Vídeo: Twitter fica em alerta após ataques hacker (Outubro 2024)
Da terra do " se ao menos… " Se a Associated Press tivesse configurado a autenticação de dois fatores com sua conta no Twitter, os hackers pró-Síria não teriam sido capazes de invadir a conta e causar estragos.
Idéia agradável e arrumada, mas, na realidade, não. Embora a autenticação de dois fatores seja uma ferramenta poderosa para proteger contas de usuário, ela não pode resolver todos os problemas. Ter dois fatores não teria ajudado a @AP, porque os hackers invadiram por meio de um ataque de phishing. Os adversários encontrariam outra maneira de induzir os usuários a contornar a camada de segurança, disse Aaron Higbee, CTO da PhishMe.
Na terça-feira, hackers pró-Síria invadiram a conta do AP no Twitter e postaram um alerta de notícias falsas alegando uma explosão na Casa Branca e que o presidente havia sido ferido. Nos três ou quatro minutos antes dos funcionários da AP descobrirem o que aconteceu e disseram que a história era falsa, os investidores entraram em pânico e fizeram com que a média da Dow Jones Industrial caísse mais de 148 pontos. A Bloomberg News estimou que a queda "apagou" US $ 136 bilhões do índice S&P 500.
Previsivelmente, vários especialistas em segurança imediatamente criticaram o Twitter por não oferecer autenticação de dois fatores. "O Twitter realmente precisa obter a autenticação de dois fatores rapidamente. Eles estão muito atrás do mercado nisso", disse Andrew Storms, diretor de operações de segurança da nCircle, em um email.
Grupos x contas individuais
A autenticação de dois fatores torna mais difícil para os invasores sequestrar contas de usuário usando métodos de força bruta ou roubar senhas por meio de métodos de engenharia social. Ele também assume que há apenas um usuário por conta.
"A autenticação de dois fatores e outras medidas ajudarão a reduzir hackers em contas individuais. Mas não em contas de grupo", disse Sean Sullivan, pesquisador de segurança da F-Secure, ao SecurityWatch .
A AP, assim como muitas outras organizações, provavelmente teve vários funcionários postando no @AP ao longo do dia. O que aconteceria sempre que alguém tentasse postar no Twitter? Toda tentativa de login exige que a pessoa que possui o dispositivo registrado, seja um smartphone ou um token de hardware, forneça o código do segundo fator. Dependendo do mecanismo em vigor, isso pode ocorrer todos os dias, em alguns dias ou sempre que um novo dispositivo estiver sendo adicionado.
"Isso se torna um obstáculo bastante significativo à produtividade", disse Jim Fenton, CSO da OneID, ao SecurityWatch .
Digamos que eu queira postar no @SecurityWatch. Eu precisaria enviar uma mensagem instantânea ou ligar para meu colega que "possuía" a conta para obter o código de dois fatores. Ou não precisei fazer login por 30 dias porque meu laptop era um dispositivo autorizado, mas agora é o 31º dia. E o fim de semana. Imagine os potenciais campos minados de engenharia social.
"Simplificando, a autenticação de dois fatores não será suficiente para proteger as pessoas", disse Sullivan.
Autenticação de dois fatores não é uma solução completa
A autenticação de dois fatores é uma coisa boa, uma ferramenta poderosa, mas não pode fazer tudo, como prevenir ataques de phishing, disse Fenton. De fato, em soluções comuns de autenticação de dois fatores, os usuários podem facilmente ser enganados para autenticar o acesso sem perceber, disse Fenton.
Imagine se eu tivesse mandado uma mensagem para o meu chefe: Não é possível acessar o @securitywatch. Envie-me um código?
A autenticação de dois fatores dificulta o phishing de uma conta, mas não impede que o ataque seja bem-sucedido, disse Higbee, do PhishMe. No blog da empresa, o PhishMe ilustrou como o phishing ignorar dois fatores apenas reduz a janela de ataque.
Primeiro, o usuário clica em um link em um email de phishing, acessa uma página de login e insere a senha e o código de dois fatores válidos no site falso. Nesse ponto, o invasor apenas precisa fazer login antes que as credenciais de login válidas expirem. As organizações que usam tokens RSA podem gerar novamente um código a cada 30 segundos, mas para um site de mídia social, o período de expiração pode levar várias horas ou dias.
"Isso não quer dizer que o Twitter não deva implementar uma camada mais robusta de autenticação, mas também levanta a questão de até onde deve ir?" Higbee disse, acrescentando que o Twitter não foi originalmente projetado para uso em grupo.
Redefinições são um problema maior
A implementação da autenticação de dois fatores na porta da frente não significará agachamento se a porta dos fundos tiver uma trava frágil - um processo de redefinição de senha fraco. O uso de segredos compartilhados, como o nome de solteira de sua mãe, para criar e recuperar o acesso à conta "é o calcanhar de Aquiles das práticas de autenticação atuais", disse Fenton.
Quando o invasor sabe o nome de usuário, as redefinições de senha são apenas uma questão de interceptar o email de redefinição. Isso pode significar invadir a conta de email, o que pode muito bem acontecer.
Embora as perguntas de dicas de senha tenham seus próprios problemas, o Twitter nem as oferece como parte de seu processo de redefinição. Tudo o que alguém precisa é o nome de usuário. Embora exista uma opção para "exigir informações pessoais para redefinir minha senha", a única informação extra necessária é o endereço de e-mail e o número de telefone facilmente obtidos.
"As contas do Twitter continuarão sendo invadidas, e o Twitter precisa fazer várias coisas para proteger seus usuários - não apenas dois fatores", disse Sullivan.
