<\/p>\n
A 2FA elterjed\u00e9se el\u0151tt a felhaszn\u00e1l\u00f3i fi\u00f3kok \u2013 \u00e9s \u00edgy az \u00e1ltaluk kezelt adatok \u2013 biztons\u00e1ga gyenge volt. Ennek oka az volt, hogy csak a felhaszn\u00e1l\u00f3i jelszavak akad\u00e1lyozt\u00e1k meg a hozz\u00e1f\u00e9r\u00e9st m\u00e9g a leg\u00e9rz\u00e9kenyebb adatokhoz is. Ez a sebezhet\u0151s\u00e9g ann\u00e1l is ink\u00e1bb nyilv\u00e1nval\u00f3 volt, mivel ezek a jelszavak \u00e1ltal\u00e1ban t\u00fal egyszer\u0171ek voltak, \u00e9s sz\u00e1mos platformon \u00fajrahasznos\u00edtott\u00e1k \u0151ket.<\/p>\n
Ez lehet\u0151s\u00e9g volt a kiberb\u0171n\u00f6z\u0151k sz\u00e1m\u00e1ra, akik \\”brute force\\” t\u00e1mad\u00e1sokkal k\u00e9pesek voltak \u00e1thatolni ezen a v\u00e9delmi szinten, vagy egy olyan egyszer\u0171 strat\u00e9gi\u00e1t alkalmaztak, hogy megpr\u00f3b\u00e1lt\u00e1k kital\u00e1lni a jelsz\u00f3t a nyilv\u00e1nosan el\u00e9rhet\u0151 adatok, sz\u00f3t\u00e1rak felhaszn\u00e1l\u00e1s\u00e1val. A legsz\u00e9ls\u0151s\u00e9gesebb esetekben az sem volt ritka, hogy az online f\u00f3rumokon olyan titkos\u00edtatlan adatb\u00e1zisokat tal\u00e1ltak, amelyek felhaszn\u00e1l\u00f3n\u00e9v\/jelsz\u00f3 kombin\u00e1ci\u00f3kat tartalmaztak. Ez aranyb\u00e1nya volt ak\u00e1r a kezd\u0151 kiberb\u0171n\u00f6z\u0151k sz\u00e1m\u00e1ra is, akik egyszer\u0171en megpr\u00f3b\u00e1lt\u00e1k ezeket m\u00e1s h\u00e1l\u00f3zati fi\u00f3kok \u00e9s webmailek ellen felhaszn\u00e1lni.<\/p>\n
Ennek eredm\u00e9nyek\u00e9ppen a v\u00e1llalatok rendszeresen szembes\u00fcltek sz\u00e1mos biztons\u00e1gi probl\u00e9m\u00e1val, mint p\u00e9ld\u00e1ul a vesz\u00e9lyeztetett felhaszn\u00e1l\u00f3i fi\u00f3kok, szem\u00e9lyazonoss\u00e1g-lop\u00e1s \u00e9s adatlop\u00e1s.<\/p>\n
<\/p>\n
A Data Breach Report legut\u00f3bbi jelent\u00e9se szerint a t\u00e1mad\u00e1sok 82%-a \u2019social engineering\u2019 technik\u00e1kon vagy az emberi hisz\u00e9kenys\u00e9g kihaszn\u00e1l\u00e1s\u00e1n alapul. Ennek a fenyeget\u00e9snek a lek\u00fczd\u00e9s\u00e9hez a hiteles\u00edt\u00e9si folyamat meger\u0151s\u00edt\u00e9s\u00e9re van sz\u00fcks\u00e9g.<\/p>\n
A k\u00e9tfaktoros hiteles\u00edt\u00e9s sor\u00e1n \u00e1ltal\u00e1ban egy egyszeri k\u00f3dot gener\u00e1l\u00f3 \u201ekulcstart\u00f3t\u201d haszn\u00e1lnak. Az RSA c\u00e9g \u00e1ltal kifejlesztett token rendszer lefektette a modern kiberbiztons\u00e1g alapjait. Az 1986-ban piacra dobott hardvereszk\u00f6z \u2013 amely egy kis sz\u00e1mol\u00f3g\u00e9pre hasonl\u00edt \u2013 egyszeri, ideiglenes biztons\u00e1gi k\u00f3dot gener\u00e1lt. A fizikai token az\u00f3ta \u00e1tadta hely\u00e9t a virtu\u00e1lis tokennek.<\/p>\n
