Кражбата на „бисквитки“ заобикаля многофакторното удостоверяване

Потребителите са склонни да избягват многократното удостоверяване, но това повишава риска от кражба на сесия чрез отвличане на т.нар. “бисквитки” в браузера (снимка: CC0 Public Domain)

Много компании са внедрили многофакторно удостоверяване (MFA) за достъп до фирмените ресурси, но кибер-нападателите пак намират начин да заобиколят защитата – напоследък е налице скок на случаите на… кражба на „бисквитки“.

Многофакторното удостоверяване е добра мярка за сигурност. Позволява например на дадена компания да добави ново ниво на сигурност към своята корпоративна VPN. Потребителят, в допълнение към силната си парола, трябва да въведе и друг код, който може да бъде достъпен от друго устройство, например SMS код или пък някакво хардуерно устройство.

Но какво се случва, след като потребителят е удостоверил достъпа си до даден уебсайт? Как се управлява сесията му в системата? Отговорът е в онези досадни „бисквитки“.

Сесийни „бисквитки“

Начинът, по който повечето уебсайтове обработват удостоверяването, е чрез „бисквитки“. Това са малки файлове, съхранявани от браузъра. След удостоверяването сесийната „бисквитка“ поддържа състоянието на сесията, така че всяка следваща стъпка разчита на същото удостоверяване.

Всяка „бисквитка“, съхранявана в браузъра, съдържа списък с параметри и стойности, включително в някои случаи уникален токен, предоставен от уеб услугата, след като удостоверяването бъде потвърдено. Сесийните „бисквитки“, както подсказва името им, имат кратък живот – те са налични, докато сесията е активна.

Заплахата

Заплахата, описана в скорошна публикация от Sophos, е доста ясна: „Бисквитките“, свързани с удостоверяване на уеб-услуги, могат да бъдат използвани от нападателите при атаки тип „предаване на бисквитката“, опитвайки се да се маскират като легитимния потребител, на когото първоначално е била издадена „бисквитката“, за да получават достъп до уеб-услуги, без да им се налага да имат логин данни“.

Най-честият начин за кражба на такива „бисквитки“ е злонамереният софтуер, който има за задача да вземе и изпрати точни копия на сесийните „бисквитки“ до нападателя. Този вид злонамерен софтуер преживява нов разцвет. Очаква се тенденцията да продължи, тъй като MFA се внедрява и използва все повече.

„Бисквитките“ също така могат да се продават – по същия начин, по който се продават идентификационните данни на черните пазари. Някой може да си помисли, че сесийните „бисквитки“ няма да издържат достатъчно дълго, за да бъдат продадени, но това не е така; в зависимост от конфигурацията на клиента и сървъра, сесийните бисквитки може да издържат дни, седмици или дори месеци.

Потребителите са склонни да избягват многократното удостоверяване, когато това е възможно. Затова често кликват върху опциите, предоставени от уебсайтовете, за запомняне на паролата и запазване на логин данните. Така удължават сесията си и могат да не я затварят дълго време, дори ако браузърът бъде затворен и отворен отново.

Инфекцията

Компютрите на потребителите могат да бъдат заразени от злонамерен софтуер за кражба на „бисквитки“ по същия начин, както всеки друг вид злонамерен софтуер. Специалистите казват, че създателите на такъв софтуер често използват платени услуги за изтегляне, за да съберат възможно най-много бисквитки на жертвите.

Един ефективен подход е съхраняването на заразата в ISO или ZIP архиви, които след това се рекламират чрез злонамерени уебсайтове като инсталатори за пиратски/кракнат комерсиален софтуер. Те могат да бъдат достъпни и чрез мрежи от типа „peer-to-peer“.

Крадците на „бисквитки“ могат да пристигнат и по имейл, често като архивни файлове. След като нападателите успешно компрометират даден компютър, те могат активно да търсят „бисквитки“, в допълнение към традиционните идентификационни данни.

Как уебсайтовете да осигурят по-добра защита?

Много уеб-базирани приложения прилагат допълнителни проверки срещу отвличане на „бисквитките“. По-специално проверката на IP адреса на заявката спрямо IP адреса, използван при започване на сесията, е едно от ефективните средства. По-трудно е, когато става дума за приложения, комбиниращи десктоп и мобилна употреба.

Съкращаването на живота на „бисквитките“ също може да бъде мярка за сигурност, която трябва да се предприеме, но това означава, че потребителите ще трябва да се удостоверяват по-често, което може да е нежелано.

В мрежата бисквитките никога не трябва да се предават в ясен текст. Този вид данни винаги трябва да се предават шифрирано, чрез SSL (Secure Sockets Layer). Затова препоръките за сигурност на уебсайтовете е да работят изцяло на HTTPS протокол, вместо с HTTP.

Какво да правят крайните потребители?

„Бисквитката“ може да бъде открадната само по два начина: през компютъра на крайния потребител или чрез мрежовата комуникация с уеб-базираното приложение. Потребителите трябва да прилагат криптиране, когато е възможно, и да предпочитат HTTPS пред HTTP. Добре е редовно да изтриват сесийните си бисквитки, но това означава, че ще трябва да се удостоверяват повторно.

Добре е да се спазва „обща хигиена“ откъм компютърната сигурност. Операционната система и софтуерът винаги трябва да са актуални и с корекции, за да не бъдат компрометирани от обща уязвимост. Повечето утвърдени технологии за сигурност са способни да разпознаят злонамерения софтуер, който би бил изтеглен или получен по имейл с цел кражба на „бисквитки“.

Коментар