Introdução
A autenticação de dois fatores (2FA) é conhecida há muito tempo pela segurança que pode trazer para as organizações e seus clientes. A combinação do que você sabe, o que você tem e quem você é é o coração e a alma do 2FA e ajuda a explicar sua confiabilidade relativa.
Apesar disso, existem várias maneiras conhecidas de os invasores atacarem o 2FA com sucesso, e é seu trabalho como hacker ético entender esses ataques em potencial. Este artigo detalha os seis principais métodos de ataque de autenticação de dois fatores e fornece uma compreensão completa dos tipos de invasores de autenticação de dois fatores que você pode encontrar ao trabalhar como um hacker ético.
O que é a autenticação de dois fatores?
2FA é um método de autenticação que adiciona segurança extra. Em vez de confiar apenas na combinação tradicional de nome de usuário/senha, os esquemas 2FA exigem que os usuários definam as senhas da seguinte forma:
Algo que você sabe: senha, PIN, etc.
Qualquer coisa que você tenha: smart card, token USB, etc.
O que você é sozinho: voz, íris, impressões digitais, etc.
Há duas maneiras de autenticar:
Unidirecional: Este é o tipo mais comum de autenticação. Este é um método somente servidor/somente cliente, com a autenticação somente servidor mais comumente usada.
Bidirecional (autenticação mútua): tanto o cliente quanto o servidor devem se autenticar usando este método. Não é tão comum quanto a autenticação unidirecional, mas é mais segura.
Seis métodos principais de ataque à autenticação de dois fatores:
1. Engenharia social
Sem dúvida, a melhor maneira de atacar o 2FA é a engenharia social. O 2FA depende muito do conhecimento que é conhecido apenas pelo usuário e, quando um site ou serviço que usa 2FA parece estar fora do ar, os usuários naturalmente recorrem ao suporte técnico. Os invasores começam a se comunicar em nome do suporte técnico para forçar o usuário a redefinir sua senha ou fornecer informações confidenciais relacionadas ao seu 2FA.
Este é um ponto natural de vulnerabilidade para 2FA, pois qualquer interação com o helpdesk tornará quase inevitável a possibilidade de revelar informações confidenciais do usuário, e poucas perguntas são feitas (ou nenhuma se o usuário fornecer essas informações voluntariamente).
2. Cookie de sessão de hacking.
Os cookies de sequestro de sessão existem desde o advento dos computadores em rede. Foi dito que existem centenas de maneiras de realizar a captura de sessão de cookie, mesmo que o 2FA seja usado para autenticação.
Um método divulgado recentemente para realizar essa técnica foi demonstrado pelo especialista em hacking Kevin Mitnick usando uma estrutura de ataque man-in-the-middle chamada evilginx. Esse método envolvia induzir a vítima a visitar o domínio com erros ortográficos e fornecer ao usuário uma página de login por meio de um proxy; a interação com o usuário permitiu que a evilginx capturasse as credenciais do usuário e o código de autenticação, que eram repassados ao site legítimo. O resultado final foi um cookie de sessão gravada que pode ser usado indefinidamente.
3. Gerador de código repetitivo.
Dependendo de como sua organização implementou 2FA, geradores de código ou número podem ser usados para gerar "algo que você conhece" (consulte Google Authenticator).
Os geradores de números "aleatórios" geralmente começam com uma semente gerada aleatoriamente, que por sua vez é usada para gerar o primeiro número no código. Esse primeiro valor é usado pelo algoritmo para gerar valores de código subsequentes. Se os invasores conhecerem o algoritmo e a semente, eles poderão usar essas informações para criar um gerador de código duplicado que seja idêntico ao gerador de código do usuário comprometido.
4. Autenticação de dois fatores "não necessária"
Alguns sites e serviços que permitem aos usuários usar 2FA podem não exigir isso, o que significa que o usuário não possui 2FA verdadeiro. Pelo contrário, o acesso ao 1FA ainda estará disponível tanto para o usuário quanto para os invasores, o que significa que os invasores podem usar o 1FA para acessar um site ou serviço.
A preocupação é que muitos sites amplamente usados, incluindo Facebook, LinkedIn e Twitter, não exigem autenticação de dois fatores, mesmo que a ofereçam. Em casos como esse, os invasores podem ignorar a autenticação de dois fatores fornecendo respostas a perguntas de redefinição de senha que são muito menos seguras.
5. Força Bruta
Como seriam os ataques de autenticação sem os típicos ataques de força bruta? Embora o 2FA ofereça melhor segurança do que o 1FA, a força bruta pode ajudar os invasores a contorná-lo.
Ataques de força bruta são possíveis se a tela de autenticação 2FA não aplicar o bloqueio de conta para um número predeterminado de tentativas com falha. Funciona assim: o invasor envia uma mensagem de redefinição de senha para o endereço de e-mail do usuário comprometido. O invasor pode acessar o e-mail de redefinição de senha e definir uma nova senha e, em seguida, forçar o código 2FA do usuário.
6. Erro de autenticação de dois fatores.
Erros ainda são um fato da vida no mundo de hoje, e isso também se estende ao mundo do 2FA. No ano passado, houve vários exemplos de como isso afetou sites e serviços amplamente usados, incluindo o Uber.
O perigo do buggy 2FA é o grande número de carros que ele pode afetar. Por exemplo, em 2017, descobriu-se que a vulnerabilidade Return of Coppersmith's Attack (ROCA) afetava todos os produtos 2FA, incluindo cartões inteligentes e chips TPM, que usam chaves RSA geradas pela Infineon Technologies com um comprimento de chave de 2048 ou menos (a maioria delas ). Até hoje, centenas de milhões de dispositivos foram afetados.
Conclusão
A autenticação de dois fatores deveria ser uma grande atualização de segurança para muitos sites e serviços, e realmente é. Ao fazer isso, os invasores exploraram falhas inerentes à tecnologia e sua implementação para atacar o 2FA e, eventualmente, obter acesso a um site, serviço e até sistema.
Os hackers éticos devem estar cientes desses vários métodos de ataque 2FA. Isso ocorre porque existe a possibilidade de que pelo menos um desses métodos seja usado contra sua organização em algum momento.