Chytry sposób Polaka na łamanie zabezpieczeń. Konta bankowe zagrożone?

Czym jest MFA?

MFA to multi-factor authentication, czyli uwierzytelnianie wieloskładnikowe. Już teraz, nawet jeśli część z nas o tym nie wie, jest ono powszechnie wykorzystywane do ochrony kont w usługach internetowych. Na przykład w bankowości elektronicznej, gdzie obowiązuje unijna dyrektywa PSD2. Dzięki wdrożeniu MFA nie wystarczy już, że do danej usługi zalogujemy się loginem i hasłem. Swoją tożsamość należy potwierdzić także z użyciem innego składnika, zazwyczaj dostarczanego w taki sposób, aby jego przejęcie nie było możliwe, jeśli ktoś uzyskał już dostęp do pierwszych składników: login i hasła.

MFA może przybrać najróżniejsze postaci. Kiedyś był to np. kod ze zdrapki dostarczanej przez bank, choć w Polsce wykorzystywano je niestety głównie do uwierzytelniania przelewów. Przez lata możliwość wdrażania szybkiego, wygodnego i przede wszystkim bezpiecznego była ograniczona. Po prostu nie dysponowaliśmy techniką synchronizacji logowań oraz urządzeniami, którymi moglibyśmy otrzymywać np. jednorazowe tokeny logowania. W domach stał jeden komputer, jak więc mieliśmy dostarczać składniki logowania innym kanałem, niż on? To się jednak zmieniło, przede wszystkim za sprawą popularyzacji smartfonów.

Smartfony otworzyły przed administratorami usług internetowych i samymi użytkownikami zupełnie nowe możliwości. Nowe i zróżnicowane - dziś można korzystać z zatwierdzania powiadomień, kodów generowanych przez aplikacje takie jak Google Authenticator, biometrii i wielu, wielu innych narzędzi. Należy także pamiętać o zewnętrznych kluczach sprzętowych uwierzytelniających nas w usługach. Wszystko to stworzyło cały krajobraz rozwiązań, dzięki którym mechanizmy logowania weszły w nową, bezpieczniejszą erę. Nawet jeśli ktoś ma nasz login i hasło, to i tak nie dostanie się do kont, bo musi mieć też np. nasz smartfon oraz linie papilarne, którym zatwierdzi logowanie. W teorii.

Modlishka - odwrócone proxy Piotra Duszyńskiego

W cyberbezpieczeństwie należy mieć na uwadze, że jest to niekończący się wyścig zbrojeń - twórcy każdej kolejnej innowacji muszą liczyć się z tym, że zabezpieczenie prędzej czy  później na pewno zostanie złamane i konieczne będzie dalsze doskonalenie rozwiązania. Nie inaczej jest z MFA, które co prawda przeniosło nas na nowy poziom, ale podobnie jak wszystko inne w cyberbezpieczeństwie - nigdy nie jest stuprocentowo skuteczne. Jeśli ktokolwiek twierdzi inaczej, to gdzieś ktoś inny, być może na drugim końcu świata mówi: “sprawdzam” i zaciera ręce.

Nie inaczej jest z MFA, czego dowodzi Modlishka, oprogramowanie autorstwa Piotra Duszyńskiego. Modlishka w relatywnie nieskomplikowany sposób daje ogromne możliwości nie tyle łamania, co omijania uwierzytelniania wieloskładnikowego. Modlishka nie służy do przeprowadzania złożonych ataków hakerskich, nie wymaga ogromnych zasobów, ani większych nakładów pracy. Jest to raczej sprytna, diablo skuteczna sztuczka, która skutecznie potrafi położyć nawet wzorcowo wdrożone MFA dzięki zmanipulowaniu najsłabszego ogniwa całego łańcucha - człowieka.

Modlishka jest narzędziem defensywnym, służącym do przeprowadzania testów penetracyjnych, ale też przykładem tego, jakie sposoby na rozbrojenie MFA mogą wykorzystywać i wykorzystują prawdziwi napastnicy. Oprogramowanie to odwrócony serwer proxy, czyli wykorzystywany może być do ataków phishingowych czy spear phishngowych, czyli takich, w których napastnik przekonuje nas, że jest np. przedstawicielem banku. Takie ataki spotykamy codziennie - mniej lub bardziej dopracowany SMS z linkiem, który przenosi nas na stronę bliźniaczo podobną do bankowości elektronicznej.

Tam jesteśmy proszeni o zalogowanie się do usługi na fałszywej witrynie, a dane logowania trafiają do napastników. Jeśli jednak dysponujemy ochroną zapewnianą przez MFA, to konieczne jest zatwierdzenie logowania drugim składnikiem. Ten nie zostanie jednak wyzwolony, jeśli napastnicy nie dokonają próby logowania się w tym samym czasie, co użytkownik, co w dalece zautomatyzowanych i przeprowadzanych na dużą skalę atakach jest niemożliwe. W efekcie atakujący co prawda dysponuje loginem i hasłem użytkownika, ale nie może się zalogować, bo nie trafił do niego kolejny składnik. MFA zadziałało, konto jest bezpieczne.

Inaczej jest jednak z Modlishką. Modlishka pośredniczy w ruchu, a nie służy wyłącznie do kradzieży danych uwierzytelniania. Podajemy jej najpierw login i hasła, ta je przechwytuje i używa na prawdziwej witrynie np. banku. Wyzwalany jest drugi składnik i on też jest podawany przez ofiarę Modlishce, która wykorzystuje go na docelowej stronie. Zabezpieczenie zostało złamane. Wszystko to z wystawionym przez samą Modlishkę certyfikatem, obsługą TSL, bez konieczności instalowania czegokolwiek, łącznie z certyfikatem, na urządzeniu ofiary, uniwersalnie i prosto. Całość napisana jest w języku Go, co czyni z Modlishki rozwiązanie multiplatformowe.

Sam autor porównuje możliwości Modlishki do ataków man-in-the-middle z lat 90. Podobnie jak wtedy strony są pozbawiane całej ochrony: od nagłówków do szyfrowania. My możemy dodać, że dodatkowe funkcje programu, których wcale nie musiało tam być, aby Modlishką i tak dało się omijać MFA, sprawiają, że autor zrobił naprawdę wiele, by ataki z użyciem narzędzie były skuteczne i dopracowane.

Co to oznacza dla cyberbezpieczeństwa?

Czy zatem czas dzwonić w dzwony i obwieszczać, że uwierzytelnianie wieloskładnikowe, nasze słoneczko w ciemnych mrokach cyberbezpieczeństwa, jest skończone? Nie. MFA, przynajmniej z użyciem Modlishki, nie zostało złamane. Jest ona jedynie niezwykle sprytnym i skutecznym narzędzie pozwalającym na omijanie czy przechytrzenie zarówno mechanizmów ochrony, jak i przede wszystkim ofiar. Gdyby nie one i ich zaangażowanie, ominięcie MFA nigdy nie byłoby możliwe, więc to nie sam mechanizm bezpieczeństwa jest podatny. Modlishka daje jednak kolejny pokaz, że wyścig pomiędzy hakerami a administratorami nigdy się nie skończy. Gdy ktoś opracowuje sprytną nowinkę w zakresie cyberbezpieczeństwa, ktoś inny pracuje już, by go przechytrzyć.