Kenenkään ei tarvitse tietää salasanojasi, jos he varastavat sen sijaan selaimesi evästeet.
Monivaiheinen todennus lisää pilvipalveluihin ylimääräisiä suojauskerroksia, mutta se ei ole aina idioottivarma. Ihmiset suorittavat nyt pass-the-cookie-hyökkäyksiä kiertääkseen MFA: ta ja päästäkseen pilvipalveluihisi. Kun he ovat saapuneet, he voivat varastaa, suodattaa tai salata arkaluontoisia tietojasi.
Mutta mikä oikein on evästehyökkäys, miten se toimii ja mitä voit tehdä suojataksesi itsesi siltä? Otetaan selvää.
Mikä on Pass-the-Cookie Attack?
Istuntoevästeen käyttöä todennuksen ohittamiseen kutsutaan pass-the-cookie-hyökkäykseksi.
Kun käyttäjä yrittää kirjautua sisään verkkosovellukseen, sovellus pyytää käyttäjää syöttämään käyttäjätunnuksensa ja salasanansa. Jos käyttäjä on ottanut käyttöön monivaiheisen todennuksen, hänen on lähetettävä lisätodennustekijä, kuten sähköpostiosoitteeseen tai puhelinnumeroon lähetetty koodi.
Kun käyttäjä on läpäissyt monitekijätodennuksen, istuntoeväste luodaan ja tallennetaan käyttäjän verkkoselaimeen. Tämän istuntoevästeen avulla käyttäjä voi pysyä kirjautuneena sen sijaan, että hän kävisi todennusprosessin läpi yhä uudelleen ja uudelleen aina kun hän siirtyy verkkosovelluksen uudelle sivulle.
Istuntoevästeet yksinkertaistavat käyttökokemusta, koska käyttäjän ei tarvitse todentaa uudelleen joka kerta, kun hän siirtyy verkkosovelluksen seuraavalle sivulle. Mutta istuntoevästeet muodostavat myös vakavan turvallisuusuhan.
Jos joku pystyy varastamaan istuntoevästeitä ja syöttämään ne selaimiensa, verkkosovellukset luottavat istuntoevästeisiin ja myöntävät varkaalle täydellisen pääsyn.
Jos hyökkääjä sattuu pääsemään Microsoft Azure-, Amazon Web Services- tai Google Cloud -tilillesi, hän voi aiheuttaa korjaamatonta vahinkoa.
Kuinka Pass-the-Cookie Attack toimii
Näin joku suorittaa evästeen ohitushyökkäyksen.
Istuntoevästeen purkaminen
Ensimmäinen askel evästeiden välityshyökkäyksen suorittamisessa on poimia käyttäjän istuntoeväste. Hakkerit käyttävät useita eri menetelmiä istunnon evästeiden varastamiseen, mukaan lukien sivustojen välinen komentosarja, tietojenkalastelu, Man-in-the-middle (MITM) -hyökkäykset, tai troijalaisen hyökkäykset.
Haitalliset toimijat myyvät nykyään varastettuja istuntoevästeitä pimeässä verkossa. Tämä tarkoittaa, että kyberrikollisten ei tarvitse ponnistella poimiakseen käyttäjien istuntoevästeitä. Ostamalla varastettuja evästeitä verkkorikolliset voivat helposti suunnitella evästeiden välityshyökkäyksen päästäkseen käsiksi uhrin luottamuksellisiin tietoihin ja arkaluontoisiin tietoihin.
Evästeen ohittaminen
Kun tunkeutujalla on käyttäjän istuntoeväste, hän syöttää varastetun evästeen verkkoselaimeensa aloittaakseen uuden istunnon. Verkkosovellus ajattelee, että laillinen käyttäjä aloittaa istunnon ja myöntää käyttöoikeuden.
Jokainen selain käsittelee istuntoevästeitä eri tavalla. Mozilla Firefoxiin tallennetut istuntoevästeet eivät näy Google Chromelle. Ja kun käyttäjä kirjautuu ulos, istuntoeväste vanhenee automaattisesti.
Jos käyttäjä sulkee selaimen kirjautumatta ulos, istuntoevästeet saatetaan poistaa selaimesi asetuksista riippuen. Verkkoselain ei saa poistaa istuntoevästeitä, jos käyttäjä on asettanut selaimen jatkamaan siitä, mihin hän jäi. Tämä tarkoittaa, että uloskirjautuminen on luotettavampi tapa poistaa istunnon evästeet kuin selaimen sulkeminen kirjautumatta ulos verkkosovelluksesta.
