Kétlépcsős hitelesítés céges környezetben: elmélet és gyakorlat

ket-lepcsos-hitelesites.jpgEgészen hiteles, ugyan hatásvadász videó jelent meg nemrég a Youtube-on arról, hogy az USA elnökeit a Secret Service milyen elborult módon védi.

Ma már nem meglepő, hogy az olyan biztonsági intézkedéseket, amik már kötelezőek, szinte mind csak azt követően vezették be, hogy már bekövetkezett a baj korábban: például a Kennedy, aztán pedig a Reagan ellen irányuló merénylet után.

A rendszeradminisztráció területén általános tapasztalat, hogy céges security awarenes programok ide vagy oda, sokszor igen nehéz elérni azt, hogy az alkalmazottak tartsák be a jelszavakkal, azonosítással, megosztásokkal és egyebekkel kapcsolatos ajánlásokat vagy konkrét, company policybe foglalt szabályokat.

Szinte nem telik el hét, hogy ne jelenne meg hír valamilyen komoly breachről, amiben ráadásul olyan szervezetek érintettek sokszor, amikről a legkevésbé gondoltuk volna. Ki gondolta volna, hogy az IT security tanácsadás egyik flagshipjét, a Deloitte-ot olyan támadás éri, aminek következtében a támadó több millió emailhez férhetett hozzá, ráadásul az adminnak nem volt bekapcsolva a megfelelő helyen a kétlépcsős hitelesítés és persze nem kevés idő telt el, mire egyáltalán észlelték a sikeres betörést.

Nem taglaljuk, hogy mára tényleg bárki lehet célzott támadás áldozata, amit ideális esetben időben észlel és tud kezelni, akár végfelhasználóról, akár hypervisorról van szó.

Jól ismert, hogy sokszor a NIST jelszavakkal kapcsolatos ajánlásainak megfelelő jelszavak  használata ide vagy oda, ezek még mindig nem jelentenek megfelelő védelmet. Hiszen gondoljunk csak bele, hiába fut valakinek a gépén az AV-comparatives által legjobbra értékelt security suite, ellenőrizhetetlen, hogy a belépéshez használt jelszavát nem használja-e esetleg máshol is, nincs-e esetleg a gépére keylogger telepítve, amit az AV termék nem szúr ki.

Amiről pedig szinte sosem esik szó: ma már annyit helyet figyelnek biztonsági kamerák, hogy egyáltalán nem életszerűtlen egy olyan eset, amikor valaki például egy konferenciateremben beírja a jelszavát, amit a kamera rögzít, majd a kamera által rögzített felvételhez illetéktelen fér hozzá, ha pedig szerencséje van, konkrétan úgy le tudja lesni a begépelt vagy tableten tapogatott jelszót, mintha a háta mögül leskelődött volna.

Nincs mese, kétlépcsős hitelesítésre szükség van, kötelező jelleggel, ahol csak lehet, ágazatszerinti bontásban egészen jó kis gyűjtemény itt találunk azokról a helyekről, ahol bevezették.

De mi is az a 2-FA? Mindenféle tudományos blabla nélkül arról van szó, hogy a hagyományos bejelentkezést (név+jelszó) kiegészítjük egy olyan adat bekérésével, amit a felhasználó sem tud, hanem ott helyben meg kell kapnia. Ilyen például a bankok által kiküldött hitelesítési SMS-kód. Az alapeljárást persze ezerféleképpen, és ezerfélye kütyüvel lehet túlbonyolítani, a lényeg csupán annyi, hogy a hitelesítéshez nem elegendő az az információ, ami a felhasználó fejében van, mindenképpen kell valami (más forrásból származó) adat is.

PasswordPostIt_Sized_79937w1280h820Könyen belátható hogy ilyen környezetben még a sárga post-ittel a monitorra kiragasztott jelszó esetén sem teljesen reménytelen a hozzáférési rendszer fenntartása, mivel a jelszó önmagában nem elégséges a rendszer meghódításához.

A 2-FA kötelezővé tétele megvalósítás szempontjából egy konkrét szervezetnél már egy keményebb dió. A CISO-nak megfelelő kommunikációval meg kellene értetnie a szervezet tagjaival, hogy erre tényleg elengedhetetlenül szükség van. Persze előfordulhat, hogy magyarázat és elrettentő példák ide vagy oda, még ezt követően is lesz olyan, aki szükséges rossznak fogja tartani az egészet, nem pedig olyan változtatás bevezetéséről, amivel nem lehet tovább várni, mert legrosszabb esetben akár a céges adatvagyon nem kis része is veszélybe kerülhet nélküle.

