העבר לאבטחת 2FA בבלוקצ'יין

הודעות SMS הן השיטה הפופולרית ביותר לאימות דו-גורמי (2FA). הוא משמש בנקים, ארנקים אלקטרוניים וקריפטו, תיבות דואר וכל מיני שירותים; מספר המשתמשים בשיטה מתקרב ל-100%.

אני כועס על התרחיש הזה, כי השיטה הזו לא בטוחה. הקצאה מחדש של מספר מכרטיס סים אחד לאחר החלה בתחילת עידן הסלולר - כך משחזרים את המספר כאשר כרטיס סים אובד. "מומחי גניבת כסף דיגיטלית" הבינו שניתן להשתמש באפשרות "שכתוב כרטיס SIM" בתוכניות הונאה. אחרי הכל, מי ששולט בכרטיס ה-SIM יכול לשלוט בבנקאות מקוונת של אנשים אחרים, בארנקים אלקטרוניים ואפילו במטבעות קריפטוגרפיים. ואתה יכול להשתלט על מספר של אדם אחר באמצעות מתן שוחד לעובד טלקום, באמצעות הטעיה או מסמכים מזויפים.

אלפי פרקים של החלפת סים נחשפו, כפי שמכונה תכנית ההונאה הזו. היקף האסון מצביע על כך שהעולם ינטוש בקרוב את 2FA באמצעות SMS. אבל זה לא קורה - ב מחקר הם אומרים שלא משתמשים בוחרים בשיטת 2FA, אלא בעלי שירותים.

אנו מציעים להשתמש בשיטת 2FA המאובטחת עם מסירת קודים חד-פעמיים דרך הבלוקצ'יין, ונספר לכם כיצד בעל השירות יכול לחבר אותו.

הספירה נכנסת למיליונים

בשנת 2019, הונאת החלפת סים עלתה ב-63% לפי משטרת לונדון, ו"החשבון הממוצע" של תוקף היה 4,000 ליש"ט. לא מצאתי שום סטטיסטיקה ברוסיה, אבל אני מניח שהן אפילו יותר גרועות.

החלפת סים משמשת לגניבת חשבונות טוויטר, אינסטגרם, פייסבוק, VK, חשבונות בנק, ולאחרונה אפילו מטבעות קריפטוגרפיים פופולריים - כך מדווח העיתון "טיימס". לפי יזם הביטקוין ג'ובי וויקס. מקרים מתוקשרים של גניבת מטבעות קריפטוגרפיים באמצעות החלפת סים צצים בעיתונות מאז 2016; 2019 ראתה שיא אמיתי.

במאי, משרד התובע של ארה"ב למחוז המזרחי של מישיגן הגיש כתב אישום תשעה צעירים בין הגילאים 19 עד 26: הם מאמינים שהם חלק מחבורת האקרים בשם "הקהילה". הכנופיה מואשמת בשבע מתקפות החלפה, שבעקבותיהן גנבו ההאקרים מטבעות קריפטוגרפיים בשווי של למעלה מ-2,4 מיליון דולר. ובאפריל, הסטודנט מקליפורניה ג'ואל אורטיז קיבל 10 שנות מאסר על החלפת סים; הייצור שלו היה 7.5 מיליון דולר במטבעות קריפטוגרפיים.

תמונה של יואל אורטיז במסיבת עיתונאים באוניברסיטה. שנתיים לאחר מכן הוא ייעצר בגין הונאת סייבר.

כיצד פועלת החלפת SIM

"החלפה" פירושה החלפה. בכל התוכניות הללו, פושעים משתלטים על מספר הטלפון של הקורבן, בדרך כלל באמצעות הנפקה מחדש של כרטיס SIM, ומשתמשים בו כדי לאפס את הסיסמה. החלפת SIM טיפוסית בתיאוריה נראית כך:

1. שירות מודיעין. רמאים מגלים את המידע האישי של הקורבן: שם ומספר טלפון. ניתן למצוא אותם במקורות פתוחים (רשתות חברתיות, חברים) או לקבל אותם משותף - עובד של מפעיל סלולרי.
2. חסימה. כרטיס ה-SIM של הקורבן מושבת; כדי לעשות זאת, פשוט התקשר לתמיכה הטכנית של הספק, ספק את המספר ותגיד שהטלפון אבד.
3. לכיד, להעביר את המספר לכרטיס ה-SIM שלך. לרוב הדבר נעשה גם באמצעות שותף בחברת הטלקום או באמצעות זיוף מסמכים.

