İki faktorlu autentifikasiya (2FA) üsullarının icmalı və hücum metodikası / 1-ci hissə — SMS

Adi, klassik, istifadəçi autentifikasiya üsulları adətən statik və dəyişməz olur. Məsələn, bir faktorlu autentifikasiya sayılan standart istifadəçi adı və parol cütlüyü çox nadir hallarda dəyişir, adətən parol mütamadi, məsələn 2–6 aydan bir dəyişir, lakin bu yenə də statik faktor hesab olunur.

Statik autentifikasiya faktorunun əsas riski, müxtəlif xaker hücumları nəticəsində ələ keçirildikdən sonra, onların təkrar istifadəsinin çox sadə olmasıdır. Nümunə kimi, fishing (phishing) vasitəsilə əldə edilən istifadəçi adı və parol müəyyən bir bazaya toplanaraq, sonradan istənilən zaman təkrar istifadə oluna bilər (təbii ki, bu fakt aşkarlanan zamanadək).

Bu probleminin qarşısını almaq üçün bir neçə üsul və sistem mövcuddur. Bu məqalə silsiləsində hər bir üsul haqqında texniki məlumat verməklə bərabər, həmin üsulların dolanıb keçmə yolları haqqında da bəhs edəcəm.

SMS

İki faktorlu autentifikasiyasının ən çox yayılan və istifadəçi üçün ən rahat hesab olunan üsul SMS əsasında qurulub. Bu üsula əsaslanan sistemlərdə qeydiyyat zamanı istifadəçi öz mobil telefonunu qeyd etməlidir. Giriş zamanı, parol düzgün daxil edildikdə, qeyd olunmuş nömrəyə təsadüfi yaranmış bir kod SMS mesaj vasitəsilə göndərilir. Girişi tamamlamaq üçün, istifadəçi həmin kodu giriş formasının ikinci mərhələsində daxil etməli olur.

Beləliklə, bu cür sistemlərə daxil olmaq üçün, iki faktor lazımdır: birincisi — statik parol, ikincisi isə mobil telefonunuza göndəriləcək hər dəfə dəyişən kod.

Dolanıb keçmə üsulları

SMS ilə müdafiə olunmuş hər hansı bir hesabın parolu artıq ələ keçirilibsə (məsələn phishing üsulu ilə), ikinci faktorun “sındırılmasının” bir neçə üsulu mövcuddur. Bu üsulların bəzilərini sadalayım:

• SS7 protokolunun qüsurundan faydalanaq
• Əks-proksi sistemləri vasitəsi ilə (reverse proxy)
• SİM kart dublikatı vasitəsi ilə

SS7 protokolu SMS ötürülməsi üçün istifadə olunur. Bu üsulun istifadəsi rahat olmağına baxmayaraq, xüsusi avadanlıq tələb edir, bu səbəbdən bu üsul haqqda ətraflı məlumat verə bilməyəcəm.

Reverse proxy üsulu tək SMS deyil, bir neçə digər 2FA sistemləri üçün tətbiq oluna bilər, bu haqqda növbəti məqalələrdən birində bəhs edəcəm.

Beləliklə, bu məqalədə sadalanan üsullardan biri, SİM kart dublikatı vasitəsi ilə həyatə keçirilən hücum haqqında danışacayıq.

SİM kart dublikatı

Əslində, bu hissə heç də texniki deyil. Sadəcə olaraq, bu istiqamətdə həyata keçirdiyimiz bir təcrübə haqqında məlumat verəcəm. Dörd müxtəlif cəhddə, komandamızdan olan “xaker” təcrübəçilər, onlara məxsus olmayan SİM kartın dublikatını almaq üçün mobil operatorların müştəri xidmətinə müraciət edib. Şəxsiyyətini təsdiq edən sənədi üstündə olmadığına baxmayaraq dörd cəhddən üçü uğurlu olub.

Nəzərinizə çatdıraq ki, bizim layihədə olan eksperimentlər sırf qanun çərçivəsində olub və saxta sənədlərdən istifadə olunmayıb. Əminəm ki, şəxsiyyət vəsiqəsinin saxta nüsxəsi istifadə olunduqda bu cür cəhdlərin müvəffəqiyyət faizi daha yuxarı ola bilər.

Davamı- 2-ci hissə — Mobil tətbiqlər