WZMOCNIONE UWIERZYTELNIENIE – CYBERBEZPIECZEŃSTWO

WZMOCNIONE UWIERZYTELNIENIE - CYBERBEZPIECZEŃSTWO
WZMOCNIONE UWIERZYTELNIENIE – CYBERBEZPIECZEŃSTWO

 

W świetle ostatnich informacji polscy politycy stali się celem cyberprzestępców. Atak trwał ponad pół roku i ostatecznie nie wiadomo, kiedy dokładnie się zaczął. Osoby pełniące ważne funkcje w państwie, do przesyłania niektórych informacji wykorzystywały prywatną pocztę. Trudno powiedzieć, czy można tego było uniknąć. Z pewnością możliwe było utrudnienie przestępcom ich zamiarów.

Co wiemy?
Prawdopodobnie niepowołane osoby uzyskały dostęp do kont poczty email oraz innych usług, wykorzystując bazę danych tego typu. Przypominamy – najprostszym sposobem weryfikacji, czy nasz adres email, hasło czy też inne informacje wrażliwe znalazły się gdzieś w internecie jako dane dostępne darmowo lub odpłatnie jest skorzystanie ze stron typu https://haveibeenpwned.com/  Od jakiegoś czasu możemy oprócz adresu email sprawdzić także konto domenowe oraz numer telefonu. Polecamy korzystanie z tego mechanizmu.

Nawet najbardziej skomplikowane
hasło nie uchroni nas, jeśli wyciekną wszystkie ważne informacje
z wykor
zystywanej przez nas usługi, strony www itp.

Oczywiście dane te mogą, ale nie muszą (a zdarza się i tak) być przetwarzane przez strony trzecie w formie zaszyfrowanej. Choć jak pokazał przykład morele.net – można też zaszyfrować informacje zbyt słabo i kwestią czasu pozostaje dotarcie do ich oryginalnej postaci.

Wracając do polityków – przestępcy zaczęli publikować treści ich maili. Domniemywać tylko możemy, jaka ich część jest prawdziwa, a jaka może stanowić manipulację dokonaną przez grupę cyberprzestępczą.

Jak do tego doszło?
Portal WP.pl poinformował, że nie stwierdził prób nieautoryzowanego logowania się w usłudze poczty. Najwyraźniej ktoś dysponował właściwym loginem i hasłem jednocześnie, co pozwoliło po prostu logować się na konto poczty elektronicznej. Po nitce do kłębka i ostatecznie ponad 4000 kont różnego rodzaju zostało, jak to się ładnie tłumaczy z angielskiego „skompromitowanych”.

Czy można było tego uniknąć?
Podjęte przez rząd działania pokazują, że przestępcy mieli dostęp do informacji przez długi czas i nawet po ujawnieniu ataku, dostęp ten udało im się jeszcze utrzymać.

Brak odpowiednich szkoleń i najwyraźniej – procedur
– skutkował kompromitacją naszych służb państwowych.
Nigdy nie wiemy, czy w pracy lub domu nie spotkamy się z podobną sytuacją..

Co zatem zrobić, aby utrudnić życie przestępcom?
Obecnie mamy już różne rozwiązania wspomagające proces zabezpieczania naszych danych uwierzytelniających. Najczęściej spotykamy tzw. menedżery/ portfele haseł. Możemy wybierać wśród rozwiązań płatnych i darmowych. Także dostawcy przeglądarek internetowych wbudowują podobne mechanizmy w swoje oprogramowanie. I warto z tego korzystać. Jeśli przeglądarka oferuje dodatkowe zabezpieczenie bazy haseł hasłem nadrzędnym (master), należy również z niego korzystać.

Ogólnym trendem jest przede wszystkim korzystanie z uwierzytelniania wieloskładnikowego, gdzie innym kanałem informacyjnym potwierdzamy logowanie lub dokonywanie ważnych zmian w danych uwierzytelniających. Całkiem możliwe, że wcześniej słyszałeś lub nawet korzystałeś z uwierzytelniania dwuskładnikowego. Ten sposób zabezpieczeń wymaga od każdego użytkownika podania hasła i dodatkowego elementu, który posiada, aby zweryfikować dane logowania – coś jak karta bankomatowa (czynnik posiadania) i PIN (czynnik wiedzy). Metody dwuskładnikowego uwierzytelniania – Second Factor Authentication (2FA) lub Multi Factor Authentication (MFA) – to znane od lat rozwiązania.
Bardzo dużo dzieje się ostatnio w dziedzinie adaptacji tych metod i ich rozwoju (np. Standaryzacja WebAuthn, która zmierza do wyeliminowania haseł i wykorzystania do uwierzytelniania czytników wbudowanych w urządzeniach mobilnych i komputerach. Przykład stanowi “Windows hello” na Windows 10 z wykorzystaniem wbudowanej kamery notebooka lub czytnika linii papilarnych – umożliwia zalogowanie się do komputera z systemem Windows oraz do dowolnej aplikacji webowej, o ile w organizacji zaimplementowane są odpowiednie narzędzia typu “User Access Security Broker”, umożliwiające transport tożsamości do innych aplikacji).

Istnieje wiele różnych kombinacji, które mogą być stosowane z dwuskładnikowym  uwierzytelnianiem, przy czym najbezpieczniejszym z nich jest FIDO Universal 2nd Factor. To rozwiązanie, znane również jako U2F, wymaga od użytkowników fizycznego klucza oraz hasła, aby uzyskać dostęp do zasobów aplikacji webowej.

W cyberbezpieczeństwie zawsze występuje poszukiwanie kompromisu między rozwiązaniem bezpieczniejszym a wygodniejszym. Niestety we wspomnianym przypadku naszych urzędników – najwyraźniej ktoś przedłożył wygodę nad kwestie bezpieczeństwa.

Przypominamy, że na naszym blogu ukazały się podobny wpis:

BEZPIECZNY DOSTĘP UŻYTKOWNIKÓW DO APLIKACJI 2FA/MFA
BEZPIECZNY DOSTĘP UŻYTKOWNIKÓW DO APLIKACJI 2FA/MFA
https://premiumbank.zadbajobezpieczenstwo.pl/bezpieczny-dostep-uzytkownikow-do-aplikacji/

 

Zapraszamy Państwa do rozmów nt.  bezpieczeństwa infrastruktury ICT. Zapraszamy również do lektury naszych wpisów na blogu firmowym:
https://premiumbank.zadbajobezpieczenstwo.pl/

a także zapraszamy do śledzenia na bieżąco tematów oraz terminów naszych szkoleń: 
https://edu.servus-comp.pl/pl/858-szkolenia-on-line

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz