Kétlépcsős hitelesítés céges környezetben: elmélet és gyakorlat

ket-lepcsos-hitelesites.jpgEgészen hiteles, ugyan hatásvadász videó jelent meg nemrég a Youtube-on arról, hogy az USA elnökeit a Secret Service milyen elborult módon védi.

Ma már nem meglepő, hogy az olyan biztonsági intézkedéseket, amik már kötelezőek, szinte mind csak azt követően vezették be, hogy már bekövetkezett a baj korábban: például a Kennedy, aztán pedig a Reagan ellen irányuló merénylet után.

A rendszeradminisztráció területén általános tapasztalat, hogy céges security awarenes programok ide vagy oda, sokszor igen nehéz elérni azt, hogy az alkalmazottak tartsák be a jelszavakkal, azonosítással, megosztásokkal és egyebekkel kapcsolatos ajánlásokat vagy konkrét, company policybe foglalt szabályokat.

Szinte nem telik el hét, hogy ne jelenne meg hír valamilyen komoly breachről, amiben ráadásul olyan szervezetek érintettek sokszor, amikről a legkevésbé gondoltuk volna. Ki gondolta volna, hogy az IT security tanácsadás egyik flagshipjét, a Deloitte-ot olyan támadás éri, aminek következtében a támadó több millió emailhez férhetett hozzá, ráadásul az adminnak nem volt bekapcsolva a megfelelő helyen a kétlépcsős hitelesítés és persze nem kevés idő telt el, mire egyáltalán észlelték a sikeres betörést.

Nem taglaljuk, hogy mára tényleg bárki lehet célzott támadás áldozata, amit ideális esetben időben észlel és tud kezelni, akár végfelhasználóról, akár hypervisorról van szó.

Jól ismert, hogy sokszor a NIST jelszavakkal kapcsolatos ajánlásainak megfelelő jelszavak  használata ide vagy oda, ezek még mindig nem jelentenek megfelelő védelmet. Hiszen gondoljunk csak bele, hiába fut valakinek a gépén az AV-comparatives által legjobbra értékelt security suite, ellenőrizhetetlen, hogy a belépéshez használt jelszavát nem használja-e esetleg máshol is, nincs-e esetleg a gépére keylogger telepítve, amit az AV termék nem szúr ki.

Amiről pedig szinte sosem esik szó: ma már annyit helyet figyelnek biztonsági kamerák, hogy egyáltalán nem életszerűtlen egy olyan eset, amikor valaki például egy konferenciateremben beírja a jelszavát, amit a kamera rögzít, majd a kamera által rögzített felvételhez illetéktelen fér hozzá, ha pedig szerencséje van, konkrétan úgy le tudja lesni a begépelt vagy tableten tapogatott jelszót, mintha a háta mögül leskelődött volna.

Nincs mese, kétlépcsős hitelesítésre szükség van, kötelező jelleggel, ahol csak lehet, ágazatszerinti bontásban egészen jó kis gyűjtemény itt találunk azokról a helyekről, ahol bevezették.

De mi is az a 2-FA? Mindenféle tudományos blabla nélkül arról van szó, hogy a hagyományos bejelentkezést (név+jelszó) kiegészítjük egy olyan adat bekérésével, amit a felhasználó sem tud, hanem ott helyben meg kell kapnia. Ilyen például a bankok által kiküldött hitelesítési SMS-kód. Az alapeljárást persze ezerféleképpen, és ezerfélye kütyüvel lehet túlbonyolítani, a lényeg csupán annyi, hogy a hitelesítéshez nem elegendő az az információ, ami a felhasználó fejében van, mindenképpen kell valami (más forrásból származó) adat is.

PasswordPostIt_Sized_79937w1280h820Könyen belátható hogy ilyen környezetben még a sárga post-ittel a monitorra kiragasztott jelszó esetén sem teljesen reménytelen a hozzáférési rendszer fenntartása, mivel a jelszó önmagában nem elégséges a rendszer meghódításához.

A 2-FA kötelezővé tétele megvalósítás szempontjából egy konkrét szervezetnél már egy keményebb dió. A CISO-nak megfelelő kommunikációval meg kellene értetnie a szervezet tagjaival, hogy erre tényleg elengedhetetlenül szükség van. Persze előfordulhat, hogy magyarázat és elrettentő példák ide vagy oda, még ezt követően is lesz olyan, aki szükséges rossznak fogja tartani az egészet, nem pedig olyan változtatás bevezetéséről, amivel nem lehet tovább várni, mert legrosszabb esetben akár a céges adatvagyon nem kis része is veszélybe kerülhet nélküle.

Ami a biztonságtudatosságot fokozó programokkal kapcsolatban egy számunkra feledhetetlen történet, egy európai pénzintézet esete. A szóban forgó pénzintézet néhány alkalmazottját egy etikus hekkelést és auditot végző cég támadója felhívta, majd közölték velük, hogy karbantartást végeznek, ezért mindenkinek a jelszavát újra be kell állítani. Ember nem gondolná, hogy ilyen évtizedes csalásnak van, aki bedől, főleg egy pénzintézet esetén.

A támadó még csak nem is a jelszavát kérte el az áldozatoknak, mivel az túl gyanús lett volna: ehelyett arra kérte őket, hogy a jelszót állítsák be egy bizonyos értékre. A tesztelt felhasználók több, mint 80%-a (!!) ezt meg is tette, teljes hozzáférést adva ezzel a támadónak.

Az eredmény a cég CISO-ját is alaposan meglepte, majd a pénzintézeten belül az alkalmazottaknak bemutatták, hogy mennyire könnyű hozzáférést szerezni más fiókjához, a biztonságtudatosságot fokozó képzés pedig elengedhetetlen.

A tréningen nemcsak, hogy részt kellett vennie szinte mindenkinek, hanem utána még egy mini vizsgát is kellett tenniük abból, amit a tréningen hallottak. Egy esetből csak-csak megtanulták a leckét, nem?

Fél évvel később ugyanennél a szervezetnél az etikus hekker cég próbálkozott ugyanazzal a támadással, kéretik’ kitalálni, hogy a biztonságtudatossági tréningen részt vett és vizsgázott alkalmazottak mekkora része volt ugyanúgy átverhető, és ismét a támadó által megadott jelszót állította be! Még így is közel 30%-uk! A magyarázat, hogy vizsgáztak belőle ugyan, de nem vált a napi rutinjuk részévé, hogy ilyenre legyenek felkészültek, amit a tréningek valamilyen ismétlésével lehet elérni.

A témát sokszor még a biztonságtudatosabb felhasználók is elintézik annyival, hogy “a zemberek hülyék, nem lehet velük mit kezdeni”. Ami sarkítva igaz ugyan, de a támadás kifinomultságától függően sokszor még a biztonságtudatosabb felhasználók sem megtéveszthetetlenek, másrészt ha már kizárni nem lehet egy-egy breach-t, megvannak rá a technikák, amivel nagyban megnehezíthető a támadó dolga, erre egy kézenfekvő megoldás a kétlépcsős hitelesítés. (Megjegyzem, látszólag paradox módon előfordulhat, amikor éppen hogy csökkenti az effektív biztonságot a 2-FA.)

Nagyon megbízható megoldásnak tűnik a passwordless authentication, amit bárki kipróbálhat, miután létrehoz egy Yandex-fiókot. Az azonosítás ezen típusának bekapcsolásakor le kell töltenünk a Yandex Key mobilappot és be kell állítanunk egy alkalmazás PIN-t hozzá. Amikor pedig belépnénk a Yandex-fiókunkba, a felhasználói név megadása után a Yandex nem jelszót kér, hanem kidob egy QR-kódot a képernyőre, amit a Yandex Key mobilappal be kell olvasni, miután a mobilunkon megadtuk a helyes PIN-t.

Abban az esetben, ha helyes PIN-t adtunk meg, beolvastuk a QR-kódot, a Yandex szépen be is enged. Ha viszont a támadó ellopta az áldozat mobilját és fel is oldotta, hiába van nála a mobil, rajta a beállított Yandex Key alkalmazással, a mobilon a helytelen PIN megadása után hiába olvassa be a képernyőn megjelenő QR-kódon, a Yandex nem fogja beengedni.

Ami pedig külön trükkös megoldás benne, hogy a Yandex semmilyen információt nem ad arról, hogy az azonosítás miért hiúsult meg. Azért, mert a támadó a PIN-t helytelenül adta meg, vagy az áldozat gyorsan lépett és letiltotta a Yandex Key segítségével való bejelentkezés lehetőségét egy olyan eszközön, amin már be volt jelentkezve vagy mi is történt ténylegesem.

Ha nincs jelszó, nincs mit ellopni! A Yandex ugyan hasonlóan az Authy-hoz, nem pontosan aszerint a HOTP vagy TOTP séma szerint működik, mint a jól ismert Google Authenticatior, Microsoft Authenticatior vagy a Duo Mobile, nyilván az utóbbiak lesznek egyre támogatottabbak, ezeket szükséges bevezetni amint csak lehetséges.

Egyrészt silver bullet nyilván nincs. Másrészt olyan szolgáltatások is támadhatóak maradnak, amiről aztán tényleg ember nem gondolná, ahogy arról korábban a Google kapcsán jelent meg poszt.

Viszont az aktuálisan legjobb, ténylegesen bevezethető megoldások bevezetésével és a biztonságtudatosság fokozásával a biztonság elfogadható szintűre növelhető.

kép: CSOonline