Ami a biztonságtudatosságot fokozó programokkal kapcsolatban egy számunkra feledhetetlen történet, egy európai pénzintézet esete. A szóban forgó pénzintézet néhány alkalmazottját egy etikus hekkelést és auditot végző cég támadója felhívta, majd közölték velük, hogy karbantartást végeznek, ezért mindenkinek a jelszavát újra be kell állítani. Ember nem gondolná, hogy ilyen évtizedes csalásnak van, aki bedől, főleg egy pénzintézet esetén.

A támadó még csak nem is a jelszavát kérte el az áldozatoknak, mivel az túl gyanús lett volna: ehelyett arra kérte őket, hogy a jelszót állítsák be egy bizonyos értékre. A tesztelt felhasználók több, mint 80%-a (!!) ezt meg is tette, teljes hozzáférést adva ezzel a támadónak.

Az eredmény a cég CISO-ját is alaposan meglepte, majd a pénzintézeten belül az alkalmazottaknak bemutatták, hogy mennyire könnyű hozzáférést szerezni más fiókjához, a biztonságtudatosságot fokozó képzés pedig elengedhetetlen.

A tréningen nemcsak, hogy részt kellett vennie szinte mindenkinek, hanem utána még egy mini vizsgát is kellett tenniük abból, amit a tréningen hallottak. Egy esetből csak-csak megtanulták a leckét, nem?

Fél évvel később ugyanennél a szervezetnél az etikus hekker cég próbálkozott ugyanazzal a támadással, kéretik’ kitalálni, hogy a biztonságtudatossági tréningen részt vett és vizsgázott alkalmazottak mekkora része volt ugyanúgy átverhető, és ismét a támadó által megadott jelszót állította be! Még így is közel 30%-uk! A magyarázat, hogy vizsgáztak belőle ugyan, de nem vált a napi rutinjuk részévé, hogy ilyenre legyenek felkészültek, amit a tréningek valamilyen ismétlésével lehet elérni.

A témát sokszor még a biztonságtudatosabb felhasználók is elintézik annyival, hogy “a zemberek hülyék, nem lehet velük mit kezdeni”. Ami sarkítva igaz ugyan, de a támadás kifinomultságától függően sokszor még a biztonságtudatosabb felhasználók sem megtéveszthetetlenek, másrészt ha már kizárni nem lehet egy-egy breach-t, megvannak rá a technikák, amivel nagyban megnehezíthető a támadó dolga, erre egy kézenfekvő megoldás a kétlépcsős hitelesítés. (Megjegyzem, látszólag paradox módon előfordulhat, amikor éppen hogy csökkenti az effektív biztonságot a 2-FA.)

Nagyon megbízható megoldásnak tűnik a passwordless authentication, amit bárki kipróbálhat, miután létrehoz egy Yandex-fiókot. Az azonosítás ezen típusának bekapcsolásakor le kell töltenünk a Yandex Key mobilappot és be kell állítanunk egy alkalmazás PIN-t hozzá. Amikor pedig belépnénk a Yandex-fiókunkba, a felhasználói név megadása után a Yandex nem jelszót kér, hanem kidob egy QR-kódot a képernyőre, amit a Yandex Key mobilappal be kell olvasni, miután a mobilunkon megadtuk a helyes PIN-t.

Abban az esetben, ha helyes PIN-t adtunk meg, beolvastuk a QR-kódot, a Yandex szépen be is enged. Ha viszont a támadó ellopta az áldozat mobilját és fel is oldotta, hiába van nála a mobil, rajta a beállított Yandex Key alkalmazással, a mobilon a helytelen PIN megadása után hiába olvassa be a képernyőn megjelenő QR-kódon, a Yandex nem fogja beengedni.

Ami pedig külön trükkös megoldás benne, hogy a Yandex semmilyen információt nem ad arról, hogy az azonosítás miért hiúsult meg. Azért, mert a támadó a PIN-t helytelenül adta meg, vagy az áldozat gyorsan lépett és letiltotta a Yandex Key segítségével való bejelentkezés lehetőségét egy olyan eszközön, amin már be volt jelentkezve vagy mi is történt ténylegesem.

