Η Google παρουσίασε πρόσφατα μια σημαντική καινοτομία, τα Διαπιστευτήρια Συνεδρίας Δεσμευμένης Συσκευής (DBSC), που είναι ήδη διαθέσιμα για χρήστες Windows στην έκδοση Chrome 146. Αυτή η νέα δυνατότητα είναι σχεδιασμένη να ενισχύσει τη διαδικτυακή ασφάλεια μειώνοντας τις πιθανότητες κλοπής περιόδων σύνδεσης, μια από τις πιο διαδεδομένες μεθόδους που χρησιμοποιούν οι εισβολείς για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.
Επιπλέον, η επέκταση αυτής της δυνατότητας και στο macOS βρίσκεται σε εξέλιξη, υποδεικνύοντας μια στροφή στη βιομηχανία προς μια πιο προληπτική προσέγγιση στην ασφάλεια, αντί να επαφίεται αποκλειστικά στην ανίχνευση απειλών αφού αυτές επιβεβαιωθούν.
Η απειλή της εκχύλισης των μπισκότων
Η κλοπή συνεδρίας αποτελεί σοβαρή απειλή για τους χρήστες του διαδικτύου και συχνά λαμβάνει χώρα όταν ένα θύμα εγκαθιστά κατά λάθος κακόβουλο λογισμικό, όπως η οικογένεια LummaC2. Μόλις το κακόβουλο λογισμικό εισέλθει στον υπολογιστή, αναζητά και κλέβει υπάρχοντα cookie περιόδου λειτουργίας από τα τοπικά αρχεία του προγράμματος περιήγησης.
Τα cookies που χρησιμοποιούνται για τον έλεγχο ταυτότητας συχνά παραμένουν έγκυρα για παρατεταμένα χρονικά διαστήματα, επιτρέποντας στους κλέφτες να παρακάμψουν τους κωδικούς πρόσβασης πλήρως. Ιστορικά, η πρόληψη της κλοπής αυτής μέσω λογισμικού αποτελεί πρόκληση για τις ομάδες ασφαλείας, υποχρεώνοντάς τες να βασίζονται σε περίπλοκες μεθόδους ανίχνευσης μετά από μια παραβίαση.
Η εισαγωγή του DBSC αλλάζει ριζικά το τοπίο της ασφάλειας στο διαδίκτυο, συνδέοντας τις περιόδους σύνδεσης ελέγχου ταυτότητας με τη φυσική συσκευή του χρήστη. Το πρωτόκολλο αυτό βασίζεται σε μονάδες ασφαλείας που υποστηρίζονται από υλικό, όπως το Trusted Platform Module (TPM) στα Windows ή το Secure Enclave σε συσκευές Apple.
Όταν ο χρήστης συνδέεται σε έναν ιστότοπο, το υλικό του συστήματος δημιουργεί ένα μοναδικό ζεύγος δημόσιου-ιδιωτικού κλειδιού. Το κλειδί αυτό δεν μπορεί ποτέ να εξαχθεί από τη συσκευή, προσφέροντας έναν νέο επίπεδο προστασίας. Όταν οι ιστότοποι που υποστηρίζουν το DBSC εκδίδουν cookies μικρής διάρκειας, το πρόγραμμα περιήγησης θα πρέπει συνεχώς να αποδεικνύει ότι κατέχει το ιδιωτικό κλειδί για την ανανέωσή τους.
Αν ένας κακόβουλος εισβολέας κατορθώσει να κλέψει τα cookies, θα διαπιστώσει ότι τα διαπιστευτήρια λήγουν γρήγορα, καθιστώντας τα άχρηστα, καθόσον δεν διαθέτει το φυσικό κλειδί ασφαλείας του θύματος. Η υλοποίηση αυτού του μηχανισμού είναι απλή για τους προγραμματιστές, καθώς το πρόγραμμα περιήγησης διαχειρίζεται την κρυπτογραφία αυτόματα.
Η αρχιτεκτονική του DBSC έχει σχεδιαστεί να διασφαλίσει την ιδιωτικότητα των χρηστών. Κάθε συνεδρία έχει διαφορετικό κλειδί, διασφαλίζοντας ότι οι ιστότοποι δεν μπορούν να παρακολουθούν τη δραστηριότητα των χρηστών από ιστότοπο σε ιστότοπο. Αυτός ο σχεδιασμός αποτρέπει τη χρήση της τεχνολογίας για την καταγραφή δακτυλικών αποτυπωμάτων συσκευών και διασφαλίζει την ανωνυμία των χρηστών.
Η Google ανέπτυξε το DBSC ως πρότυπο ανοιχτού ιστού, συνεργαζόμενη στενά με την ομάδα εργασίας ασφάλειας εφαρμογών ιστού του W3C και τη Microsoft, καθώς και διεξάγοντας δοκιμές σε πλατφόρμες όπως η Okta. Στο άμεσο μέλλον, η Google σκοπεύει να επεκτείνει τις λειτουργίες του DBSC για να εξασφαλίσει περιβάλλοντα ομοσπονδιακής ταυτότητας και Single Sign-On (SSO) για επιχειρήσεις.
Η ομάδα σχεδιάζει επίσης την ανάπτυξη προηγμένων επιλογών διασύνδεσης, επιτρέποντας τη σύνδεση περιόδων σύνδεσης με υπάρχοντα κλειδιά ασφαλείας υλικού και εξετάζει την υποστήριξη κλειδιών που βασίζονται σε λογισμικό, προκειμένου να παρέχονται αντίστοιχες δυνατότητες σε συσκευές που δεν διαθέτουν φυσικές υποστηρίξεις ασφάλειας. Η προοπτική αυτή υπόσχεται μια ασφαλέστερη εμπειρία πλοήγησης στο διαδίκτυο, μειώνοντας τον κίνδυνο παραβιάσεων και κλοπών προσωπικών δεδομένων.
