Video: Everyone On Twitter Was Just Hacked (Oktober 2024)
Fra landet til " hvis bare… " Hvis Associated Press hadde satt opp tofaktorautentisering med sin Twitter-konto, ville ikke pro-syriske hackere ha klart å kapre kontoen og skaffe ødeleggelser.
Fin og ryddig idé, men i virkeligheten nei. Selv om tofaktorautentisering er et kraftig verktøy for å sikre brukerkontoer, kan det ikke løse alle problemer. Å ha to-faktor ville ikke hjulpet @AP fordi hackerne brøt seg inn via et phishing-angrep. Motstandere ville bare finne en annen måte å lure brukere til å omgå sikkerhetssjiktet, sa Aaron Higbee, CTO for PhishMe.
Tirsdag kapret pro-syriske hackere AP Twitter-kontoen og la ut en falsk nyhetsvarsel med påstand om en eksplosjon i Det hvite hus og at presidenten hadde blitt skadet. I løpet av de tre-fire minuttene før AP-ansatte fant ut hva som skjedde og sa at historien var falsk, fikk investorer panikk og fikk Dow Jones Industrial-snitt til å velte over 148 poeng. Bloomberg News estimerte fallet "tørket" 136 milliarder dollar fra S&P 500-indeksen.
Forutsigbart kritiserte en rekke sikkerhetseksperter Twitter umiddelbart for ikke å tilby tofaktorautentisering. "Twitter trenger virkelig å få utbygd tofaktorautentisering raskt. De er langt bak markedet på dette, " sa Andrew Storms, direktør for sikkerhetsoperasjoner i nCircle, i en e-post.
Grupper kontra individuelle kontoer
Tofaktorautentisering gjør det vanskeligere for angripere å kapre brukerkontoer ved bruk av brute-force-metoder, eller å stjele passord via sosiale ingeniørmetoder. Det forutsetter også at det bare er én bruker per konto.
"To-faktor autentisering og andre tiltak vil bidra til å redusere hacks mot individuelle kontoer. Men ikke gruppekontoer, " sa Sean Sullivan, en sikkerhetsforsker hos F-Secure, til SecurityWatch .
AP, omtrent som mange andre organisasjoner, hadde sannsynligvis flere ansatte som postet til @AP i løpet av dagen. Hva vil skje når noen prøver å legge ut på Twitter? Hvert innloggingsforsøk krever at personen som har den registrerte enheten, enten det er en smarttelefon eller en maskinvaretoken, oppgir andrefaktorkoden. Avhengig av mekanismen på plass, kan dette være hver dag, noen få dager, eller når en ny enhet legges til.
"Det blir en ganske viktig veisperring for produktivitet, " sa Jim Fenton, CSO for OneID, til SecurityWatch .
Si at jeg vil legge ut på @SecurityWatch. Jeg må enten IM eller ringe min kollega som "eide" kontoen for å få to-faktorskoden. Eller jeg trengte ikke logge inn på 30 dager fordi den bærbare datamaskinen min var en autorisert enhet, men nå er det den 31. dagen. Og helgen. Se for deg hvilke potensielle sosialtekniske minefelt.
"Enkelt sagt, tofaktorautentisering vil ikke være nok til å beskytte mennesker, " sa Sullivan.
To-faktor autentisering ikke en kur-alle
To-faktor autentisering er en god ting, et kraftig verktøy, men det kan ikke gjøre alt, for eksempel å forhindre phishing-angrep, sa Fenton. Under vanlige tofaktors autentiseringsløsninger kan brukere lett bli lurt til å autentisere tilgang uten å innse det, sa Fenton.
Tenk om jeg hadde sendt sjefen min: Kan ikke logge inn på @securitywatch. Vil du sende meg en kode?
Tofaktorautentisering gjør det vanskeligere å phish en konto, men forhindrer ikke angrepet fra å lykkes, sa PhishMes Higbee. På firmabloggen illustrerte PhishMe hvordan phishing ved å omgå tofaktorer bare smalere angrepsvinduet.
Først klikker brukeren på en kobling i en phishing-e-post, lander på en påloggingsside og oppgir riktig passord og gyldig tofaktorkode på det falske nettstedet. På dette tidspunktet må angriperen bare logge seg på før de gyldige innloggingsopplysningene går ut. Organisasjoner som bruker RSA-symboler kan regenerere en kode hvert 30. sekund, men for et nettsted med sosiale medier kan utløpsperioden være flere timer eller dager borte.
"Dette er ikke til å si at Twitter ikke skal implementere et mer robust lag med autentisering, men det ber også spørsmålet om hvor langt det skal gå?" Higbee sa, og la til at Twitter opprinnelig ikke var designet for gruppebruk.
Tilbakestillinger er et større problem
Å implementere tofaktorautentisering ved inngangsdøren betyr ikke at du sitter på huk hvis bakdøren har en spinkel lås - en tilbakestillingsprosess med svakt passord. Bruken av delte hemmeligheter, for eksempel morens pikenavn, for å opprette og gjenopprette tilgang til kontoen "er Achilles Heel for dagens autentiseringspraksis, " sa Fenton.
Når angriperen kjenner brukernavnet, er tilbakestillinger av passord bare et spørsmål om å fange opp tilbakestillings-e-posten. Dette kan bety å bryte inn e-postkontoen, noe som veldig godt kan skje.
Mens spørsmål om passordhint har sine egne problemer, tilbyr Twitter dem ikke en gang som en del av tilbakestillingsprosessen. Alt noen trenger er brukernavnet. Selv om det er et alternativ å "kreve personlig informasjon for å tilbakestille passordet mitt", er den eneste ekstra informasjonen som kreves, de lett tilgjengelige e-postadressene og telefonnummeret.
"Twitter-kontoer kommer til å fortsette å bli hacket, og Twitter trenger å gjøre flere ting for å beskytte brukerne - ikke bare to-faktor, " sa Sullivan.
