İşletmenizin kullanıcı kimliğine bürünme riski altında olup olmadığını ve bu konuda ne yapılması gerektiğini nasıl anlarsınız? Bozuk kimlik doğrulama, saldırganların çevrimiçi meşru kullanıcıları taklit etmek için yararlandığı çeşitli güvenlik açıklarını kapsayan bir terimdir. Genel olarak, bozuk kimlik doğrulama, iki alandaki zayıflıkları ifade eder:
- oturum yönetimi
- kimlik bilgisi yönetimi.
Her ikisi de bozuk kimlik doğrulama olarak sınıflandırılır, çünkü saldırganlar bir kullanıcı gibi görünmek için her iki yolu da kullanabilir:
- ele geçirilmiş oturum kimlikleri veya
- çalınmış oturum açma kimlik bilgileri.
Saldırganlar, bu zayıflıklardan yararlanmak için, büyük kimlik bilgilerini doldurma saldırılarından belirli bir kişinin kimlik bilgilerine erişmeyi amaçlayan yüksek düzeyde hedeflenmiş şemalara kadar çok çeşitli stratejiler kullanır.
Son yıllarda, bozuk kimlik doğrulama saldırıları en kötü veri ihlallerinin çoğuna neden oldu ve güvenlik uzmanları bu yeterince tanınmayan tehdit hakkında alarm veriyor. Açık Web Uygulaması Güvenliği Projesi (OWASP), onu 2017’den bu yana en büyük web uygulaması güvenlik risklerinin “İlk 10” listesine dahil etti. 2020 yılına kadar, bozuk kimlik doğrulama ikinci sıraya yükseldi.
Aşağıda, bozuk kimlik doğrulama konusuyla ilişkili zayıflıkların neler olduğunu ve işletmelerin bunlara karşı nasıl korunabileceğini açıklayacağız.
Oturum Yönetimi Kusurları Saldırılara Kapı Açar
Oturum yönetimi, bozuk kimlik doğrulamanın bir parçasıdır, ancak iki terim genellikle yan yana listelenir, bu nedenle insanlar “kimlik doğrulamanın” yalnızca kullanıcı adları ve şifreleri ifade ettiğini varsaymaz. Web uygulamaları, bireysel kullanıcıları tanımlamak için oturumları ve kimlik bilgilerini kullandığından, saldırganlar her iki mekanizmayı kullanarak onları taklit edebilir.
Oturum Yönetimi Temelleri
Bir web oturumu, aynı kullanıcıyla belirli bir süre içinde ilişkilendirilen bir dizi ağ işlemidir. Diyelim ki bir sosyal medya sitesine girdiniz ve hesabınıza giriş yapmadan önce bir süre göz gezdirdiniz. Yorum yapmak istediğiniz, giriş yapmanızı gerektiren ilginç bir gönderi buldunuz. Birkaç yorum bıraktıktan sonra, oturumu kapatıp web tarayıcısı penceresini veya sekmesini kapatıyorsunuz. Web sitesine geldiğiniz andan itibaren yaptığınız her şey bir seanstı. Web uygulamaları, kimlik doğrulamadan önce ve sonra oturumları izleyebilir.
Web uygulamaları, her kullanıcıya, her ziyaret için benzersiz bir oturum kimliği verir; bu, web uygulamasının sitede gezinirken kullanıcıyla iletişim kurmasını sağlar. Bu oturum kimlikleri genellikle tanımlama bilgileri ve URL parametreleri biçimini alır.
Oturum yönetimi, o oturumun parametrelerini nasıl tanımladığınızla ilgilidir. Örneğin;
- Bir kullanıcının oturumunu otomatik olarak kapatmadan önce bir oturum ne kadar sürebilir?
- Oturum kimliklerini nasıl düzenler ve iptal edersiniz?
- Bir kullanıcının IP adresine ne kadar güvenli bir şekilde bağlılar?
Kullanıcı oturum açtığında, bir kullanıcının web uygulamasıyla kimliği doğrulanmış bir oturum oluşturduğunu unutmamak önemlidir. Sonuç olarak, OWASP, kimliği doğrulanmış bir oturumun oturum kimliğinin, kullanıcı adı ve kullanıcı adı gibi uygulama tarafından kullanılan en güçlü kimlik doğrulama yöntemine geçici olarak eşdeğer olduğunu belirtir. parola. Ele geçirilen bir oturum kimliği, çalınan bir oturum kimliği kadar güçlüdür.
Oturum Yönetimi Saldırıları
Oturum çalma
Uygun güvenlik önlemleri olmadan, web uygulamaları, saldırganların, kullanıcıların kimliklerini taklit etmek için çalınan oturum kimliklerini kullandığı oturum ele geçirmeye karşı savunmasızdır. Oturum kaçırmanın en basit örneği, bir uygulamadan çıkış yapmayı unutan ve ardından cihazından uzaklaşan bir kullanıcıdır. Bir bilgisayar korsanı daha sonra oturumlarına devam edebilir.
Oturum Kimliği URL’sini Yeniden Yazma
Oturum kaçırmanın bir başka yaygın yolu da “URL rewriting (yeniden yazma)”dır. Bu senaryoda, bir kişinin oturum kimliği bir web sitesinin URL’sinde görünür. Bunu görebilen herkes (örneğin, güvenli olmayan bir Wi-Fi bağlantısı aracılığıyla) oturuma geri dönebilir. Zoombombing böyle oldu.
