Célzott szólisták: az MI-t megkerülő támadások
A támadók hamar ráéreztek erre, és nagy sikerrel ki is használják. Miközben sokan még mindig azt hiszik, hogy a jelszófeltöréshez valamilyen fejlett MI szükséges, a legtöbb támadó valójában sokkal egyszerűbb megközelítést követ: összegyűjti a szervezet nyilvános nyelvezetét, és ebből készít specifikus szólistákat.
Az olyan eszközök, mint a CeWL (Custom Word List generator), segítenek automatizálni és gyorssá tenni ezt a folyamatot. A CeWL egy nyílt forráskódú webes feltérképező, amely begyűjti weboldalakról a releváns szavakat, majd struktúrált listát készít belőlük. Alapból megtalálható például a Kali Linux és a Parrot OS etikus hackelésre szánt disztribúciókban, ezáltal mind a támadók, mind a védekezők egyszerűen hozzá tudnak férni.
Hogyan születnek a támadási szólisták?
A támadók CeWL-lel végigböngészik az adott szervezet weboldalait, összegyűjtik a céges nyelvezetet, szolgáltatások neveit, helyszíneket, szakzsargont. Ezek a szavak általában nem önmagukban szolgálnak jelszóként, hanem alapként, amelyeket aztán módosítási szabályok (számok, speciális karakterek, nagybetűk) alkalmazásával valós jelszójelöltekké alakítanak.
Egy kórház például a weboldalán szerepeltetheti a kórház nevét, az elhelyezkedését, szolgáltatásait, amelyek így könnyen belekerülnek egy támadó szólistájába. Ezeket utána néhány karaktercserével vagy sorszám hozzáadásával már kész jelszójelöltté alakítják.
Ha a támadók megszereznek egy jelszóhasht (gyakran adatlopás vagy kártékony alkalmazás révén), akkor automatizált eszközökkel tömegesen generálnak variációkat ezekből a listákból, akár több millió jelszót kipróbálva a feltörés során. Ugyanezek a szólisták használhatók élő bejelentkezési kísérleteknél is, amikor akár lassú, nehezen felismerhető támadási módszerekkel próbálkoznak.
Miért haszontalan a hagyományos jelszó-bonyolítás?
Sok szervezet azt feltételezi, hogy a jelszó-bonyolítás (például kis- és nagybetűk, számok, jelek kombinálása) elegendő védelmet nyújt, holott ez nem igazán hatásos a célzott szólistákkal szemben. A Specops elemzése szerint az ilyen, szervezeti szóhasználatra épülő jelszavak még hosszabb és bonyolultabb változatban is gyorsan feltörhetők.
Például egy HospitalName123! típusú jelszó ugyan meghaladja az alap Active Directory-követelményeket, de nagyon egyszerű támadási célponttá válik a kórházi környezetben. A CeWL-alapú szólisták azonnal tartalmazzák az ilyen kulcsszavakat, így néhány módosítással máris feltörhetők az ilyen jelszavak.
Hogyan lehet ténylegesen megvédeni a fiókokat?
Az ügy egyre több kérdést vet fel, de a válasz a kontextusalapú (és nemcsak összetettségalapú) védekezési módszerekben van.
Ki kell tiltani a szervezeti szóhasználatból, projektekből, termékekből, gyakori támadói mintákból származó jelszórészleteket. Emellett blokkolni kell minden olyan jelszót, amely már egy adatszivárgás során kiszivárgott – a Specops például Active Directory-s környezetben 5,4 milliárd kompromittált jelszót ellenőriz folyamatosan, kizárva a CeWL-jellegű támadásokat.
Legalább 15 karakteres jelszómondatok alkalmazása a leghatékonyabb védelmet kínálja a brute force próbálkozásokkal szemben.
A kétfaktoros azonosítás (MFA) bevezetése kritikus: bár nem akadályozza meg önmagában a jelszófeltörést, elvágja a lehetőséget, hogy egy ellopott jelszót önmagában felhasználjanak.
Végül érdemes jelszóelőírásokat a valós támadási helyzeteket szem előtt tartva kialakítani: minél kevésbé legyen egy jelszó használható ilyen célzott szólistákban, annál kevesebb eséllyel járnak sikerrel a támadók. Ha hozzáadjuk az MFA-t, már jóval ellenállóbb lesz a rendszer a valódi támadásokkal szemben.
