Come hackerare l'autenticazione a due fattori di Twitter

Abbiamo segnalato alcuni problemi con la nuova autenticazione a due fattori di Twitter. Ad esempio, poiché un solo numero di telefono può essere associato a un account, l'autenticazione a due fattori di Twitter non funzionerà per organizzazioni come Associated Press, The Onion o The Guardian. Sono stati hackerati; potrebbero ancora essere hackerati di nuovo allo stesso modo. Tuttavia, gli esperti di sicurezza indicano che il problema è peggiore di quello, molto peggio.

Il programma in due passaggi di Twitter

Chiedi a Josh Alexander, CEO della società di autenticazione Toopher, come faresti a hackerare Twitter ora che è in atto l'autenticazione a due fattori. Ti dirà che lo fai esattamente come prima dell'avvento dell'autenticazione a due fattori.

In un breve video divertente sull'autenticazione a due fattori di Twitter, Alexander si congratula con Twitter per essersi unito a un "programma di sicurezza in due passaggi" e aver fatto il primo passo, ammettendo che esiste un problema. Continua poi a illustrare quanto poco aiuta l'autenticazione a due fattori basata su SMS. "La tua nuova soluzione lascia spalancata la porta", ha detto Alexander, "per gli stessi attacchi man-in-the-middle che hanno compromesso la reputazione delle principali fonti di notizie e celebrità".

Il processo inizia con un hacker che invia un'email convincente, un messaggio che mi consiglia di cambiare la mia password di Twitter, con un collegamento a un sito Twitter falso. Una volta fatto, l'hacker utilizza le mie credenziali di accesso acquisite per connettersi con il vero Twitter. Twitter mi invia un codice di verifica e lo inserisco, dandolo in tal modo all'hacker. A questo punto l'account viene elaborato. Guarda il video: mostra chiaramente il processo.

Non sorprende che Toopher offra un diverso tipo di autenticazione a due fattori basata su smartphone. La soluzione Toopher tiene traccia delle posizioni abituali e delle attività abituali e può essere impostata per approvare automaticamente le normali transazioni. Invece di inviarti un codice per completare una transazione, invia una notifica push con i dettagli della transazione tra cui il nome utente, il sito e il calcolo in questione. Non l'ho provato, ma sembra ragionevole.

Evitare l'acquisizione di due fattori

La rockstar della sicurezza Mikko Hypponnen di F-Secure pone uno scenario ancora più terribile. Se non hai abilitato l'autenticazione a due fattori, un malfattore che ottiene l'accesso al tuo account potrebbe configurarlo per te, usando il proprio telefono.

In un post sul blog, Hypponen sottolinea che se invii tweet tramite SMS, hai già un numero di telefono associato al tuo account. È facile fermare quell'associazione; basta inviare STOP al codice funzione di Twitter per il tuo paese. Si noti, tuttavia, che così facendo si interrompe anche l'autenticazione a due fattori. L'invio di GO lo riattiva.

Con questo in mente, Hypponen pone una sequenza spaventosa di eventi. Innanzitutto, l'hacker ottiene l'accesso al tuo account, magari tramite un messaggio di spear phishing. Quindi, inviando SMS dal proprio telefono al codice funzione appropriato e seguendo alcune istruzioni, configura il tuo account in modo che il codice di autenticazione a due fattori arrivi sul suo telefono. Sei bloccato.

Questa tecnica non funzionerà se hai già abilitato l'autenticazione a due fattori. "Forse dovresti abilitare il 2FA del tuo account", suggerì Hypponen, "prima che qualcun altro lo faccia per te." Non mi è del tutto chiaro il motivo per cui l'attaccante non è stato in grado di utilizzare prima lo spoofing SMS per arrestare l'autenticazione a due fattori e quindi procedere con l'attacco. Potrei essere più paranoico di Mikko?