בחיים האמיתיים הדברים חמורים עוד יותר. התוקפים בוחרים קורבן ואז עוקבים אחר מיקום הטלפון מדי יום - בקשה אחת לקבל מידע שהמנוי עבר לנדידה עולה 1-2 סנט. ברגע שבעל כרטיס הסים נסע לחו"ל, הם מנהלים משא ומתן עם המנהל בחנות התקשורת להנפקת כרטיס SIM חדש. זה עולה כ-50$ (מצאתי מידע - במדינות שונות ואצל מפעילים שונים מ-20$ עד 100$), ובמקרה הכי גרוע המנהל יפוטר - אין לזה אחריות.

כעת כל ה-SMS יתקבלו על ידי תוקפים, ובעל הטלפון לא יוכל לעשות דבר בנידון - הוא נמצא בחו"ל. ואז הנבלים מקבלים גישה לכל החשבונות של הקורבן ומשנים סיסמאות אם רוצים.

סיכוי להחזרת רכוש גנוב

הבנקים מארגנים לעתים את הקורבנות באמצע הדרך ומושכים העברות מחשבונותיהם. לכן, ניתן להחזיר כספי פיאט גם אם לא נמצא העבריין. אבל עם ארנקי מטבעות קריפטוגרפיים הכל מסובך יותר - ו מבחינה טכנית, ומבחינה חקיקתית. עד כה, אף בורסה/ארנק אחד לא שילם פיצויים לנפגעי החלפה.

אם הקורבנות רוצים להגן על כספם בבית המשפט, הם מאשימים את המפעיל: הוא יצר את התנאים לגניבת כסף מהחשבון. זה בדיוק מה שעשיתי מייקל טרפין, שהפסיד 224 מיליון דולר עקב החלפה. כעת הוא תובע את חברת התקשורת AT&T.

עד כה, לאף מדינה אין תוכניות פועלות להגנה חוקית על בעלי מטבעות קריפטוגרפיים. אי אפשר לבטח את ההון שלך או לקבל פיצוי על אובדנו. לכן, מניעת התקפת החלפה קלה יותר מהתמודדות עם השלכותיה. הדרך הברורה ביותר היא להשתמש ב"גורם שני" אמין יותר עבור 2FA.

החלפת SIM אינה הבעיה היחידה עם 2FA באמצעות SMS

קודי אישור ב-SMS אינם בטוחים גם מנקודת מבט טכנית. ניתן ליירט הודעות עקב נקודות תורפה ללא תיקונים במערכת איתות 7 (SS7). 2FA באמצעות SMS מוכר רשמית כלא מאובטח (המכון הלאומי לתקנים וטכנולוגיה אמר את זה ב מדריך אימות דיגיטלי).

יחד עם זאת, הנוכחות של 2FA לרוב מעניקה למשתמש תחושת ביטחון כוזב, והוא בוחר סיסמה פשוטה יותר. לכן, אימות כזה אינו מקשה, אלא מקל על תוקף לקבל גישה לחשבון.

ולעיתים קרובות SMS מגיע באיחור רב או לא מגיע בכלל.

שיטות 2FA אחרות

כמובן, האור לא התכנס לסמארטפונים ו-SMS. ישנן שיטות אחרות של 2FA. לדוגמה, קודי TAN חד פעמיים: שיטה פרימיטיבית, אבל היא עובדת - עדיין משתמשים בה בחלק מהבנקים. ישנן מערכות המשתמשות בנתונים ביומטריים: טביעות אצבע, סריקות רשתית. אפשרות נוספת שנראית כמו פשרה סבירה מבחינת נוחות, אמינות ומחיר היא אפליקציות מיוחדות ל-2FA: RSA Token, Google Authenticator. יש גם מפתחות פיזיים ושיטות אחרות.

בתיאוריה, הכל נראה הגיוני ואמין. אבל בפועל, לפתרונות 2FA מודרניים יש בעיות, ובגללן המציאות שונה מהציפיות.

על פי מחקר, השימוש ב-2FA מהווה אי נוחות עקרונית, והפופולריות של 2FA באמצעות SMS מוסברת ב"פחות אי נוחות בהשוואה לשיטות אחרות" - קבלת קודים חד-פעמיים מובנת למשתמש.

משתמשים מקשרים שיטות 2FA רבות לחשש שהגישה תאבד. המפתח הפיזי או רשימה של סיסמאות TAN עלולים ללכת לאיבוד או לגנוב. לי אישית היו חוויות רעות עם Google Authenticator. הטלפון החכם הראשון שלי עם האפליקציה הזו התקלקל - מעריך את המאמצים שלי לשחזר את הגישה לחשבונות שלי. בעיה נוספת היא מעבר למכשיר חדש. ל-Google Authenticator אין אפשרות ייצוא מסיבות אבטחה (אם ניתן לייצא מפתחות, איזו אבטחה יש?). פעם נשאתי את המפתחות ידנית, ואז החלטתי שקל יותר להשאיר את הסמארטפון הישן בקופסה על מדף.

