Κάποιος δεν χρειάζεται να γνωρίζει τους κωδικούς πρόσβασής σας εάν κλέψει με επιτυχία τα cookie του προγράμματος περιήγησής σας.
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων προσθέτει επιπλέον επίπεδα ασφάλειας στις υπηρεσίες cloud, αλλά δεν είναι πάντα αλάνθαστη. Οι άνθρωποι πραγματοποιούν τώρα επιθέσεις pass-the-cookie για να μετακινηθούν στο MFA και να αποκτήσουν πρόσβαση στις υπηρεσίες cloud σας. Μόλις εισέλθουν, μπορούν να κλέψουν, να διηθήσουν ή να κρυπτογραφήσουν τα ευαίσθητα δεδομένα σας.
Τι ακριβώς είναι όμως μια επίθεση pass-the-cookie, πώς λειτουργεί και τι μπορείτε να κάνετε για να προστατευθείτε από αυτήν; Ας ανακαλύψουμε.
Τι είναι μια επίθεση Pass-the-Cookie;
Η χρήση ενός cookie περιόδου λειτουργίας για την παράκαμψη του ελέγχου ταυτότητας ονομάζεται επίθεση pass-the-cookie.
Όταν ένας χρήστης προσπαθεί να συνδεθεί σε μια εφαρμογή Ιστού, η εφαρμογή θα ζητήσει από τον χρήστη να εισαγάγει το όνομα χρήστη και τον κωδικό πρόσβασής του. Εάν ο χρήστης έχει ενεργοποιήσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων, θα πρέπει να υποβάλει έναν πρόσθετο παράγοντα ελέγχου ταυτότητας, όπως έναν κωδικό που αποστέλλεται στη διεύθυνση ηλεκτρονικού ταχυδρομείου ή στον αριθμό τηλεφώνου του.
Μόλις ο χρήστης περάσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων, δημιουργείται ένα cookie περιόδου λειτουργίας και αποθηκεύεται στο πρόγραμμα περιήγησης ιστού του χρήστη. Αυτό το cookie περιόδου λειτουργίας επιτρέπει στον χρήστη να παραμένει συνδεδεμένος αντί να περνάει από τη διαδικασία ελέγχου ταυτότητας ξανά και ξανά κάθε φορά που πλοηγείται σε μια νέα σελίδα της εφαρμογής Ιστού.
Τα cookie περιόδου λειτουργίας απλοποιούν την εμπειρία του χρήστη, καθώς ο χρήστης δεν χρειάζεται να πραγματοποιεί εκ νέου έλεγχο ταυτότητας κάθε φορά που μεταβαίνει στην επόμενη σελίδα της εφαρμογής Ιστού. Αλλά τα cookie περιόδου λειτουργίας αποτελούν επίσης σοβαρή απειλή για την ασφάλεια.
Εάν κάποιος είναι σε θέση να κλέψει cookies περιόδου λειτουργίας και να εισάγει αυτά τα cookies στα προγράμματα περιήγησής του, οι εφαρμογές Ιστού θα εμπιστεύονται τα cookies περιόδου λειτουργίας και θα παραχωρούν στον κλέφτη πλήρη πρόσβαση.
Σε περίπτωση που κάποιος εισβολέας αποκτήσει πρόσβαση στον λογαριασμό σας στο Microsoft Azure, στις Υπηρεσίες Ιστού Amazon ή στο Google Cloud, μπορεί να προκαλέσει ανεπανόρθωτη ζημιά.
Πώς λειτουργεί μια επίθεση Pass-the-Cookie
Εδώ είναι πώς κάποιος πραγματοποιεί μια επίθεση pass-the-cookie.
Εξαγωγή του Cookie συνεδρίας
Το πρώτο βήμα για την πραγματοποίηση μιας επίθεσης pass-the-cookie είναι η εξαγωγή του cookie περιόδου λειτουργίας ενός χρήστη. Υπάρχουν διάφορες μέθοδοι που χρησιμοποιούν οι χάκερ για να κλέψουν cookies περιόδου λειτουργίας, μεταξύ των οποίων δέσμη ενεργειών μεταξύ τοποθεσιών, phishing, Επιθέσεις Man-in-the-Middle (MITM)., ή επιθέσεις trojan.
