Kako je prvi password breach oblikovao današnji pristup zaštiti digitalnih identiteta

Sadržaj

Kada se pomene krađa lozinki, većina ljudi pomisli na fišing kampanje, procurele baze podataka ili ransomware grupe koje prodaju milione kredencijala na dark web-u. Međutim, prvi zabeleženi password breach dogodio se u vreme kada internet nije postojao.

Nije bilo Wi-Fi mreža, cloud servisa, društvenih mreža, pa čak ni personalnih računara. Računari su zauzimali čitave prostorije, a koristili su ih uglavnom univerziteti i istraživački centri. Ipak, problem koji danas predstavlja jednu od najvećih pretnji sajber bezbednosti postojao je već tada.

Kako je nastala prva računarska lozinka

Početkom šezdesetih godina na MIT-u razvijan je Compatible Time-Sharing System (CTSS), jedan od prvih operativnih sistema koji je omogućio da više korisnika istovremeno koristi isti računar. To je bio revolucionaran koncept u vreme kada je jedan računar uglavnom mogao da izvršava samo jedan zadatak. Ali pojavio se novi problem, ako više istraživača koristi isti sistem, kako sprečiti da svako može pristupiti tuđim fajlovima?

Rešenje koje je osmislio profesor Fernando Corbató bilo je jednostavno: svaki korisnik dobio je svoj nalog i svoju lozinku. Niko tada nije mogao da pretpostavi da će upravo ta ideja postati jedan od temelja moderne digitalne bezbednosti.

Prvu krađu lozinke nije izveo sofisticirani haker

Samo nekoliko godina nakon što su lozinke uvedene kao način zaštite korisničkih naloga, pokazalo se da ni one nisu nepogrešive. Na MIT-u je svaki korisnik imao ograničeno vreme za rad na računaru, jer je jedan računar delilo više ljudi. Kada je tadašnjem studentu Allanu Scherru ponestalo dodeljenog vremena, umesto da zatraži novu kvotu, pronašao je propust u sistemu. Uspeo je da pristupi datoteci u kojoj su bile sačuvane lozinke korisnika, odštampa njen sadržaj i prijavljuje se na tuđe naloge kako bi koristio njihovo raspoloživo vreme. Ovaj događaj često se navodi kao prvi dokumentovani slučaj kompromitovanja lozinki u istoriji računarstva.

Ironično, jedan od prvih bezbednosnih incidenata u istoriji nije bio rezultat sofisticiranog napada, već kombinacije radoznalosti, nedovoljno razvijenih bezbednosnih kontrola i činjenice da lozinke nisu bile zaštićene na način na koji to danas podrazumevamo.

Šta se zaista promenilo za 60 godina?

Na prvi pogled gotovo sve. Danas organizacije koriste višefaktorsku autentifikaciju, Zero Trust arhitekturu, biometrijsku autentifikaciju, napredne sisteme za detekciju pretnji i AI alate za analizu ponašanja korisnika. Ali kada pogledamo motive napadača, slika izgleda gotovo isto kao 1962. godine. Tada je cilj bio doći do korisničkih naloga. Danas je cilj i dalje isti, promenili su se samo alati.

Umesto štampanja tekstualne datoteke sa lozinkama, napadači danas koriste:

  • fišing stranice koje verno imitiraju legitimne servise,
  • infostealer malver koji prikuplja sačuvane kredencijale iz pregledača,
  • krađu sesijskih kolačića (session cookies),
  • napade na autentifikacione tokene,
  • kupovinu kompromitovanih kredencijala na ilegalnim tržištima,
  • tehnike poput MFA fatigue kako bi naveli korisnike da sami odobre pristup.

 

Drugim rečima, napadači danas mnogo ređe pokušavaju da pogode lozinku. Češće pokušavaju da je ukradu.

Problem više nisu lozinke, već identiteti

Godinama su organizacije pokušavale da unaprede bezbednost zahtevajući sve složenije lozinke. Najmanje 12 karaktera, veliko i malo slovo, brojevi, specijalni karakteri, redovna promena lozinke.

Međutim, moderna praksa pokazuje da ni najkompleksnija lozinka ne pruža zaštitu ako je korisnik sam preda napadaču putem fišing stranice ili ako je kompromitovana infostealer malverom. Zato se poslednjih godina fokus sajber bezbednosti pomera sa zaštite same lozinke na zaštitu digitalnog identiteta.

Drugim rečima, više nije dovoljno proveriti šta korisnik zna. Potrebno je potvrditi ko je korisnik, sa kog uređaja pristupa, odakle se prijavljuje, kakvo je njegovo uobičajeno ponašanje i da li postoje indikatori kompromitacije.

Upravo zato sve više organizacija uvodi passkeys, adaptivnu autentifikaciju, upravljanje privilegovanim nalozima (PAM) i Identity Threat Detection and Response (ITDR) kao odgovor na rastuće pretnje usmerene na identitete.

Istorija nam je upozorenje

Fernando Corbató je godinama kasnije izjavio da nije mogao da pretpostavi koliko će jednostavna ideja o korisničkim lozinkama oblikovati budućnost računarstva. Ironično, čovek koji je pomogao da nastane moderna računarska lozinka kasnije ju je opisao kao svojevrsnu noćnu moru, ukazujući na to koliko je korisnicima teško da upravljaju velikim brojem različitih kredencijala.

Više od šest decenija kasnije, njegova priča ostaje izuzetno relevantna. Ne zato što još uvek koristimo iste lozinke već što napadači i dalje pokušavaju da postignu isti cilj, da preuzmu nečiji identitet. Od prvog password breach-a na MIT-u do današnjih napada zasnovanih na krađi identiteta, promenila se tehnologija, promenili su se alati i razmere napada.

Ali osnovna lekcija ostala je ista: najvrednija meta nikada nije bila lozinka. Ona je oduvek bila samo najkraći put do nečijeg identiteta. Ako su identiteti danas najvrednija meta napadača, njihova zaštita mora biti prioritet svake organizacije. PULSEC pomaže kompanijama da izgrade pouzdanu zaštitu digitalnih identiteta kroz IAM, PAM, MFA i Zero Trust rešenja, uz stručnu podršku u implementaciji i upravljanju pristupima. Istražite naše usluge ili nas kontaktirajte kako bismo zajedno procenili bezbednost vašeg identitetskog okruženja.

 

 

 

 

Podelite tekst:
Pogledajte još i...