Header Ads Widget

Ticker

6/recent/ticker-posts

En medio de la pandemia, las deficiencias de MFA son más claras que nunca

La pandemia significa que no hay tiempo para sutilezas de seguridad, como procesar adecuadamente las RFP para aplicaciones que fueron examinadas a fondo. Eso nos lleva a MFA y por qué tiene que ser rediseñado radicalmente.


Debido a ya sabes qué (si tengo que escribir "corona" o "COVID" de nuevo, gritaré), las empresas se han visto obligadas a enviar una gran cantidad de empleados a oficinas en casa improvisadas en tan solo unos días. Eso significa que no hubo tiempo para las sutilezas de seguridad, como el procesamiento adecuado de RFP para aplicaciones que fueron examinadas a fondo. Dada la emergencia, los empleados y los equipos de TI trabajaron con lo que pudieron, pensando que mejorarían la seguridad sobre la marcha tan pronto como las circunstancias lo permitieran.

Eso nos lleva a MFA. Se supone que la autenticación multifactor es solo eso, pero generalmente se implementa de la manera menos segura: enviando textos numéricos directos a un dispositivo móvil, una táctica que es bien conocida por ser susceptible a ataques de intermediario. Entonces, ¿existen mejores formas de implementar MFA, algo que se pueda ejecutar fácilmente en las condiciones mucho menos ideales de hoy en día? Vamos a profundizar en.

Primero, sin embargo, vale la pena señalar que los textos numéricos pueden verse socavados por bastantes cosas además de los ataques man-in-the-middle.

[Manténgase al día con los últimos avances en liderazgo intelectual, conocimientos, procedimientos y análisis sobre TI a través de los boletines informativos de Computerworld . ]
"Existe un hecho documentado de que los SMS como canal de entrega 2FA han sido deliberadamente dirigidos y comprometidos con éxito por [los ciberdelincuentes] exactamente porque saben que se utilizan para la entrega 2FA y por aplicaciones / servicios de mayor valor objetivo como banca y PayPal". dijo John Herrema, vicepresidente senior de gestión de productos de BlackBerry, que actualmente trabaja en software y sistemas de seguridad. "Los compromisos exitosos incluyen una combinación de compromisos técnicos basados ​​en la interceptación y compromisos de ingeniería social, como sobornar a alguien para que transfiera el número de móvil de un objetivo específico para que un [ladrón cibernético] malintencionado reciba códigos. O usar un ataque de phishing para engañar a un usuario para que ingrese credenciales y [contraseñas de un solo uso] en un sitio falso, que luego se utiliza para acceder al sitio real. Es cierto que cualquier forma de 2FA es mejor que nada, por lo que la pregunta no es si alguna forma de 2FA es mejor que nada, sino más bien si existe una mejor opción de vanguardia disponible, particularmente para el objetivo más alto. -Casos de uso de valor. La forma de proteger el acceso a una cuenta bancaria no tiene por qué ser y probablemente no debería ser la misma que la de proteger el acceso a una cuenta de YouTube ".

Es interesante que Herrema mencionó PayPal, porque PayPal implementa silenciosamente dos enfoques de MFA muy diferentes, aunque parecen casi idénticos para el usuario final. Descubrí esto el mes pasado cuando revisé el informe publicado de algunos investigadores de seguridad europeos de que PayPal MFA era susceptible a ataques de intermediarios. Los investigadores compartieron su metodología exacta (completa con capturas de pantalla), pero un probador de lápiz con el que trabajamos no pudo replicar con éxito el ataque. Después de varias discusiones en tiempo real de uso compartido de pantalla, quedó claro que el ataque solo funcionaba si la opción MFA estaba desactivada.

¿Eh? Sí, fue entonces cuando nos dimos cuenta de que PayPal tenía una implementación de texto MFA bastante sólida para cualquier usuario que activara la opción MFA, que, por lo que vale, debería ser para todos. Pero para los usuarios que rechazaron MFA, PayPal les dio uno de todos modos, pero era una oferta de menor seguridad. Felicitaciones a PayPal por intentar proteger a todos sus usuarios, incluidos los estúpidos que rechazan la MFA.

Aún así, incluso el MFA completo de PayPal parece ser solo un mensaje de texto directo. Hay formas mucho mejores.


Más allá de la inseguridad de SMS MFA, Duncan Greatwood, el director ejecutivo del proveedor de seguridad Xage Security, se preocupa por la extracción de SIM más sencilla. Él alienta a las empresas a que los empleados reciban sus alertas MFA a través de una aplicación móvil con cifrado de extremo a extremo como Signal, iMessage de Apple o WhatsApp de Facebook. También sugiere que las empresas alienten a los empleados a inscribirse en servicios que reducen el riesgo de robo de SIM, como Extra-Security de AT&T o el Bloqueo administrativo de Verizon.