Ha nincs jelszó, nincs mit ellopni! A Yandex ugyan hasonlóan az Authy-hoz, nem pontosan aszerint a HOTP vagy TOTP séma szerint működik, mint a jól ismert Google Authenticatior, Microsoft Authenticatior vagy a Duo Mobile, nyilván az utóbbiak lesznek egyre támogatottabbak, ezeket szükséges bevezetni amint csak lehetséges.

Egyrészt silver bullet nyilván nincs. Másrészt olyan szolgáltatások is támadhatóak maradnak, amiről aztán tényleg ember nem gondolná, ahogy arról korábban a Google kapcsán jelent meg poszt.

Viszont az aktuálisan legjobb, ténylegesen bevezethető megoldások bevezetésével és a biztonságtudatosság fokozásával a biztonság elfogadható szintűre növelhető.

kép: CSOonline

Magatartástudomány, social engineering és a HUMINT

Ésszerű terjedelmi korlátok mellett szinte lehetetlennek tűnik hatékonyan érvelni amellett, hogy a fehér kalapos hekkerek bizonyos módszereiket, kutatásaikat miért nem fejleszthetik egy bizonyosnál magasabb szintűre olyan módon, hogy ne kutatnának utána olyan témáknak, amik a hekkelés emberi oldalával foglalkoznak. A héten született meg a gondolata, hogy csokorba rendezve közreadjuk a legfontosabb könyveket, amiket nagyon ajánlott elolvasnia mindenkinek, aki behatóbban szeretne foglalkozni a social engineeringgel és human intelligence-szel.

Social Engineering Penetration Testing: Executing Social Engineering Pen Tests, Assessments and Defense (Gavin Watson, Andrew Mason, Richard Ackroyd)

A könyv ugyan tárgyalhatná bővebben is az emberi természet azon sajátosságait, amin keresztül egy-egy megtévesztés működik, az aktuálisan legkorszerűbb, egyéb SE technikák és persze technikai eszközök ötvözésével mutatja be mindezt. Ezen kívül nagy hangsúlyt fektet a reportingre, amit nagyon sok könyvből hiányolunk. A bőséges elmélet mellett szinte minden oldalra jut valamilyen technika éles bemutatása. A könyvre nem mondanám, hogy jobb vagy rosszabb, mint Chris Hadnagy Social Engineering The Art of Human Hacking  írt alapműve, de az biztosan megállapítható, hogy a Syngress műve nagyobb hangsúlyt fektet a gyakorlatra. A kevésbé szorgalmas olvasók számára több cheat sheet is segíti a minél gyorsabb megértést.

Unmasking the Social Engineer – The Human Element of Security

A Social Engineering alapmű kistestvérének is nevezhetnénk, tartalmi szempontból pedig tényleg nem túloz: a mű a magatartástudomány legújabb állásának megfelelően szemlélve mutatja be, hogy mikor valószínűsíthetünk csalást. A könyv szerkesztésében egyébként maga Paul Ekman, a világ egyik legnagyobb, mára fogalommá vált liespottere is részt vett. Ha már liespotting, van valami, amit alighanem nem lehet elégszer hangsúlyozni. Ahogy tartja a mondás “vigyázz az egykönyves emberekkel”. A Lie To Me tévésorozatban rendszerint azt láthatjuk, hogy Dr. Lightman seperc alatt azonnal teljes bizonyossággal, ha valaki hazudik vagy manipulációval próbálkozik, ilyen a valóságban tényleg nem létezik. A manipuláció bármilyen típusának kiszúrása egyrészt rendkívül sok gyakorlatot igényel, a másik, amit figyelembe kell venni, hogy még a legjobb könyvek is, mint amilyen Paul Ekman magyar nyelven is megjelent Beszédes hazugságok, című könyve, a közérthetőség kedvéért szükségszerűen egyszerűsítésekkel él, ami miatt nagyon rizikós, ha valaki az ott olvasott technikákat laikusként azonnal próbálja átülteti a gyakorlatba.
Tételezzük fel, hogy valakinek olyan konferenciára kell ellenőrzés nélkül bemennie, amiről nem tudható előre – például nyílt forrásokban keresve – hogy milyen a konferencia résztvevőin lévő badge vagy az azt tartó szalag, azaz nem tud előzetesen preparálni önmagának, ugyanakkor lebukni sem szeretne. Mit lehet tenni ilyenkor? Vigyázat, mélyvíz! Laikus megközelítéssel a social engineer visz magával többféle szalagot és formátumú badge-t, ami aztán vagy bejön vagy sem. Ha viszont felkészültebb, miért van a táskájában éppen fehér, fekete, vöröses, zöld és kék szalag, a különböző méretű badge-eken pedig miért van különböző betűmérettel előre printelve a neve éppen serif és sans-serif betűtípussal is? [Például mosdóba menet vagy a parkolóban már ki lehet választani a megfelelőt megfigyelve, hogy a többi vendégen milyen van.] A magyarázatot a kognitív pszichológia és az attól elválaszthatatlan érzékelésbiológia adja meg. Hogy hogyan érzékeljük a környezetünket – és például a biztonsági őr hogyan, pontosabban milyen esetekben szúrhatja ki a fake-elt konferenciakitűzőt – a magyarázatot a kognitív pszichológia adja meg. Michael W. Eysenck és Mark T. Keane Kognitív pszichológia könyve az érzékelés minden részletére kitér, ahogyan a cím mutatja, arra is, hogy a kapott információkat milyen sémák szerint dolgozzuk fel, hogyan állapítunk meg összefüggéseket, tároljuk az emlékezetünkben és mindennek mik a tudományosan igazolt korlátai is. Alighanem lesznek olyanok, akik ugyan soha nem hitték volna magukról, hogy különösebben érdekelni fogja őket a tudat működése, ezt a könyvet nem fogják tudni letenni.
Ha valakit behatóbban érdekel, hogy pontosabban miért is úgy működik az emberi megismerés, ahogyan Alan Baddeley Az emberi emlékezet és Merlin Donald Az emberi gondolkodás eredete könyveiben talál elméletibb, de attól még közel sem száraz áttekintést.

