Todo el mundo le ha enseñado a TI lo horrible que es la seguridad al enviar números SMS para autenticación durante años, incluido yo mismo. Ahora, gracias a algunos excelentes informes de Vice, está claro que la situación del texto es mucho peor de lo que casi todos pensaban. No solo los mensajes de texto tienen fallas de ciberseguridad inherentes, sino que todo el espacio de telecomunicaciones que rodea a la infraestructura de texto es absolutamente espantoso.
Der White-Hat-Angriff hat nachweislich alle Textnachrichten des Opfers abgefangen und umgeleitet, es handelte sich jedoch nicht um eine technische Übernahme. Der White Hat (der vom Journalisten Vice gebeten wurde, zu versuchen, seine Textnachrichten zu stehlen) zahlte einfach eine kleine Gebühr (16 €) an ein legitimes SMS-Messaging- und Marketingunternehmen namens Sakari. Der White Hat musste mit der Erlaubnis des Nutzers lügen, ein aussagekräftiger Beweis wurde jedoch nicht verlangt.
„Sobald (der Angreifer) die Textnachrichten eines Ziels umleiten kann, kann es trivial sein, sich in andere Konten zu hacken, die mit dieser Telefonnummer verknüpft sind“, heißt es in der Vice-Story. „In diesem Fall hat (der Angreifer) Anmeldeanfragen an Bumble, WhatsApp und Postmates gesendet und problemlos auf die Konten zugegriffen.“
Aus Sicht der Computersicherheit wird diese Geschichte umso gruseliger, als sie untersucht, wie kompliziert das gesamte Telekommunikationsuniversum ist, wenn es um den Schutz von Textkommunikation geht. Dies ist ein weiterer Grund, warum man SMS bei der Authentifizierung oder fast allem nicht vertrauen kann.
Betrachten Sie dies aus der Geschichte: „In Sakaris Fall erhält er die Möglichkeit, die Weiterleitung von Textnachrichten von einem anderen Unternehmen namens Bandwidth zu kontrollieren, gemäß einer Kopie von Sakaris LOA (Letter of Authorization), die Motherboard erhalten hat.“ Bandwidth teilte Motherboard mit, dass es durch seine Beziehung zu einem anderen Unternehmen namens NetNumber bei der Verwaltung der Nummernzuweisung und der Verkehrsweiterleitung hilft. NetNumber besitzt und betreibt die zentralisierte, proprietäre Datenbank, die von der Branche für die Weiterleitung von Textnachrichten verwendet wird: Service Replacement Record (OSR), sagte Bandwidth.
Das Hauptargument gegen das Vertrauen in SMS-Bestätigungen war jahrelang, dass sie anfällig für Man-in-the-Middle-Angriffe seien, was immer noch zutrifft. Dieser Überblick über die für Textnachrichten bereitgestellte Infrastruktur bedeutet jedoch, dass Textübernahmen viel einfacher erfolgen können.
Es gibt viele leicht zugängliche Anwendungen, die die textbasierte Authentifizierung deutlich sicherer machen, wie zum Beispiel Google Authenticator, Symantec VIP Access, Adobe Authenticator und Signal. Warum sollten Sie unverschlüsselte und leicht zu stehlende Textnachrichten riskieren, um auf Ihr Konto oder etwas anderes zuzugreifen?
Lassen wir vorerst die Tatsache beiseite, dass es relativ einfach und kostengünstig ist, auf eine sicherere Version der Textbestätigungen umzusteigen. Lassen Sie uns vorerst auch die Betriebs- und Compliance-Risiken beiseite legen, die Ihrem Team entstehen, indem wir dem Unternehmen erlauben, Klartext-Kontozugriff zu gewähren.
Wie wäre es, wenn wir uns einfach die Risiken und Compliance-Auswirkungen ansehen, die sich aus der Bereitstellung des Zugriffs Dritter über Klartextauthentifizierung ergeben? Erinnern Sie sich an Folgendes aus dem Vice-Artikel: „Der (Angreifer) hat Anmeldeanfragen an Bumble, WhatsApp und Postmates gesendet und problemlos auf die Konten zugegriffen.“
Sobald ein Bösewicht die Kontrolle über die Textnachrichten eines Kunden übernimmt, verursacht dies einen enormen Welleneffekt, der dazu führt, dass viele Unternehmen nur schlecht darauf zugreifen können. Was wäre, wenn ein Anwalt einer dieser anderen Firmen Ihr Unternehmen als „tief in die Tasche greifendes Unternehmen“ ansieht und so etwas argumentiert wie „Wenn (Ihr Unternehmen) nicht eine unsichere Kettenreaktion ausgelöst hätte, indem es darauf bestand, Klartexte als Autorisierung zu verwenden, würde mein Mandant es nicht tun.“ Ich fühlte mich wohl dabei, dasselbe zu tun. Daher sollte (Ihr Unternehmen) unsere Verluste decken. „Klingt absurd? Vielleicht, aber bevor Ihre Mitarbeiter einen solchen Streit zulassen, werden sie beigelegt, indem sie einen guten Teil Ihres Antrags auf Erhöhung des IT-Budgets für das nächste Jahr übergeben.
Dann gibt es noch die Gegenreaktion (finanziell, Markenwahrnehmung, schlechte Kommentare in den sozialen Medien, Rückgang neuer Kunden usw.) auf Ihre Kundenbasis und Ihre Interessenten sowie die Möglichkeit eines Rechtsstreits. von su parte.
Wie sieht es mit Compliance aus? Es gibt zwei typische Argumente, wenn es darum geht, solch rücksichtsloses Verhalten gegenüber den Aufsichtsbehörden zu verteidigen. Erstens: „Es war eine typische Branchenpraxis.“ Ich kann zeigen, dass 80 % unserer Konkurrenz das auch getan haben.“ Zweitens: „Damals hatten wir keinen Grund zu der Annahme, dass die Klartextsicherheit so schlecht sei.“
Was Argument eins betrifft (typische Branchenpraxis): Diese Verteidigung wird schnell verschwinden. Es wird gut funktionieren, diese schreckliche Praxis für das Geschäft 2020 zu verteidigen, aber die Unternehmen werden diesen Sommer damit beginnen, sich zurückzuziehen.
Was Argument zwei betrifft (wer hätte das gedacht?): Diese Vice-Geschichte und seine Reaktion werden auch diese Verteidigung zunichte machen.
Lassen Sie nicht zu, dass Ihr Unternehmen das letzte Unternehmen in Ihrer Branche ist, das zur Authentifizierung auf Klartextnachrichten verzichtet.
<p>Copyright © 2021 IDG Communications, Inc.</p>