HARD CORE SECURITY LAB

Czytelnicy, którzy na bieżąco śledzą oficjalny mikroblog HCSL lub zaglądają na niedawno uruchomioną w ramach Facebooka stronę HCSL, wiedzą już zapewne, że największy serwis społecznościowy świata rozpoczął właśnie wprowadzanie nowej funkcji bezpieczeństwa. Mam na myśli hasła jednorazowe (ang. one-time passwords, OTP), które od teraz obok hasła głównego będą umożliwiać zalogowanie się do Facebooka. Chodzi przede wszystkim o zwiększenie bezpieczeństwa użytkowników korzystających z niezaufanych komputerów. Czy jednak przypadkiem funkcja ta nie niesie ze sobą pewnych nowych (dla użytkowników Facebooka, bo same hasła OTP są już oczywiście znane od lat), zupełnie nieoczekiwanych zagrożeń?

Z nowej usługi korzystać będą mogli użytkownicy (na chwilę obecną funkcja ta jest dostępna jedynie dla wybranych kont), którzy wprowadzili w serwisie swój numer telefonu komórkowego i skutecznie potwierdzili jego poprawność. Tacy użytkownicy będą od teraz mogli w dowolnym momencie wysłać na numer 32665 wiadomość SMS o treści otp, a w odpowiedzi natychmiast otrzymają hasło jednorazowe ważne tylko przez 20 minut.

Wszystko to ma pozwolić osobom logującym się z niezaufanych komputerów (np. w kawiarenkach internetowych) na bezpieczne skorzystanie z serwisu, bowiem nawet jeśli ewentualny keylogger przechwyci hasło OTP, to w późniejszym czasie intruz nie będzie mógł z niego skutecznie skorzystać. Wszystko to brzmi naprawdę obiecująco, czy jednak hasła jednorazowe używane w trakcie korzystania z nieznanego nam komputera zlokalizowanego w publicznym miejscu, rzeczywiście dobrze spełnią swoje zadanie?

Pomijając już kwestie tak oczywiste jak to, że w miejscu publicznym ktoś może po prostu uzyskać dostęp do naszego telefonu i odczytać hasło OTP lub też skorzystać z zestawu do przechwytywania transmisji GSM (co wydaje się jednak raczej mało prawdopodobne), należy zdać sobie sprawę z tego, że tego typu rozwiązania w żaden sposób nie chronią nas przed samym malwarem potencjalnie obecnym na komputerze, z którego akurat korzystamy. Oznacz to, że trojan wyspecjalizowany w wykradaniu haseł lub zwykły keylogger, nadal będzie w stanie przechwycić nasze hasło OTP. Wystarczy tylko, że takie złośliwe oprogramowanie zostanie doposażone w funkcję natychmiastowego powiadania (np. za pomocą e-maila lub komunikatora IM) intruza o fakcie przechwycenia hasła do Facebooka (niezbędny może się w tym wypadku okazać również jakiś mechanizm czasowo powstrzymujący uprawnionego użytkownika od skutecznego wykorzystania bieżącego hasła OTP), a będzie on w stanie w ciągu następnych 20 minut uzyskać dostęp do naszego konta...

Hasła jednorazowe przynoszą również pewne nowe, zupełnie nieoczekiwane zagrożenie. Otóż w przypadku gdy intruzowi uda się uzyskać dostęp do konta użytkownika Facebooka (np. z pomocą hasła wykradzionego poprzez phishing), to w takiej sytuacji funkcja OTP świetnie nada się do skonfigurowania swego rodzaju backdoora. Otóż jeśli intruz skutecznie wprowadzi do usługi własny numer telefonu, to w przyszłości będzie w stanie w sposób niemal niezauważalny uzyskiwać dostęp do docelowego konta w dowolnym momencie, nawet gdy uprawniony użytkownik wielokrotnie zmieni już główne hasło broniące dostępu do całego profilu!

Okazuje się więc, że wprowadzenie nowych funkcji bezpieczeństwa może w dość nieoczekiwany sposób spowodować powstanie kolejnych zagrożeń. Jak to również zwykle bywa, samo wprowadzeni nawet bardzo zaawansowanych zabezpieczeń nigdy nie zwolni użytkowników z obowiązku zachowania ostrożności i zdrowego rozsądku. Jeśli zaś chodzi o sam pomysł na funkcję mającą pozwolić na bezpieczne korzystanie z niezaufanych komputerów, to należy się zastanowić, czy w pełni bezpieczne skorzystanie z nieznanego nam komputera jest w ogóle możliwe do osiągnięcia?