Benvenuto nel forum del canale Youtube Gentiluomo Digitale.
Ti ricordiamo che la partecipazione a queste discussioni comporta l’implicita accettazione delle
N. B. Se dopo la registrazione non ti arrivasse la mail di conferma puoi effettuare comunque la procedura password smarrita per ricevere la mail che ti consentirà di impostarla ed accedere al forum.
Richiesta chiarimenti minaccia Tycoon 2FA (e metodi per evitare FIDO2)
Elenco qui di seguito 3 dubbi riguardanti dettagli su Tycoon 2FA che l'ultimo video di Vito lascia purtroppo in sospeso, e che invece credo sarebbe di grande aiuto venissero chiariti per noi utenti:
1. Nel caso in cui Tycoon 2FA sfrutti un server proxy inverso, è di qualche protezione avere la DNS di Cloudflare e NordVPN? Oppure è irrilevante?
2. Nel caso in cui Tycoon 2FA si presenti come exploit, agisce solo su Windows oppure anche su Linux?
3. La 2FA con smartphone sembrerebbe essere vulnerabile, ma nel video di Vito vediamo solo il caso riguardante autenticazione tramite notifica, e NON tramite codice con smartphone offline. (Mi spiego: nel video di Vito vediamo che è il browser stesso a proporre un numero a 2 cifre, aspettandosi che questo numero venga inserito in uno smartphone che immagino dovrà essere collegato alla rete. Questo è il metodo di notifica, e nel video si dimostra essere vulnerabile. Ma l'autenticazione via smartphone può essere fatta anche con un altro metodo, ovvero la richiesta di un codice: il browser lascia uno spazio vuoto che dovremo riempire con un codice usa-e-getta fornito dall'app Authenticator anche quando lo smartphone è scollegato dalla rete.) Ecco quindi la domanda: anche il metodo codice è vulnerabile quanto il metodo notifica? Oppure no?
Grazie in anticipo per le risposte.
Per quello che so:
1 e 2: in questo genere di attacchi (essenzialmente phishing), il sistema operativo, le VPN e i DNS sono tendenzialmente irrilevanti, poiché non viene sfruttata né una vulnerabilità del sistema operativo in quanto tale, né viene attaccato il traffico di rete, né viene dirottata la risoluzione DNS. L'unica situazione in cui diventano difensivamente rilevanti è se il sistema operativo (tramite antivirus o applicazioni firewall) o il DNS hanno una black list abbastanza aggiornata da comprendere i domini di phishing coinvolti (poco probabile in questo caso)
3: la protezione migliore è quella di applicativi che mettono in relazione un hardware e il sito che richiede l'autenticazione (come la chiavetta presentata nel video, che non dovrebbe funzionare su siti fasulli) o un programma che relaziona un sito preimpostato e la relativa richiesta di autenticazione (come i buoni password manager, che non inseriscono password in siti non autentici). Altri inserimenti manuali di autenticazioni, anche se generate localmente offline, temo cadano vittima del sistema di attacco.
Qui puoi approfondire meglio.
