МЕХАНІЗМИ ОБХОДУ ДВОФАКТОРНОЇ АВТЕНТИФІКАЦІЇ ІЗ ВИКОРИСТАННЯМ ЗВОРОТНОГО ПРОКСІ - Наукові конференції

Вас вітає Інтернет конференція!

Вітаємо на нашому сайті

Рік заснування видання - 2011

МЕХАНІЗМИ ОБХОДУ ДВОФАКТОРНОЇ АВТЕНТИФІКАЦІЇ ІЗ ВИКОРИСТАННЯМ ЗВОРОТНОГО ПРОКСІ

14.11.2022 09:48

[1. Інформаційні системи і технології]

Автор: Поліщук Володимир Миколайович, здобувач вищої освіти Фізико-технічного інституту Національний технічний університет України «Київський політехнічний інститут» ім. Ігора Сікорського


Поточні найкращі методи безпеки включають двофакторну автентифікацію (2ФА) для захисту конфіденційних облікових записів. Використовується ця технологія як для корпоративних, так і для особистих облікових записів, а реалізовується, в основному, за допомогою коду, надісланого на телефон, електронну пошту, або згенерованого спеціальними програмними рішеннями. Існують також спеціалізовані фізичні пристрої, які слугують другим фактором підтвердження особистості. Також зараз дуже розповсюдженим рішенням є використання біометрії. Ці два методи вважаються найбільш безпечними, так як ці методи не передбачають передачу конфіденційної інформації мережею, і, відповідно, їх неможливо перехопити

Хоча ця додаткова функція захисту залишається важливою, зловмисники все рівно знаходять способи обійти вимоги 2ФА. Розуміння того, які є механізми обходу двофакторної автентифікації, може сильно допомогти захистити ваші критично важливі для бізнесу та особисті активи від атак. Значна частина таких атак є фішингом з використанням тихих зворотних серверів.

Розглянемо для прикладу один із типів двофакторної автентифікації - з використанням SMS-повідомлень. Для підключення цієї функції необхідно буде надати сайту свій номер телефону. Наступного разу, коли ви будете входити в систему за допомогою свого імені користувача та пароля, вас також попросять ввести короткий код (зазвичай 5-6 цифр), який буде надіслано на ваш телефон. Це дуже популярний варіант для сайтів, оскільки в наш час практично у кожного є номер телефону з підтримкою SMS, і для цього не потрібно встановлювати жодної програми. Це забезпечує значний крок у безпеці облікового запису порівняно лише з іменем користувача та паролем.

Вищезгаданий метод можна охарактеризувати коротко: з використанням користувацького введення. Саме такі типи двофакторної автентифікації є вразливими до атак з використанням зворотнього проксі. 

Проксі-сервер - це сервер, який розділяє з’єднання клієнт-сервер на два TCP-з’єднання: одне від клієнта до проксі-сервера, а інше — від проксі-сервера до сервера призначення. Весь мережевий трафік проходить через нього без змін.  Зловмисник може зробити власну сторінку зі зворотнім проксі для форми авторизації на якомусь сайті, після чого, шляхом фішингу, змусити жертву перейти за його посиланням. Якщо користувач введе свої авторизаційні дані, включно з кодом двофакторної автентифікації, він фактично надасть доступ до власного аккаунту для атакуючого.





Існує багато методів для запобігання атакам обходу двофакторної автентифікації з використанням зворотнього проксі. Наприклад, використовуються Htrosbif і lbmap, які надсилають ряд запитів на сервер і використовують базу даних сигнатур відповіді сервера для ідентифікації програмного забезпечення проксі-сервера. Окрім них також є http trace.nasl, який аналізує заголовки відповіді HTTP сервера, а саме заголовок Via, і на основі цієї інформації робить висновок про наявність зворотного проксі. 

Однак, зворотні проксі сервери можуть змінювати параметри відповідей, що робить ці інструменти не дуже ефективними і дає нам змогу проводити успішну експлуатацію даної атаки. Навіть одні з найбільших ресурсів, наприклад Twitter, піддаються атакам цього типу.




Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Конференції

Конференції 2024

Конференції 2023

Конференції 2022

Конференції 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення