Zastanawialiście się kiedyś, czy dwuskładnikowe uwierzytelnianie na pewno zabezpieczy cię przed każdym atakiem mającym na celu przejęcie twojego konta? Piotr Duszyński zastanawiał się tak skutecznie, że teraz przy jego kodzie grzeje się sam Kevin Mitnick.
Badacze bezpieczeństwa (oraz włamywacze) już dawno doszli do tego, że najsłabszym ogniwem w łańcuchu zwykle jest człowiek. Niekoniecznie administrator, lecz końcowy użytkownik. Dlatego coraz więcej systemów projektuje się tak, by było dość trudno coś w nich popsuć i by użytkownik naprawdę, naprawdę musiał się postarać, by udostępnić dostęp do swojego konta niepowołanej osobie. Stąd rosnąca popularność systemów wymagających przyłożenia karty kryptograficznej, podania dodatkowego hasła przysyłanego SMSem, generowanego przez aplikację lub obecności YubiKeya lub Titana w porcie USB.
Jednak nawet najlepszy system nie zadziała, jeśli przekonamy użytkownika do wpisania na podstawionej przez włamywaczy stronie loginu, hasła i podania hasła jednorazowego. Tylko przygotowanie odpowiedniej strony zajmowało czas. Modlishka to system reverse proxy, który przechwytuje komunikację z dowolnym serwisem w internecie i zapisuje hasła użytkowników w bazie. By z niego skorzystać, wystarczy zainstalować Modliszkę i zachęcić nieświadomego użytkownika do podjęcia próby zalogowania się za jej pośrednictwem. Od tego, jak wiadomo, są odpowiednio przygotowane maile phishingowe.
W praktyce wygląda to tak:
Modlishka może działać na dowolnej domenie, z zainstalowanym certyfikatem SSL lub bez, więc „zielona kłódeczka” lub jej brak nie ostrzeże nas przed niczym.
W rozmowie z ZDNet, autor podkreślił, że jego system jest dowodem na to, że przechwytywanie haseł przy weryfikacji dwuetapowej nie jest działaniem czysto teoretycznym, a sytuacja w której użytkownicy są błędnie przekonani o własnym bezpieczeństwie tylko sprzyja włamywaczom. Dodaje, że choć Modlishka jest skuteczna w sytuacjach, gdy weryfikacja dwuetapowa wymaga podania jednorazowego hasła, nie zadziała z mechanizmami weryfikacji zależnymi od klucza sprzętowego.
Co robić, jak się bronić?
Po pierwsze – nie rezygnuj z weryfikacji dwuetapowej. Fakt, że ma swoje słabości, nie oznacza, że należy ją całkowicie porzucić. Po drugie, korzystaj z menadżerów haseł do ich zapamiętywania. Jeśli wejdziesz na jakąś stronę i menadżer nie zaproponuje ci wpisania na nią zapamiętanego hasła, miej się na baczności – prawdopodobnie z jakiegoś powodu uznał, że nie jest to prawidłowa strona (i może mieć rację). Po trzecie – zainwestuj w klucz sprzętowy. Autor tych słów korzysta z YubiKey4 i bardzo sobie go chwali – ale są tańsze rozwiązania (niebieski yubikey, google titan) po które też można sięgnąć.
Aktualizacja
Autor Modlishki zwrócił nam uwagę, że przed Modlishką istniał projekt Evilginx autorstwa Kuby Gretzky’ego – trochę trudniejszy w obsłudze, lecz mający podobną funkcjonalność – i to Evilginx był wykorzystany w prezentacji Kevina Mitnicka jakiś czas temu. Dziękuję za info!
Dodatkowe informacje:
- twitterowa premiera Modliszki
- kod źródłowy
- Modlishka na blogu twórcy
- ZDnet nie zapomina o twórcy
- a CNBC owszem (za to mamy Kevina)
- Evilginx 2
- opis frameworku Evilginx na stronie autora
- Kuba Gretzky na Twitterze