Politycy otrzymają klucze U2F. „Jedna z lepszych decyzji, jaką ostatnio podjęto”

Specjalne klucze zabezpieczające U2F (Universal 2 Factor) kosztują od kilkudziesięciu do kilkuset złotych i na pierwszy rzut oka wyglądają jak pendrive, który wpina się do komputera. Zapewnia on bezpieczeństwo w przypadku logowania się do skrzynki mailowej czy jakiegokolwiek serwisu, gdy istnieje konieczność podania swoich danych (loginu i hasła). Taki klucz pozwala na ochronę przed atakami phishingowymi i zapobiega kradzieży informacji poufnych.

W poniedziałek, podczas konferencji prasowej rzecznik rządu Piotr Müller poinformował, że takie klucze zostaną zakupione dla członków rządu, posłów i senatorów. Dodał, że „zostało już wystosowane zapytanie w sprawie ich zakupu”.

„Jedna z lepszych decyzji, jaką ostatnio podjęto”

Jednocześnie politycy, którzy otrzymają klucze U2F mają zostać obowiązkowo przeszkoleni z ich używania. Będą mogli z nich korzystać także do skrzynek prywatnych. Jak wynikało z dotychczasowych ustaleń, cyberprzestępcom udało się pozyskać login i hasło do skrzynki ministra Michała Dworczyka na wp.pl właśnie poprzez oszustwo phishingu – infekując pocztę ministra fałszywym oprogramowaniem, które „otworzyło” dostęp do komputera.

Postanowiliśmy zapytać o kwestię bezpieczeństwa kluczy U2F eksperta. Marcin Szary, dyrektor ds. technologii oraz współzałożyciel Secfense, ocenia, że „decyzja o zakupie kluczy kryptograficznych dla polskiego rządu jest jedną z lepszych, którą ostatnio udało się podjąć”. „Ryzyko podrobienia klucza w naszej ocenie jest niezwykle niskie. Wymagałoby fizycznej kradzieży klucza od ofiary, a potem długiego, wieloetapowego pozyskiwania z niego sekretu. Aby jednak to zrobić, najpierw trzeba takie urządzenie rozpuścić w kwasie – tak, żeby nie uszkodzić elektroniki – a następnie poszukiwać, pracując w surowym krzemie przy pomocy mikroskopu elektronowego sekretów kryptograficznych w tym kluczu zapisanych. Taki żmudny proces spala na panewce również w momencie, kiedy ofiara zorientuje się, że klucz został jej skradziony. Albo, od razu sama spala – dezaktywuje klucz, albo robi to za nią departament bezpieczeństwa” – objaśnia ekspert.

Zaznacza, że właśnie dlatego tak istotne jest, aby politycy nauczyli się z kluczy U2F korzystać codziennie, a nie „przy okazji”.

„W takiej sytuacji, w momencie zagubienia, orientują się, że go nie mają praktycznie od razu. Jeśli nie będą używać go codziennie, atakujący będą mieli zbyt dużo czasu na to, żeby klucz sklonować. Zdarzyło się jednak, że Yubico (firma produkująca klucze U2F – red.) padła ofiarą pewnych badaczy właśnie w takim kontekście” – tłumaczy Marcin Szary portalowi CyberDefence24.pl.

Zabezpieczenie przed atakami phishinowymi

Ekspert pytany przez nas o bezpieczeństwo tego rozwiązania wskazuje, że klucz U2F nie przechowuje żadnych danych wskazujących na tożsamość, z wyjątkiem zapisanego sekretu, którego „nie da się w łatwy sposób odczytać i nie jest dostępny dla zwykłych śmiertelników”.

„Przypadkowy znalazca nie może więc przechwycić razem z nim żadnej wiedzy. Jeśli ktoś klucz zgubi musi skontaktować się z departamentem cyberbezpieczeństwa, który >>spali<<, czyli zdezaktywuje klucz. Później wystarczy kupić/odebrać nowy klucz i na nowo go zainicjować – powiązać go szybko i łatwo z konkretną osobą. Oczywiście zawsze powinna być też specjalna procedura odzyskania klucza przez telefon – opcja >>nie mam klucza<<, kiedy uzyskujemy dostęp do zasobów po odpowiedniej, wieloetapowej weryfikacji. Najbezpieczniej jednak i prawidłowo jest posiadać dwa klucze – jednym posługiwać się na co dzień, drugi mieć w sejfie. Jeśli pierwszy gubimy – >>spalamy<< go i używamy drugiego” – objaśnia dyrektor ds. technologii oraz współzałożyciel Secfense.

Dodaje, że klucze, które mają otrzymać politycy neutralizują wiele ataków, w tym tak powszechnych i groźnych w czasach zdalnej pracy – ataków phishinowych.

„Można powiedzieć również, że zmieniają ekonomię ataku. Jeśli jednak polityk będzie miał zainfekowany komputer/smartfon/telefon, to mimo tego, że uwierzytelni się w bezpieczny sposób kluczem U2F, atakujący będzie i tak miał dostęp do zalogowanej sesji. Warto więc pamiętać, że bezpieczeństwo buduje się warstwowo i chociaż klucz U2F daje bardzo dużo, to nie gwarantuje 100 proc. ochrony” – podkreśla Marcin Szary.

Dworczyk był gotowy do dymisji

W poniedziałek podczas konferencji prasowej minister Michał Dworczyk, odpowiadając na pytanie o jego dymisję w związku z cyberatakami zaznaczył, że zadeklarował gotowość do rezygnacji ze stanowiska w dniu wycieku jego maili – 8 czerwca br., ale premier Mateusz Morawiecki odmówił, ponieważ „byłoby to zrealizowanie celu atakujących”.

Dodał, że w ostatnich dniach udowodniono, że kiedy atakujący jest zdeterminowany, używanie służbowej poczty nie daje żadnej gwarancji bezpieczeństwa. „11 parlamentarzystów ma zhakowane konta. Chciałbym też zwrócić uwagę na aspekt bezpieczeństwa wykorzystywania skrzynek na domenach państwowych. Jeżeli ktoś jest zdeterminowany, to niezależnie od tego, gdzie zarejestrowana jest skrzynka, to haker jest w stanie złamać zabezpieczenia” – podkreślił.

Skomentował też, że konsekwentnie nie będzie odnosił się do pojedynczych materiałów z maili, bo to „słowo przeciwko słowu, a o to chodzi atakującym”.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.