http://7pl.pl/1 Adriano - web is brutal JoggerPL http://7pl.pl/59#com_nr6 http://7pl.pl/59#com_nr6 http://7pl.pl/59#com_nr7 Użytkownik wszedł na stronę podszywającą się pod bank:
- podaje swój numer identyfikacyjny
- następnie podaje kod jednorazowy
- skrypt wchodzi na stronę banku, wpisuje numer identyfikacyjny, a na następnej stronie kod jednorazowy - posiada już obrazek
- serwujemy stronę klientowi z poprawnym obrazkiem
- użytkownik wprowadza hasło

Mamy teraz dostęp do konta bankowego, wprawdzie tylko podczas tej sesji, ale jednak zdobyliśmy go. Co więcej nie widzę, żadnej korzyści z przesunięcia pokazania obrazka na późniejszą fazę logowania.
Jedyną różnicą zwiększająca bezpieczeństwo jest podanie jednorazowego kodu podczas logowania, bo ewentualny złodziej będzie mógł działać tylko "w tle" naszych własnych działań na koncie bankowym.

Możliwe, że się mylę.]]> http://7pl.pl/59#com_nr7 http://7pl.pl/59#com_nr8
Artykuł ciekawy, natomiast nie mogę się z Tobą zgodzić w kilku punktach.

1) "Obrazek ten ułatwia Ci rozpoznanie, że strona" - zauważ, że bank komunikuje iż obrazek "ułatwia", a nie _gwarantuje_. Masz prawo do własnej interpretacji, ze swojej strony sugeruję uwierzyć czy też zaufać, że rozum ludzie pracujący w banku i dla banku posiadają, uważam, że nikt tam nie zamierza tworzyć złudnego poczucia bezpieczeństwa.

2) "Coś co zabezpiecza, ale w pewnych sytuacjach może skutecznie ułatwić atak, zabezpieczeniem nie jest." - w tym wypadku nie dość, że oksymoron to jeszcze nadinterpretacja. Jestem przekonany, że jak jeszcze raz o tym pomyślisz dojdziesz do nieco innych wniosków. Moim zdaniem obrazki antyphishingowe to rozwiązanie minimalizujące ryzyko (minimalizujące, a nie niwelujące je do zera). Same w sobie nie stanowią podatności. To, że mogą być wykorzystane przez bardziej zaawansowanego autora phishingu i wymaga to większego zaangażowania z jego strony oznacza tylko, że bank osiągnął to co zamierzał - podniósł poprzeczkę dla phishera i podniósł poziom bezpieczeństwa. Wiesz, to trochę jak z autoryzacją operacji drugim kanałem, np. kodem SMS. Można powiedzieć, że są już znane przypadki bankerów przejmujących kody SMS, ale czy to oznacza, że autoryzacja takimi kodami to już nie jest zabezpieczenie, bo istnieje scenariusz, w którym można je jednak wykorzystać do autoryzacji transakcji, której byś sobie nie życzył?

3) Kiedy dbasz o bezpieczeństwo informacji musisz chodzić na kompromisy, szczególnie kiedy zabezpieczasz systemy masowego użytku. W Twoim podejściu z dodatkowym krokiem jest pewien problem, właściwie grono problemów:
a) Klient musi podać więcej danych by się zalogować (spada ergonomia użycia, bez tokena nie zaloguje się by np. sprawdzić swoje saldo)
b) phisher nadal może przygotować spreparowaną stronę wg. Twojego scenariusza ataku, utrudnienie polega na dodaniu jednego kroku więcej w całym procesie - czy chciałbyś by ktoś nazwał Twoje zabezpieczenie rozwiązaniem, które z zabezpieczaniem nie ma nic wspólnego - wg. Twojej definicji ;) ?

I kończąc, zgadzam się z Tobą, że są Klienci, którzy oczekują wyższego poziomu bezpieczeństwa kosztem ergonomii korzystanie z systemu. Banki mają też alternatywy, które mogą zaproponować swoim Klientom by faktycznie podnieść poziom bezpieczeństwa.

Na koniec warto nadmienić, że większość znanych mi banków posiada mechanizmy bezpieczeństwa gwarantujące, że przechwycenie przez kogoś danych pozwalających na zalogowanie się do bankowości elektronicznej nie umożliwi wyprowadzenie środków z rachunku. Ktoś może poznać Twoje dane i może to być już realna "strata", natomiast moim skromnym zdaniem nie warto tego widzieć w biało-czarnych barwach jak w tym poście.

