Polityka i prawo
Polak odkrył lukę w uwierzytelnianiu dwuskładnikowym
Polski badacz cyberbezpieczeństwa Piotr Duszyński opracował narzędzie Modlishka, pozwalające na obchodzenie zabezpieczeń z wykorzystaniem uwierzytelniania dwuskładnikowego (2FA), a także automatyzację ataków phishingowych.
Według Duszyńskiego, stworzone przez niego narzędzie podważa poczucie bezpieczeństwa, jakie miało gwarantować uwierzytelnianie dwuskładnikowe. Modlishka pozwala na takie obejście zabezpieczeń, które jest bardzo trudne do wykrycia w przypadku szyfrowanego, zaufanego dla przeglądarki kanału komunikacji, jaki stanowi np. poczta elektroniczna Gmail od Google'a. Narzędzie napisane przez polskiego eksperta przechowuje także dane do logowania wykorzystywane w usługach internetowych, pozwalając na sprawniejsze przeprowadzanie ataków.
W rozmowie z PAP Duszyński twierdzi, że do czasu publikacji jego narzędzia toczyła się nieśmiała debata, czy aktualne zabezpieczenia uwierzytelniania dwuskładnikowego są wystarczające.
"Na przestrzeni ostatniego roku pojawiały się raporty m.in. organizacji Amnesty International, artykuły oraz inne wzmianki, w których podawano przykłady udanych ataków phishingowych z obejściem 2FA. To, że ktoś zamyka na coś oczy nie oznacza, że to nie istnieje" - mówi Duszyński.
Jak podkreśla, do tej pory obserwowano realne ataki przeprowadzane przez zorganizowane grupy przestępcze, natomiast użytkownicy oraz firmy zastanawiali się nad poziomem ryzyka zawodności zabezpieczeń przez uwierzytelnianie dwuskładnikowe.
"Teraz karty leżą na stole" - ocenia ekspert i dodaje, że w chwili opublikowania jego narzędzia do obchodzenia 2FA większość podmiotów zwróciła uwagę na realnie istniejący problem i zaczęła pracę nad nowymi rozwiązaniami, które mogą pomóc zabezpieczyć się przed atakami tego rodzaju. Zdaniem specjalisty wzrosła również świadomość istniejącego zagrożenia.
"Oczywiście istnieje ryzyko, że ktoś może wykorzystać to, czy podobne oprogramowanie we wrogi sposób bądź do złych celów. Idąc tą ścieżką nie powinniśmy publikować jednak żadnych narzędzi o potencjalnie ofensywnym zastosowaniu" - mówi Duszyński odpowiadając na pytanie o motywy publikacji Modlishki w serwisie GitHub. Jego zdaniem brak publikacji oznaczałby niemożność korzystania z "wielu świetnych aplikacji, które pozwalają obecnie identyfikować i naprawiać podatności w naszych systemach, a świat przestępczy rozkwitałby w najlepsze, żerując na naszej nieświadomości i prywatnych danych".
Duszyński podkreśla - publikacja Modlishki nie oznacza, że stosowanie uwierzytelniania dwuskładnikowego straciło sens.
"Gdyby to była prawda, powinniśmy również zrezygnować ze stosowania mocnych haseł, gdyż istnieje ryzyko ich przechwycenia przez osobę postronną" - mówi ekspert. W jego opinii zaznaczyć należy jednak, że mechanizm uwierzytelniania dwuskładnikowego nie jest zabezpieczeniem efektywnie chroniącym przed atakami socjotechnicznymi, takimi jak phishing.
"Aktualnie jedynym rozwiązaniem, które od strony technicznej chroni użytkownika, to sprzętowe tokeny oparte na protokole U2F" - mówi.
Specjalista ocenia, że ataki phishingowe wymierzone w konkretne osoby są obecnie ulubionym sposobem cyberprzestępców na uzyskanie dostępu do wrażliwych danych polityków, firm czy innych ważnych osób. Zdaniem Piotra Duszyńskiego kluczowa w tym wypadku jest odpowiednia edukacja osób o podwyższonym ryzyku.
"Ataki ukierunkowane mogą być bardzo skrupulatnie przygotowane pod konkretną osobę, a czasami wystarczy jedynie pojedyncze kliknięcie w zły załącznik lub link, by oddać dostęp do wrażliwych danych lub systemów grupie przestępczej" - przypomina ekspert.
SZP/PAP