Κακόβουλοι ηθοποιοί πουλούν κλεμμένα cookies συνεδρίας στον σκοτεινό ιστό αυτές τις μέρες. Αυτό σημαίνει ότι οι εγκληματίες του κυβερνοχώρου δεν χρειάζεται να καταβάλλουν προσπάθειες για να εξαγάγουν τα cookies περιόδου λειτουργίας των χρηστών. Αγοράζοντας κλεμμένα cookies, οι εγκληματίες του κυβερνοχώρου μπορούν εύκολα να σχεδιάσουν μια επίθεση pass-the-cookie για να αποκτήσουν πρόσβαση στα εμπιστευτικά δεδομένα και τις ευαίσθητες πληροφορίες ενός θύματος.
Περνώντας το Cookie
Μόλις ο εισβολέας έχει το cookie περιόδου λειτουργίας του χρήστη, θα εισάγει το κλεμμένο cookie στο πρόγραμμα περιήγησής του για να ξεκινήσει μια νέα συνεδρία. Η εφαρμογή Ιστού θα πιστέψει ότι ένας νόμιμος χρήστης ξεκινά μια περίοδο λειτουργίας και θα παραχωρήσει πρόσβαση.
Κάθε πρόγραμμα περιήγησης ιστού χειρίζεται διαφορετικά τα cookies περιόδου λειτουργίας. Τα cookie περιόδου λειτουργίας που είναι αποθηκευμένα στο Mozilla Firefox δεν είναι ορατά στο Google Chrome. Και όταν ένας χρήστης αποσυνδέεται, το cookie περιόδου λειτουργίας λήγει αυτόματα.
Εάν ένας χρήστης κλείσει το πρόγραμμα περιήγησης χωρίς να αποσυνδεθεί, τα cookie περιόδου λειτουργίας ενδέχεται να διαγραφούν ανάλογα με τις ρυθμίσεις του προγράμματος περιήγησής σας. Ένα πρόγραμμα περιήγησης ιστού δεν μπορεί να διαγράψει τα cookies περιόδου λειτουργίας, εάν ο χρήστης έχει ρυθμίσει το πρόγραμμα περιήγησης να συνεχίζει από εκεί που σταμάτησε. Αυτό σημαίνει ότι η αποσύνδεση είναι ένα πιο αξιόπιστο μέσο για την εκκαθάριση των cookie περιόδου λειτουργίας από τον τερματισμό της λειτουργίας του προγράμματος περιήγησης χωρίς αποσύνδεση από την εφαρμογή Ιστού.
Πώς να μετριάζετε τις επιθέσεις Pass-the-Cookie
Ακολουθούν μερικοί τρόποι για να αποτρέψετε επιθέσεις pass-the-cookie.
Εφαρμογή πιστοποιητικών πελατών
Εάν θέλετε να προστατεύσετε τους χρήστες σας από επιθέσεις pass-the-cookie, η παροχή ενός μόνιμου διακριτικού μπορεί να είναι μια καλή ιδέα. Και αυτό το διακριτικό θα επισυνάπτεται σε κάθε αίτημα σύνδεσης διακομιστή.
Μπορείτε να το κάνετε αυτό χρησιμοποιώντας πιστοποιητικά πελάτη που είναι αποθηκευμένα στο σύστημα για να διαπιστώσετε εάν είναι αυτοί που ισχυρίζονται ότι είναι. Όταν ένας πελάτης κάνει ένα αίτημα σύνδεσης διακομιστή χρησιμοποιώντας το πιστοποιητικό του, η εφαρμογή Ιστού σας θα χρησιμοποιήσει το πιστοποιητικό για να προσδιορίσει την πηγή του πιστοποιητικού και να καθορίσει εάν θα πρέπει να επιτρέπεται η πρόσβαση στον πελάτη.
Αν και αυτή είναι μια ασφαλής μέθοδος για την καταπολέμηση των επιθέσεων pass-the-cookie, είναι κατάλληλη μόνο για εφαρμογές web που έχουν περιορισμένο αριθμό χρηστών. Οι εφαρμογές Ιστού με τεράστιο αριθμό χρηστών θεωρούν αρκετά δύσκολη την εφαρμογή πιστοποιητικών πελατών.
Για παράδειγμα, ένας ιστότοπος ηλεκτρονικού εμπορίου έχει χρήστες σε όλο τον κόσμο. Φανταστείτε πόσο δύσκολο θα ήταν να εφαρμόσετε πιστοποιητικά πελάτη για κάθε αγοραστή.
Προσθήκη περισσότερων περιεχομένων στα αιτήματα σύνδεσης
Η προσθήκη περισσότερων πλαισίων σε αιτήματα σύνδεσης διακομιστή για την επαλήθευση του αιτήματος μπορεί να είναι ένας άλλος τρόπος για την αποτροπή επιθέσεων pass-the-cookie.
