V jednoduchosti nemusí být síla. Branou pro škůdce se stává protokol usnadňující přihlašování

Čím dál tím víc firem přesunuje svou IT infrastrukturu do Cloudu. Je to výhodné kvůli většímu výpočetnímu výkonu i diskové kapacitě. Hackeři se jim přizpůsobují. Přibývá kybernetických útoků pomocí známého autentizačního standardu „Přihlaste se pomocí …“

Přihlašovací protokol OAuth umožňuje používat informace z uživatelských účtů třetím stranám. Většina lidí se s ním setká, když se potřebují přihlásit k nějaké webové službě či cloudové aplikaci. Místo vytvoření nového jména a hesla nabídne taková služba přihlášení pomocí účtu, který už uživatel má u nějakého velkého hráče. Může to být třeba Google, Microsoft, nebo Facebook. Poskytovatel identity z důvodu zajištění internetové bezpečnosti nepředává službě heslo uživatele (navzdory přesvědčení mnoha lidí). Vygeneruje jen speciální přihlašovací kód (tzv. token). Služba ho použije místo přihlašovacích údajů.

OAuth má tři hlavní výhody. První je, že nemusíte vyplňovat jméno a heslo v každé z řady aplikací a webů, k nimž se během dne přihlašujete. Druhá výhoda je, že pokud někdo úspěšně napadne službu, která požádala o autorizaci, vaše přihlašovací údaje zůstanou v bezpečí. Služba je totiž nemá. Třetí výhoda je na straně poskytovatele autorizace. Ten udržuje vaše uživatelské jméno a heslo oddělené od dat. Službě, která o informace požádá, předá jen ty údaje, které vy sami odsouhlasíte.

Potíž je, že lidé jsou zvyklí nečíst, co po nich počítače chtějí a rovnou se vším souhlasit. Na ochranu dat zkrátka příliš nedbají. Může se tak stát, že zaměstnanci vaší společnosti nechtěně poskytnou přístup k citlivým datům útočníkovi. Základní postup OAuth útoku připomíná klasický phishing. Je to stará finta. Hacker pošle e-mail, který uživatele nasměruje na falešnou webovou stránku. Může vypadat třeba jako web internetového bankovnictví. Falešný web vyzve k vyplnění jména a hesla. Pak je ukradne.

Pachatelé moderních OAuth útoků se místo krádeží hesel pokouší přinutit uživatele, aby udělil přístup jejich škodlivé aplikaci. Na začátku musí svůj program registrovat u poskytovatele OAuth certifikátu. V dalším kroku nějak naservírují odkaz na aplikaci nic netušícímu uživateli. Mohou k tomu používat i tradiční phishingové metody, jako jsou falešné kopie legitimních aplikací. Pokud uživatel na odkaz klikne, uvidí standardní žádost o udělení přístupu.

Když ho aplikaci povolí, může útočník jeho jménem přistupovat k citlivým datům. Uživatel o prolomení bezpečnosti informací zpravidla nemá ponětí. Například letos v květnu popsala bezpečnostní firma Cofense útok, v němž hackeři rozesílali zaměstnancům nejmenované společnosti falešný e-mail s oznámením o zvýšení platu.

Když na něj zaměstnanci klikli, zobrazila se jim žádost o udělení přístupu pomocí účtu Microsoft. Pokud to udělali, dali útočníkům token s neomezenou platností. Hackeři tak získali přístup k citlivým dokumentům uloženým v cloudu. Seznam kontaktů uživatele se dal použít k vytvoření dalších realisticky vypadajících e-mailů.

Nejlepší obrana proti tomuto druhu útoků je upozorňovat zaměstnance na nebezpečí. Aplikace, kterým člověk poskytuje přístup prostřednictvím OAuth, je potřeba důkladně prověřovat. Útočníci často napodobují názvy a vzhled legitimního softwaru. Je dobré dávat si pozor na gramatické chyby nebo podezřelé webové adresy. Čím více firem bude využívat cloudová řešení, tím budou uživatelé více zvyklí na přihlašování pomocí OAuth. Zneužívání protokolu tak bude častější.

rjh/NEWPS.CZ

 

 

Najdete nás i na LinkedIN nebo Facebooku.
 

elektronické formuláře pro komunikaci (nejen) s úřady - zdarma, rychle, z bezpečí domova

povinnosti podnikatelů na jedno místě a přehledně

 

 

 

 

Další články

Mobily jsou chatrné branky v hradbách firemního IT
Více
Mobily jsou chatrné branky v hradbách firemního IT
Více

Zpět na výpis novinek

Naše webová stránka používá cookies

Data o tom, co vás na našem webu zajímá, sdílíme s našimi partnery pro sociální média, inzerci a analýzy.
Partneři tyto údaje mohou použít s dalšími informacemi, které jste jim poskytli nebo které získali v důsledku toho, že používáte jejich služby.

OK

Druhy cookies

1. Nutné cookies pomáhají základním funkcím této stránky, jako je navigace stránky a přístup k zabezpečeným sekcím webové stránky. Webová stránka nemůže správně fungovat bez těchto cookies.

2. Preferenční cookies umožňují, aby si webová stránka zapamatovala vaše preference. Je to například preferovaný jazyk nebo region, kde se nacházíte.

3. Statistické cookies nám pomáhají porozumět tomu, jak návštěvníci používají webové stránky. Statistické cookies anonymně sbírají informace.

4. Marketingové cookies používáme pro sledování návštěvníků na našich stránkách. Záměrem je zobrazit vám reklamu, která je pro vás relevantní a neobtěžuje vás.

5. Neklasifikované cookies máme v procesu klasifikování společně s poskytovateli jednotlivých cookies.

Co jsou cookies?

Cookies jsou malé textové soubory, které mohou být používány webovými stránkami, aby učinily uživatelský zážitek více efektivní.

Podle zákona můžeme ukládat cookies na vašem zařízení, pokud jsou nezbytně nutné pro provoz této stránky. Pro všechny ostatní typy cookies potřebujeme vaše povolení.

Tato stránka používá různé typy cookies. Některé cookies jsou umístěny službami třetích stran, které se objevují na našich stránkách.