V jednoduchosti nemusí být síla. Branou pro škůdce se stává protokol usnadňující přihlašování
Čím dál tím víc firem přesunuje svou IT infrastrukturu do Cloudu. Je to výhodné kvůli většímu výpočetnímu výkonu i diskové kapacitě. Hackeři se jim přizpůsobují. Přibývá kybernetických útoků pomocí známého autentizačního standardu „Přihlaste se pomocí …“
Přihlašovací protokol OAuth umožňuje používat informace z uživatelských účtů třetím stranám. Většina lidí se s ním setká, když se potřebují přihlásit k nějaké webové službě či cloudové aplikaci. Místo vytvoření nového jména a hesla nabídne taková služba přihlášení pomocí účtu, který už uživatel má u nějakého velkého hráče. Může to být třeba Google, Microsoft, nebo Facebook. Poskytovatel identity z důvodu zajištění internetové bezpečnosti nepředává službě heslo uživatele (navzdory přesvědčení mnoha lidí). Vygeneruje jen speciální přihlašovací kód (tzv. token). Služba ho použije místo přihlašovacích údajů.
OAuth má tři hlavní výhody. První je, že nemusíte vyplňovat jméno a heslo v každé z řady aplikací a webů, k nimž se během dne přihlašujete. Druhá výhoda je, že pokud někdo úspěšně napadne službu, která požádala o autorizaci, vaše přihlašovací údaje zůstanou v bezpečí. Služba je totiž nemá. Třetí výhoda je na straně poskytovatele autorizace. Ten udržuje vaše uživatelské jméno a heslo oddělené od dat. Službě, která o informace požádá, předá jen ty údaje, které vy sami odsouhlasíte.
Potíž je, že lidé jsou zvyklí nečíst, co po nich počítače chtějí a rovnou se vším souhlasit. Na ochranu dat zkrátka příliš nedbají. Může se tak stát, že zaměstnanci vaší společnosti nechtěně poskytnou přístup k citlivým datům útočníkovi. Základní postup OAuth útoku připomíná klasický phishing. Je to stará finta. Hacker pošle e-mail, který uživatele nasměruje na falešnou webovou stránku. Může vypadat třeba jako web internetového bankovnictví. Falešný web vyzve k vyplnění jména a hesla. Pak je ukradne.
Pachatelé moderních OAuth útoků se místo krádeží hesel pokouší přinutit uživatele, aby udělil přístup jejich škodlivé aplikaci. Na začátku musí svůj program registrovat u poskytovatele OAuth certifikátu. V dalším kroku nějak naservírují odkaz na aplikaci nic netušícímu uživateli. Mohou k tomu používat i tradiční phishingové metody, jako jsou falešné kopie legitimních aplikací. Pokud uživatel na odkaz klikne, uvidí standardní žádost o udělení přístupu.
Když ho aplikaci povolí, může útočník jeho jménem přistupovat k citlivým datům. Uživatel o prolomení bezpečnosti informací zpravidla nemá ponětí. Například letos v květnu popsala bezpečnostní firma Cofense útok, v němž hackeři rozesílali zaměstnancům nejmenované společnosti falešný e-mail s oznámením o zvýšení platu.
Když na něj zaměstnanci klikli, zobrazila se jim žádost o udělení přístupu pomocí účtu Microsoft. Pokud to udělali, dali útočníkům token s neomezenou platností. Hackeři tak získali přístup k citlivým dokumentům uloženým v cloudu. Seznam kontaktů uživatele se dal použít k vytvoření dalších realisticky vypadajících e-mailů.
Nejlepší obrana proti tomuto druhu útoků je upozorňovat zaměstnance na nebezpečí. Aplikace, kterým člověk poskytuje přístup prostřednictvím OAuth, je potřeba důkladně prověřovat. Útočníci často napodobují názvy a vzhled legitimního softwaru. Je dobré dávat si pozor na gramatické chyby nebo podezřelé webové adresy. Čím více firem bude využívat cloudová řešení, tím budou uživatelé více zvyklí na přihlašování pomocí OAuth. Zneužívání protokolu tak bude častější.
rjh/NEWPS.CZ
Najdete nás i na LinkedIN nebo Facebooku.
elektronické formuláře pro komunikaci (nejen) s úřady - zdarma, rychle, z bezpečí domova
povinnosti podnikatelů na jedno místě a přehledně