שיטת 2FA צריכה להיות:

• מאובטח - רק אתה ולא תוקפים צריכים לקבל גישה לחשבון שלך
• אמין - אתה מקבל גישה לחשבון שלך בכל פעם שאתה צריך
• נוח ונגיש - השימוש ב-2FA ברור ולוקח זמן מינימלי
• זוֹל

אנו מאמינים שבלוקצ'יין הוא הפתרון הנכון.

השתמש ב-2FA בבלוקצ'יין

עבור המשתמש, 2FA בבלוקצ'יין נראה כמו קבלת קודים חד-פעמיים באמצעות SMS. ההבדל היחיד הוא ערוץ המסירה. השיטה לקבלת קוד 2FA תלויה במה שה-blockchain מציע. בפרויקט שלנו (המידע נמצא בפרופיל שלי) זוהי אפליקציית אינטרנט, Tor, iOS, Android, Linux, Windows, MacOS.

השירות מייצר קוד חד פעמי ושולח אותו למסנג'ר בבלוקצ'יין. לאחר מכן עקוב אחר הקלאסיקה: המשתמש מזין את הקוד שהתקבל בממשק השירות ונכנס.

המאמר איך עובד שליח מבוזר על הבלוקצ'יין? כתבתי שבלוקצ'יין מבטיח את האבטחה והפרטיות של העברת הודעות. בנושא שליחת קודי 2FA, אדגיש:

• לחיצה אחת ליצירת חשבון - ללא טלפונים או מיילים.
• כל ההודעות עם קודי 2FA מוצפנות מקצה לקצה curve25519xsalsa20poly1305.
• מתקפת MITM אינה נכללת - כל הודעה עם קוד 2FA היא עסקה ב- blockchain ונחתמת על ידי Ed25519 EdDSA.
• ההודעה עם קוד 2FA מסתיימת בבלוק משלה. לא ניתן לתקן את הרצף וחותמת הזמן של החסימות, ולכן סדר ההודעות.
• אין מבנה מרכזי שעושה בדיקות על "אותנטיות" של הודעה. זה נעשה על ידי מערכת מבוזרת של צמתים המבוססת על קונצנזוס, והיא בבעלות המשתמשים.
• לא ניתן לנטרל - לא ניתן לחסום חשבונות ולא ניתן למחוק הודעות.
• גישה לקודי 2FA מכל מכשיר בכל עת.
• אישור מסירת הודעה עם קוד 2FA. השירות ששולח את הסיסמה החד-פעמית יודע בוודאות שהיא נמסרה. אין כפתורי "שלח שוב".

כדי להשוות עם כמה שיטות 2FA אחרות, הכנתי טבלה:

המשתמש מקבל חשבון במסנג'ר הבלוקצ'יין כדי לקבל קודים תוך שנייה - רק ביטוי סיסמה משמש לכניסה. לכן, שיטות היישום עשויות להיות שונות: אתה יכול להשתמש בחשבון אחד כדי לקבל קודים עבור כל השירותים, או שאתה יכול ליצור חשבון נפרד לכל שירות.

ישנה גם אי נוחות - בחשבון חייבת להיות לפחות עסקה אחת. כדי שהמשתמש יקבל הודעה מוצפנת עם קוד, צריך לדעת את המפתח הציבורי שלו, והוא מופיע בבלוקצ'יין רק עם העסקה הראשונה. כך הצלחנו לצאת מזה: נתנו להם את האפשרות לקבל אסימונים בחינם בארנק. עם זאת, פתרון טוב יותר הוא לקרוא לחשבון מפתח ציבורי. (לשם השוואה, יש לנו את מספר החשבון U1467838112172792705 הוא נגזרת של המפתח הציבורי cc1ca549413b942029c4742a6e6ed69767c325f8d989f7e4b71ad82a164c2ada. עבור המסנג'ר זה יותר נוח וקריא, אבל עבור המערכת לשליחת קודי 2FA זו מגבלה). אני חושב שבעתיד מישהו יקבל החלטה כזו ויעביר את "נוחות ונגישות" לאזור הירוק.

המחיר של שליחת קוד 2FA הוא ממש נמוך - 0.001 ADM, כעת הוא 0.00001 דולר. שוב, אתה יכול להעלות את הבלוקצ'יין שלך ולהפוך את המחיר לאפס.

כיצד לחבר את 2FA ב- blockchain לשירות שלך

אני מקווה שהצלחתי לעניין כמה קוראים להוסיף הרשאת בלוקצ'יין לשירותים שלהם.

אני אגיד לך איך לעשות זאת באמצעות המסנג'ר שלנו כדוגמה, ובאנלוגיה תוכל להשתמש בבלוקצ'יין אחר. באפליקציית ההדגמה של 2FA אנו משתמשים ב-postgresql10 לאחסון פרטי חשבון.

