Por que você deve parar de usar códigos de segurança SMS — mesmo no Apple iMessage

Views: 431
0 0
Read Time:9 Minute, 42 Second
2FA

Facebook, PayPal, Microsoft, Twitter, Sony, Uber, Dropbox, Amazon… a lista continua. É surpreendentemente irônico — essas empresas estão justamente nos pressionando para proteger melhor nossos aplicativos e serviços com autenticação de dois fatores (2FA), códigos de verificação quando fazemos login ou fazemos pagamentos. Mas a opção 2FA padrão geralmente é SMS — códigos únicos enviados para nossos telefones, e o SMS tem uma segurança infamemente ruim, deixando-a aberta para atacar.

Os ataques de SMS comprometem telefones/números de telefone ou os próprios centros de mensagens dentro das redes móveis. Essas mensagens estão em forma de texto simples — elas não estão criptografadas entre remetente e receptor, portanto, se um invasor pode acessar a mensagem, eles podem ler o conteúdo.

Os compromissos de número de telefone/telefone incluem malware que é involuntariamente instalado pelos usuários e, em seguida, procurará senhas de SMS únicas e as enviará de volta para o invasor. O malware móvel também pode capturar nomes de usuário e senhas para sites e aplicativos no dispositivo — embora essas credenciais possam ser facilmente colhidas por outros meios. Em seguida, temos sim trocando ataques, onde as redes são enganadas para emitir um novo SIM para o número de telefone de um alvo. Em seguida, qualquer mensagem SMS pode ser lida.

Ao contrário das mensagens criptografadas de ponta a ponta — como WhatsApp ou iMessage, ou até mesmo plataformas mais gerais, como o Facebook Messenger, o SMS é incorporado na arquitetura das próprias redes móveis. Assim, a segurança de suas mensagens SMS depende da segurança dessas redes, ou da falta delas. Esta questão é conhecida há anos. E no ano passado foi divulgado que os hackers haviam plantado malware dentro de várias redes para interceptar mensagens à vontade.

O iMessage da Apple parece mais seguro do que outros mensageiros SMS — e ele faz tráfego de criptografia de ponta a ponta, mas apenas onde o remetente e o destinatário estão usando dispositivos Apple. Quando se trata de mensagens SMS, incluindo senhas únicas, o iMessage não é mais seguro do que qualquer outra plataforma SMS.

O iMessage faz um bom trabalho simplificando as senhas únicas do SMS, que podem ser inseridas em um campo 2FA com uma torneira solicitada. Mas isso não faz nada para proteger a mensagem SMS em si, que é armazenada dentro do seu histórico padrão de mensagens SMS. Da mesma forma, a nova iniciativa da Apple e do Google de colaborar em formatação padrão e códigos específicos de domínio não faz nada para fortalecer a segurança do SMS, embora isso resolva o risco crescente de phishing por SMS.

Sabemos que através de violações de dados, reutilização de senhas e dependência de combinações de senhas comuns e fáceis de adivinhar, nomes de usuário e senhas estão abertas para atacar. Você precisa de autenticação de dois fatores. Mas onde isso usa mensagens SMS, isso também é vulnerável a compromissos — embora tais compromissos permaneçam comparativamente e felizmente raros — mas está se tornando mais um problema. No ano passado, vários bancos alemães retiraram o SMS como opção 2FA apenas por esse motivo.

A Check Point alertou sobre um ataque de SMS 2FA no mês passado, “um backdoor android que extrai códigos de autenticação de dois fatores de mensagens SMS, registra o ambiente de voz do telefone e muito mais” A operação “Rampant Kitten“, atribuída a hackers iranianos, interceptou códigos 2FA para contas seguras do Google e telegrama. O ataque foi brutalmente simples, disse a Check Point, um aplicativo empurrado para os usuários via engenharia social que pedia permissão para ler mensagens SMS.

Este é um problema que agora é muito pior com tantos de nós trabalhando em casa. De acordo com a Forrester, “quando toda a força de trabalho foi forçada a se controlar, a maioria dessas empresas começou a usar autenticação de dois fatores na forma de senhas únicas (OTP) via SMS”. Mas, embora isso seja rápido e fácil, Forrester adverte, “é suscetível a compromissos em certos casos”.

Dito isso, você deve habilitar a autenticação de dois fatores sempre que estiver disponível. A Microsoft alertou que mais de um milhão de suas contas estão comprometidas mensalmente. “Esse é um número muito, muito, muito alto”, disse o chefe de segurança de identidade da empresa em um evento do setor de segurança no início deste ano.

A Microsoft diz que o 2FA impediria mais de 99% desses ataques. “Nenhum aplicativo de SMS 2FA ou autenticador no Office 365”, aponta Ian Thornton-Trump, da Cyjax CISO, “é como até mesmo uma agência federal dos EUA foi ‘pwned’. Todo o ataque poderia ter sido mitigado.

Mas, onde os usuários são alvo, forrester diz: “O SMS 2FA só interrompe 76%” dos ataques. “O protocolo SMS — com mais de 30 anos agora”, diz, “é suscetível a ataques man-in-the-middle, engenharia social e troca de SIM”. Forrester sugere substituição de senhas de terceiros, análises avançadas, sinal único e chaves físicas. Viável para empresas — embora com custos, treinamento, suporte e aceitação de usuários, mas dificilmente viável para usuários privados.

Se você está usando o ecossistema da Apple, você já tem a alternativa ideal, onde a opção padrão não é SMS, mas senhas únicas exibidas em dispositivos confiáveis que já estão conectados. “É um dispositivo que sabemos que é seu”, diz a Apple, “e pode ser usado para verificar sua identidade exibindo um código de verificação da Apple quando você faz login em um dispositivo ou navegador diferente.”

O Google agora está inadimplente com o mesmo. Em julho, a empresa fez a verificação telefônica solicitando “o método principal de verificação em duas etapas (2SV) “, afastando-se de mensagens SMS ou chamadas de voz. O Google diz que recomenda “solicitações” em vez de códigos de verificação de mensagens de texto para “evitar a invasão de conta baseada em números de telefone… obter mais informações sobre tentativas de login… [e] bloqueie atividades suspeitas — se você não tentar entrar em sua conta, toque em ‘Não’ na notificação para proteger sua conta.”

Esses alertas e seguranças baseados no sistema não podem ser falsificados da maneira que os e-mails e mensagens podem. Também é muito mais difícil usar a engenharia social para persuadir alguém a tocar para deixá-lo entrar em sua conta do que enviar-lhe um código que eles foram enviados, com um “foi feito para mim, não para você”, desculpa.

Apple e Google estão posicionados exclusivamente para implantar um sistema 2FA fácil de usar, embutido em dispositivos em seus ecossistemas. Mas isso não está disponível para outros incapazes de acessar o nível do dispositivo, muitas vezes a segurança biométrica. Para a maioria, a opção fácil ainda é mensagens SMS. Você registra seu número de telefone e envia códigos de quatro ou seis dígitos, enviados via texto simples, vulneráveis a esses compromissos.

“Mas é importante entender”, diz o comentarista da Infosec John Opdenakker, “que estes ainda são ataques direcionados. Em geral, o risco para o usuário médio ter contas comprometidas por ataques em massa, como phishing ou recheio de credenciais, é muito maior.”

O maior benefício com o SMS também é sua maior fraqueza. A razão pela qual se tornou um padrão 2FA é que todos nós temos acesso a um celular e um mensageiro SMS. Não há necessidade de executar um aplicativo autenticador separado para produzir códigos únicos, não há necessidade de carregar chaves digitais, funciona em todos os aplicativos e plataformas e não depende de nenhum ecossistema específico.

