Hej Legioniści! Troszkę już odgrzewany kotlet, bo post, który napisałam po angielsku w piątek, ale się nie mogłam zabrać za przetłumaczenie. Cały marzec jakoś mam niski poziom energii, nie wiem czy to ciągłe nawroty zimy, czy też coś innego.
Nie wiem czy ktoś tu obserwuje kanał Linus Tech Tips, ale nawet jeżeli nie, to temat jest warty przedyskutowania, bo przez ostatnie dwa miesiące był istny wysyp podobnych przypadków przejęć kont YouTube.
W czwartek rano na kanale Linus Tech Tips zauważono pewną podejrzaną aktywność. Wszystkie poprzednie filmy zostały ustawione jako niepubliczne lub usunięte, nazwa kanału została zmieniona na Tesla i transmitowano z niego transmisję na żywo z Elonem Muskiem mówiącym o kryptowalutach. Opublikowano tam również linki prowadzące do oszukańczych stron. W piątek po przywróceniu kanału został opublikowany nowy film. W nim Linus wyjaśnia, w jaki sposób dowiedział się o problemie i opowiada o większości nocy spędzonej na próbach przywrócenia konta.
Oczywiście mieli uwierzytelnianie dwuskładnikowe. Nie jest to jednak rozwiązanie kuloodporne, a niektóre sposoby uwierzytelniania są mniej bezpieczne niż inne. Na przykład uwierzytelnianie SMS, które jest jedną z najczęściej stosowanych metod, jest podatne na socjotechnikę wymierzoną w operatora telefonicznego. Uwierzytelnianie oparte na powiadomieniach jest podatne na atak zmęczeniowy, w którym jego właściciel jest spamowany przez wyzwalacze, dopóki przypadkowo bądź w chwili roztargnienia nie kliknie „zezwól” w wyskakującym okienku powiadomienia.
Tym razem jednak przestępcy posłuzyli się zupełnie inną metodą i nie potrzebowali logowania, hasła ani uwierzytelnienia. Postanowili sprytnie obejść używając do ataku tokena sesji.
Jak działa token sesji? Zasadniczo jest to plik cookie przechowywany lokalnie na Twoim urządzeniu, który jest tworzony po zalogowaniu i przejściu przez proces uwierzytelniania. W ten sposób nie musisz się ponownie logować po zamknięciu przeglądarki, ponieważ sesja jest utrzymywana.
W jakisposób hakerzy uzyskali dostęp do tego pliku? Użyli inżynierii społecznej. Myślę, że to nadal mieści się w definicji phishingu, ponieważ jedna z definicji, które znalazłam, jest następująca: Technika próby pozyskania poufnych danych, takich jak przykładowo numer konta bankowego; poprzez oszukańcze nakłanianie w wiadomości e-mail lub na stronie internetowej, na której sprawca podszywa się pod legalną firmę lub osobę o dobrej reputacji.
Linus opowiedział, że jakiś pracownik LTT Media , którego tożsamości nie zdradzi, otrzymał wiadomość e-mail rzekomo pochodzącą od jednego z ich sponsorów. Zawierała ona złośliwy załącznik. Ponieważ został on przedstawiony w sposób sugerujący, że jest to plik PDF zawierający warunki sponsoringu, nie zapaliły się żadne czerwone lampki. Jedyne, co się stało, to że "plik PDF" się nie chciał otworzyć. Jak się później okazało, w ciągu kilku sekund skopiował wszystkie dane z obu przeglądarek zainstalowanych w zaatakowanym systemie i wysłał do maszyny docelowej. Znajdowały się tam hasła i pliki cookie, w tym tokeny sesyjne, dla każdej witryny internetowej, która była obecna w historii przeglądarki.
Wyciągnięte wnioski: nigdy nie rozpakuj załącznika do wiadomości e-mail bez sprawdzenia po dwa i trzy razy czy wszystko jest w porządku, nawet jeśli pochodzi on z pozornie zaufanego źródła. Zawsze sprawdzaj rozszerzenia plików. Jeśli plik nie robi tego, co powinien, powinno to natychmiast powinna się zapalić czerwona lampka i wtedy najlepiej jest przeszukać komputer, pozmieniać hasła itp.
Jeśli masz firmę, taką jak na przykład jako większy streamer, Twoim obowiązkiem powinno być zapewnienie odpowiedniego szkolenia swoim pracownikom, zamiast obwiniać mniej doświadczonego pracownika za to że ktoś wykorzystał jego błąd. Bardziej rygorystyczne szkolenie w zakresie bezpieczeństwa na ogół się opłaca i zapobiega tego rodzaju atakom. Warto zauważyć, że metody ataków ewoluują i zmieniają się w podobnym tempie jak technologia.
Okazuje się również, że czasami korzystanie z channel managerów ma wady, komplikują one dostęp do kanału i utrudnia to działanie w przypadku gdy kanał zostanie przejęty przez niepożądane strony. Ponieważ kanałem może zarządzać wiele kont, nie było łatwo ustalić, które z nich zostało przejęte i odpowiedzialne za przejęcie kanału. Niestety ze wsparciem Google bywa różnie. Reagują dość szybko na potrzeby dużych klientów, ale nawet wtedy nie dostarczają zbyt wielu danych na temat procesu przywracania konta. Mniejsi klienci często muszą długo czekać na jakąkolwiek pomoc, a czasem w ogóle jej nie otrzymają.
Na koniec Linus bardzo dobrze zwraca uwagę na to, że Google zezwala na wykonanie zbyt wielu akcji na pojedynczym tokenie sesji. Na przykład nigdy nie powinno być możliwe usunięcie tysięcy filmów na jednym tokenie bez konieczności zapewnienia uwierzytelniania dwuskładnikowego.Wygaśnięcie zależy od czasu, ale trwa bardzo długo. Teoretycznie istnieje również wygaśnięcie oparte na lokalizacji, ale nawet z mojego doświadczenia wynika, że nie działa to zbyt dobrze. Nie powinno to pozwalać na nagłe logowanie z, powiedzmy, Nowej Zelandii, ale dość często tak jest. Powinno byc też wdrożone zanikanie na podstawie wykonanych akcji, po ang. rate limitation. Póki co, trzeba się mieć na baczności.
Nie wiem czy ktoś tu obserwuje kanał Linus Tech Tips, ale nawet jeżeli nie, to temat jest warty przedyskutowania, bo przez ostatnie dwa miesiące był istny wysyp podobnych przypadków przejęć kont YouTube.
W czwartek rano na kanale Linus Tech Tips zauważono pewną podejrzaną aktywność. Wszystkie poprzednie filmy zostały ustawione jako niepubliczne lub usunięte, nazwa kanału została zmieniona na Tesla i transmitowano z niego transmisję na żywo z Elonem Muskiem mówiącym o kryptowalutach. Opublikowano tam również linki prowadzące do oszukańczych stron. W piątek po przywróceniu kanału został opublikowany nowy film. W nim Linus wyjaśnia, w jaki sposób dowiedział się o problemie i opowiada o większości nocy spędzonej na próbach przywrócenia konta.
Oczywiście mieli uwierzytelnianie dwuskładnikowe. Nie jest to jednak rozwiązanie kuloodporne, a niektóre sposoby uwierzytelniania są mniej bezpieczne niż inne. Na przykład uwierzytelnianie SMS, które jest jedną z najczęściej stosowanych metod, jest podatne na socjotechnikę wymierzoną w operatora telefonicznego. Uwierzytelnianie oparte na powiadomieniach jest podatne na atak zmęczeniowy, w którym jego właściciel jest spamowany przez wyzwalacze, dopóki przypadkowo bądź w chwili roztargnienia nie kliknie „zezwól” w wyskakującym okienku powiadomienia.
Tym razem jednak przestępcy posłuzyli się zupełnie inną metodą i nie potrzebowali logowania, hasła ani uwierzytelnienia. Postanowili sprytnie obejść używając do ataku tokena sesji.
Jak działa token sesji? Zasadniczo jest to plik cookie przechowywany lokalnie na Twoim urządzeniu, który jest tworzony po zalogowaniu i przejściu przez proces uwierzytelniania. W ten sposób nie musisz się ponownie logować po zamknięciu przeglądarki, ponieważ sesja jest utrzymywana.
W jakisposób hakerzy uzyskali dostęp do tego pliku? Użyli inżynierii społecznej. Myślę, że to nadal mieści się w definicji phishingu, ponieważ jedna z definicji, które znalazłam, jest następująca: Technika próby pozyskania poufnych danych, takich jak przykładowo numer konta bankowego; poprzez oszukańcze nakłanianie w wiadomości e-mail lub na stronie internetowej, na której sprawca podszywa się pod legalną firmę lub osobę o dobrej reputacji.
Linus opowiedział, że jakiś pracownik LTT Media , którego tożsamości nie zdradzi, otrzymał wiadomość e-mail rzekomo pochodzącą od jednego z ich sponsorów. Zawierała ona złośliwy załącznik. Ponieważ został on przedstawiony w sposób sugerujący, że jest to plik PDF zawierający warunki sponsoringu, nie zapaliły się żadne czerwone lampki. Jedyne, co się stało, to że "plik PDF" się nie chciał otworzyć. Jak się później okazało, w ciągu kilku sekund skopiował wszystkie dane z obu przeglądarek zainstalowanych w zaatakowanym systemie i wysłał do maszyny docelowej. Znajdowały się tam hasła i pliki cookie, w tym tokeny sesyjne, dla każdej witryny internetowej, która była obecna w historii przeglądarki.
Wyciągnięte wnioski: nigdy nie rozpakuj załącznika do wiadomości e-mail bez sprawdzenia po dwa i trzy razy czy wszystko jest w porządku, nawet jeśli pochodzi on z pozornie zaufanego źródła. Zawsze sprawdzaj rozszerzenia plików. Jeśli plik nie robi tego, co powinien, powinno to natychmiast powinna się zapalić czerwona lampka i wtedy najlepiej jest przeszukać komputer, pozmieniać hasła itp.
Jeśli masz firmę, taką jak na przykład jako większy streamer, Twoim obowiązkiem powinno być zapewnienie odpowiedniego szkolenia swoim pracownikom, zamiast obwiniać mniej doświadczonego pracownika za to że ktoś wykorzystał jego błąd. Bardziej rygorystyczne szkolenie w zakresie bezpieczeństwa na ogół się opłaca i zapobiega tego rodzaju atakom. Warto zauważyć, że metody ataków ewoluują i zmieniają się w podobnym tempie jak technologia.
Okazuje się również, że czasami korzystanie z channel managerów ma wady, komplikują one dostęp do kanału i utrudnia to działanie w przypadku gdy kanał zostanie przejęty przez niepożądane strony. Ponieważ kanałem może zarządzać wiele kont, nie było łatwo ustalić, które z nich zostało przejęte i odpowiedzialne za przejęcie kanału. Niestety ze wsparciem Google bywa różnie. Reagują dość szybko na potrzeby dużych klientów, ale nawet wtedy nie dostarczają zbyt wielu danych na temat procesu przywracania konta. Mniejsi klienci często muszą długo czekać na jakąkolwiek pomoc, a czasem w ogóle jej nie otrzymają.
Na koniec Linus bardzo dobrze zwraca uwagę na to, że Google zezwala na wykonanie zbyt wielu akcji na pojedynczym tokenie sesji. Na przykład nigdy nie powinno być możliwe usunięcie tysięcy filmów na jednym tokenie bez konieczności zapewnienia uwierzytelniania dwuskładnikowego.Wygaśnięcie zależy od czasu, ale trwa bardzo długo. Teoretycznie istnieje również wygaśnięcie oparte na lokalizacji, ale nawet z mojego doświadczenia wynika, że nie działa to zbyt dobrze. Nie powinno to pozwalać na nagłe logowanie z, powiedzmy, Nowej Zelandii, ale dość często tak jest. Powinno byc też wdrożone zanikanie na podstawie wykonanych akcji, po ang. rate limitation. Póki co, trzeba się mieć na baczności.
Unamused Snarktooth. Advocate for hearing loss & accessibility. Person, friend and a terrible/terrific* artist.
*delete as appropriate
Aaricia
