Početkom 2021. CISA, američka Cybersecurity and Infrastructure Security Agency, objavila je da raste broj napada usmjerenih na cloud konfiguracije, kao posljedica porasta rada na daljinu.
Činjenica je da se sve više korporativnih i osobnih uređaja istodobno koristi za pristup cloud servisima, a to otvara prostor raznim zlonamjernim akterima da koriste čitav niz kriminalnih taktika za pristup podacima. Uobičajeni napadni vektori su brute-force pokušaji prijave i phishing napadi, ali primijećen je i porast onoga što se naziva pass-the-cookie napadima, relativno novom metodom cyber kriminala.
Pogledajmo zato što su pass-the-cookie napadi i kako ih možete ublažiti.
Što su pass-the-cookie napadi
Cookieji su sastavni dio online života. Iako možda znate da selektivno brisanje cookieja može pomoći pri pronalaženju boljih cijena za letove i hotele, kada pogledamo složenost i mogućnosti cyber kriminala koje cookieji otvaraju, postaje jasno da se napadi koji se oslanjaju na njih mogu koristiti za kompromitiranje sustava, krađu podataka i dubok prodor u baze s osjetljivim informacijama.
U pass-the-cookie napadima kibernetički kriminalci koriste ukradene session cookieje, poznate i kao transient cookieji, kako bi se autentificirali prema web servisima i tako zaobišli sigurnosne mjere poput MFA-a jer je sesija već potvrđena. Logika je jasna: takvi cookieji su u osnovi mjera praktičnosti koja sprječava ponovno slanje credentiala i potrebu za redovitom reautentikacijom. Zbog toga obično ostaju valjani neko vrijeme.
Ako takvi cookieji dospiju u pogrešne ruke, mogu se uvesti u preglednik kibernetičkog kriminalca i omogućiti mu pristup stranici ili aplikaciji dok god je cookie aktivan. Ovakvi napadi pružaju dovoljno vremena za lateralno kretanje kroz sustav, pristup osjetljivim podacima i emailovima ili izvođenje raznih drugih radnji.
Iako pojam nije pretjerano poznat široj publici, pass-the-cookie napadi nisu zapravo novi. Prema stručnjacima za informacijsku sigurnost, riječ je o prilično standardnom obliku infiltracije. Kriminalci koji znaju doći do session cookieja i dalje će ih koristiti kao dio svog arsenala, zajedno s malwareom poput cookie minera i sličnim metodama.
Kako se braniti od pass-the-cookie napada
Ne postoje nepogrešive metode koje će vas uvijek zaštititi. Ipak, uz primjenu dobrih praksi upravljanja ranjivostima, malo zdravog razuma i sigurnosnih protokola koji uzimaju u obzir stalno promjenjiv pejzaž cyber kriminala, postoje načini za smanjenje rizika i bolju zaštitu podataka.
Kada je riječ o pass-the-cookie napadima, postoji nekoliko načina za povećanje sigurnosti. No važno je opet naglasiti da nijedan od njih ne jamči apsolutnu zaštitu i da svaki ima svoje nedostatke. Unatoč tome, svaki pokušaj nadmudrivanja napadača često je dovoljan da odbije oportuniste i poveća osjećaj sigurnosti.
Pogledajmo četiri najbolja pristupa.
1. Koristite klijentske certifikate
Uvijek je dobra ideja korisnicima dati trajni token koji se zatim sigurno pohranjuje na njihov sustav i koristi za svaku sljedeću serversku vezu. Većina administratora to postiže korištenjem klijentskih certifikata spremljenih u korisničkim profilima na sustavu.
To se općenito smatra jednom od najsigurnijih opcija za borbu protiv pass-the-cookie napada. No logistički otvara nekoliko problema. Prije svega, može se koristiti samo u aplikacijama s ograničenim brojem korisnika, primjerice u sustavima koje koriste poslovni partneri kojima treba pristup internim web aplikacijama ili B2B sustavu. Čim pokušate skalirati takvu opciju, problemi postaju očiti. Zato nije prikladna za eCommerce stranice čija publika može biti globalna.
2. Koristite dinamičke tokene
Dinamički tokeni, koji se mijenjaju u pravilnim razmacima, još su jedna moguća opcija. Smanjivanjem vremenskog prozora za napad ograničavaju aktivnosti napadača jer uglavnom nema dovoljno vremena da iskoriste token prije nego što postane nevažeći.
Naravno, važno je naglasiti da skraćivanje vremena za napad nije isto što i potpuna zaštita, a današnji napadači često su precizni, brzi i svjesni kako dinamički tokeni utječu na njihove operacije.
3. Zahtijevajte dodatne identifikacijske kriterije
Još jedna opcija je dodati dodatni kontekst uz sam token kako biste provjerili identitet zahtjeva. Mnoge tvrtke, primjerice, koriste izvornu IP adresu svakog zahtjeva.
No i ovdje postoje problemi. Proxiji su često u upotrebi među napadačima i skrivaju njihov identitet. Ako napadač djeluje iz istog javnog prostora ili iste organizacije kao i žrtva, primjerice u kafiću ili poslovnoj zgradi, i napadač i žrtva mogu imati istu javnu IP adresu te oba izgledati kao legitimni korisnici.
4. Browser fingerprinting
Korištenje browser fingerprintinga izazvalo je mnogo kontroverzi. Slično kao i cookieji, fingerprinting omogućuje praćenje korisnika, ali bez opcije da korisnik to odbije. Kao što znamo, cookieji se lako mogu onemogućiti ili odbiti, dok fingerprinting uklanja taj izbor i zato je manje popularna opcija.
Unatoč tome, fingerprinting je i dalje jedan od praktičnijih načina za dodavanje elementa identifikacijskog konteksta svakom zahtjevu i provjeru da je korisnik zaista onaj za koga se predstavlja.
Nema sumnje da pass-the-cookie napadi rastu i da napadači nastavljaju pratiti napore za njihovu prevenciju. Uz pravi pristup, inzistiranje na dosljednim sigurnosnim protokolima i način razmišljanja koji unaprijed pretpostavlja protivničku taktiku, postoje vrlo dobra rješenja za zaštitu podataka od ove vrste kriminala.
Povezane usluge
Savjetodavna područja vezana uz ovu temu
Ove su usluge usklađene s temom članka i daju čišći prijelaz od edukativnog sadržaja do konkretne implementacije.
Nastavite čitati
Povezani članci
Prvo po zajedničkim kategorijama, a zatim po najjačem preklapanju u tagovima.