Evästehyökkäysten vähentäminen
Tässä on muutamia tapoja estää evästeiden välityshyökkäykset.
Ota käyttöön asiakassertifikaatit
Jos haluat suojata käyttäjiäsi eväste-hyökkäyksiltä, pysyvän tunnuksen antaminen heille voi olla hyvä idea. Ja tämä tunnus liitetään jokaiseen palvelinyhteyspyyntöön.
Voit tehdä tämän käyttämällä järjestelmään tallennettuja asiakasvarmenteita selvittääksesi, ovatko he sitä, kuka he väittävät olevansa. Kun asiakas tekee palvelinyhteyspyynnön käyttämällä varmennetta, verkkosovelluksesi käyttää varmenne tunnistaakseen varmenteen lähteen ja määrittääkseen, pitäisikö asiakkaalle sallia pääsy.
Vaikka tämä on turvallinen tapa torjua eväste-hyökkäyksiä, se sopii vain verkkosovelluksiin, joissa on rajoitettu määrä käyttäjiä. Verkkosovellusten, joissa on valtava määrä käyttäjiä, on melko haastavaa toteuttaa asiakasvarmenteita.
Esimerkiksi verkkokauppasivustolla on käyttäjiä ympäri maailmaa. Kuvittele kuinka vaikeaa olisi ottaa käyttöön asiakasvarmenteita jokaiselle ostajalle.
Lisää konteksteja yhteyspyyntöihin
Kontekstien lisääminen palvelimen yhteyspyyntöihin pyynnön vahvistamiseksi voi olla toinen tapa estää evästeiden välityshyökkäykset.
Jotkut yritykset esimerkiksi vaativat käyttäjän IP-osoitteen ennen kuin ne myöntävät pääsyn verkkosovelluksilleen.
Tämän menetelmän haittapuoli on se, että hyökkääjä voi olla samassa julkisessa tilassa, kuten lentokentällä, kirjastossa, kahvilassa tai organisaatiossa. Tällaisessa tapauksessa sekä verkkorikolliselle että lailliselle käyttäjälle myönnetään pääsy.
Käytä selaimen sormenjälkiä
Vaikka saatat yleensä haluta suojaa selaimen sormenjälkiä vastaan, se voi itse asiassa auttaa sinua torjumaan pass-the-cookie-hyökkäyksiä. Selaimen sormenjälkien avulla voit lisätä yhteyspyyntöihin kontekstia. Tietoja, kuten selainversio, käyttöjärjestelmä, käyttäjän laitemalli, ensisijaiset kieliasetukset ja selainlaajennuksia voidaan käyttää tunnistamaan minkä tahansa pyynnön konteksti sen varmistamiseksi, että käyttäjä on juuri se, jota hän väittää olla.
Evästeet ovat saaneet huonon maineen, koska niitä käytetään usein käyttäjien seurantaan, mutta ne ovat vaihtoehtoja niiden poistamiseen. Sitä vastoin, kun otat selaimen sormenjäljet käyttöön identiteettikontekstin osana mihin tahansa yhteyspyyntö, poistat valinnan, mikä tarkoittaa, että käyttäjät eivät voi poistaa tai estää selainta sormenjälkien ottaminen.
Uhkien tunnistustyökalun käyttö on erinomainen tapa havaita haitallisesti käytetyt tilit.
Hyvä kyberturvallisuustyökalu skannaa verkkosi ennakoivasti ja varoittaa epätavallisesta toiminnasta ennen kuin se voi aiheuttaa merkittäviä vahinkoja.
Vahvista turvallisuutta estämään evästehyökkäystä
Pass-the-cookie-hyökkäykset ovat vakava turvallisuusuhka. Hyökkääjien ei tarvitse tietää käyttäjänimeäsi, salasanaasi tai muita todennustekijöitä päästäkseen tietoihin. Heidän täytyy vain varastaa istuntoevästeet, ja he voivat päästä pilviympäristöösi ja varastaa, salata tai suodattaa arkaluontoisia tietoja.
Mikä pahempaa, joissain tapauksissa hakkeri voi suorittaa evästeen välityshyökkäyksen, vaikka käyttäjä olisi sulkenut selaimensa. Siksi on ratkaisevan tärkeää, että ryhdyt tarvittaviin turvatoimiin estääksesi evästeiden ohitushyökkäykset. Kouluta käyttäjiäsi myös MFA-väsymyshyökkäyksistä, joissa hakkerit lähettävät käyttäjille joukon push-ilmoituksia kuluttaakseen heitä.