Ahogy az OSINT-tel kapcsolatban meg szoktam jegyezni,  egyrészt nem kevés kört lehet megspórolni azzal, ha olyan tudományterületre is ellátogatunk, ami az egymással sokszor átfedésben lévő OSINT, a HUMINT és a social engineering legősibb alkalmazója, ez pedig a kriminalisztika. A Bócz Endre szerkesztésében megjelent Kriminalisztika I-II. ugyan sosem került könyvkereskedelmi forgalomba, minden nagyobb könyvtárban található belőle legalább egy helyben használható példány, a legújabb kiadás pedig közvetlenül a kiadótól megvásárolható. A megfelelő részek egyrészt olyan nyomozati módszereket ismertetnek, például a kriminalisztikai csapdával kapcsolatban, amik némi ötletességgel átültethető netes környezetbe anélkül, hogy kvázi újra fel kellene találnunk a kereket. Emellett a nyomtan és bizonyítástan része olyan szemléletmódot ad, ami nagyban megkönnyíti saját kutatások tervezését vagy konkrétan lehetetlen kutatást tervezni szakszerűen ezek ismerete nélkül.

A kriminalisztika nagy-nagy könyve is kitér rá, hogy a manipulációnak, hazugságnak nincs markere, még egy profi liespotter is a legjobb esetben csak annyit állapíthat meg biztosan valakinek a reakciója vagy reakciói időbeli egymásutánja alapján, hogy valami nem stimmel az adott kultúrában megszokott kommunikációhoz,  képest. Ezt azért fontos kiemelni, mert vannak olyan könyvek,  amik nagyon durva egyszerűsítésekkel élnek, például olyan kijelentéseket tesznek, hogy ha valaki egy kérdésre a megszokottnál nagyobb reakcióidő mellett válaszol  vagy félrenéz, esetleg annak jeleit mutatja, hogy zavarba jött, az biztosan hazudik vagy elhallgat valamit, ami nyilván nem igaz. Arra tekintettel, hogy manapság a hitelesség a legnagyobb érték hosszú távon, egy laikus által megállapított téves következtetés a másik szavahihetőségével kapcsolatban nagyon súlyos károkat okozhat. Számos oka lehet annak, ha valaki zavarba jön vagy más olyan jeleket mutat, amik általában
a hazugság jelei, de ennek további fejtegetése nem tárgya ennek a posztnak.

Methods of Persuasion – How to Use Psychology to Influence Human Behavior – Nick Kolenda könyve tudományos igényességgel, mégis érthetően mutat egy átfogó képet azzal kapcsolatban, hogy hogyan is befolyásolják az emberek egymást tudva vagy tudattalanul, ugyanakkor nem veszik el interperszonális pszichológiai részletekben, viszont a könyv végén, ahogy az egy jó könyvtől elvárható, bőséges irodalomjegyzéket találhatunk.