B\u00e1r a v\u00e1llalatok a 2FA-t megfelel\u0151 kiberbiztons\u00e1gi gyakorlatk\u00e9nt fogadj\u00e1k el, ma m\u00e1r \u00e9rezhet\u0151, hogy megvannak a maga korl\u00e1tai.<\/p>\n
<\/p>\n
<\/p>\n
Kevin Mitnick m\u00e1r 2018-ban figyelmeztetett arra, hogy a kiberb\u0171n\u00f6z\u0151k kifinomult technik\u00e1kat fejlesztettek ki a k\u00e9tfaktoros hiteles\u00edt\u00e9s megker\u00fcl\u00e9s\u00e9re. Az egyik leggyakoribb m\u00f3dszer az, hogy egy rosszindulat\u00fa webhelyet hoznak l\u00e9tre \u201ekulcsrak\u00e9sz\u201d adathal\u00e1sz-programok seg\u00edts\u00e9g\u00e9vel. Ezen egy hamis bejelentkez\u00e9si oldalt haszn\u00e1lnak a felhaszn\u00e1l\u00f3k hiteles\u00edt\u00e9si adatainak vagy a s\u00fctiknek a begy\u0171jt\u00e9s\u00e9re. Ez egy rendk\u00edv\u00fcl hat\u00e9kony m\u00f3dszer, mivel az \u00e1ldozat k\u00e9s\u0151bb visszaker\u00fcl a legitim honlapra, an\u00e9lk\u00fcl, hogy \u00e9szrevenn\u00e9 a megt\u00e9veszt\u00e9st. A kiberb\u0171n\u00f6z\u0151k term\u00e9szetesen enn\u00e9l \u00f6sszetettebb technik\u00e1kat is alkalmaznak, p\u00e9ld\u00e1ul kifinomult \u201esocial engineering\u201d m\u00f3dszereket.<\/p>\n
A kiberb\u0171n\u00f6z\u0151k a kett\u0151s hiteles\u00edt\u00e9st \u201ebrute force\u201d (nyers er\u0151) elj\u00e1r\u00e1ssal is megker\u00fclhetik, automatiz\u00e1lva a biztons\u00e1gi k\u00f3dok minden lehets\u00e9ges kombin\u00e1ci\u00f3j\u00e1nak kipr\u00f3b\u00e1l\u00e1s\u00e1t. A gyakorlatban azonban az ilyen t\u00e1mad\u00e1sok viszonylag ritk\u00e1k, mivel id\u0151ig\u00e9nyesek, \u00e9s a csatlakoz\u00e1si k\u00eds\u00e9rletek blokkol\u00e1s\u00e1ra vonatkoz\u00f3 szab\u00e1lyokkal k\u00f6nnyen megakad\u00e1lyozhat\u00f3k. A m\u00e9g ritk\u00e1bb, de ugyanolyan hat\u00e9kony \\”Man-in-the-Middle\\” t\u00e1mad\u00e1sok kifinomult technik\u00e1kat haszn\u00e1lnak a 2FA-k\u00f3dok lehallgat\u00e1s\u00e1ra az\u00e1ltal, hogy behatolnak a felhaszn\u00e1l\u00f3 \u00e9s az alkalmaz\u00e1s k\u00f6z\u00e9.<\/p>\n
Kevin Mitnickhez hasonl\u00f3an az Amnesty International is m\u00e1r 2018-ban figyelmeztette a felhaszn\u00e1l\u00f3kat a 2FA gyenges\u00e9geire. Az Amnesty Tech egy kifinomult adathal\u00e1szkamp\u00e1nyt vizsg\u00e1lt, amely \u00fajs\u00e1g\u00edr\u00f3kat \u00e9s emberi jogi aktivist\u00e1kat c\u00e9lzott meg a K\u00f6zel-Keleten \u00e9s \u00c9szak-Afrik\u00e1ban. A kiberb\u0171n\u00f6z\u0151k a Google \u00e9s a Yahoo bejelentkez\u00e9si oldalait reproduk\u00e1lt\u00e1k. Miut\u00e1n a felhaszn\u00e1l\u00f3k megadt\u00e1k az e-mail c\u00edm\u00fcket, a rosszindulat\u00fa fel\u00fclet elk\u00e9rte t\u0151l\u00fck a 6 sz\u00e1mjegy\u0171 hiteles\u00edt\u00e9si k\u00f3dot, amelyet \u00e9ppen az im\u00e9nt k\u00fcldtek nekik SMS-ben. A hiteles\u00edt\u0151 adatok ismeret\u00e9ben a t\u00e1mad\u00f3k hozz\u00e1f\u00e9rhettek \u00e1ldozataik e-mail fi\u00f3kjaihoz.<\/p>\n
