Sådan hackes twitter's tofaktorautentisering

Vi har påpeget nogle problemer med Twitter's nye tofaktorautentisering. Da bare et telefonnummer for eksempel kan tilknyttes en konto, fungerer Twitter's tofaktorautentifikation ikke for organisationer som Associated Press, The Onion eller The Guardian. De blev hacket; de kunne stadig blive hacket igen på samme måde. Sikkerhedseksperter viser dog, at problemet er værre end det, meget værre.

Twitter's totrinsprogram

Spørg Josh Alexander, administrerende direktør for autentificeringsselskabet Toopher, hvordan du går til at hacke Twitter nu, hvor tofaktorautentisering er på plads. Han vil fortælle dig, at du gør det nøjagtigt på samme måde, som du gjorde før indførelsen af ​​to-faktor-godkendelse.

I en kort, drolvideo om Twitter's tofaktorautentificering, lykønsker Alexander Twitter for at have deltaget i et "sikkerhedstrinsprogram i to trin" og taget det første skridt og indrømmer, at der findes et problem. Derefter fortsætter han med at illustrere, hvor lidt den sms-baserede tofaktorautentificering hjælper. "Din nye løsning efterlader døren åben, " sagde Alexander, "for de samme midt-mellem-angreb, der kompromitterede omdømme fra større nyhedskilder og berømtheder."

Processen starter med, at en hacker sender en overbevisende e-mail, en meddelelse, der beder mig om at ændre min Twitter-adgangskode, med et link til et falsk Twitter-sted. Når jeg først gør det, bruger hackeren mine fangne ​​loginoplysninger til at oprette forbindelse til den rigtige Twitter. Twitter sender mig en bekræftelseskode, og jeg indtaster den, hvorved den gives til hacker. På dette tidspunkt er kontoen pwned. Se videoen - den viser processen meget tydeligt.

Det kommer ikke som nogen overraskelse, at Toopher tilbyder en anden slags smartphone-baseret to-faktor-godkendelse. Toopher-løsningen holder styr på dine sædvanlige placeringer og sædvanlige aktiviteter og kan indstilles til automatisk at godkende sædvanlige transaktioner. I stedet for at sende en kode til dig for at gennemføre en transaktion, sender den en push-meddelelse med detaljer om transaktionen inklusive brugernavnet, webstedet og den involverede beregning. Jeg har ikke testet det, men det ser fornuftigt ud.

Undgå overtagelse af to faktorer

Sikkerhedsrockstjernen Mikko Hypponnen fra F-Secure udgør et endnu mere dybtgående scenario. Hvis du ikke har aktiveret tofaktorautentisering, kunne en ondsindet bruger, der får adgang til din konto, konfigurere den for dig ved hjælp af sin egen telefon.

I et blogindlæg påpeger Hypponen, at hvis du nogensinde sender tweets via SMS, har du allerede et telefonnummer tilknyttet din konto. Det er let at stoppe denne forening; bare tekst STOP til Twitter-kortkoden til dit land. Vær dog opmærksom på, at det ved at stoppe den også to-faktor-godkendelse. Afsendelse af GO tænder det igen.

Med dette i tankerne udgør Hypponen en skræmmende rækkefølge af begivenheder. Først får hacker adgang til din konto, måske via en spyd phishing-meddelelse. Derefter konfigurerer han din konto, så han sendes fra sin egen telefon til den passende kortkode og følger et par meddelelser, så tofaktorautentiseringskoden kommer til hans telefon. Du er spærret.

Denne teknik fungerer ikke, hvis du allerede har aktiveret tofaktorautentisering. "Måske bør du aktivere din kontos 2FA, " foreslog Hypponen, "før en anden gør det for dig." Det er ikke helt klart for mig, hvorfor angriberen først ikke kunne bruge SMS-forfalskning til at STOPPE to-faktor-godkendelse og derefter fortsætte med angrebet. Kunne jeg være mere paranoid end Mikko?