Elliot Aronson A társas lény című könyvére bátran mondhatjuk némi fahumorral, hogy be kellene tiltani, mert akkor biztosan többen olvasnák. És tényleg. Máig a legjobb tudományos ismeretterjesztő könyv a szociálpszichológia területén, ami több kísérlet bőséges leírásával és értelmezésével új megvilágításba helyezi a társadalmi jelenségek magyarázatát, másrészt az személyközti kapcsolatok természetét egyaránt. Ugyancsak Aronsontól ismerős lehet a szintén magyarul is megjelent Rábeszélőgép c. könyv, ami kimondottan a tömegkommunikáció és a propaganda tudományos bemutatására helyezi a hangsúlyt. Aki kedvet kap a témához, beszerezheti mellé Mackie és Smith “kavicsos” könyvét, ami még részletesebben tárgyal olyan, mindenki által érdekes témákat, mint amilyen az attitűdök és a viselkedés kapcsolata, a normák és a konformitás természete, hogyan látjuk önmagukat és hogyan látnak mások minket, de kitér a kísérlettervezés legfontosabb sajátosságaira is. Ez utóbbi viszont már kézikönyv, azaz a végigolvasás helyett hasznosabb, ha a minket érdeklő témáknak megfelelő sorrendben olvassuk a fejezeteket.
Bereczkei Tamás 60-adik születésnapja alkalmából megjelentetett Evolúciós pszichológia mesterfokon könyv, ismétcsak nem jobb vagy rosszabb, mint a professzor Evolúciós pszichológia című könyve, hanem másmilyen. A könyv olvasása közben többször is lehet amolyan aha-élményünk, emellett az emberi természetnek számos olyan sajátossága van, ami a szükséges mértékben csak akkor érthető meg, ha az olvasó azt is megérti, hogy ezek a sajátosságok miben is gyökereznek, legyen szó akár akadémiai terepen dolgozó kutatóról, akár social engineeringre, human intelligencere szakosodott játékosról.
Könnyen lehetséges, hogy még mindig nem sikerült teljesen meggyőzni néhány olvasót azzal kapcsolatban, hogy miért lehet szükség a no-tech-hacking módszerek tudományos hátterének ismeretére ilyen mélységben olyannak, akit végülis mégiscsak az információbiztonság érdekel. Természetesen ezek a könyvek az esetek többségében nem használhatók egyfajta szakácskönyvként, viszont a meglévő ismerteink közé integrálva például azt, hogy melyik mechanizmust mi triggereli a másikban, új, saját módszerek fejleszthetőek ki, emellett a meglévő módszereink tovább finomíthatóak, ami pedig esetenként legalább ilyen fontos lehet, ha nem is a magatartástudománnyal hivatásszerűen foglalkozó szakértelmével tudjuk szemlélni, hogy mi, miért, hogyan történik, de jóval magasabb szinten, mint a laikus.
A magatartástudományokkal kapcsolatban máig van egy olyan tévhit, ami szerint a klinikus és alapkutatásban dolgozó agyturkászok kísérletezgetnek, megfigyelgetnek, aztán cikkeznek arról, amire jutottak, de lehet, hogy az eredmények kiértékelése gyakorlatilag nem állja ki a tudományosság próbáját, például a megfigyelt jelenség nem csak azzal a modellel magyarázható, amit leginkább valószínűsítenek. Sigmund Freud tudománytörténeti jelentősége azért nagy, mert ő volt az első, aki szisztematikusan próbált magyarázatot adni az emberi viselkedés megfigyelhető sajátosságaira. Ma már tudvalevő, hogy Freud, Jung és sokan mások pipázgattak, elfilozofálgattak, majd leírtak olyan dolgokat, amik ma már nem mennének át egy komolyabb peer-review-n. A korszerű magatartástudománynak igen szigorú érvrendszere van, ennek megfelelően ha nem is veti ki magából maradéktalanul a bizonytalan modelleket és feltételezéseket, annyi bizonyos, hogy háttérbe szorítja azokat. Másként fogalmazva: bízhatunk benne, hogy egy-egy sokat idézett jelenség magyarázata nem tartalmazhat komoly mellényúlásokat és soha nem épít labilis előfeltevésekre, mint ahogy például Freud  számos elmélete.