quando a autenticação multifator não é suficiente

A autenticação multifator (MFA) é uma boa medida de segurança, na maioria das vezes. Ele permite que uma empresa adicione uma camada de segurança à sua VPN corporativa, por exemplo. O usuário, além de uma senha (espero) forte, precisa inserir outro código, que pode ser ado de outro dispositivo. Pode ser um smartphone via SMS ou aplicativos de autenticação como Duo ou Google Authenticator, ou até mesmo dispositivos de hardware como um Yubikey.

Muitos serviços online na web também usam essa tecnologia hoje em dia, e cada vez mais adotarão o MFA, o que é bom, claro.

No entanto, o que acontece quando um usuário autentica seu o a esse site? Como a sessão é tratada do ponto de vista dos servidores? A resposta é uma palavra única e simples: cookies.

Cookies de sessão

A maneira como a maioria dos sites lida com a autenticação é por meio de cookies, aqueles pequenos arquivos armazenados pelo navegador. Uma vez autenticado, um cookie de sessão mantém o estado da sessão e a sessão de navegação do usuário permanece autenticada (Figura A).

Figura A

Cada cookie armazenado no banco de dados do navegador contém uma lista de parâmetros e valores, incluindo, em alguns casos, um token exclusivo fornecido pelo serviço da web após a validação da autenticação.

Os cookies de sessão, como o próprio nome indica, duram enquanto a sessão estiver aberta.

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

A ameaça

A ameaça, conforme exposto em uma publicação recente da Sophos, é bastante direta: “Cookies associados à autenticação de serviços da Web podem ser usados ​​por invasores em ataques de ‘ar o cookie’, tentando se ar por usuário legítimo para quem o cookie foi originalmente emitido e obter o a serviços da web sem um desafio de ” (Figura B).

Figura B

A maneira mais comum de roubar esses cookies é por meio de malware, que enviará cópias exatas dos cookies de sessão ao invasor. Vários malwares de roubo de credenciais agora também fornecem funcionalidades de roubo de cookies, e devemos esperar que essa funcionalidade apareça em quase todos esses tipos de malware no futuro, pois o MFA é cada vez mais implantado e usado.

Os cookies também podem ser vendidos, da mesma forma que as credenciais são vendidas. Pode-se pensar que os cookies de sessão não durariam o suficiente para serem vendidos, mas não é o caso, dependendo da configuração do cliente e do servidor, os cookies de sessão podem durar dias, semanas ou até meses. Os usuários tendem a evitar a autenticação várias vezes se puderem evitá-lo e, portanto, muitas vezes clicam nas opções fornecidas pelos sites para estender sua sessão e não fechá-la antes de muito tempo, mesmo que o navegador seja fechado e reaberto.

Um mercado cibercriminoso chamado Genesis, famoso por vender credenciais, também vende cookies. Membros do grupo de extensão Lapsus$ alegaram que compraram um cookie roubado, que dava o à Electronic Arts. Isso permitiu que o agente da ameaça roubasse cerca de 780 gigabytes de dados usados ​​para tentar extorquir a Electronic Arts.

Infecções de ladrões de cookies

Os computadores dos usuários podem ser infectados por malware que rouba cookies da mesma forma que qualquer outro tipo de malware.

A Sophos relata que os operadores de malware costumam usar serviços de pagos e outras abordagens não direcionadas para coletar o maior número possível de cookies das vítimas.

Uma abordagem eficiente é armazenar o malware em grandes arquivos ISO ou ZIP que são anunciados por meio de sites maliciosos como instaladores de software comercial pirateado/craqueado.

Eles também podem estar disponíveis por meio de redes peer-to-peer.

Os ladrões de cookies também podem chegar por e-mail, geralmente como arquivos contendo um er ou dropper malicioso para o malware.

Por fim, os cookies também são um recurso poderoso para ataques direcionados. Uma vez que os invasores tenham comprometido um computador com sucesso, eles podem procurar ativamente por cookies, além de credenciais válidas. Uma vez encontrados e roubados, eles podem ser usados ​​para aumentar a lista de métodos do invasor para permanecer dentro da rede. Os invasores também podem abusar de ferramentas de segurança legítimas, como Metasploit ou Cobalt Strike, para aproveitar os cookies de sessão.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Como os sites podem fornecer melhor proteção para seus usuários?

Muitos aplicativos baseados na Web implementam verificações adicionais contra o seqüestro de sessão de cookie. Em particular, a verificação do endereço IP da solicitação em relação ao endereço IP usado no início da sessão pode ser eficiente. No entanto, parece difícil para aplicativos criados para uma combinação de desktop e uso móvel. Além disso, um invasor já dentro da rede interna pode ainda conseguir sequestrar um cookie de um usuário.

Encurtar a vida dos cookies também pode ser uma medida de segurança a ser tomada, mas significa que os usuários precisarão se autenticar com mais frequência, o que pode ser indesejado.

Na rede, os cookies nunca devem ser transmitidos em texto não criptografado. Deve sempre ser transmitido usando SSL (Secure Sockets Layer). Isso está de acordo com as recomendações de segurança de ter sites executados totalmente no protocolo HTTPS em vez de HTTP. Os cookies também podem ser criptografados usando um algoritmo bidirecional.

Como os usuários finais podem se proteger do roubo de cookies?

Um cookie só pode ser roubado de duas maneiras: pelo computador do usuário final ou pelas comunicações de rede com o aplicativo baseado na web.

Os usuários devem aplicar a criptografia quando possível e favorecer HTTPS em vez de HTTP. Os usuários também devem excluir regularmente seus cookies de sessão, mas isso significa que eles também terão que se autenticar novamente.

No entanto, o principal risco ainda está em seu computador ser infectado por um malware que rouba cookies. Isso pode ser evitado com a higiene geral de segurança do computador. O sistema operacional e o software precisam estar sempre atualizados e corrigidos, para evitar serem comprometidos por uma vulnerabilidade comum.

As soluções de segurança também devem ser implantadas para detectar qualquer malware que seja baixado ou recebido por e-mail.

Divulgação: Eu trabalho para a Trend Micro, mas as opiniões expressas neste artigo são minhas.