Zlecenie przelewu, zakupy przez Internet, elektroniczna rejestracja na wizytę lekarską – te czynności tworzą naszą codzienność. Wykonujemy je wręcz mechanicznie, a całość zajmuje zaledwie chwilę. Pamiętamy jednak, że nie tak dawno ich przebieg był znacznie bardziej skomplikowany i czasochłonny. Jesteśmy przyzwyczajeni, że aby przeprowadzić daną operację, wystarczy potwierdzić swoją tożsamość i podać dane. Choć czy w czasach, gdy słyszymy o tylu wyciekach danych, jest to wystarczająco bezpieczny sposób weryfikacji? Według raportu CERT Orange Polska dotyczącego cyberbezpieczeństwa, szczególną uwagę należy zwrócić na zagrożenie, jakim jest phishing. Ta forma ataku stanowi znaczący procent zagrożeń, a obserwacje wskazują, że tendencja ta będzie się nasilać .
Co to jest phishing
Phishing to metoda oszustwa, która polega na wyłudzeniu od użytkownika danych poufnych przy pomocy fałszywych stron internetowych. Hakerzy podszywają się pod jakąś osobę lub instytucje w celu pozyskania jakieś informacji, nakłonienia do wykonania jakieś czynności. Aby pozyskać dane, bazują na najsłabszym ogniwie ochrony, czyli na człowieku i powołują się na siłę przyzwyczajeń.
Częstą strategią phishingu jest wykorzystywanie linków prowadzących do nieprawdziwych witryn, łudząco przypominających te, które znamy. Podobieństwo bywa ogromne, a strony mogą różnić się na przykład drobnym szczegółem. Przykładowo chodzi czasem jedynie o znak diakrytyczny – „e” w alfabecie łacińskim i „ę” w polskim wyglądają bardzo podobnie, co w połączeniu z kompozycją i kolorystyką strony (niemal identycznymi z oryginalną) prowadzi do wprowadzenia przez użytkownika danych logowania na takiej fałszywej stronie.
Tego typu ataki odbywają się również za pośrednictwem wiadomości mailowych, a nawet głosowych. Czym to się kończy? Przejęciem konta, często wielu kont – nieświadomi tego procederu użytkownicy używają często tego samego hasła w wielu aplikacjach. Dane wrażliwe, prywatne wiadomości i konto bankowe stają się łatwym celem ataków. Cyberincydenty dotyczą zarówno osób prywatnych, jak i dużych organizacji.
Biznesowe konsekwencje ataku
Żyjemy w epoce danych, co oznacza, że w świecie, w którym funkcjonujemy, są one cenniejsze niż pieniądze. Kradzież tożsamości i utrata istotnych danych jest problematyczna dla każdego użytkownika, jednak z tym zagrożeniem powinni liczyć się szczególnie przedsiębiorcy. Cyberatak łączy się nie tylko z czasowym przestojem w pracy, opóźnieniami w produkcji czy stratami związanymi z koniecznością zniwelowania szkód. Równie dotkliwe i długotrwałe co straty finansowe okazują się straty wizerunkowe. Firma, która padnie ofiarą hakerów, traci wiarygodność a tym samym zaufanie klientów. Kompetencje danego przedsiębiorstwa zostają podważone, a skoro nie radzi sobie ono z ochroną własnych danych, jaką gwarancję bezpieczeństwa da swoim klientom? Kryzys wizerunkowy będący skutkiem wycieku danych może znacząco wpłynąć na prosperowanie przedsiębiorstw. Dlatego lepiej zapobiegać, stosując dedykowane środki zapobiegawcze.
Metody uwierzytelnienia – wady i zalety popularnych rozwiązań
W dyskusji dotyczącej cyberbezpieczeństwa pojawiają się istotne głosy dotyczące zapobiegania kradzieży danych. Znawcy branży utrzymują, że skutecznym rozwiązaniem jest dwuetapowa weryfikacja. Może ona uchronić użytkowników przed utratą dostępu do danych (czy to pieniędzy w banku, czy konta email z ważnymi informacjami). Rozbudowany proces uwierzytelnienia zakłada nie tylko użycie loginu i hasła, wymaga dodatkowego elementu, w postaci kodu, potwierdzenia z mobilnej aplikacji czy podpięcia klucza. Przyjrzyjmy się więc najczęściej wykorzystywanym metodom 2FA (two factor authentication) i prześledźmy ich zalety i wady.
Kody SMS
Najprostszą i z pewnością znaną większości użytkowników metodą uwierzytelniania dwuetapowego jest kod SMS. Podczas logowania do swojego konta, po użyciu loginu i hasła, użytkownik proszony jest o wpisanie jednorazowego kodu wysyłanego na jego numer telefonu za pomocą SMS. Główną zaletą tego popularnego rozwiązania jest jego dostępność. Obecnie prawie każdy posiada swój telefon komórkowy. Wpisanie otrzymanego kodu nie jest wymagającą czynnością, co z pewnością docenią użytkownicy aplikacji kierowanych nie tylko do osób biegłych w nowych technologiach. Ponadto stworzenie kodu oprogramowania wysyłającego kody SMS nie jest skomplikowane. Szybkość i łatwość implementacji są więc kolejnym walorem przemawiającym na korzyść tej metody.
Mimo swej powszechności, weryfikacja opierająca się na kodzie SMS nie jest najbardziej skuteczną metodą zabezpieczenia danych. Eksperci wskazują na szereg uchybień systemu, od tak prozaicznych, jak możliwość zgubienia bądź kradzieży telefonu, po te niezależne od użytkowników aplikacji i jej twórców. Tu warto wspomnieć o wątpliwościach dotyczących słabego zabezpieczenia sieci GSM oraz możliwość ataku przy użyciu duplikatu karty SIM. Atakujący, używając danych osobowych właściciela telefonu zdobytych z wycieków, mogą zamówić u operatora komórkowego duplikat karty SIM. Istnieje zatem dość wyraźna luka w zabezpieczeniu, która stwarza możliwość wykradzenia danych przez hakerów.
Jednorazowe kody kilkucyfrowe
Chęć udoskonalenia metody bazującej na kodach SMS doprowadziła do stworzenia jednorazowych kodów weryfikujących tożsamość. Ta popularna metoda 2FA bazuje na tworzeniu kodów w aplikacji na telefonie. Istnieje wiele aplikacji, które pozwalają na generowanie jednorazowych kodów potwierdzających tożsamość użytkownika – najpopularniejsza z nich to na przykład Google Authenticator. Na jakiej zasadzie działa? Serwer w momencie tworzenia profilu dla danego użytkownika generuje 80bitowy klucz. Klucz ten prezentowany jest aplikacji Authenticator jako kod kilkucyfrowy do zeskanowania. Na jego podstawie aplikacja generuje hash oparty o algorytm HMAC-SHA1. Część tego hasha jest następnie wyświetlana użytkownikowi jako 6-cyfrowy kod.
Rozwiązanie to pozwoliło wyeliminować obawy związane z siecią GSM. Aplikacja generuje kody jednorazowe w pamięci telefonu, bez udziału sieci. Dodatkowym ułatwieniem jest brak konieczności komunikacji między serwerem a generatorem kodu. Po ustawieniu początkowej konfiguracji działa on niezależnie. Plusem metody weryfikacji opartej o jednorazowe kody jest też jej szeroka dostępność. Obecnie smartfon jest przedmiotem użytku codziennego większości osób. Z drugiej strony wygląda na to, że to właśnie smartfon jest największą słabością tego sposobu weryfikacji. Klucz, na podstawie którego generowane są kody, jest przechowywany w pamięci telefonu, co za tym idzie, jest podatny na wyciek przez wykorzystanie złośliwych aplikacji. Należy pamiętać, że możliwość generowania jednorazowych kodów nie chroni przed próbami wykradzenia danych. Nadal nie jesteśmy bezpieczni w przypadku klasycznego phishingu opartego o „podstawioną” stronę internetową.
Klucz sprzętowy FIDO U2F
W hierarchii skuteczności najwyżej plasuje się klucz U2F. Pozwala on na wyeliminowanie wad poprzednich propozycji. Jest to fizyczne urządzenie, które może połączyć się zarówno z komputerem (za pomocą portu USB), jak i telefonem (używając w tym celu technologii NFC lub Bluetooth). Podczas rejestracji urządzenia, użytkownik generuje losowy numer identyfikacyjny. Numer ten składa się z nazwy domeny, na której go rejestrujemy, oraz ze specjalnego, tajnego klucza, przechowywanego stale na urządzeniu. Następnie urządzenie tworzy na tej podstawie klucz prywatny oraz publiczny. Klucz prywatny zostaje na urządzeniu, a jego publiczny odpowiednik jest wysyłany do serwera, na którym użytkownik chce uruchomić usługę U2F.
