Inne

Cyberatak na Ubera? FIDO2 wciąż nie używane.

Wrzesień. Nowy Jork. Ruch na ulicy. Kierowca Ubera otrzymuje serię powiadomień push na swój telefon. Wyglądają jak te z korporacji. Początkowo się opiera i nie autoryzuje wyskakujących i irytujących go coraz bardziej okienek. Ignoruje temat, musi skupić się przecież na drodze. Ale co to? Ktoś pisze do niego na jego WhatsApp-ie. To uberowy informatyk.

 


 

A przynajmniej tak się przedstawia, prosząc o przyznanie dostępu do konta i autoryzację wysłanych powiadomień. Uff. Dysonans kierowcy maleje, wątpliwości też, a właściwie zupełnie znikają, kiedy zapala się zielone światło, a na rogu dwudziestej siódmej obok kamienicy z metalowymi schodami widzi blondynkę Annie B, która zamówiła jazdę na Brooklyn. Sytuacja opisana powyżej to niestety nie klatki z filmu, a prawdziwa –  lekko podkolorowana na potrzeby artykułu historia – w wyniku której cyberprzestępca dostał się do korporacyjnej sieci Uber i wywołał tym samym kryzys wizerunkowy giganta.

 

Przez lata eksperci ds. cyberbezpieczeństwa jak mantrę powtarzali, że hasła to najsłabsza metoda uwierzytelniania. Jako dobrą alternatywę podawali uwierzytelnianie dwuskładnikowe 2FA oparte m.in. na powiadomieniach push czy SMS-ach. Niestety i te okazały się wkrótce nieodporne na wysublimowane sposoby, które stosowane są przez cyberprzestępców, skutecznie żerujących na naszych słabych i czułych punktach. Boleśnie o tym przekonał się ostatnio Uber, który uwierzytelnianie użytkowników oparł, zamiast na FIDO2, na podatnych na socjotechnikę powiadomieniach push.

 

Wnioski?

Każda firma, organizacja czy instytucja, której nie jest obojętne bezpieczeństwo, musi odejść od używania słabych i stosowanych wybiórczo form identyfikacji użytkownika w sieci.

– Słabością metody 2FA z włączonymi powiadomieniami push jest zdecydowanie to, że uciążliwość wyskakujących komunikatów może sprawić, że ktoś wreszcie się na nie zgodzi i finalnie w nerwach kliknie „pozwól” – mówi Tomasz Kowalski, CEO Secfense, firmy która opracowała technologię User Access Security Broker pozwalającą na szybkie, nieingerujące w kod firmowych aplikacji wdrożenie uwierzytelniania FIDO2. – Oczywiście zabezpieczenie push jest lepsze niż żadne. Są jednak dziś metody dużo doskonalsze, wygodniejsze i dające prawdziwą ochronę przed atakami phisingowymi. Nie trzeba więc zadowalać się półśrodkami.

 

Zawsze cebula

Prawdą jest, że niezmiennie najlepszym podejściem do budowania bezpieczeństwa w firmie jest budowanie go na tzw. cebulę, czyli warstwowo. Nie ma bowiem na świecie technologii, producenta, integratora, który będzie potrafił ustrzec firmę przed wszystkimi możliwymi zagrożeniami.

Skuteczność ochrony można jednak maksymalnie podnieść, przyjmując model typu zero-trust oraz stosując wieloskładnikowe uwierzytelnianie MFA na wszystkich aplikacjach i punktach dostępowych w organizacji. Co istotne, MFA powinno opierać się na FIDO2, czyli nowoczesnym standardzie uwierzytelniania, w którym do logowania wykorzystujemy skan twarzy lub odcisk kciuka.

 

FIDO2, czyli najbezpieczniejszy sposób logowania przyszłości

A dlaczego akurat FIDO2? Ponieważ jest to prawdziwa rewolucja w zakresie uwierzytelniania i zachowania bezpieczeństwa w sieci. Ten otwarty standard, dzięki któremu każda usługa w Internecie może zostać zabezpieczona z wykorzystaniem kryptografii, jest w pełni odporny na phishing oraz kradzież loginów i haseł.

FIDO2 pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z funkcją rozpoznawania twarzy czy czytnikiem linii papilarnych.

 

Niewykorzystane bezpieczeństwo

Dlaczego więc skoro istnieje FIDO2 – otwarty i skuteczny standard – firmy nadal mają problem z zabezpieczeniem kont swoich pracowników wieloskładnikowym uwierzytelnianiem?

Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli firma posiada w swojej organizacji setki aplikacji, masowa implementacja na wszystkich programach jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard FIDO2 – choć zaprojektowany w kwietniu 2018 – po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.

–  Liczymy na to, że dzięki Secfense uda się tę sytuację zmienić. Naszym celem było i jest otwarcie ścieżki do masowego wykorzystania MFA w biznesie i sięganie w tym celu po najmocniejszy standard FIDO2 – mówi Tomasz Kowalski.

Ważną zaletą rozwiązania Secfense – również mocno zauważoną podczas konferencji Authenticate 2022, która odbyła się w październiku w Seattle jest to, że umożliwia wprowadzenie MFA opartego na FIDO2 bez generowania kosztów związanych z zatrudnieniem programistów, bez kosztu zakupu kluczy sprzętowych i bez żadnego wpływu na płynność operacji. User Access Security Broker z powodzeniem został wdrożony w wielu polskich firmach, w tym również w najbardziej wymagających instytucjach, m.in. w banku BNP Paribas Polska czy w CRUZ, czyli Centrum Rozwoju Usług Zrzeszeniowych, które odpowiada za IT prawie wszystkich banków spóldzielczych w Polsce.