Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
Рассмотрим все риски более подробно.
Кристофер больше всего испугался этого, но последствия здесь минимальны, этим можно воспользоваться разве только для розыгрыша (хотя и розыгрыш может иметь серьёзные последствия). Дело в том, что, SMS шлюзы, коих сейчас в интернете великое множество, позволяют указывать произвольный набор символов в качестве имени отправителя- это используется в основном для буквенного имени отправителя, но можно подставить и номер, причем любой. Из нескольких SMS шлюзов которые я протестировал, только у одного была процедура «модерации» имени отправителя, но и она, я так понял, не подразумевает проверки владения номером – я без проблем добавил номер знакомого в поле отправителя и отправил ему же тестовый SMS.
Во всех банках процедура проверки личности достаточно строгая (иногда доходит до абсурда). Но у мобильных операторов это не так, несмотря на то, что множество систем онлайн банкинга используют номер мобильного телефона для подтверждения транзакций. Приведу пример из своего опыта: я в этом году дважды заказывал дубликаты сим-карт (нужны были нано-симы) и в обоих случаях спросили только номер телефона и никакой идентификации личности, и это, заметьте, для post-paid контракта. Не далее, как вчера, ради интереса, проделал ту же операцию в соседней стране уже с pre-paid, и ситуация повторилась в точности – никаких документов не спрашивали. Во всех приведенных выше примерах действие происходило в странах центральной Европы.
Многие системы двухфакторной аутентификации, включая систему Google, предлагают, помимо SMS, обычный телефонный звонок, с помощью которого робот сообщает цифры одноразового пароля. Это удобно, если нет сотового телефона, или есть проблемы с уровнем сигнала в помещении. Однако, если на номере включена голосовая почта, это приводит к риску перехвата голосового сообщения. Так, например, произошло в 2012 году с CEO Cloudflare Мэтью Принцем. В этом инциденте частично использовалась социальная инженерия, однако можно обойтись и без этого метода: с помощью сервисов подмены номера звонящего (например, SpoofCard). Атака основана на том, что при доступе к голосовой почте, многие операторы не требуют дополнительной верификации если Caller-ID звонящего совпадает с номером абонента. Автралийский эскперт по безопасности Шубхам Шах провел достаточно обширное исследование, и выяснил что проблема существовала (у некоторых все еще существует) у таких ресурсов как Linkedin, Facebook, Google и др. По состоянию на сегодняшний день, проблема устранена у многих, но, например, Google и Yahoo не считают это уязвимостью и предпринимать ничего не собираются. Так что, совет – если у кого на этих сервисах основным методом выбран голосовой вызов, лучше поменять на SMS, а еще лучше: выбрать метод с мобильным приложением.
SMS и голосовые звонки конечно удобны, но как выясняется, не так безопасны и надежны, как те же мобильные приложения или аппаратные ключи. К слову сказать, мобильные приложения тоже не идеальны, но риски там на порядки меньше.
И еще, многим покажется прописной истиной, но тем не менее напомним, что, пароль все еще важен: преимущество двухфакторной авторизации именно в двух факторах, убрав пароль из процесса мы получим однофакторную с другими, но все же, рисками.
Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
Рассмотрим все риски более подробно.
Имперсонация
Кристофер больше всего испугался этого, но последствия здесь минимальны, этим можно воспользоваться разве только для розыгрыша (хотя и розыгрыш может иметь серьёзные последствия). Дело в том, что, SMS шлюзы, коих сейчас в интернете великое множество, позволяют указывать произвольный набор символов в качестве имени отправителя- это используется в основном для буквенного имени отправителя, но можно подставить и номер, причем любой. Из нескольких SMS шлюзов которые я протестировал, только у одного была процедура «модерации» имени отправителя, но и она, я так понял, не подразумевает проверки владения номером – я без проблем добавил номер знакомого в поле отправителя и отправил ему же тестовый SMS.
Дубликат сим-карты
Во всех банках процедура проверки личности достаточно строгая (иногда доходит до абсурда). Но у мобильных операторов это не так, несмотря на то, что множество систем онлайн банкинга используют номер мобильного телефона для подтверждения транзакций. Приведу пример из своего опыта: я в этом году дважды заказывал дубликаты сим-карт (нужны были нано-симы) и в обоих случаях спросили только номер телефона и никакой идентификации личности, и это, заметьте, для post-paid контракта. Не далее, как вчера, ради интереса, проделал ту же операцию в соседней стране уже с pre-paid, и ситуация повторилась в точности – никаких документов не спрашивали. Во всех приведенных выше примерах действие происходило в странах центральной Европы.
Голосовая почта
Многие системы двухфакторной аутентификации, включая систему Google, предлагают, помимо SMS, обычный телефонный звонок, с помощью которого робот сообщает цифры одноразового пароля. Это удобно, если нет сотового телефона, или есть проблемы с уровнем сигнала в помещении. Однако, если на номере включена голосовая почта, это приводит к риску перехвата голосового сообщения. Так, например, произошло в 2012 году с CEO Cloudflare Мэтью Принцем. В этом инциденте частично использовалась социальная инженерия, однако можно обойтись и без этого метода: с помощью сервисов подмены номера звонящего (например, SpoofCard). Атака основана на том, что при доступе к голосовой почте, многие операторы не требуют дополнительной верификации если Caller-ID звонящего совпадает с номером абонента. Автралийский эскперт по безопасности Шубхам Шах провел достаточно обширное исследование, и выяснил что проблема существовала (у некоторых все еще существует) у таких ресурсов как Linkedin, Facebook, Google и др. По состоянию на сегодняшний день, проблема устранена у многих, но, например, Google и Yahoo не считают это уязвимостью и предпринимать ничего не собираются. Так что, совет – если у кого на этих сервисах основным методом выбран голосовой вызов, лучше поменять на SMS, а еще лучше: выбрать метод с мобильным приложением.
Выводы
SMS и голосовые звонки конечно удобны, но как выясняется, не так безопасны и надежны, как те же мобильные приложения или аппаратные ключи. К слову сказать, мобильные приложения тоже не идеальны, но риски там на порядки меньше.
И еще, многим покажется прописной истиной, но тем не менее напомним, что, пароль все еще важен: преимущество двухфакторной авторизации именно в двух факторах, убрав пароль из процесса мы получим однофакторную с другими, но все же, рисками.