Vstopnice Kerberos preverjajo identiteto uporabnikov in strežnikov. Toda hekerji izkoriščajo tudi ta sistem, da bi izvedeli občutljive podatke o vas.
Vstopnice Kerberos naredijo internet varnejši, saj računalnikom in strežnikom v omrežju omogočajo prenos podatkov, ne da bi bilo treba na vsakem koraku preverjati njihovo identiteto. Vendar pa ta vloga enkratnega, čeprav začasnega avtentifikatorja naredi vstopnice Kerberos privlačne za napadalce, ki lahko vdrejo v njihovo šifriranje.
Kaj so vstopnice Kerberos?
Če mislite, da se "Kerberos" sliši znano, imate prav. To je grško ime Hadovega psa (sicer znanega kot "Cerberus"). Toda Kerberos ni mačji pes; ima več glav in varuje vrata podzemlja. Kerberos preprečuje, da bi mrtvi odšli, in obupanim likom preprečuje, da bi svoje ljubljene rešili iz mračnega posmrtnega življenja. Na ta način si lahko psa predstavljate kot avtentifikatorja, ki preprečuje nepooblaščen dostop.
Kerberos je omrežni protokol za preverjanje pristnosti, ki uporablja kriptografske ključe za preverjanje komunikacije med odjemalci (osebnimi računalniki) in strežniki v računalniških omrežjih. Kerberos je ustvaril Massachusetts Institute of Technology (MIT) kot način za stranke, da dokažejo svojo identiteto strežnikom, ko zahtevajo podatke. Podobno strežniki uporabljajo vstopnice Kerberos, da dokažejo, da so poslani podatki pristni, iz predvidenega vira in da niso bili poškodovani.
Vstopnice Kerberos so v bistvu potrdila, ki jih strankam izda zaupanja vredna tretja oseba (imenovana center za distribucijo ključev – na kratko KDC). Odjemalci predložijo to potrdilo skupaj z edinstvenim ključem seje strežniku, ko ta sproži zahtevo za podatke. Predstavitev in avtentikacija vozovnice vzpostavita zaupanje med odjemalcem in strežnikom, tako da ni potrebe po preverjanju vsake posamezne zahteve ali ukaza.
Kako delujejo vstopnice Kerberos?
Vstopnice Kerberos preverjajo pristnost uporabniškega dostopa do storitev. Prav tako pomagajo strežnikom razdeliti dostop v primerih, ko več uporabnikov dostopa do iste storitve. Tako zahteve ne uhajajo ena v drugo, nepooblaščene osebe pa ne morejo dostopati do podatkov, ki so omejeni na privilegirane uporabnike.
na primer Microsoft uporablja Kerberos protokol za preverjanje pristnosti, ko uporabniki dostopajo do strežnikov Windows ali operacijskih sistemov osebnih računalnikov. Torej, ko se po zagonu vpišete v svoj računalnik, operacijski sistem uporabi kartice Kerberos za preverjanje pristnosti vašega prstnega odtisa ali gesla.
Vaš računalnik začasno shrani vstopnico v pomnilnik procesa storitve podsistema lokalnega varnostnega organa (LSASS) za to sejo. Od tam naprej OS uporablja predpomnjeno vstopnico za avtentikacije z enkratno prijavo, tako da vam ni treba posredovati svojih biometričnih podatkov ali gesla vsakič, ko morate storiti nekaj, kar zahteva skrbniške pravice.
V večjem obsegu se kartice Kerberos uporabljajo za zaščito omrežnih komunikacij v internetu. To vključuje stvari, kot sta šifriranje HTTPS in preverjanje uporabniškega imena in gesla ob prijavi. Brez Kerberosa bi bila omrežna komunikacija ranljiva za napade, kot je ponarejanje zahtev med spletnimi mesti (CSRF) in vdori človeka v sredini.
Kaj točno je Kerberoasting?
Kerberoasting je metoda napada, pri kateri kibernetski kriminalci ukradejo vstopnice Kerberos iz strežnikov in poskušajo pridobiti zgoščene vrednosti gesel v navadnem besedilu. V svojem bistvu je ta napad družbeni inženiring, kraja poverilnic, in napad s surovo silo, vse skupaj v enem. Prvi in drugi korak vključujeta, da napadalec lažno predstavlja odjemalca in od strežnika zahteva vstopnice Kerberos.
Seveda je vstopnica šifrirana. Kljub temu pridobitev vstopnice reši enega od dveh izzivov za hekerja. Ko dobijo vstopnico Kerberos s strežnika, je naslednji izziv dešifriranje na kakršen koli način. Hekerji, ki imajo vstopnice Kerberos, se bodo zelo potrudili, da bi vdrli v to datoteko, ker je zelo dragocena.
Kako delujejo napadi Kerberoasting?
Kerberoasting izkorišča dve pogosti varnostni napaki v aktivnih imenikih – uporabo kratkih, šibkih gesel in zaščito datotek s šibkim šifriranjem. Napad se začne tako, da heker z uporabniškim računom zahteva vstopnico Kerberos od KDC.
KDC nato po pričakovanjih izda šifrirano vstopnico. Namesto da bi uporabil to vstopnico za preverjanje pristnosti s strežnikom, jo heker odklopi brez povezave in poskuša vstopnico vdreti s tehnikami surove sile. Orodja, ki se uporabljajo za to, so brezplačna in odprtokodna, kot so mimikatz, Hashcat in JohnTheRipper. Napad je mogoče avtomatizirati tudi z orodji, kot sta invoke-kerberoast in Rubeus.
Uspešen napad kerberoasting bo iz vstopnice izvlekel navadna gesla. Napadalec lahko to nato uporabi za preverjanje pristnosti zahtev do strežnika iz ogroženega uporabniškega računa. Še huje je, da lahko napadalec izkoristi novo najden nepooblaščen dostop za krajo podatkov, premakniti bočno v aktivnem imenikuin nastavite navidezne račune s skrbniškimi pravicami.
Ali bi vas moralo skrbeti Kerberoasting?
Kerberoasting je priljubljen napad na aktivne imenike, zato bi vas moralo skrbeti, če ste skrbnik domene ali operater modre ekipe. Za odkrivanje tega napada ni privzete konfiguracije domene. Večina se zgodi brez povezave. Če ste bili žrtev tega, boste najverjetneje vedeli naknadno.
Izpostavljenost lahko zmanjšate tako, da zagotovite, da vsi v vašem omrežju uporabljajo dolga gesla, sestavljena iz naključnih alfanumeričnih znakov in simbolov. Poleg tega morate uporabiti napredno šifriranje in nastaviti opozorila za nenavadne zahteve uporabnikov domene. Prav tako se boste morali zaščititi pred socialnim inženiringom, da preprečite kršitve varnosti, ki se začnejo s Kerberoatingom.
