Valakinek nem kell tudnia az Ön jelszavait, ha sikeresen ellopja a böngésző cookie-jait.
A többtényezős hitelesítés további biztonsági rétegeket ad a felhőszolgáltatásokhoz, de nem mindig hibabiztos. Az emberek most átadják a cookie-kat, hogy megkerüljék az MFA-t, és hozzáférjenek a felhőszolgáltatásokhoz. Miután bekerültek, ellophatják, kiszűrhetik vagy titkosíthatják érzékeny adatait.
De mi is az a cookie-támadás, hogyan működik, és mit tehetsz, hogy megvédd magad tőle? Találjuk ki.
Mi az a "pass-the-cookie" támadás?
A munkamenet-cookie-k használatát a hitelesítés megkerülésére "pass-the-cookie" támadásnak nevezik.
Amikor a felhasználó megpróbál bejelentkezni egy webalkalmazásba, az alkalmazás megkéri a felhasználónevét és jelszavát. Ha a felhasználó engedélyezte a többtényezős hitelesítést, akkor egy további hitelesítési tényezőt, például egy e-mail címére vagy telefonszámára küldött kódot kell elküldenie.
Miután a felhasználó átesett a többtényezős hitelesítésen, egy munkamenet-cookie jön létre, amelyet a felhasználó webböngészőjében tárol. Ez a munkamenet cookie lehetővé teszi a felhasználó számára, hogy bejelentkezve maradjon ahelyett, hogy újra és újra végigmenne a hitelesítési folyamaton, amikor a webalkalmazás új oldalára lép.
A munkamenet-cookie-k leegyszerűsítik a felhasználói élményt, mivel a felhasználónak nem kell minden alkalommal újra hitelesítenie magát, amikor a webalkalmazás következő oldalára lép. A munkamenet-sütik azonban komoly biztonsági fenyegetést is jelentenek.
Ha valaki el tudja lopni a munkamenet-sütiket, és be tudja juttatni azokat a böngészőjébe, a webalkalmazások megbíznak a munkamenet-cookie-kban, és teljes hozzáférést biztosítanak a tolvajnak.
Ha egy támadó véletlenül hozzáfér az Ön Microsoft Azure-, Amazon Web Services- vagy Google Cloud-fiókjához, helyrehozhatatlan károkat okozhat.
Hogyan működik a Pass-the-Cookie Attack
Íme, hogyan hajt végre valaki „pass-the-cookie” támadást.
A munkamenet-cookie kibontása
A cookie-kat átengedő támadás végrehajtásának első lépése a felhasználó munkamenet-cookie-jának kinyerése. A hackerek különféle módszereket alkalmaznak a munkamenet-cookie-k ellopására, többek között webhelyek közötti szkriptelés, adathalászat, Man-in-the-middle (MITM) támadások, vagy trójai támadások.
A rosszindulatú szereplők manapság ellopott munkamenet-sütiket árulnak a sötét weben. Ez azt jelenti, hogy a kiberbűnözőknek nem kell erőfeszítéseket tenniük a felhasználók munkamenet-cookie-inak kinyerésére. Az ellopott cookie-k megvásárlásával a kiberbűnözők könnyen megtervezhetnek egy átengedő támadást az áldozat bizalmas adataihoz és érzékeny információihoz való hozzáférés érdekében.
A Cookie átadása
Miután a behatoló rendelkezik a felhasználó munkamenet-cookie-jával, az ellopott cookie-t beinjektálja a webböngészőjébe, hogy új munkamenetet indítson. A webalkalmazás úgy gondolja, hogy jogos felhasználó indít munkamenetet, és hozzáférést biztosít.
Minden webböngésző másként kezeli a munkamenet sütiket. A Mozilla Firefoxban tárolt munkamenet-cookie-k nem láthatók a Google Chrome számára. És amikor egy felhasználó kijelentkezik, a munkamenet cookie-ja automatikusan lejár.
Ha a felhasználó kijelentkezés nélkül bezárja a böngészőt, a munkamenet-cookie-k a böngésző beállításaitól függően törlődnek. A webböngésző nem törölheti a munkamenet sütiket, ha a felhasználó úgy állította be a böngészőt, hogy ott folytassa, ahol abbahagyta. Ez azt jelenti, hogy a kijelentkezés megbízhatóbb módja a munkamenet-sütik törlésének, mint a böngésző leállítása a webalkalmazásból való kijelentkezés nélkül.
