Vannak emberek akik megveszik a legkülönbfélébb, biztonságot igérő programokat, hogy védjék a gépüket. Ők a másik végzet, mert sokan kb. nem is törődnek a biztonsággal. De akik teknőkbéka módszereket használnak is nem veszik eléggé figyelembe a tényt, hogy a progik amikkel védenék a rendszerüket is ugyanúgy sebezhetők mint a megvédendő rendszer, tehát a vágyuk, hogy szuperbiztonságosak legyenek igazából nem teljesül. Ami azt illeti vannak esetek amikor a biztonsági megoldások gyöngítették a biztonságot.
Itt van erre egy újabb példa. Ami növeli elméletileg a biztonságot igazából még csökkentette is azt:
"A kétlépcsős védelem nyitott kaput a Reddit-adatlopás előtt"
"A támadók az SMS-es azonosítást használták ki, forráskódot, felhasználói adatokat vittek."
"Adatlopás áldozata lett a Reddit, amelyhez a támadók épp az oldal védelmét erősíteni hivatott SMS-alapú kétfaktoros beléptetést használták ki. Az akció során az oldal belső adatai mellett felhasználónevek, email címek és titkosított jelszavak is kiszivárogtak."
A kétfaktoros beléptetést mint valami ultimate biztonságot szokták emlegetni, a bankok közül is sok használja, aztán tessék ez van. Ez is mint minden ami informatika sebezhető. Ráadásul forráskódot is szereztek tehát a jövőben még több hatékony támadás várható.
A felhő megint nagyon hasznos volt... a hackereknek:
"A Reddit kapcsolódó blogposztja szerint a támadást június 14. és 18. között hajtották végre, méghozzá néhány alkalmazott a cég által használt egyik felhőszolgáltatónál kezelt fiókjának feltörésével. "
"Noha a vállalat minden érintett helyen kétfaktoros beléptetést használt, ennek SMS-re építő variánsa sebezhető, a támadást épp az azonosító kódot tartalmazó SMS-ek elcsípésével hajtották végre ismeretlenek. Hogy ezeket az üzeneteket a támadók pontosan hogy tudták megszerezni, azt a vállalat egyelőre nem részletezte, a Krebs on Security értesülései szerint mindenesetre a támadók nem közvetlenül az alkalmazottak telefonjait vették ostrom alá."
"A keserű tapasztalatok után a Reddit mindenkit arra biztat, kerülje az SMS-re építő kétlépcsős azonosítást, és váltson valamilyen tokenalapú megoldásra."
Pedig mekkora nagy star volt ez a megoldás.
A felhők egy része is ilyen kétfaktoros beléptetést használ és szerintük ez elég. Cisco épp most vett egy céget ami ezzel foglalkozik.
"Kétfaktoros beléptetésben erősít a Cisco"
"Biztonsági szoftverszolgáltatásokban erősít tovább a Cisco, most épp a kimondottan sikeres Duo Security felvásárlásával."
"A Duo nagyon érdekes szolgáltatás, használatával gyorsan beépíthető a kétfaktoros beléptetés tetszőleges rendszerekbe, amelyek így erősebb védelemmel rendelkeznek. Ez nyilván első körben az erősen szabályozott iparágakban, egészségügyben és a pénzügyi szektorban tette népszerűvé a céget, de a phishing támadások terjedésével ennél sokkal szélesebb körben is ügyfeleket talált. "
Téged is megnyugtat, hogy a felhők és olyan apróságok mint egészségügy és a pénzügyi szektor is mostmár ezt a nagyon biztonságos, vagy inkább nagyon "biztonságos" módszereket használja, hogy védje az ügyfeleit?