Ugyanebben az \u00e9vben a Reddit k\u00f6z\u00f6ss\u00e9gi h\u00e1l\u00f3zat is kibert\u00e1mad\u00e1st szenvedett el, amely a k\u00e9tfaktoros hiteles\u00edt\u00e9st \u00fagy ker\u00fclte meg, hogy elfogt\u00e1k n\u00e9h\u00e1ny alkalmazottj\u00e1nak SMS-hiteles\u00edt\u00e9si k\u00f3dj\u00e1t. B\u00e1r a kiberb\u0171n\u00f6z\u0151k nem tudt\u00e1k m\u00f3dos\u00edtani a platformon l\u00e9v\u0151 adatokat, megszerezt\u00e9k a \u201eread-only\u201d jogosults\u00e1got a forr\u00e1sk\u00f3d elemeihez, a napl\u00f3f\u00e1jlokhoz \u00e9s a biztons\u00e1gi ment\u00e9sekhez.<\/p>\n
A Microsoft szerint a 2021 szeptembere \u00e9s 2022 janu\u00e1rja k\u00f6z\u00f6tti id\u0151szakban egy massz\u00edv c\u00e9lzott adathal\u00e1sz (spear phishing) t\u00e1mad\u00e1s t\u00f6bb mint 10 000 v\u00e1llalatot \u00e9rintett. Az AiTM (Adversary-in-the-Middle) n\u00e9ven ismert m\u00f3dszer l\u00e9nyege az volt, hogy az \u00e1ldozatot \u00e1tir\u00e1ny\u00edtott\u00e1k egy hamis microsoftos bejelentkez\u00e9si oldal\u00e1ra, \u00e9s ellopt\u00e1k a bejelentkez\u00e9si s\u00fctit. A kiberb\u0171n\u00f6z\u0151 ezut\u00e1n szabadon k\u00fcldhetett adathal\u00e1sz e-maileket az \u00e1ldozat e-mail fi\u00f3kj\u00e1b\u00f3l. Ez az egyik legnehezebben felder\u00edthet\u0151 eset, mivel a csal\u00e1rd e-mailt mag\u00e1r\u00f3l a Microsoft infrastrukt\u00far\u00e1j\u00e1b\u00f3l k\u00fcldik, kihaszn\u00e1lva a Microsoft IP-c\u00edmek megb\u00edzhat\u00f3s\u00e1g\u00e1t.<\/p>\n
A fentieket olvasva jogos a k\u00e9rd\u00e9s. Egy egyszer\u0171 jelsz\u00f3n\u00e1l mindenk\u00e9pp megb\u00edzhat\u00f3bb. Az esetleges kij\u00e1tsz\u00e1sa ellen azonban elengedhetetlen\u00fcl fontos, hogy tov\u00e1bbi int\u00e9zked\u00e9sekkel er\u0151s\u00edts\u00fck meg a k\u00e9tl\u00e9pcs\u0151s autentik\u00e1ci\u00f3t.<\/p>\n
A hozz\u00e1f\u00e9r\u00e9s biztons\u00e1g\u00e1nak meger\u0151s\u00edt\u00e9se \u00e9rdek\u00e9ben a t\u00f6bbl\u00e9pcs\u0151s hiteles\u00edt\u00e9s (MFA) t\u00f6bb hiteles\u00edt\u00e9si \u201efaktort\u201d is bevezet. A multifaktoros hiteles\u00edt\u00e9s bizony\u00edt\u00e1si pontokat k\u00e9r a hozz\u00e1f\u00e9r\u00e9si enged\u00e9ly megad\u00e1s\u00e1hoz.<\/p>\n
Ezeket a faktorokat a francia ANSSI \u00fcgyn\u00f6ks\u00e9g hivatalos aj\u00e1nl\u00e1saiban n\u00e9gy kateg\u00f3ri\u00e1ba sorolja. K\u00fcl\u00f6nb\u00f6z\u0151 t\u00edpus\u00faak lehetnek, p\u00e9ld\u00e1ul:<\/p>\n
Ismert faktorok, mint p\u00e9ld\u00e1ul egy jelsz\u00f3 vagy egy biztons\u00e1gi k\u00e9rd\u00e9s;
\n
Birtokolt faktorok, azaz fizikai (smartcard, SecurID kulcs) vagy digit\u00e1lis (telefon, mobilalkalmaz\u00e1s) biztons\u00e1gi tokenek, amelyek egyszeri (one-time) k\u00f3dot gener\u00e1lnak;
\n
Biometrikus faktorok, azaz DNS, ujjlenyomat, retinanyomat, arcfelismer\u00e9s, hangfelismer\u00e9s;
\n
El\u0151\u00e1ll\u00edtott faktorok, mint p\u00e9ld\u00e1ul a helymeghat\u00e1roz\u00e1s, a mozdulatok \u00e9s gesztusok, valamint a viselked\u00e9selemz\u00e9s.<\/p>\n
A biztons\u00e1g tov\u00e1bbi jav\u00edt\u00e1s\u00e1ra m\u00e1r sz\u00e1mos megold\u00e1s sz\u00fcletett. Ezek k\u00f6z\u00e9 tartozik az \u201eout-of-band\u201d hiteles\u00edt\u00e9s, amely k\u00e9t k\u00fcl\u00f6nb\u00f6z\u0151 kommunik\u00e1ci\u00f3s csatorn\u00e1n kereszt\u00fcl t\u00f6rt\u00e9n\u0151 felhaszn\u00e1l\u00f3i ellen\u0151rz\u00e9st ig\u00e9nyel. Ebben az esetben az egyik faktort p\u00e9ld\u00e1ul egy Ethernet-h\u00e1l\u00f3zaton kereszt\u00fcl, m\u00edg egy m\u00e1sikat a 4G-h\u00e1l\u00f3zaton kereszt\u00fcl lehetne elk\u00fcldeni. Egy m\u00e1sik lehet\u0151s\u00e9g a hangfelismer\u0151 technol\u00f3gia haszn\u00e1lata, amely k\u00e9pes felismerni a mesters\u00e9ges intelligencia \u00e1ltal gener\u00e1lt hangokat. Az ilyen technik\u00e1k alkalmaz\u00e1sa azonban egyel\u0151re korl\u00e1tozott, els\u0151sorban a megval\u00f3s\u00edt\u00e1suk k\u00f6lts\u00e9gei miatt.<\/p>\n
Ez\u00e9rt fontos tiszt\u00e1ban lenni azzal, hogy a 2FA \u2013 \u00e9s kisebb m\u00e9rt\u00e9kben az MFA \u2013 sebezhet\u0151 a rendk\u00edv\u00fcl kifinomult kibert\u00e1mad\u00e1sokkal szemben m\u00e9g akkor is, ha mindenk\u00e9pp el\u0151rel\u00e9p\u00e9st jelentenek az egyszer\u0171 bejelentkez\u00e9si m\u00f3dszerekhez k\u00e9pest. Ezek a hiteles\u00edt\u00e9si m\u00f3dszerek teh\u00e1t nem v\u00e1ltak elavultt\u00e1, mivel a leggyakrabban el\u0151fordul\u00f3 kibert\u00e1mad\u00e1sokat meg tudj\u00e1k \u00e1ll\u00edtani. A k\u00e9tl\u00e9pcs\u0151s hiteles\u00edt\u00e9s helyes alkalmaz\u00e1sa tov\u00e1bbra is kulcsszerepet j\u00e1tszik abban, hogy egy v\u00e1llalatban magas szint\u0171 hozz\u00e1f\u00e9r\u00e9si biztons\u00e1got lehessen megval\u00f3s\u00edtani. Ahogy az lenni szokott, minden a kock\u00e1zatkezel\u00e9sen \u00e9s a kock\u00e1zat cs\u00f6kkent\u00e9s\u00e9hez sz\u00fcks\u00e9ges beruh\u00e1z\u00e1sokon m\u00falik.<\/p>\n
A RelNet gy\u00e1rt\u00f3i portf\u00f3li\u00f3j\u00e1b\u00f3l a hiteles\u00edt\u00e9si biztons\u00e1g n\u00f6vel\u00e9se \u00e9rdek\u00e9ben a Stormshield SNS t\u0171zfaleszk\u00f6zeit <\/a> aj\u00e1nljuk. Tov\u00e1bb\u00e1 a Stormshield XDR <\/a> megold\u00e1s\u00e1val \u00f6sszef\u00fcgg\u00e9sbe helyezhet\u0151k a h\u00e1l\u00f3zatr\u00f3l \u00e9s v\u00e9gpontokr\u00f3l begy\u0171jt\u00f6tt inform\u00e1ci\u00f3k a fenyeget\u00e9sek cs\u00f6kkent\u00e9se \u00e9rdek\u00e9ben. Keresse bizalommal a RelNet szak\u00e9rt\u0151it!<\/p>\nForr\u00e1s<\/h5>\n