МЕХАНІЗМИ ОБХОДУ ДВОФАКТОРНОЇ АВТЕНТИФІКАЦІЇ ІЗ ВИКОРИСТАННЯМ ЗВОРОТНОГО ПРОКСІ
14.11.2022 09:48
[1. Інформаційні системи і технології]
Автор: Поліщук Володимир Миколайович, здобувач вищої освіти Фізико-технічного інституту Національний технічний університет України «Київський політехнічний інститут» ім. Ігора Сікорського
Поточні найкращі методи безпеки включають двофакторну автентифікацію (2ФА) для захисту конфіденційних облікових записів. Використовується ця технологія як для корпоративних, так і для особистих облікових записів, а реалізовується, в основному, за допомогою коду, надісланого на телефон, електронну пошту, або згенерованого спеціальними програмними рішеннями. Існують також спеціалізовані фізичні пристрої, які слугують другим фактором підтвердження особистості. Також зараз дуже розповсюдженим рішенням є використання біометрії. Ці два методи вважаються найбільш безпечними, так як ці методи не передбачають передачу конфіденційної інформації мережею, і, відповідно, їх неможливо перехопити
Хоча ця додаткова функція захисту залишається важливою, зловмисники все рівно знаходять способи обійти вимоги 2ФА. Розуміння того, які є механізми обходу двофакторної автентифікації, може сильно допомогти захистити ваші критично важливі для бізнесу та особисті активи від атак. Значна частина таких атак є фішингом з використанням тихих зворотних серверів.
Розглянемо для прикладу один із типів двофакторної автентифікації - з використанням SMS-повідомлень. Для підключення цієї функції необхідно буде надати сайту свій номер телефону. Наступного разу, коли ви будете входити в систему за допомогою свого імені користувача та пароля, вас також попросять ввести короткий код (зазвичай 5-6 цифр), який буде надіслано на ваш телефон. Це дуже популярний варіант для сайтів, оскільки в наш час практично у кожного є номер телефону з підтримкою SMS, і для цього не потрібно встановлювати жодної програми. Це забезпечує значний крок у безпеці облікового запису порівняно лише з іменем користувача та паролем.
Вищезгаданий метод можна охарактеризувати коротко: з використанням користувацького введення. Саме такі типи двофакторної автентифікації є вразливими до атак з використанням зворотнього проксі.
Проксі-сервер - це сервер, який розділяє з’єднання клієнт-сервер на два TCP-з’єднання: одне від клієнта до проксі-сервера, а інше — від проксі-сервера до сервера призначення. Весь мережевий трафік проходить через нього без змін. Зловмисник може зробити власну сторінку зі зворотнім проксі для форми авторизації на якомусь сайті, після чого, шляхом фішингу, змусити жертву перейти за його посиланням. Якщо користувач введе свої авторизаційні дані, включно з кодом двофакторної автентифікації, він фактично надасть доступ до власного аккаунту для атакуючого.
Існує багато методів для запобігання атакам обходу двофакторної автентифікації з використанням зворотнього проксі. Наприклад, використовуються Htrosbif і lbmap, які надсилають ряд запитів на сервер і використовують базу даних сигнатур відповіді сервера для ідентифікації програмного забезпечення проксі-сервера. Окрім них також є http trace.nasl, який аналізує заголовки відповіді HTTP сервера, а саме заголовок Via, і на основі цієї інформації робить висновок про наявність зворотного проксі.
Однак, зворотні проксі сервери можуть змінювати параметри відповідей, що робить ці інструменти не дуже ефективними і дає нам змогу проводити успішну експлуатацію даної атаки. Навіть одні з найбільших ресурсів, наприклад Twitter, піддаються атакам цього типу.