Logowanie za pomocą klucza sprzętowego polega na wygenerowaniu żądania przez stronę, której używa użytkownik. Następnie klucz U2F sprawdza, czy żądanie pochodzi ze strony zarejestrowanej w poprzednim kroku. Jeżeli zgodność zostaje potwierdzona, urządzenie podpisuje żądanie kluczem prywatnym i odsyła do serwera. Tak przebiegający proces weryfikacji jest o wiele bardziej skuteczny i bezpieczny, a ponadto eliminuje wady poprzednich rozwiązań.
Zalety klucza sprzętowego FIDO U2F
Niewątpliwą zaletą tego sposobu weryfikacji jest fakt, że klucz sprzętowy jest dostępnym i intuicyjnym w konfiguracji urządzeniem. Komunikacja odbywa się przez USB, NFC, Bluetooth, co czyni to narzędzie łatwym w obsłudze. Dodatkowo przedmiot jest małych rozmiarów, a przez to bez problemu mozna go przenosić. Co za tym idzie, zawsze można mieć go przy sobie, na przykład w charakterze breloka do kluczy. Jednak co ważniejsze, zwłaszcza w kontekście wyjściowego zagadnienia, to urządzenie odporne na phishing. Innowacyjność tego rozwiązania polega na tym, że klucz sam sprawdza poprawność strony internetowej, na której chce się go użyć. Co więcej – podpisywanie żądania leży jedynie po stronie klucza sprzętowego. Nie ma zatem możliwości przejęcia klucza prywatnego przez złośliwe aplikacje, co stanowi gwarancję bezpieczeństwa operacji przeprowadzanych z jego użyciem.
Wady klucza sprzętowego FIDO U2F
Jak każda z poprzednio wymienionych metod weryfikacji, tak i klucz sprzętowy nie jest wolny od wad. Użytkownicy zwracają uwagę na męczącą konieczność noszenia tego urządzenia ze sobą i potrzebę wyrobienia w sobie nawyku przemieszczania się nie tylko z telefonem komórkowy, ale też i z kluczem. Jak każdy przedmiot, klucz sprzętowy może też ulec uszkodzeniu. Dla pełnego bezpieczeństwa zaleca się posiadanie 2 urządzeń tego typu, co pozwoli w przypadku utraty bądź uszkodzenia jednego z nich, dostać się do swojego konta. Pozostaje jeszcze kwestia finansów – zaopatrzenie się w takie urządzenie wiąże się z wydatkami. Najtańsze klucze sprzętowe można kupić za około 40€, co stanowi relatywnie mały wydatek w obliczu zalet tego rozwiązania.
Podsumowanie
Choć pomysłowość złodziei danych zaskakuje, posługują się oni standardowymi metodami ataków, które można nauczyć się rozpoznawać. Warto wdrożyć do codziennej aktywności w Internecie kilka dobrych nawyków, które zmniejszą ryzyko otworzenia fałszywej wiadomości czy skorzystania z trefnej strony www. Nie wpadniesz w sieć phishera, ograniczając zaufanie do podejrzanych linków, wiadomości z plikami do pobrania otrzymywanych z nieznanego źródła, stron wymuszających podanie danych. Dobrą praktyką jest używanie managerów haseł, które są w stanie generować złożone, unikalne hasła, jednocześnie ograniczając konieczność ich zapamiętania. Użytkownikom, którym zależy na bezpieczeństwie, rekomendujemy skorzystanie z technicznego zabezpieczenia przed phishingiem. Na ten moment jedynym rozwiązaniem, które skutecznie chronić przez próbami kradzieży danych, jest klucz sprzętowy. Koszt takiego urządzenia to niewielka cena za bezpieczeństwo danych poufnych, kont w mediach społecznościowych, czy kont bankowych i znajdujących się na nich środków.
Dlaczego my?
Dziękujemy za przeczytanie naszego artykułu w całości. Jeżeli zależy Ci na bezpieczeństwie danych i nie chcesz narażać swojej firmy na straty finansowe i wizerunkowe, rozważ współpracę ze specjalistami. Wierzymy w Digital Orchestration, dlatego zależy nam nie tylko na dostarczeniu najnowszej technologii, ale też na kompleksowości i bezpieczeństwie rozwiązania. Pracujemy nad bezpieczeństwem i jakością kodu, zajmujemy się również testami oprogramowania, które eliminują ryzyko jego nieprawidłowego działania. Jako Globalny Integrator Systemów świadczymy usługi z zakresu wdrażania technologii i doradztwa biznesowego – zapraszamy do kontaktu: kontakt@ttpsc.pl .