PS
Wielokrotnie spotkałem się z takim podejściem jak Twoje, nie jest ono złe, wręcz przeciwnie, widać, że myślisz, analizujesz. Jak dojdzie do tego jeszcze kilka aspektów to będzie już całkiem kompletne, a przez to merytorycznie jeszcze lepsze czego Ci serdecznie życzę. Wszystko przyjdzie z czasem.]]> http://7pl.pl/59#com_nr8 http://7pl.pl/59#com_nr9
Do reszty poruszonych spraw odniosę się za jakiś czas - gdy zdobędę nieco czasu tutaj w komentarzu :)]]> http://7pl.pl/59#com_nr9 http://7pl.pl/59#com_nr10 I zgodnie z powyższym, ten element nie powinien w ogóle być rozpatrywany jako zabezpieczenie.

Oczywiście podpisywanie strony logowania unikalnym znakiem jest dobrą i skuteczną metodą anty-phishingową, ale pod warunkiem, że obrazek **zapisany jest na komputerze** i nie ma żadnego związku z numerem użytkownika ani jego kontem. Technicznie wystarczy zrealizować to unikalnym ciatkiem, które nie wygasa. Strona podszywająca nie będzie w stanie go wykraść i pokazać odpowiedniej grafiki.

To o tyle ciekawe, że w tej formie to bardziej podpisywanie przeglądarki niż strony. :) niejako efektem ubocznym jest fakt, że podpisana przeglądarka przedstawi się tylko prawdziwej stronie banku.

Polecam obejrzeć udaną implementację Sign Seal na Yahoo.]]> http://7pl.pl/59#com_nr10 http://7pl.pl/59#com_nr11 Nieco z innej beczki:
W magazynie hakin9 był kiedyś opis jak to magiczne pola do wpisywania hasła wraz z klawiaturą ekranową są żadnym zabezpieczeniem :) Tak więc jakby się tak dobrze przyjrzeć to nie ma takiego sposobu który dawałby 100% skuteczności :)]]> http://7pl.pl/59#com_nr11 http://7pl.pl/59#com_nr12 http://7pl.pl/59#com_nr12 http://7pl.pl/59#com_nr13 http://7pl.pl/59#com_nr13 http://7pl.pl/59#com_nr14 http://7pl.pl/59#com_nr14 http://7pl.pl/59#com_nr15 http://7pl.pl/59#com_nr15 http://7pl.pl/59#com_nr16 Odpowiadam zbiorczo Wam, nie kieruję nic personalnie - rozszerzam to co chciałem przekazać we wpisie bo ciekawe kwestie poruszyliście (zaznaczam, aby nieporozumień nie było):

Cytat:
zauważ, że bank komunikuje iż obrazek "ułatwia", a nie gwarantuje.


Ja wiem o co chodzi w spersonalizowanych obrazach, Wy wiecie, inni moi czytelnicy też - stosuje, dla mnie przydatne rozwiązanie.
Dla przeciętnego użytkownika nie będzie to niestety mieć większego znaczenia. W komentarzach które cytowałem widać to.

Przeciętny użytkownik będzie traktował każde oferowane rozwiązanie na równi z innymi.

Obrazek widoczny publicznie w sieci dla każdego, czy informacja o certyfikacie w przeglądarce - jedno lub drugie "daje gwarancję" autentyczności danej strony w takim samym stopniu - tak myśli przeciętny user (z banków korzystają różni ludzie).

Właśnie zdobycie zaufania jest czymś, co jest istotne (patrz tytuł). Jeśli miałbym podrobić certyfikat, lub skopiować publicznie dostępny obraz, to wybiorę to drugie. Pójdę łatwiejszą drogą.
W prosty sposób zdobywam obraz, zdobywam przy tym zaufanie użytkownika - jest już mój bo uśpiłem tym jego czujność.

Poprzeczka każdego rozwiązania powinna być wysoka tak, aby atakujący nie mógł w banalnie prosty sposób zdobyć zaufania użytkownika.

My jako średnio lub bardziej obeznani z tematem traktujemy zabezpieczenia jako taką "drabinę" na szczycie której jest dostęp do jakichś danych usera. Pierwszy szczebel to spersonalizowany obraz. Jeśli ktoś nie poradzi sobie z tym, to odsiewamy pewną grupę atakujących == sukces.
Innych odsiewamy na kolejnych szczeblach.

Jednak taki schemat nie będzie działał w praktyce - obok ściśle technicznego myślenia trzeba nieco psychologii (tak, dokładnie). Przeciętny user to takie stworzenie które nie myśli logicznie, kieruje się prostymi schematami. Atakujący wchodzi na pierwszy szczebel i reszty nie musi pokonywać, bo user podaje mu dłoń i wciąga na szczyt.

Cytat:
Jedyną różnicą zwiększająca bezpieczeństwo jest podanie jednorazowego kodu podczas logowania, bo ewentualny złodziej będzie mógł działać tylko "w tle" naszych własnych działań na koncie bankowym.



