Reddit gehackt door aanvaller die sms-codes onderschepte
Een aanvaller heeft verschillende systemen van de populaire website Reddit weten te hacken nadat hij inlogcodes die via sms waren verstuurd had onderschept. Dat heeft Reddit zelf bekendgemaakt. Volgens de website wist de aanvaller tussen 14 en 18 juni verschillende accounts van medewerkers te compromitteren waarmee toegang tot de cloud- en broncode-hostingproviders van Reddit kon worden verkregen.
De accounts waren met tweefactorauthenticatie beveiligd, wat inhoudt dat naast een wachtwoord ook een extra inlogcode moet worden verstrekt. In het geval van de Reddit-accounts werden de extra inlogcodes via sms verstuurd en wist de aanvaller deze codes te onderscheppen, aldus de verklaring van Reddit. De aanvaller wist vervolgens toegang te krijgen tot een back-up van Reddit met alle gegevens van 2005 tot en met 2007, waaronder accountgegevens van gebruikers. Het gaat om gesalte en gehaste wachtwoorden, gebruikersnamen, e-mailadressen, openbare reacties en privéberichten.
Daarnaast werden recente logs met "e-mail digests" benaderd. De digests koppelen een gebruikersnaam aan een e-mailadres en bevatten berichten van populaire subreddits waar gebruikers zich op hebben geabonneerd. Om herhaling te voorkomen heeft Reddit verschillende maatregelen genomen, waaronder het vervangen van sms-gebaseerde tweefactorauthenticatie door tokengebaseeerde tweefactorauthenticatie. Ook worden gebruikers geïnformeerd waarvan het huidige wachtwoord op de gestolen inloggegevens lijkt.
Een aanvaller die de technische middelen heeft om SMS te onderscheppen zou ook goed de middelen kunnen hebben om een (android) smartphone te besmetten en zo mee te kijken op de authenticator app. Als je dan toch de beveiliging echt wilt verbeteren kan je beter naar fysieke tokens overstappen als 2e middel.
Ik weet ook niet hoe het hier gebeurt is, maar het kan op diverse manieren. Telefoonnummer van ontvangst veranderen, SIM kopieren, MitM (cable/air), gecompromiteerde telefoon, etc.
Nog niet zo lang geleden maakte ik precies dit punt dat SMS niet veilig is.
Een methode is sim hijacking of sim swapping. Door de provider te "social engineëren" en deze over te halen het telefoon nummer over te zetten.
https://motherboard.vice.com/en_us/article/a3q7mz/hacker-allegedly-stole-millions-bitcoin-sim-swapping
https://motherboard.vice.com/en_us/article/j5bpg7/sim-hijacking-t-mobile-stories
https://secure-voice.com/ss7_attacks/
Wat ook belangrijk is voor bestaande diensten die SMS gebruiken als 2e factor, is dat je dit alleen gebruikt i.c.m gsm's. Dus b.v. niet met VOIP nummers. NIST vermeldt dit nog eens expliciet in hun standaard (paragraaf 5.1.3.1):
https://pages.nist.gov/800-63-3/sp800-63b.html#out-of-band
https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/
Hoe dat in dit specifieke geval gedaan is weet ik niet. Maar een manier waarop dit kan is hier beschreven: https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls. SS7 wordt door telecomproviders gebruikt om o.a. telefoon/sms-verkeer te routeren als abonnees verbinding maken met andere netwerken (roaming).
SS7, ontwikkeld in de jaren 70, gaat er vanuit dat providers elkaar kunnen vertrouwen. Dat betekent ongeveer dat iemand, die zich als provider in een land naar keuze registreert en verbinding maakt met dit SS7 netwerk, jouw provider kan vertellen sms-verkeer naar zijn "telecom netwerk" te sturen omdat jouw telefoon zich daar zogenaamd zou bevinden.
Op deze manier kan een sms-bericht zelfs onderschept worden zonder dat het ooit op jouw telefoon aankomt.
https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/
https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/
Veel bedrijven sturen SMS via een externe partij die het dan weer aan het mobiele netwerk aanlevert.
De verbinding naar die externe partij of die partij zelf kan waarschijnlijk veel simpeler onderschept/gehacked worden
dan het protocol zelf. (zowel technisch als door middel van een inside job)
Veel bedrijven sturen SMS via een externe partij die het dan weer aan het mobiele netwerk aanlevert.
De verbinding naar die externe partij of die partij zelf kan waarschijnlijk veel simpeler onderschept/gehacked worden
dan het protocol zelf. (zowel technisch als door middel van een inside job)
Of gewoon malware op de ontvangende telefoon ...
Als het over zo een belangrijke login code gaat, dan gewoon als derde stap je IP (of zelfs netwerk al veiliger) als derde stap zetten? Kom je er zelf niet in, dan even met SSH inloggen en nieuw IP op je server bijwerken?
Het kan wat ongemak voor een gebruiker met admin rechten zijn, maar zo in de krant komen nog vervelender. Vooral voor alle gebruikers die je vertrouwd hebben.
Als het over zo een belangrijke login code gaat, dan gewoon als derde stap je IP (of zelfs netwerk al veiliger) als derde stap zetten? Kom je er zelf niet in, dan even met SSH inloggen en nieuw IP op je server bijwerken?
Het kan wat ongemak voor een gebruiker met admin rechten zijn, maar zo in de krant komen nog vervelender. Vooral voor alle gebruikers die je vertrouwd hebben.
Hoe wil je met SSH inloggen als je er niet in komt? Of stel je voor om admin accounts zonder 2FA te mogen gebruiken? Goed plan...
Ze hebben bij Reddit al een andere manier gevonden, maar het is in soortgelijke situaties ook mogelijk om een tweetraps toegangsmethode te gebruiken. Eerst inloggen op een gateway (shell account) met certificaat en wachtwoord, en daarna vanaf die gateway inloggen op de server, eveneens met een ander certifcaat en wachtwoord. Die gateway kan zodanig worden dichtgetimmerd dat er helemaal niets in of uitkan behalve de inlogtaak. Bij elke poging direct toegang afsluiten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