"Si el proveedor de servicios de la aplicación puede integrarse con él, la mensajería cifrada de extremo a extremo está mucho mejor protegida que los SMS para distribuir el código de verificación", dijo Greatwood. "Pero incluso entonces, los SMS siguen siendo vulnerables al personal corrupto de una empresa de telecomunicaciones que ayuda en un robo de SIM. Los sobornos por dicha asistencia cuestan tan solo 200 dólares".

Sin embargo, la advertencia de Greatwood - "si el proveedor de servicios de la aplicación puede integrarse con ella" - es crucial. Hay dos categorías de riesgo en cuestión aquí: Riesgo 1, malware que se infiltra en un dispositivo corporativo (o un dispositivo de consumidor que se usa temporalmente como dispositivo corporativo, con preocupaciones relacionadas con el virus sobre cuán temporal será la temporalidad) desde cualquier sitio o descarga de aplicación. con el que interactúa el empleado / usuario final; y Riesgo 2, acceso directo no autorizado a los activos de la empresa.

Esto está impulsando las demandas de seguridad de una estrategia móvil, específicamente porque está redirigiendo gran parte del acceso a la red interna al acceso remoto. La TI y la seguridad casi no tienen control sobre el Riesgo 1, por lo que la única opción es rogar a los empleados que usen una mejor seguridad por sí mismos cuando acceden a cuentas bancarias, sitios minoristas o transmisión de video. Algunos pueden intentar convertirlo en un requisito de empleo para cualquier dispositivo que también contenga o acceda a datos empresariales, pero existe un límite importante en cuanto a la cantidad de eso que se puede hacer cumplir.

El riesgo 2, por otro lado, está mucho más bajo el control de TI y seguridad. Greatwood recomienda un enfoque que, a veces, puede colocarse encima de un sistema VPN. Si eso se puede lograr, sería de gran ayuda para abordar el Riesgo 2.

"El siguiente paso son las aplicaciones en el teléfono que proporcionan el segundo factor automáticamente, generalmente basado en un sistema TOTP (contraseña de un solo uso basada en el tiempo) con una semilla derivada de la identidad del usuario. Este enfoque será familiar para cualquiera que use El sistema MFA de Google con aplicaciones como Gmail o Google Drive. Está disponible con aplicaciones de terceros como Authy u OTP Auth y, a veces, está integrado en clientes VPN. Otra forma de pensar sobre TOTP MFA es que utiliza el acceso al teléfono: suponiendo que la aplicación TOTP se esté ejecutando en el teléfono, como el segundo factor para demostrar la identidad junto con una contraseña ", dijo Greatwood. "Las llaves de hardware, como YubiKey, pueden proporcionar un segundo factor respaldado por hardware, similar pero más fuerte que una aplicación TOTP en un teléfono".

Las claves de hardware son más seguras, pero si se las roban, pueden empeorar el problema de la autenticación de seguridad. Mucha gente, y yo soy culpable de esto, dejan sus llaves de hardware en un llavero literal, junto con las llaves del auto y de la casa. En mi caso, esto hace que sea un dolor obtenerlo cuando sea necesario, ya que normalmente no lo tendré mientras trabajo. Pero una preocupación mucho mayor es cuando trabajo fuera de mi oficina. En los días anteriores a los que ya sabes, podría estar en una cafetería, escribiendo en mi computadora portátil, con mi llavero en el bolsillo de mi abrigo. Si un ladrón observador observaba lo suficientemente de cerca, el ladrón podría esperar a que yo abandonara mi mesa brevemente para tomar otro café y robar mis llaves y la computadora portátil. En ese caso, estoy en una posición peor de la que hubiera estado de otra manera. Dicho esto, sigue siendo una buena idea.

Greatwood también mencionó las credenciales de identificación corporativas como otro factor potencial de MFA, si el sistema de credenciales está integrado con el sistema de inicio de sesión de TI. "Sin embargo, un problema aquí es que el token en una insignia puede ser relativamente inseguro, carente de entropía y / o complejidad, dependiendo de cuándo se diseñó el sistema de identificación. Las insignias son relativamente fáciles de perder o robar, y la integración entre las insignias y la TI digital Es posible que falte el inicio de sesión. Además, es posible que los lectores de credenciales no estén disponibles donde los usuarios deban registrarse. Las credenciales tienden a usarse solo para aplicaciones especializadas relacionadas con el acceso al sitio ", dijo.

Aunque llevará más tiempo y cooperación implementarlo, Greatwood prevé aprovechar la autenticación biométrica que ya está integrada con muchos dispositivos móviles actuales. El reconocimiento facial es más común hoy en día, pero estoy viendo un regreso a las opciones de huellas dactilares para eludir los muchos contratiempos del reconocimiento facial. Muchas empresas ya utilizan la biometría móvil para los clientes de autenticación, por lo que no es un gran paso usarla para la autenticación de empleados, contratistas y socios.


Publicar un comentario

0 Comentarios