Seans Fiksasyonu
Genellikle gözden kaçan en iyi uygulama, bir kullanıcıya kimlik doğrulamadan önce ve sonra aynı kimliği vermek yerine, bir kullanıcı oturum açtıktan sonra oturum kimliklerini döndürmektir. Bunu yapamayan web uygulamaları, oturum kaçırmanın bir çeşidi olan oturum sabitleme saldırısına karşı savunmasızdır.
Oturum sabitleme saldırısının arkasındaki ana fikir, saldırganın kurbanın kullanacağı oturum kimliğini önceden belirlemesidir. Saldırgan daha sonra kurbana önceden belirlenmiş oturum kimliğini içeren bir bağlantı gönderebilir. Bağlantı, kurbanın oturum açmasını gerektiren bir kaynağa işaret eder.
Web uygulaması oturumda kurbanın kimlik doğrulama durumunu sürdürürse, saldırgan kurban oturum açtıktan sonra kurbanın kimliğine bürünmek için bu önceden belirlenmiş oturum kimliğini kullanabilir. Saldırgan veya kurban bu oturum kimliğini sunucuya sunsun, sunucu oturum kimliğinin kimliği doğrulanmış bir oturuma karşılık geldiğini belirleyin ve korunan kaynaklara erişim verin.
Geliştiriciler, oturum açtıktan sonra web uygulamasının meşru kullanıcıya yeni bir oturum kimliği vermesini sağlayarak saldırganın kurbanı takip etmesini engelleyebilir. Web uygulaması oturum kimliğini döndürdüğünde, önceden belirlenmiş oturum kimliği işe yaramaz hale gelir.
Saldırganlar Zayıf ve Ele Geçirilmiş Kimlik Bilgilerinden Yararlanıyor
Son yıllarda saldırganlar, limit dışı sistemlere erişmenin en kolay yolunun başka birinin kimlik bilgileriyle oturum açmak olduğunu keşfettiler. Phishing ve çalıntı kimlik bilgilerinin kullanılması artık bir veri ihlali yürütmek için en yaygın iki mekanizmadır.
Kötü niyetli aktörler, kullanıcıları parolalarını ifşa etmeleri için çalmak, tahmin etmek veya kandırmak için çeşitli yöntemler kullanır.
Kimlik Bilgileri Doldurma
Saldırganlar, şifrelenmemiş e-postalar ve parolalarla dolu bir veritabanına eriştiğinde, sık sık diğer saldırganların kullanması için listeyi satar veya verir. Bu saldırganlar daha sonra, bir siteden çalınan kimlik bilgilerini farklı hesaplarda test eden kaba kuvvet saldırıları için botnet’leri kullanır. Bu taktik genellikle işe yarar çünkü insanlar uygulamalar arasında sıklıkla aynı parolayı kullanır.
Şu anda saldırganların kullanabileceği milyarlarca güvenliği ihlal edilmiş kimlik bilgisi var. Çoğu zaman, kullanıcılar liseden beri kullandıkları şifrenin tüm hesapları için bir iskelet anahtarı haline geldiğini bile bilmiyorlar.
Şifre Püskürtme
Parola püskürtme, biraz kimlik bilgisi doldurmaya benzer, ancak çalınan parolalardan oluşan bir veritabanı üzerinde çalışmak yerine, bir kullanıcının hesabına girmek için bir dizi zayıf veya yaygın parola kullanır. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından 2019 yılında yapılan bir anket, 23,2 milyon hesabın şifre olarak “123456” kullandığını, milyonlarca hesabın ise spor adları, küfürler ve her zaman popüler olan “password” kullandığını buldu.
Parola püskürtme, bir tür kaba kuvvet saldırısıdır, ancak genellikle çok sayıda başarısız oturum açma girişiminden sonra IP adreslerini engelleyen otomatik kilitlemelerle kayar. Bunu, tek bir kullanıcı üzerinde parola ardı ardına denemek yerine, aynı parolayı her seferinde bir kullanıcı deneyerek yapar.
Kimlik Avı Saldırıları
Saldırganlar genellikle kullanıcılara güvenilir bir kaynaktan geliyormuş gibi davranan bir e-posta göndererek ve ardından kullanıcıları kimlik bilgilerini veya diğer ilgili bilgileri paylaşmaları için kandırarak kimlik avı yaparlar. Bir kuruluştaki herkese aynı sahte e-postayla ulaşan geniş tabanlı bir girişim olabilir veya belirli bir hedefe göre uyarlanmış bir “spear phishing” saldırısı biçimini alabilir.
Saldırganlar için spear phishing, özellikle yararlı olabilir. Bu saldırı tekniğini, birinin duygularını kişisel bilgilerine dayanarak manipüle etmek için kullanabilirler. Örneğin, konu satırında “kız kardeşinizin resimleri” olan bir e-posta geldiyse, kız kardeşinizin adından bahsettiği için çok daha fazla etki yaratır.
Başarılı ağ ihlallerinin %35’inin 2019’da spear phishing saldırısıyla başladı. Saldırganların hedefli kimlik avı yoluyla kurbanlarını cezbetmek için farklı mekanizmaları bulunuyor. Bu saldırganlardan bazıları %19’u ek kullandı, %15’i kötü amaçlı bir bağlantı içeriyor ve %1’i bir hizmet aracılığıyla kimlik avı kullanılıyordu.
Artık çoğu kuruluş kimlik avı saldırılarına aşina olduğu için müşterilerini şüpheli e-postaları açmamaları konusunda uyarır. Ancak tüm bunlara rağmen bu konuda “kurumsal duyarlılığın” hala ne yazık ki %5 civarında. Yani bu demek oluyor ki 20 çalışanınız varsa, bunlardan biri yine de bir phishing e-postasını tıklayabilir.