Rozwiązanie z tokenem rzeczywiście nie jest idealne tak, jak można wnioskować z mojego wpisu - wiem o tym. Pod względem wygody jak i bezpieczeństwa.

Token można przejąć tak samo, jak i ten obraz. Idąc dalej można przejąć kolejne informacje podawane przez użytkownika, nawet maskowanie hasła w tym wypadku będzie wyglądać blado, jeśli bank nie przewidzi metod ochrony przed takim wyciąganiem danych (jednak atakujący może skutecznie udawać zwyczajnego użytkownika, rozproszyć atak, czy po prostu nie stawiać na ilość jednoczesnych ataków, itd).

Co daje moje rozwiązanie z tokenem?

Bez niego atakujący może "spokojnie pozbierać obrazy przed atakiem" (nie zmienia się ich przecież często, a większość użytkowników nawet nie robi tego), w przypadku właściwego ataku nie trzeba masowo odpytywać banku o obrazy, dzięki czemu atakujący dłużej jest "niewidoczny", ewentualne rozproszenie zapytań w sieci może skutkować znacznym spadkiem wydajności ( użytkownik - strona atakującego - pośrednik atakującego - bank). Eliminacja jednego ogniwa wymaga dodatkowych nakładów, więc cześć potencjalnych atakujących "odpadnie przed", lub zostanie zwyczajnie wykrytych.

Token zwiększa bezpieczeństwo, tylko w pewnym niewielkim stopniu, ale zwiększa - jeśli chodzi o spersonalizowane obrazy w trakcie logowania.

Tak czy inaczej poziom zabezpieczenia stawiam poniżej średniej skuteczności dostępnych metod - oczywiście ciągle mając na uwagę "psychologię przeciętnego użytkownika".
Bo tak jak pisałem: jeśli każdy myślałby rozsądnie, bez możliwości łatwego uśpienia czujności, to schemat drabiny zabezpieczeń sprawdzałby się idealnie.]]> http://7pl.pl/59#com_nr16 http://7pl.pl/59#com_nr17 http://7pl.pl/59#com_nr17 http://7pl.pl/59#com_nr18 http://7pl.pl/59#com_nr18 http://7pl.pl/59#com_nr19 http://7pl.pl/59#com_nr19 http://7pl.pl/59#com_nr20
1) z tą psychologią to różnie bywa, czy możesz podeprzeć swoje stanowisko jakimiś badaniami/testami?

2) Cały czas mam wrażenie, że akceptujesz tylko rozwiązania, które rozwiązują całkowicie problem lub w bardzo dużym stopniu (niemal 100%), a ja chcę Ci przekazać, że czasem stosuje się dodatkowe klocuszki bezpieczeństwa, które dają trochę mniej niż (prawie) wszystko, a jednak analiza ryzyka pokazuje, że są przydatne - zmniejszają ryzyko.

PS
Do Macieja osobiście nic nie mam, wierzę, że można by było spotkać się na piwie i normalnie wymienić zdaniem bez spinki.]]> http://7pl.pl/59#com_nr20 http://7pl.pl/59#com_nr21
Cytat:
1) z tą psychologią to różnie bywa, czy możesz podeprzeć swoje stanowisko jakimiś badaniami/testami?



Niestety nie, badania które spotykałem nie uwzględniały tego co ja opisuje w tym wpisie.
Z chęcią bym przeprowadził badanie z uwzględnieniem czynników o których mówię, jednak na chwilę obecną możliwości brak.

Cytat:
2) Cały czas mam wrażenie, że akceptujesz tylko rozwiązania, które rozwiązują całkowicie problem lub w bardzo dużym stopniu (niemal 100%).



Dokładnie rozumiem co chcesz mi przekazać (tak mi się wydaje przynajmniej).

Wiem o tym, że przeprowadzając badanie wykorzystujące spersonalizowane obrazy odsetek ludzi którzy zauważą, że znajdują się na stronie fałszywej będzie bardzo duży - z tego właśnie względu stosuje się to rozwiązanie i cieszy się ono popularnością.

Fragment badania które pamiętam (mniej więcej z głowy ogólny sens) - kilka grup, jedna strona przykładowego banku:
A - pokazujemy stronę prawdziwą
B - strona fałszywa, obraz spersonalizowany niewidoczny
C - strona fałszywa, obraz spersonalizowany niewłaściwy
itd.

Z tego co pamiętam wykrywalność fałszywej strony w grupie C była wyższa, niż w grupie B - jednak w obu przypadkach dość wysoka. Nie pamiętam jak to wyglądało na tle innych zabezpieczeń, ale tak czy inaczej zabezpieczenie spersonalizowanego obrazu ulokowało się dość wysoko - wiadomo, użytkownik bardziej przywiąże swoją uwagę do elementu graficznego, niż do sprawdzenia poprawności wprowadzonego adresu w przeglądarce przykładowo.