Hogyan mérsékeljük a „Pass-the-Cookie” támadásokat
Íme néhány módszer a cookie-támadások megelőzésére.
Ügyféltanúsítványok megvalósítása
Ha meg akarja védeni felhasználóit a cookie-k átadása elleni támadásoktól, jó ötlet lehet tartós tokent adni nekik. És ez a token minden szerverkapcsolati kérelemhez csatolva lesz.
Ezt úgy teheti meg, hogy a rendszerben tárolt ügyféltanúsítványok segítségével megállapíthatja, hogy azok-e, akiknek vallják magukat. Amikor egy ügyfél a tanúsítványa segítségével szerverkapcsolati kérelmet küld, a webalkalmazás a tanúsítványt a tanúsítvány forrásának azonosításához, és annak meghatározásához, hogy engedélyezni kell-e a hozzáférést az ügyfél számára.
Bár ez egy biztonságos módszer a cookie-támadások elleni küzdelemre, csak korlátozott számú felhasználóval rendelkező webalkalmazásokhoz alkalmas. A hatalmas számú felhasználót használó webalkalmazások számára meglehetősen nagy kihívást jelent az ügyféltanúsítványok megvalósítása.
Például egy e-kereskedelmi webhelynek világszerte vannak felhasználói. Képzelje csak el, milyen nehéz lenne minden vásárló számára bevezetni az ügyféltanúsítványokat.
További összefüggések hozzáadása a csatlakozási kérésekhez
További kontextusok hozzáadása a szerverkapcsolati kérelmekhöz a kérés ellenőrzése érdekében egy másik módja annak, hogy megakadályozzuk a cookie-támadások átadását.
Egyes cégek például megkövetelik a felhasználó IP-címét, mielőtt hozzáférést biztosítanának webes alkalmazásaikhoz.
Ennek a módszernek az a hátránya, hogy a támadó ugyanabban a nyilvános helyen lehet jelen, például repülőtéren, könyvtárban, kávézóban vagy szervezetben. Ilyen esetben a számítógépes bûnözõ és a jogos felhasználó is hozzáférést kap.
Használja a böngésző ujjlenyomatát
Bár általában azt szeretné védekezni a böngésző ujjlenyomatai ellen, valójában segíthet a cookie-támadások elleni küzdelemben. A böngésző ujjlenyomata lehetővé teszi, hogy több kontextust adjon a kapcsolódási kérésekhez. Olyan információk, mint a böngésző verziója, az operációs rendszer, a felhasználó eszközmodellje, a preferált nyelvi beállítások és A böngészőbővítmények felhasználhatók bármely kérés kontextusának azonosítására, így biztosítva, hogy a felhasználó pontosan az legyen, akinek állítják lenni.
A cookie-k rossz hírnévre tettek szert, mivel gyakran használják a felhasználók nyomon követésére, de lehetőségük van letiltani őket. Ezzel szemben, ha a böngésző ujjlenyomatát az identitáskörnyezet elemeként valósítja meg bármely csatlakozási kérés esetén eltávolítja a választási lehetőséget, ami azt jelenti, hogy a felhasználók nem tilthatják le vagy blokkolhatják a böngészőt ujjlenyomat.
A fenyegetésészlelő eszköz használata kiváló módja a rosszindulatú fiókok észlelésének.
Egy jó kiberbiztonsági eszköz proaktívan átvizsgálja a hálózatot, és figyelmezteti Önt minden szokatlan tevékenységről, mielőtt jelentős károkat okozna.
Erősítse meg a biztonságot a cookie-támadások mérséklése érdekében
A „sütiket” átengedő támadások súlyos biztonsági fenyegetést jelentenek. A támadóknak nem kell tudniuk az Ön felhasználónevét, jelszavát vagy bármilyen más hitelesítési tényezőt, hogy hozzáférjenek az adatokhoz. Csak el kell lopniuk a munkamenet-cookie-kat, és beléphetnek a felhőkörnyezetbe, és ellophatják, titkosíthatják vagy kiszűrhetik az érzékeny adatokat.
Ami még ennél is rosszabb, bizonyos esetekben a hacker akkor is végrehajthat átengedő cookie-támadást, ha a felhasználó bezárta a böngészőt. Ezért kulcsfontosságúvá válik, hogy megtegye a szükséges biztonsági intézkedéseket a cookie-támadások megelőzése érdekében. Ezenkívül tájékoztassa felhasználóit az MFA fáradtság elleni támadásairól, amelyek során a hackerek push értesítéseket küldenek a felhasználóknak, hogy megviseljék őket.