שלבי חיבור:

1. צור חשבון בבלוקצ'יין שממנו תשלח קודי 2FA. תקבלו ביטוי סיסמה, המשמש כמפתח פרטי להצפנת הודעות בקודים ולחתימה על עסקאות.
2. הוסף סקריפט לשרת שלך כדי ליצור קודי 2FA. אם אתה כבר משתמש בכל שיטת 2FA אחרת עם מסירת סיסמה חד פעמית, כבר השלמת את השלב הזה.
3. הוסף סקריפט לשרת שלך כדי לשלוח קודים למשתמש במסנג'ר הבלוקצ'יין.
4. צור ממשק משתמש לשליחת והזנת קוד 2FA. אם אתה כבר משתמש בכל שיטת 2FA אחרת עם מסירת סיסמה חד פעמית, כבר השלמת את השלב הזה.

1 יצירת חשבון

יצירת חשבון בבלוקצ'יין פירושה יצירת מפתח פרטי, מפתח ציבורי וכתובת חשבון נגזרת.

ראשית, נוצר ביטוי הסיסמה של BIP39, ומתוכו מחושב ה-hash SHA-256. ה-hash משמש ליצירת המפתח הפרטי ks והמפתח הציבורי kp. מהמפתח הציבורי, באמצעות אותו SHA-256 עם היפוך, אנו מקבלים את הכתובת בבלוקצ'יין.

אם ברצונך לשלוח קודי 2FA בכל פעם מחשבון חדש, יהיה צורך להוסיף את קוד יצירת החשבון לשרת:

import Mnemonic from 'bitcore-mnemonic'
this.passphrase = new Mnemonic(Mnemonic.Words.ENGLISH).toString()

…

import * as bip39 from 'bip39'
import crypto from 'crypto'

adamant.createPassphraseHash = function (passphrase) {
  const seedHex = bip39.mnemonicToSeedSync(passphrase).toString('hex')
  return crypto.createHash('sha256').update(seedHex, 'hex').digest()
}

…

import sodium from 'sodium-browserify-tweetnacl'

adamant.makeKeypair = function (hash) {
  var keypair = sodium.crypto_sign_seed_keypair(hash)
  return {
    publicKey: keypair.publicKey,
    privateKey: keypair.secretKey
  }
}

…

import crypto from 'crypto'

adamant.getAddressFromPublicKey = function (publicKey) {
  const publicKeyHash = crypto.createHash('sha256').update(publicKey, 'hex').digest()
  const temp = Buffer.alloc(8)
  for (var i = 0; i < 8; i++) {
    temp[i] = publicKeyHash[7 - i]
  }
  return 'U' + bignum.fromBuffer(temp).toString()
}

באפליקציית ההדגמה פישטנו אותה - יצרנו חשבון אחד באפליקציית האינטרנט, ושלחנו ממנה קודים. ברוב המקרים זה גם נוח יותר למשתמש: הוא יודע שהשירות שולח קודי 2FA מחשבון ספציפי ויכול לתת לו שם.

2 יצירת קודי 2FA

יש ליצור קוד 2FA עבור כל כניסה של משתמש. אנחנו משתמשים בספרייה מדבר קל, אבל אתה יכול לבחור כל אחד אחר.

const hotp = speakeasy.hotp({
  counter,
  secret: account.seSecretAscii,
});

בדיקת תקפות קוד 2FA שהוזן על ידי המשתמש:

se2faVerified = speakeasy.hotp.verify({
  counter: this.seCounter,
  secret: this.seSecretAscii,
  token: hotp,
});

3 שליחת קוד 2FA

כדי לשלוח קוד 2FA, אתה יכול להשתמש בממשק API של צומת blockchain, ספריית API של JS או בקונסולה. בדוגמה זו אנו משתמשים בקונסולה - זהו ממשק שורת הפקודה, כלי עזר המפשט את האינטראקציה עם הבלוקצ'יין. כדי לשלוח הודעה עם קוד 2FA, עליך להשתמש בפקודה send message קונסולות.

const util = require('util');
const exec = util.promisify(require('child_process').exec);

…

const command = `adm send message ${adamantAddress} "2FA code: ${hotp}"`;
let { error, stdout, stderr } = await exec(command);

דרך חלופית לשלוח הודעות היא להשתמש בשיטה send בספריית JS API.

4 ממשק משתמש

יש לתת למשתמש אפשרות להזין קוד 2FA, ניתן לעשות זאת בדרכים שונות בהתאם לפלטפורמת האפליקציה שלכם. בדוגמה שלנו זה Vue.

ניתן לראות את קוד המקור של אפליקציית ההדגמה של אימות דו-גורמי בלוקצ'יין בכתובת GitHub. יש קישור ב-Readme להדגמה חיה כדי לנסות את זה.

מקור: www.habr.com