כרטיסי Kerberos מאמתים את זהויות המשתמשים והשרתים. אבל האקרים גם מנצלים את המערכת הזו כדי לגלות מידע רגיש עליך.

כרטיסי Kerberos הופכים את האינטרנט לבטוח יותר על ידי מתן אמצעי למחשבים ולשרתים ברשת להעביר נתונים ללא צורך לאמת את זהותם בכל שלב. עם זאת, תפקיד זה כמאמת חד פעמי, אם כי זמני, הופך את כרטיסי ה-Kerberos לאטרקטיביים עבור תוקפים שיכולים לפצח את ההצפנה שלהם.

מהם כרטיסים ל-Kerberos?

אם אתה חושב ש"Kerberos" נשמע מוכר, אתה צודק. זהו השם היווני של הכלב של האדס (הידוע גם בשם "קרברוס"). אבל קרברוס הוא לא כלב; יש לו כמה ראשים והוא שומר על שערי השאול. קרברוס מונע מהמתים לעזוב ועוצר מדמויות נסערות להצית את אהובותיהן מהעולם הבא העגום. בדרך זו, אתה יכול לחשוב על הכלב כעל מאמת שמונע גישה לא מורשית.

Kerberos הוא פרוטוקול אימות רשת המשתמש במפתחות קריפטוגרפיים לאימות תקשורת בין לקוחות (מחשבים אישיים) ושרתים ברשתות מחשבים. Kerberos נוצר על ידי המכון הטכנולוגי של מסצ'וסטס (MIT) כדרך עבור לקוחות להוכיח את זהותם לשרתים כאשר הם מבצעים בקשות נתונים. כמו כן, שרתים משתמשים בכרטיסי Kerberos כדי להוכיח שהנתונים שנשלחו הם אותנטיים, מהמקור המיועד, ולא נפגמו.

instagram viewer

כרטיסי Kerberos הם בעצם אישורים שהונפקו ללקוחות על ידי צד שלישי מהימן (נקרא מרכז הפצה מפתח - בקיצור KDC). לקוחות מציגים אישור זה, יחד עם מפתח הפעלה ייחודי, לשרת כאשר הוא יוזם בקשת נתונים. הצגת הכרטיס ואימותו מייצרים אמון בין הלקוח לשרת, כך שאין צורך לאמת כל בקשה או פקודה בודדת.

איך עובדים כרטיסים ל-Kerberos?

כרטיסי Kerberos מאמתים גישת משתמשים לשירותים. הם גם עוזרים לשרתים למדור גישה במקרים שבהם יש מספר משתמשים שניגשים לאותו שירות. בדרך זו, בקשות אינן זולגות זו לזו, ואנשים לא מורשים אינם יכולים לגשת לנתונים המוגבלים למשתמשים מורשים.

לדוגמה, מיקרוסופט משתמשת ב-Kerberos פרוטוקול אימות כאשר משתמשים ניגשים לשרתי Windows או למערכות הפעלה למחשב. לכן, כאשר אתה נכנס למחשב שלך לאחר אתחול, מערכת ההפעלה משתמשת בכרטיסי Kerberos כדי לאמת את טביעת האצבע או הסיסמה שלך.

המחשב שלך מאחסן את הכרטיס באופן זמני בזיכרון התהליך של שירות המשנה של רשות האבטחה המקומית (LSASS) עבור אותה הפעלה. משם ואילך, מערכת ההפעלה משתמשת בכרטיס השמור עבור אימות כניסה יחידה, כך שלא תצטרך לספק את הביומטרי או הסיסמה שלך בכל פעם שאתה צריך לעשות משהו שדורש הרשאות ניהול.

בקנה מידה גדול יותר, כרטיסי Kerberos משמשים לשמירה על תקשורת רשת באינטרנט. זה כולל דברים כמו הצפנת HTTPS ואימות שם משתמש-סיסמה בכניסה. ללא Kerberos, תקשורת רשת תהיה פגיעה להתקפות כמו זיוף בקשות חוצה אתרים (CSRF) ופריצות איש-באמצע.

מה זה Kerberoasting בדיוק?

Kerberoasting היא שיטת התקפה שבה פושעי סייבר גונבים כרטיסים של Kerberos משרתים ומנסים לחלץ גיבוב של סיסמא בטקסט רגיל. בבסיסה, המתקפה הזו היא הנדסה חברתית, גניבת אישורים, והתקפה בכוח גס, כולם התגלגלו לאחד. הצעד הראשון והשני כוללים את התחזות של התוקף ללקוח ומבקש כרטיסי Kerberos משרת.

כמובן שהכרטיס מוצפן. עם זאת, השגת הכרטיס פותרת אחד משני אתגרים עבור ההאקר. ברגע שיש להם את כרטיס ה-Kerberos מהשרת, האתגר הבא הוא לפענח אותו בכל האמצעים הדרושים. האקרים שברשותם כרטיסי Kerberos יעשו מאמצים קיצוניים כדי לפצח את הקובץ הזה בגלל מידת הערך שלו.

כיצד פועלות התקפות Kerberoasting?

Kerberoasting מנצל שתי טעויות אבטחה נפוצות בספריות פעילות - שימוש בסיסמאות קצרות וחלשות ואבטחת קבצים בהצפנה חלשה. המתקפה מתחילה עם האקר שמשתמש בחשבון משתמש כדי לבקש כרטיס Kerberos מ-KDC.

לאחר מכן ה-KDC מנפיק כרטיס מוצפן כצפוי. במקום להשתמש בכרטיס הזה לאימות עם שרת, ההאקר לוקח אותו במצב לא מקוון ומנסה לפצח את הכרטיס בטכניקות של כוח גס. הכלים המשמשים לעשות זאת הם חינמיים וקוד פתוח, כגון mimikatz, Hashcat ו-JohnTheRipper. ההתקפה יכולה להיות אוטומטית גם עם כלים כמו invoke-kerberoast ו-Rubeus.

התקפת kerberoasting מוצלחת תחלץ סיסמאות טקסט רגיל מהכרטיס. לאחר מכן התוקף יכול להשתמש בזה כדי לאמת בקשות לשרת מחשבון משתמש שנפרץ. גרוע מכך, התוקף יכול למנף את הגישה החדשה, הבלתי מורשית, כדי לגנוב נתונים, לנוע לרוחב בספרייה הפעילה, והגדר חשבונות דמה עם הרשאות מנהל.

האם אתה צריך לדאוג לגבי Kerberoasting?

Kerberoasting היא התקפה פופולרית על ספריות פעילות, ואתה צריך לדאוג לגביה אם אתה מנהל דומיין או מפעיל צוות כחול. אין תצורת תחום ברירת מחדל לזיהוי התקפה זו. רוב זה קורה במצב לא מקוון. אם היית קורבן לכך, סביר להניח שתדע לאחר מעשה.

אתה יכול להפחית את החשיפה שלך על ידי הבטחת שכולם ברשת שלך משתמשים בסיסמאות ארוכות המורכבות מתווים וסמלים אלפאנומריים אקראיים. יתר על כן, עליך להשתמש בהצפנה מתקדמת ולהגדיר התראות עבור בקשות חריגות ממשתמשי דומיין. תצטרך גם להישמר מפני הנדסה חברתית כדי למנוע פרצות אבטחה שמתחילות Kerberoating מלכתחילה.