Για παράδειγμα, ορισμένες εταιρείες απαιτούν τη διεύθυνση IP ενός χρήστη πριν παραχωρήσουν πρόσβαση στις εφαρμογές web τους.
Ένα μειονέκτημα αυτής της μεθόδου είναι ότι ένας εισβολέας μπορεί να είναι παρών στον ίδιο δημόσιο χώρο, όπως ένα αεροδρόμιο, βιβλιοθήκη, καφετέρια ή οργανισμός. Σε μια τέτοια περίπτωση, τόσο ο κυβερνοεγκληματίας όσο και ο νόμιμος χρήστης θα έχουν πρόσβαση.
Χρησιμοποιήστε το Browser Fingerprinting
Ενώ μπορεί συνήθως να το θέλετε υπερασπιστείτε τα δακτυλικά αποτυπώματα του προγράμματος περιήγησης, μπορεί πραγματικά να σας βοηθήσει να καταπολεμήσετε επιθέσεις pass-the-cookie. Το δακτυλικό αποτύπωμα του προγράμματος περιήγησης σάς επιτρέπει να προσθέσετε περισσότερο περιβάλλον στα αιτήματα σύνδεσης. Πληροφορίες όπως έκδοση προγράμματος περιήγησης, λειτουργικό σύστημα, μοντέλο συσκευής χρήστη, ρυθμίσεις προτιμώμενης γλώσσας και Οι επεκτάσεις προγράμματος περιήγησης μπορούν να χρησιμοποιηθούν για τον προσδιορισμό του πλαισίου οποιουδήποτε αιτήματος για να διασφαλιστεί ότι ο χρήστης είναι ακριβώς αυτός που ισχυρίζεται να είναι.
Τα cookies έχουν αποκτήσει κακό όνομα, καθώς χρησιμοποιούνται συχνά για την παρακολούθηση των χρηστών, αλλά αποτελούν επιλογές για την απενεργοποίησή τους. Αντίθετα, όταν εφαρμόζετε το δακτυλικό αποτύπωμα του προγράμματος περιήγησης ως στοιχείο του πλαισίου ταυτότητας σε οποιοδήποτε αίτημα σύνδεσης, αφαιρείτε την επιλογή επιλογής, που σημαίνει ότι οι χρήστες δεν μπορούν να απενεργοποιήσουν ή να αποκλείσουν το πρόγραμμα περιήγησης δακτυλικών αποτυπωμάτων.
Η χρήση ενός εργαλείου ανίχνευσης απειλών είναι ένας εξαιρετικός τρόπος για τον εντοπισμό λογαριασμών που χρησιμοποιούνται κακόβουλα.
Ένα καλό εργαλείο κυβερνοασφάλειας θα σαρώσει προληπτικά το δίκτυό σας και θα σας ειδοποιήσει για οποιαδήποτε ασυνήθιστη δραστηριότητα προτού να προκαλέσει σημαντική ζημιά.
Ενισχύστε την ασφάλεια για να μετριάζετε την επίθεση Pass-the-Cookie
Οι επιθέσεις pass-the-cookie αποτελούν σοβαρή απειλή για την ασφάλεια. Οι εισβολείς δεν χρειάζεται να γνωρίζουν το όνομα χρήστη, τον κωδικό πρόσβασής σας ή οποιονδήποτε άλλο πρόσθετο παράγοντα ελέγχου ταυτότητας για να έχουν πρόσβαση στα δεδομένα. Απλώς πρέπει να κλέψουν τα cookie συνεδρίας σας και μπορούν να εισέλθουν στο περιβάλλον cloud σας και να κλέψουν, να κρυπτογραφήσουν ή να διεισδύσουν ευαίσθητα δεδομένα.
Το χειρότερο είναι ότι σε ορισμένες περιπτώσεις, ένας χάκερ μπορεί να πραγματοποιήσει μια επίθεση pass-the-cookie ακόμα και όταν ένας χρήστης έχει κλείσει το πρόγραμμα περιήγησής του. Επομένως, είναι σημαντικό να λαμβάνετε τα απαραίτητα μέτρα ασφαλείας για να αποτρέψετε επιθέσεις pass-the-cookie. Επίσης, εκπαιδεύστε τους χρήστες σας σχετικά με τις επιθέσεις κόπωσης MFA στις οποίες οι χάκερ στέλνουν στους χρήστες ένα μπαράζ ειδοποιήσεων push για να τους φθείρουν.
