IT Professional Security - ΤΕΥΧΟΣ 37
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Η εξαρχής σωστή συμβουλή που έχει προταθεί ως βέλτιστη<br />
λύση σχετικά με την πρόσφατη υπόθεση διαρροής δεδομένων<br />
από το Apple iCloud, είναι η ενεργοποίηση της αυθεντικοποίησης<br />
δύο παραγόντων ή όπως η ίδια η εταιρεία ονομάζει<br />
αυτή την υπηρεσία, two-step verification.<br />
Μέσω του two-step verification το οποίο παρέχεται σε συγκεκριμένες<br />
εφαρμογές του iCloud, δίνεται η δυνατότητα στον<br />
χρήστη να προστατεύσει την πρόσβαση στον λογαριασμό<br />
του, προσθέτοντας ένα ακόμη “επίπεδο” αυθεντικοποίησης.<br />
Αντί λοιπόν μόνο για τον κωδικό πρόσβασης, ο χρήστης καλείται<br />
να εισάγει και έναν ακόμη κωδικό, ο οποίος αποστέλλεται<br />
σε αυτόν είτε μέσω μηνύματος κειμένου, είτε μέσω φωνητικού<br />
μηνύματος. Με τον ίδιο τρόπο περίπου που πραγματοποιούνται<br />
οι διαδικτυακές τραπεζικές συναλλαγές μέσω του<br />
web banking, απλά στην περίπτωση της αυθεντκοποίησης σε<br />
2 στάδια του iCloud, το “token” αποτελεί η τηλεφωνική συσκευή<br />
του εκάστοτε χρήστη.<br />
Η ενεργοποίηση του two-step verification είναι αρκετά εύκολη<br />
διαδικασία αλλά δεν εγγυάται 100% την ασφάλεια των<br />
αποθηκευμένων δεδομένων, τουλάχιστον για το iCloud της<br />
Apple. Ενώ η εταιρεία προσφέρει το two-step verification για<br />
τους λογαριασμούς των χρηστών, το ίδιο το σύστημα δεν<br />
διαθέτει ασφαλιστική δικλείδα για τα αντίγραφα ασφάλειας<br />
που αποθηκεύονται στο iCloud. Τα αντίγραφα ασφάλειας<br />
του iCloud, δεν προστατεύονται από το two-step verification<br />
και μπορούν να εγκατασταθούν σε νέες συσκευές μέσω του<br />
Phone Password Breaker, από τη στιγμή που κάποιος κακόβουλος<br />
χρήστης παραδείγματος χάρη, διαθέτει το όνομα<br />
και τον κωδικό πρόσβασης. Ακόμη και στην περίπτωση<br />
που οι κακόβουλοι χρήστες δεν καταφέρουν να μεταφορτώσουν<br />
ολόκληρο το εφεδρικό αντίγραφο ή ακόμη και αν δεν<br />
υπάρχει καθόλου εφεδρικό αντίγραφο στον λογαριασμό, θα<br />
μπορούν να έχουν πρόσβαση στις φωτογραφίες του χρήστη<br />
(Photo Stream), αφού δεν προστατεύονται από το two-factor<br />
authentication. Ένα εξίσου μεγάλο πρόβλημα αποτελεί το γεγονός<br />
ότι η πρόσβαση στα εφεδρικά αντίγραφά μπορεί να<br />
πραγματοποιηθεί και μέσω ενός φακέλου που δημιουργείται<br />
από το iTunes, για τη δημιουργία του οποίου δεν θα ζητηθεί<br />
ούτε καν κωδικός πρόσβασης. Βάσει των συνολικών στοιχείων<br />
που μέχρι τώρα έχουν αποκαλυφθεί, είναι φανερό ότι οι κακόβουλοι<br />
χρήστες που κατάφεραν να αποκτήσουν μη εξουσιοδοτημένη<br />
πρόσβαση στους συγκεκριμένους λογαριασμούς<br />
χρηστών, δε χρησιμοποίησαν κάποια εξειδικευμένη μεθοδολογία<br />
ούτε έγινε κάποια εκμετάλλευση zero-day exploit. Τα<br />
στοιχεία πρόσβασης βρέθηκαν στα χέρια των κακόβουλων<br />
χρηστών μέσω πολύ απλών μεθόδων όπως το να μαντέψουν<br />
τις ερωτήσεις ασφάλειας που είχαν τεθεί από τους χρήστες,<br />
μέσω κοινωνικής μηχανικής (social engineering) ακόμη και μέσω<br />
phishing. Από τη μια πλευρά βλέπουμε ότι η εταιρεία έχει<br />
βοηθήσει τους χρήστες να προστατευτούν έως έναν βαθμό,<br />
από την άλλη βλέπουμε ότι δεν το έχει καταφέρει επαρκώς.<br />
Η λύση της Apple για την προστασία των χρηστών μέσω της<br />
αυθεντικοποίησης σε 2 στάδια είναι φανερά ελλιπής. Το ότι<br />
τα εφεδρικά αντίγραφα του iCloud δεν προστατεύονται από<br />
αυθεντικοποίηση δύο παραγόντων είναι γνωστό εδώ και αρκετό<br />
καιρό, πολύ πριν βγουν στο φως της δημοσιότητας τα<br />
συγκεκριμένα δεδομένα χρηστών. Θα πρέπει να αναφέρουμε<br />
βεβαίως ότι οι περισσότεροι χρήστες που πέφτουν θύματα,<br />
συνήθως δεν έχουν ενεργοποιημένο το two-step verification.<br />
Σε αυτό ακριβώς το σημείο καλείται η ευαισθητοποίηση των<br />
χρηστών σε θέματα ασφάλειας. Πέρα από τις εφαρμογές α-<br />
σφάλειας που εισάγουν οι εταιρείες για την προστασία των<br />
προσωπικών δεδομένων, τις οποίες σε κάθε περίπτωση θα<br />
πρέπει οι χρήστες να χρησιμοποιούν αφού πρώτα ελέγξουν<br />
από άποψη λειτουργικότητας, θα πρέπει να υπάρχει μεγάλη<br />
προσοχή κατά τη δημιουργία κωδικών πρόσβασης, ώστε να<br />
μην είναι εύκολο αφενός να τον μαντέψει κάποιος, αφετέρου<br />
να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων,<br />
αριθμών και συμβόλων. Επίσης, οι ερωτήσεις ασφάλειας θα<br />
πρέπει και αυτές να είναι συνδυαστικές και να μην σχετίζονται<br />
με προσωπικές πληροφορίες. Να αντιμετωπίζονται δηλαδή<br />
σαν άλλοι κωδικοί πρόσβασης. Η Apple οφείλει να καλύψει<br />
το σύνολο των εφαρμογών iCloud μέσω της αυθεντικοποίησης<br />
δύο παραγόντων και να δώσει ιδιαίτερη έμφαση στην<br />
ασφάλεια των εφεδρικών αντιγράφων. Από την άλλη πλευρά,<br />
οι χρήστες θα πρέπει να είναι αρκετά προσεκτικοί όσον αφορά<br />
τα δεδομένα που διαχειρίζονται εντός των προσωπικών ή/<br />
και των εταιρικών τους συσκευών. Αναμένουμε βεβαίως από<br />
την εταιρεία να εισάγει την υπηρεσία αυθεντικοποίησης δύο<br />
παραγόντων και στην Ελλάδα το συντομότερο δυνατό και<br />
χωρίς παραλήψεις. iT<strong>Security</strong><br />
security | 31