facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přihlášení SystemNEWSPřehledy
 
Tematické seriály

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 
Nové!

RPA - automatizace procesů

Softwaroví roboti automatizují obchodní procesy.

články >>

 
Nové!

IoT – internet věcí

Internet věcí a jeho uplatnění napříč obory.

články >>

 
Nové!

VR – virtuální realita

Praktické využití virtuální reality ve službách i podnikových aplikacích.

články >>

 
Nové!

Bankovní identita (BankID)

K službám eGovernmentu přímo z internetového bankovnictví.

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
 
Partneři webu
IT SYSTEMS 1-2/2022 , IT Security

Útoky typu credential stuffing stále častěji nahrazují útoky hrubou silou, jsou rychlejší a nebezpečnější

Petr Mojžíš


Útoky na přihlašovací údaje (hesla) byly v minulosti běžně prováděny buď pomocí sociálního inženýrství, nebo tzv. hrubou silou. První metoda funguje i nadále velmi dobře, ale vyžaduje dobré cílení, čas a pečlivou přípravu. Druhá metoda je ale postupně nahrazována mnohdy rychlejší a účinnější variantou s pomocí „credential stuffingu“.


Útok na hesla hrubou silou (brute force) spočívá ve využití automatizace pokusů o přihlášení do nějakého systému – heslo je zkrátka překonáno díky jeho nalezení postupným zkoušením zásadního množství kombinací. U číselných hesel (například PIN do telefonu) tedy stačí zkoušet postupně všechny kombinace, u znakových či složitějších hesel se pak zpravidla využívalo také zkoušení kombinací nebo různé druhy slovníků. Nevýhodou brute force ale byla časová náročnost a také to, že proti postupnému zkoušení tisíců a tisíců kombinací se systémy dokážou poměrně účinně bránit – při dalším a dalším chybném pokusu zpomalí možnost zkoušet další kombinaci, případně kompletně zablokují systém, z něhož pokusy přicházejí.

Credential stuffing využívá toho, že jsou k dispozici databáze uniklých přihlašovacích údajů – kompletní kombinace uživatelských jmen, e-mailů a hesel. Útočníci pak využijí takovéto databáze a s pomocí automatizace zkoušejí uniklé kombinace. Zvyšuje se tím šance na úspěch, a navíc je běžné, že touto cestou zkoušejí získat přístup k řadě webů či aplikací.

Pokud se jim podaří přístup získat, následují krádeže identity, phishing, podvody založené na vydávání se za různé subjekty a další druhy zneužití dat. V mnoha případech je možné získané přístupy využít i třeba pro nákupy na internetu, ale třeba i pro průmyslovou špionáž. Tento druh útoků bývá úspěšný hlavně proto, že uživatelé běžně používají opakovaně stejné heslo. Stačí, aby uniklo jednou, a útočníci se pak dostanou do všech dalších účtů, které uživatel má.

Rozsáhlé databáze přihlašovacích údajů jsou běžně dostupné na černém trhu a mohou být výsledkem cílených hackovacích kampaní na objednávku. Už v roce 2020 například Akamai upozorňovali, že dochází k růstu credential stuffing útoků proti médiím a novinářům.

Jak se proti credential stuffingu bránit?

Tou nejlepší obranou by bylo přejít na používání multifaktorových a bezheslových autentizačních procesů – u těch je přihlášení do systémů podmíněno ověřením přes jiný faktor než pouze přes heslo: minimálně přes zaslání dodatečného jednorázového kódu na e-mail nebo pomocí SMS, ale ideálně přes nějaký druh bezpečnostního klíče, pomocí biometrie či mobilního autentizátoru.

Navíc v samotných systémech je vhodné monitorovat podezřelé chování uživatelů a náhlé změny (anomálie) vzorců obvyklých činností v kombinaci se zabezpečením webových aplikací pomocí tzv. pokročilých web-aplikačních firewallů (WAF), které poměrně s vysokou přesností dokážou odhalit např. právě útoky typu credential stuffing.

Samotní uživatelé navíc mohou úniky jimi používaných hesel hlídat ještě například za pomoci služby HaveIBeenPwned.com. V případě zjištěného úniku nějakého hesla je nutné toto heslo okamžitě jednou provždy přestat používat.

Ve firemním prostředí je dále na místě školit zaměstnance a vysvětlovat, jak s hesly nakládat a jak vytvářet hesla bezpečná, a zároveň tyto uživatele pravidelně testovat v odolnosti potenciálního předání přístupových údajů, například za pomoci řízených phishingových kampaní.

Pro zodpovědné společnosti navíc platí, že by měly hlídat případné úniky hesel na dark webech, pomocí systematických služeb typu Cyber Threat Intelligence (doporučuje se vyhledávat jednak uniklá hesla k firem­ním účtům, ale i uniklá hesla k soukromým účtům například top-managementu či jiných privilegovaných zaměstnanců).

Zneužívání firemních hesel lze bránit také pomocí technologií, které detekují a blokují použití stejných (firemních) hesel v soukromých systémech (např. aby zaměstnanec nemohl použít některé z firem­ních hesel při přístupu na soukromý Facebook či soukromý e-mail).

Pokud není možné přejít na bezheslové přihlašování, tak by uživatelé měli v maximální míře využívat tzv. dvoufaktorovou (2FA) nebo multifaktorovou (MFA) autentizaci. Ta se týká jak osobních účtů, tak těch firemních. U všech privilegovaných účtů (např. účty administrátorů, účty aplikací apod.) by navíc měly být využívána výrazně přísnější pravidla, např. pravidelná změna hesel, využívání heslových trezorů a ideálně kompletní systémy PAM (Privileged Account Management).

Petr Mojžíš Petr Mojžíš
Autor článku je konzultantem kybernetické bezpečnosti ve společnosti ANECT.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.