Modliszka przeciw 2FA

ModliszkaZastanawialiście się kiedyś, czy dwuskładnikowe uwierzytelnianie na pewno zabezpieczy cię przed każdym atakiem mającym na celu przejęcie twojego konta? Piotr Duszyński zastanawiał się tak skutecznie, że teraz przy jego kodzie grzeje się sam Kevin Mitnick.

Badacze bezpieczeństwa (oraz włamywacze) już dawno doszli do tego, że najsłabszym ogniwem w łańcuchu zwykle jest człowiek. Niekoniecznie administrator, lecz końcowy użytkownik. Dlatego coraz więcej systemów projektuje się tak, by było dość trudno coś w nich popsuć i by użytkownik naprawdę, naprawdę musiał się postarać, by udostępnić dostęp do swojego konta niepowołanej osobie. Stąd rosnąca popularność systemów wymagających przyłożenia karty kryptograficznej, podania dodatkowego hasła przysyłanego SMSem, generowanego przez aplikację lub obecności YubiKeya lub Titana w porcie USB.

Jednak nawet najlepszy system nie zadziała, jeśli przekonamy użytkownika do wpisania na podstawionej przez włamywaczy stronie loginu, hasła i podania hasła jednorazowego. Tylko przygotowanie odpowiedniej strony zajmowało czas. Modlishka to system reverse proxy, który przechwytuje komunikację z dowolnym serwisem w internecie i zapisuje hasła użytkowników w bazie. By z niego skorzystać, wystarczy zainstalować Modliszkę i zachęcić nieświadomego użytkownika do podjęcia próby zalogowania się za jej pośrednictwem. Od tego, jak wiadomo, są odpowiednio przygotowane maile phishingowe.

W praktyce wygląda to tak:

Modlishka może działać na dowolnej domenie, z zainstalowanym certyfikatem SSL lub bez, więc „zielona kłódeczka” lub jej brak nie ostrzeże nas przed niczym.

W rozmowie z ZDNet, autor podkreślił, że jego system jest dowodem na to, że przechwytywanie haseł przy weryfikacji dwuetapowej nie jest działaniem czysto teoretycznym, a sytuacja w której użytkownicy są błędnie przekonani o własnym bezpieczeństwie tylko sprzyja włamywaczom. Dodaje, że choć Modlishka jest skuteczna w sytuacjach, gdy weryfikacja dwuetapowa wymaga podania jednorazowego hasła, nie zadziała z mechanizmami weryfikacji zależnymi od klucza sprzętowego.

Co robić, jak się bronić?
Po pierwsze – nie rezygnuj z weryfikacji dwuetapowej. Fakt, że ma swoje słabości, nie oznacza, że należy ją całkowicie porzucić. Po drugie, korzystaj z menadżerów haseł do ich zapamiętywania. Jeśli wejdziesz na jakąś stronę i menadżer nie zaproponuje ci wpisania na nią zapamiętanego hasła, miej się na baczności – prawdopodobnie z jakiegoś powodu uznał, że nie jest to prawidłowa strona (i może mieć rację). Po trzecie – zainwestuj w klucz sprzętowy. Autor tych słów korzysta z YubiKey4 i bardzo sobie go chwali – ale są tańsze rozwiązania (niebieski yubikey, google titan) po które też można sięgnąć.

Aktualizacja
Autor Modlishki zwrócił nam uwagę, że przed Modlishką istniał projekt Evilginx autorstwa Kuby Gretzky’ego – trochę trudniejszy w obsłudze, lecz mający podobną funkcjonalność – i to Evilginx był wykorzystany w prezentacji Kevina Mitnicka jakiś czas temu. Dziękuję za info!

Dodatkowe informacje:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →