Video: Twitter Gets Hacked & Kanye Is on Oklahoma’s Ballot | The Daily Social Distancing Show (Oktober 2024)
Fra landet med " hvis kun… " Hvis Associated Press havde oprettet tofaktorautentificering med sin Twitter-konto, ville pro-syriske hackere ikke have været i stand til at kapre kontoen og skabe ødelæggelse.
Dejlig og ryddig idé, men i virkeligheden nej. Selvom tofaktorautentisering er et kraftfuldt værktøj til at sikre brugerkonti, kan det ikke løse alle problemer. At have to-faktor ville ikke have hjulpet @AP, fordi hackerne brød ind via et phishing-angreb. Modstandere ville bare finde en anden måde at narre brugerne på at omgå sikkerhedslaget, sagde Aaron Higbee, CTO for PhishMe.
Tirsdag kaprede pro-syriske hackere AP Twitter-kontoen og udsendte en falsk nyhedsalarm med påstand om en eksplosion i Det Hvide Hus og at præsidenten var blevet såret. I løbet af de tre eller fire minutter, før AP-medarbejdere regnede ud, hvad der skete og sagde, at historien var falsk, investorer panik og fik Dow Jones Industrial gennemsnit til at tumle over 148 point. Bloomberg News vurderede, at dukkert "udslettet" 136 milliarder dollars fra S&P 500-indekset.
Forudsigeligt kritiserede et antal sikkerhedseksperter øjeblikkeligt Twitter for ikke at tilbyde tofaktorautentisering. "Twitter har virkelig brug for at få tofaktorautentifikation hurtigt rullet ud. De er langt bagefter markedet på dette, " sagde Andrew Storms, direktør for sikkerhedsoperationer i nCircle, i en e-mail.
Grupper kontra individuelle konti
To-faktor-godkendelse gør det sværere for angribere at kapre brugerkonti ved hjælp af brute-force-metoder eller stjæle adgangskoder via social engineering-metoder. Det antages også, at der kun er en bruger pr. Konto.
"To-faktor-godkendelse og andre foranstaltninger vil hjælpe med at reducere hacks mod individuelle konti. Men ikke gruppekonti, " sagde Sean Sullivan, en sikkerhedsforsker hos F-Secure, til SecurityWatch .
AP havde, ligesom mange andre organisationer, sandsynligvis flere ansatte postet til @AP i løbet af dagen. Hvad ville der ske, når nogen forsøger at sende på Twitter? Hvert loginforsøg kræver den person, der har den registrerede enhed, hvad enten det er en smartphone eller en hardware-token, for at angive andenfaktorkode. Afhængig af den mekanisme, der er på plads, kan dette være hver dag, nogle få dage eller når der tilføjes en ny enhed.
"Det bliver en temmelig væsentlig blokering for produktivitet, " fortalte Jim Fenton, CSO for OneID, til SecurityWatch .
Lad os sige, at jeg gerne vil postere til @SecurityWatch. Jeg skulle enten IM eller ringe til min kollega, der "ejede" kontoen for at få to-faktorskoden. Eller jeg behøvede ikke at logge ind i 30 dage, fordi min bærbare computer var en autoriseret enhed, men nu er det den 31. dag. Og weekenden. Forestil dig de potentielle minefelter inden for social teknik.
”Kort sagt, to-faktor-godkendelse er ikke tilstrækkelig til at beskytte mennesker, ” sagde Sullivan.
To-faktorautentisering ikke en kur-alt
To-faktor-godkendelse er en god ting, et kraftfuldt værktøj, men det kan ikke gøre alt, såsom at forhindre phishing-angreb, sagde Fenton. Under almindelige tofaktors autentificeringsløsninger kan brugerne nemt blive narret til at autentificere adgang uden at indse det, sagde Fenton.
Forestil dig, hvis jeg havde sendt min chef SMS: Kan ikke logge ind på @securitywatch. Send mig en kode?
To-faktor-godkendelse gør det vanskeligere at phish en konto, men forhindrer ikke angrebet fra at blive vellykket, sagde PhishMe's Higbee. På firmabloggen illustrerede PhishMe, hvordan phishing ved at omgå tofaktorer bare indsnævrer angrebsvinduet.
Først klikker brugeren på et link i en phishing-e-mail, lander på en login-side og indtaster det korrekte kodeord og gyldig tofaktorkode på det falske websted. På dette tidspunkt skal angriberen bare logge på, inden de gyldige loginoplysninger udløber. Organisationer, der bruger RSA-tokens, kan genoprette en kode hvert 30. sekund, men for et socialt medieside kan udløbsperioden være flere timer eller dage væk.
"Det betyder ikke, at Twitter ikke bør implementere et mere robust lag med godkendelse, men det beder også spørgsmålet om, hvor langt det skal gå?" Higbee sagde og tilføjede, at Twitter ikke oprindeligt var designet til gruppebrug.
Nulstil er et større problem
Implementering af tofaktorautentisering ved hoveddøren betyder ikke squat, hvis bagdøren har en spinkel lås - en svag adgangskode-nulstillingsproces. Brug af delte hemmeligheder, såsom din mors pigenavn, til at oprette og gendanne adgang til kontoen "er Achilles-hælen i dagens godkendelsespraksis, " sagde Fenton.
Når angriberen kender brugernavnet, er nulstilling af adgangskode bare et spørgsmål om at aflytte nulstillet e-mail. Dette kan betyde at bryde ind på e-mail-kontoen, hvilket meget godt kan ske.
Mens spørgsmål om adgangskodevink har deres egne problemer, tilbyder Twitter dem ikke engang som en del af dens nulstillingsproces. Alt hvad nogen har brug for er brugernavnet. Mens der er en mulighed for at "kræve personlige oplysninger for at nulstille min adgangskode, " er den eneste ekstra information, der kræves, de let tilgængelige e-mail-adresser og telefonnummer.
"Twitter-konti vil fortsætte med at blive hacket, og Twitter er nødt til at gøre flere ting for at beskytte sine brugere - ikke kun to-faktor, " sagde Sullivan.