Ja bym zaproponował badanie, które uwzględniłoby przykładowo także grupy:
D - strona fałszywa, obraz spersonalizowany prawdziwy + inny czynnik wskazujący na fałszywość

Myślę, że sporo osób by nie przeszło tego testu. Podobnie jak w przypadku:
E - strona fałszywa, adres URL prawdziwy + inny czynnik wskazujący na fałszywość
i podobnych.

Można powiedzieć, że "współczynnik zaufania" do prezentowanej witryny w przypadku D i E byłby raczej zbliżony, nie odnotowalibyśmy jakichś nadzwyczajnych różnić.
Więc w czym problem? - w tym, że o wiele łatwiej jest zaserwować użytkownikowi prawdziwy obraz, w stosunku do zaserwowania jakiegokolwiek innego elementu (adres URL przykładowo).
Przepaść między łatwością zaserwowania prawdziwego obrazu, a resztą jest drastycznie duża.

Ogólnie moja teza jest taka: nie warto pozwolić atakującemu zdobyć zaufania (nawet tego częściowego) w tak łatwy sposób. Spersonalizowane obrazy mają bardzo duży potencjał, jednak ten nieszczęsny efekt uboczny jak dla mnie sprawia, że rozwiązanie to można łatwo obrócić "przeciwko".

Gdybym pracował nieco bliżej typowego security, to z chęcią bym zlecił przeprowadzenie badań analizujących wpływ zdobycia zaufania użytkowników na ocenę sytuacji związanej z potencjalnym phishingiem - masę czynników można by było tutaj przetestować, aby ulepszać zabezpieczenia nie tylko od strony technicznej (co wychodzi nam już dość dobrze), ale też od strony psychologicznej (moim zdaniem ta część kuleje).

Cytat:
ja chcę Ci przekazać, że czasem stosuje się dodatkowe klocuszki bezpieczeństwa, które dają trochę mniej niż (prawie) wszystko, a jednak analiza ryzyka pokazuje, że są przydatne - zmniejszają ryzyko



I tutaj się w 100% zgodzę, jednak zaznaczając, że w przypadkach, kiedy nie mamy do czynienia z możliwością wykorzystania takiej metody do zdobycia zaufania użytkownika.
Czyli mam na myśli wszystkie zabezpieczenia które działają w tle - są przeźroczyste dla użytkownika. Tutaj idealnie sprawdza się "model drabiny" który naszkicowałem w komentarzach wyżej.]]> http://7pl.pl/59#com_nr21 http://7pl.pl/59#com_nr22
Still, uważam ze dodawanie "utrudniajek" nie zwiększa poziomu bezpieczeństwa. Atakujący nadal używa jednego wektoru ataku. Nie musi wykładać dodatkowych danych, nie musi mieć dodatkowej, uprzywilejowanej pozycji, etc. To nie zabezpieczenie, bo wystarczy to zrobić, a jak zostało stwierdzone w tekście i nikt się z tym nie kłóci - jest to trywialne zadanie.

W implementacji Sign Seal dla odmiany, do przeprowadzenia skutecznego ataku (zakładając, ze user zwraca uwagę na obrazek), trzeba znaleźć druga lukę, która pozwoli wykraść ciastko. Lub w inny sposób ustalić jego postać - ale nie jest to trywialne, bo ten obrazek nie jest dostępny dla każdego w internecie. Jeden wektor -- fałszywa strona -- nie jest wystarczający. Trzeba więc poświęcić niewspomiernie wiecej zasobów do przeprowadzenia ataku.

Ps, jestem ciekaw o jakich lukach mówisz, więc zapraszam na priv. :)]]> http://7pl.pl/59#com_nr22 http://7pl.pl/59#com_nr23 http://7pl.pl/59#com_nr23 http://7pl.pl/59#com_nr24 http://www.elektroda.pl/rtvforum/topic2154889.html#10226933
i nadal te same sztuczki działają...]]> http://7pl.pl/59#com_nr24 http://7pl.pl/59#com_nr25 Szkoda, że nie trafiłem tu wcześniej, a dopiero teraz przez blogroll więcek.pl ;)

[dodane do zakładek]]]> http://7pl.pl/59#com_nr25 http://7pl.pl/59#com_nr26 http://7pl.pl/59#com_nr26 http://7pl.pl/59#com_nr27 http://7pl.pl/59#com_nr27 http://7pl.pl/59#com_nr28 http://7pl.pl/59#com_nr28