تاريخ اليوم
  • الرئيسية
    • تسلط الضوء على أهم الثغرات الأمنية للأعمالأداة تجاوز 2FA
    الرئسية ثقافة الويب تسلط الضوء على أهم الثغرات الأمنية للأعمالأداة تجاوز 2FA

    تسلط الضوء على أهم الثغرات الأمنية للأعمالأداة تجاوز 2FA



    شارك المقالة

                                                  بسم الله الرحمن الرحيم 

    الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم

                               السلام عليكم ورحمة الله 


    تسلط الضوء على أهم الثغرات الأمنية للأعمالأداة تجاوز 2FA 




    أصدر باحث أمني أداة لإثبات صحة المفهوم تتجاوز المصادقة الثنائية (2FA) التي يستخدمها Gmail والخدمات الأخرى لتسليط الضوء على نقاط الضعف الأكثر سهولة في أمان المؤسسة.

    الحصول على الأمان السحابي بشكل صحيح

    دعونا نواجه الأمر ، يمكن أن يتم عمل أمان السحابة بشكل خاطئ للغاية. دعونا نتعلم القيام بذلك بشكل صحيح. يستكشف بيتر راي أليسون ، المساهم المنتظم في Computer Weekly ، هذه المشكلة ، ويقيم الأسئلة التي يجب أن تطرحها المؤسسات على موفري الخدمات السحابية ، والذين ينبغي أن يكون أمان السحابة مسؤولاً عنهم.

    كتب Duszyński في إحدى المدونات: "على مدار سنوات عديدة من تجربتي في اختبار الاختراق ، وجدت الهندسة الاجتماعية الطريقة الأسهل والأكثر فعالية للحصول على موطئ قدم مناسب في الشبكة الداخلية لعملائي" .

    وقال إن المهاجمين يعرفون أنه لا توجد حاجة لثغرات يوم الصفر لاستغلال الدفاعات الأمنية التي تحمي المحيط لأن كل ما هو مطلوب لخرق الأمان للوصول إلى البيانات الحساسة هو "مجرد عدد قليل من رسائل البريد الإلكتروني أو المكالمات الهاتفية".

    للتأكيد على هذه الحقيقة ، قال Duszyński إنه أنشأ أداة "Modlishka" باستخدام لغة برمجة Go لجعل حملات التصيد الاحتيالي لسرقة بيانات اعتماد المستخدم المشروعة فعالة قدر الإمكان.

    يمكن استخدام أداة  Reverse proxy tool ، المتوفرة على GitHub جنبًا إلى جنب مع إرشادات المستخدم ، لتجاوز معظم مخططات مصادقة 2FA المستخدمة حاليًا وتستخدم تقنية قال Duszyński إنه استغلها "لفترة طويلة بالفعل".

    كما يبرر إنشاء الأداة وإصدارها بالقول إنها يجب أن تكون مفيدة لجميع مختبري الاختراق الذين يرغبون في تنفيذ حملة تصيد فعالة بالإضافة إلى تمارين الفريق الأحمر للمؤسسات لاختبار فعالية دفاعاتهم الإلكترونية.

    تضع الأداة موقع تصيد غير محسوس بين المستخدم والموقع الشرعي في هجوم من النمط الأوسط لحصد بيانات الاعتماد بما في ذلك رموز مصادقة العامل الثاني ، وبالتالي لا تتطلب من المهاجم إنشاء نسخة مزيفة من الموقع للخداع المستخدمين في إدخال التفاصيل الخاصة بهم.

    ومع ذلك ، لا تعمل تقنية الوكيل العكسي هذه مع مخططات 2FA التي تستخدم العامل الثاني العالمي (U2F) ، وهو نوع من أجهزة المصادقة المادية التي تستخدم التشفير والمفاتيح الخاصة لحماية الحسابات المدعومة وإلغاء تأمينها.

    نظرًا لأنه يعمل فقط ضد المخططات التي تعتمد على الرموز المرسلة عن طريق الرسائل النصية للهاتف المحمول ، قال Duszyński إنه لا يعني كسر 2FA ، ولكنه يعني أن الأفراد والمؤسسات بحاجة إلى إيلاء المزيد من الاهتمام للتصيد الاحتيالي وأشكال الهندسة الاجتماعية الأخرى المصممة لسرقة شرعية أوراق اعتماد المستخدم.

