση εξαιρετικά επιτυχημένη.

Θεωρητικά, η πρόληψη των επιθέσεων εξαγοράς λογαριασμού σε ένα εταιρικό περιβάλλον είναι μια σχετικά απλή δουλειά, αλλά το γεγονός είναι ότι υπάρχουν αρκετοί παράγοντες. Η ανακάλυψη τρωτών σημείων θέτει υπό αμφισβήτηση την αποτελεσματικότητα του 2FA, το οποίο, σε συνδυασμό με το γεγονός ότι το χαρακτηριστικό δεν είναι διαθέσιμο σε όλα τα εταιρικά συστήματα, οδηγεί σε κακή υιοθέτηση.

Για να βελτιωθεί πραγματικά η κατάσταση των πραγμάτων, οι άνθρωποι πρέπει να συνειδητοποιήσουν πόσο σημαντική είναι η σωστή διαχείριση κωδικών πρόσβασης. Οι εταιρείες και οι πάροχοι υπηρεσιών πρέπει να κάνουν ό, τι μπορούν για να διασφαλίσουν ότι η πρόσθετη ασφάλεια που παρέχεται από το 2FA είναι διαθέσιμη ανά πάσα στιγμή και οι χρήστες πρέπει να συμφωνούν με το γεγονός ότι ενώ δεν είναι πανάκεια, αυτό το απλό χαρακτηριστικό μπορεί συχνά να κάνει τη διαφορά μεταξύ συμβιβασμένο λογαριασμό και ασφαλές λογαριασμό.

March 16, 2020