Mas, atrás da fachada, o sistema SMS sobre o qual esses códigos estão sendo enviados está escancarado. Uma rede arcaica que percorre redes móveis em todo o mundo, onde não há criptografia de ponta a ponta, onde você não tem como saber sobre quais redes sua mensagem viaja em forma de texto aberto entre remetente e destinatário. No ano passado, o FBI alertou que o 2FA tinha fraquezas inerentes, aconselhando-nos a optar pela biometria — exatamente o que você tem com a abordagem da Apple e do Google.

O pesquisador de segurança Sean Wright descreve o SMS 2FA como “melhor do que nada”. E essa é uma percepção comum na indústria da segurança. “Ele conhece falhas”, diz ele, “que foram exploradas com sucesso. Cumprimos seu propósito, devemos agora passar para soluções mais novas e melhores. Também pouparia dinheiro das empresas para substituir o SMS, já que elas não teriam mais que pagar para enviar mensagens.”

Os ataques de engenharia social estão aumentando, buscando roubar códigos de usuários desavisados para sequestrar contas do WhatsApp ou credenciais de pagamento. É hora de uma nova abordagem. Precisamos de uma ampliação da abordagem Apple/Google, autenticação 2FA incorporada em nossos dispositivos, protegida por biometria, apresentando solicitações do sistema e opções no dispositivo para manter nossos dispositivos seguros.

Mike Thompson, especialista da Infosec, concorda que “o SMS 2FA é melhor do que o 2FA para a maioria das pessoas — ter apenas um nome de usuário e senha é uma posição mais fraca para se estar. Dito isto, as empresas que não estão oferecendo serviços mais robustos estão muito atrás da curva tecnológica.”

Esse sistema precisa ser abertamente acessível aos provedores de serviços, da forma como muitos aplicativos bancários dependem de aplicativos multi-dispositivos para usar a biometria para autorizar logins. Mas os próprios provedores precisam ser encorajados a se afastar do SMS para tais esquemas. Não basta oferecer aplicativos autenticadores ou chaves digitais como alternativas — isso é irreal para a grande maioria da base de usuários.

De acordo com Jake Moore, da ESET, “as mensagens de texto são melhores do que nenhuma segunda camada de segurança. Levar as pessoas por trás da ideia de autenticação de dois fatores é uma tarefa difícil em si mesma, então posso ver por que algumas organizações começam levemente e oferecem um conceito de SMS que as pessoas estão acostumadas. No entanto, acho que é melhor a prova futura a longo prazo para ir direto para recomendar um aplicativo autenticador para reforçar a segurança da conta e defendê-los dos ataques mais simples.”

O desafio, é claro, é que isso torna o 2FA muito mais complexo e corre o risco de não conformidade. Nicola Whiting, Diretor de Estratégia da Titania, defende a abordagem incorporada. “OTPs totalmente automatizados, padronizados em vários navegadores, provedores e plataformas têm o potencial de fornecer aos usuários uma proteção maior… Que os OTPs tenham um custo de adoção quase ‘zero’ será fundamental para a adoção generalizada e para que os benefícios de segurança transformacional sejam alcançados.”

Até lá, embora possa haver muitas razões para parar de usar senhas sms, infelizmente há uma razão muito maior para continuar fazendo isso. Se esta é a melhor opção de 2FA que temos agora, a que você está mais propensa a usar, então você deve continuar usando-a. É para a indústria resolver esse problema, não para você.

“Muitas vezes perdemos a marca na segurança”, diz Lisa Forte, sócia da Red Goat Cyber Security. “Segurança é uma jornada. Assim, para alguém que usou ‘Summer1’ como sua única senha por anos, habilitar o SMS 2FA é um grande progresso. É uma solução perfeita? Com certeza que não. Nem perto. Mas é progresso e essa pessoa agora é mais difícil de atacar do que era. Esta é uma jornada sem ponto final. Os ataques evoluem e nós também. Procure progresso e não perfeição.”

Então, sim, você deve parar de usar códigos de segurança SMS para verificação em duas etapas — mas, infelizmente, você não pode.Obtenha o melhor da Forbes para sua caixa de entrada com os últimos insights de especialistas em todo o mundo.

FONTE: FORBES

POSTS RELACIONADOS