    قال: "إذا كنت لا ترغب في التحقق دائمًا مما إذا كان اسم المجال في شريط عنوان URL في متصفحك ليس ضارًا إلى حد ما أو تقلق إذا كان هناك خطأ آخر في انتحال عنوان URL ، ففكر في التبديل إلى بروتوكول U2F".

    ومع ذلك ، حذر Duszyński من أنه بالإضافة إلى أخطاء المتصفح التي تسمح بانتحال شريط عناوين URL ونقص وعي المستخدم ، فإن هذه التقنية تعني أن بعض المؤسسات يمكن أن تقدم أصولها الأكثر قيمة للخصوم على لوحة فضية.

    وقال: "في النهاية ، يمكن أن تفشل حتى أنظمة الدفاع الأمني ​​الأكثر تطورًا إذا لم يكن هناك وعي مستخدم كاف ، والعكس صحيح في هذا الشأن".

    حذر Jake Moore ، خبير الأمن السيبراني في ESET UK ، من إمكانية استخدام فكرة إثبات مفهوم Duszyński في هجوم مستهدف ، على الرغم من أنها تتطلب أن تقع الضحية المناسبة في هجوم تصيد احتيالي وسيحتاج المهاجم إلى مراقبة بيانات الاعتماد المسروقة و 2FA رموز في الوقت الفعلي لتسجيل الدخول إلى الحساب المستهدف قبل انتهاء صلاحية الرموز.

    قال: "هذه ليست تقنية لحملة تصيد احتيالية ضخمة ، لكنها بالتأكيد طريقة يجب أن يكون على دراية بها". كما أنه يسلط الضوء على الحاجة إلى تثقيف الأشخاص بشأن رسائل البريد الإلكتروني المخادعة بشكل عام إذا شعروا بالحاجة إلى إدخال بيانات خاصة على رابط مراوغ. "

    أشار مور إلى أن الحدود الزمنية الأقصر على رموز الأمان 2FA ستساعد في التخفيف من هذا النوع من الهجوم ، حيث سيكون لدى المهاجم وقت أقصر لاستخدام رمز الأمان 2FA. وقال أيضًا إن تطبيقات المصادقة عادةً ما يكون لها فترات زمنية أقصر لكتابة كل رمز ، مما سيحد من قدرة المهاجم على الاستفادة من الرموز التي تم جمعها باستخدام أداة Duszyński.  

     في أغسطس 2018 ، أبلغ Reddit عن خرق لكلمة المرور على الرغم من استخدام 2FA ، مما كشف نقاط ضعف 2FA استنادًا إلى الرسائل النصية للجوال .

    على الرغم من أن المصادقة الثنائية (2FA) موصى بها على نطاق واسع بالإضافة إلى كلمات المرور كطريقة لتحسين أمان الحسابات ، استخدم Reddit 2FA القائمة على الرسائل النصية ( SMS ) للهاتف المحمول ، والمعروف أنها معيبة.

    قال Reddit في بيان: "علمنا أن المصادقة المستندة إلى الرسائل القصيرة ليست آمنة تقريبًا كما نأمل ، وكان الهجوم الرئيسي عبر اعتراض الرسائل القصيرة"  . "نشير إلى هذا لتشجيع الجميع هنا على الانتقال إلى 2FA القائم على الرمز المميز."

    https://github.com/drk1wi/Modlishka



    التصنيف

    شارك المقالة
    ابلاغ عن مشكلة
    By at
    Labels:

    ليست هناك تعليقات:

    إرسال تعليق

    (( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))

    الاشتراك في: تعليقات الرسالة (Atom)

    السلام عليكم و رحمة الله و بركاته

    الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم

    مدونة نادي لينكس الاغواط الجزائري هي مدونة لتعريف على نظام لينكس وعلى بعض انوعه التوزيعات لينكس لتشجيع على استخدم النظام ربما يكون غير معروف للبعض الهدف هو تعميم والتعريف بالنظام لينكس هي بمثابة اول خطوة الى عالم لينكس ربما الكثير منا لا يعرف الكثير عنه وفي مدونة نادي لينكس الاغواط الجزائري

    بحث هذه المدونة الإلكترونية

    إجمالي مرات مشاهدة الصفحة

    نموذج الاتصال

    الاسم

    بريد إلكتروني *

    رسالة *