Mikä ihmeen AitM hyökkäys ja miten FIDO2 liittyy tähän?

Iltalehti uutisoi äskettäin Traficomin antamasta varoituksesta, miten rikolliset ovat keksineet keinon ohittaa vahva tunnistautuminen Microsoft 365 -palveluissa (https://www.iltalehti.fi/digiuutiset/a/ff3a7078-ef4b-4ee4-9e10-396d2b31cb7d). Varoitus on erittäin aiheellinen ja se ansaitsee enemmän huomiota mitä media sille antaa. Uutisoinnista nimittäin saa kuvan, että varoitus koskisi vain yritysorganisaatioita ja tietoturva-alan ammattilaisia. Todellisuudessa AitM-hyökkäysten riski koskettaa jokaista internet-palvelujen käyttäjää, joka kirjautuu Microsoftin, Googlen tai Metan palveluihin.

Uutisoinnissa ja Traficomin sivustolla kerrotaan suurelle yleisölle salaperäiseltä kuulostavasta AitM-hyökkäyksestä. Sana on lyhenne ilmaisusta Adversary-in-the-Middle, joka kirjaimellisesti tarkoittaa ”hyökkääjää palvelun ja käyttäjän välissä”. Tässä hyökkäyksessä rikollinen houkuttelee käyttäjän klikkaamaan väärennettyä linkkiä, jonka avulla käyttäjän internetliikenne kierrätetään hyökkääjän ylläpitämän näkymättömän palvelun kautta, jolloin rikollinen pystyy poimimaan kaikki tiedot, jotka välittyvät netin kautta. Tietojen joukossa kulkee myös ns. istuntoeväste, joka sisältää avaimen, jonka avulla käyttäjä tunnistetaan.

Kyse ei ole missään tapauksessa uudesta hyökkäysmenetelmästä. Sen sijaan mikä on uutta, on että AitM-hyökkäys on tätä nykyä erittäin helppo ja halpa toteuttaa. Erityisen viheliäiseksi hyökkäyksen tekee se, että kaikki salasanpohjaiset tunnistusmenetelmät, mukaan lukien vaihtuvaan koodiin, mobiilisovellukseen, SMS-viestiin tai sähköpostivahvistukseen perustuvat tunnistusmenetelmät murtuvat tämän alla. Syy tähän on se, että kaikki yleisesti käytetyt monivaiheiset tunnistusmenetelmät perustuvat siihen, että ne välittävät tunnistustietoja käyttäjän ja tunnistuspalvelun välillä. Nykyiset tunnistusratkaisut eivät tarjoa mitään suojaa AitM-hyökkäystä vastaan ja tätä kautta näitä ratkaisuja ei voi edes pitää vahvan tunnistuksen ratkaisuina.

Onneksi meillä on kuitenkin ratkaisu tähän: Traficom neuvoo, miten AitM-hyökkäys voidaan torjua ottamalla käyttöön salasanaton kirjautuminen, joka perustuu FIDO2-avainperustaiseen tunnistautumismenetelmään. Hienointa tässä on että ohje on yksinkertaisuudessaan täysin riittävä ja Traficomin ohjeistus, miten havaita AitM-hyökkäys Microsoft-ympäristössä voidaan tämän jälkeen jopa unohtaa turhana. Ai miksi niin? Koska FIDO2-menetelmä käytännössä estää koko AItM-hyökkäyksen heti alkuun. Näin se hoituu:

1. FIDO2-suojausavain perustuu julkisen ja yksityisen avaimen menetelmään, missä käyttäjän yksityinen avain pysyy aina tallessa suojausavaimen sirulla. Tunnistusavainta ei välitetä netin yli.

2. Tunnistuksessa suojausavain ja tunnistusta pyytävä palvelu välittävät vain julkisten avainten tietoja, jolloin verkon yli ei välitetä varsinaista istuntoevästettä tai -avainta.

3. Käyttäjän FIDO2-suojausavain tunnistaa palvelun mihin käyttäjä kirjautuu ja palvelu tunnistaa käyttäjän samalla vahvalla menetelmällä, jolloin kumpikin osapuoli saa matemaattisen todisteen siitä, että kumpikin osapuoli on aito. Tämä estää väärennettyjen palvelujen käytön ja verkkoliikenteen ohjaamisen rikollisen järjestelmän kautta

4. FIDO2-menetelmässä käyttäjän on käytettävä fyysistä suojausavainta mitä ilman tunnistusta ei voi suorittaa. Verkkorikollisen on fyysisesti mahdoton saada käsiinsä suojausavainta verkkohyökkäyksen avulla.

5. FIDO2-menetelmän käyttö on valmiiksi tuettu kaikissa tärkeimmissä internet- ja pilvipalveluissa ilman lisämaksua, järjestelmäpäivitystä tai integraatiota.

Tietojen kalastelu on kasva trendi niin kauan, kun käyttäjille tarjotaan tunnistusmenetelmiä, jotka voidaan kalastella tai kaapata AitM-hyökkäyksen avulla. Tämä trendi voidaan katkaista kertaheitolla ottamalla käyttöön kalastuksen ja AitM-hyökkäykset kestävät FIDO2-suojausavaimet, jotka eivät edellytä juoksevia lisenssimaksuja tai ylläpitokuluja. Mikä parasta: FIDO2-suojausavaimet ovat helppokäyttöisiä niin kotikäyttäjille kuin yritysorganisaatioissa. Lisäksi suojausavaimet toimivat käytössä jopa vuosia ilman päivityksiä tai uudistamisia.

Spear Innovations tarjoaa markkinoiden kustannustehokkaimmat SpearID® FIDO2 -suojausavaimet ja FIDO2-menetelmään perustuvat tunnistusratkaisut kaiken kokoisille organisaatioille ja kaikille toimialoille. Tutustu meidän kattavaan tarjontaamme ja hanki itsellesi ja organisaatiollesi SpearID® FIDO2 -suojausavaimet nyt heti.