Jeden (nie)zaufany element – bankowy mit

Wchodzimy na stronę swojego banku, podajemy numer identyfikujący klienta - gdy widzimy grafikę którą przypisaliśmy do naszego konta, to wiemy że numer identyfikacyjny podaliśmy poprawnie, więc wpisujemy hasło i logujemy się… Niby wszystko OK, prawda?

Wiele banków daje możliwość przypisania do swojego numeru klienta wybranej grafiki - co to daje?

Przede wszystkim wiemy, że ciąg cyfr który podaliśmy jest przypisany do naszego konta (bo ustawiliśmy sobie jako grafikę małego kotka, a nie przykładowo żółtą kaczuszkę). Jednak takie "ułatwienie" ma więcej minusów niż może się wydawać. Najciekawsze jest to, że banki tego nie zauważają, a ich klienci tym bardziej.

W tym wpisie pojawi się opis zagrożenia, opis przykładowego ataku, oraz sugestia poprawnego stosowania.

Po co komu ten detal?

Wspomniana wyżej możliwość weryfikacji poprawności wpisanego identyfikatora to nie wszystko. Nie chodzi tylko o naszą wygodę.

Cytat ze strony BZWBK - podstrona „Zalecenia dla użytkowników usług BZWBK24”:

Wybierz w ustawieniach logowania grafikę, którą będziesz widział na stronie do logowania po wprowadzeniu NIK. Jeśli grafika nie wyświetla się lub jest inna niż wybrałeś nie wolno korzystać z serwisu (nie wprowadzaj NIK-u i PIN-u) - w takiej sytuacji niezwłocznie skontaktuj się z Zespołem Doradców BZWBK24.

Oraz Alior Bank - podstrona "Pytania i Odpowiedzi":

Obrazek bezpieczeństwa to wybrany przez Ciebie obrazek, prezentowany podczas każdego logowania do systemu bankowości internetowej (po wpisaniu identyfikatora, a przed wpisaniem hasła). Obrazek ten ułatwia Ci rozpoznanie, że strona, na której się logujesz jest prawdziwą stroną logowania Alior Banku, a nie stroną podstawioną w celu przechwycenia danych. Pamiętaj, żeby przy każdym logowaniu sprawdzać, czy wyświetla się wybrany przez Ciebie wcześniej obrazek. W przypadku braku obrazka lub wyświetlenia innego, niż wybrany przez Ciebie, przerwij logowanie i skontaktuj się z naszym Contact Center lub oddziałem.

Pogrubienia moje.

Czyli chodzi o phishing - stara dobra metoda wykorzystująca to, że człowiek zazwyczaj jest najsłabszym ogniwem jeśli chodzi o bezpieczeństwo (nie tylko przy logowaniu do banków).

Metoda wykorzystywana nie tylko przy logowaniu?

Po udanym logowaniu do jakiegokolwiek serwisu często zobaczymy elementy które potwierdzają to, że znajdujemy się na prawdziwej, a nie na spreparowanej witrynie. Takim elementem może być chociażby tekst typu "Witaj Jan Kowalski", czy też widoczne inne nasze dane do których osoba przygotowująca spreparowaną stronę nie mogłaby mieć dostępu.

Brak takiego elementu sprawia, że szybko (przynajmniej w części przypadków) zauważa się zagrożenie – "zalogowaliśmy się na fałszywej stronie, trzeba szybko coś z tym zrobić bo moje dane trafiły w nieodpowiednie ręce".

Istotna różnica

Czym powyższe rozwiązanie różni się od zastosowania spersonalizowanego obrazka przy formularzu logowania? Spersonalizowany obrazek jest dostępny dla każdego, bez większego wysiłku.

Co musisz znać, aby poznać jaki obraz ustawiłem dla mojego identyfikatora bankowego? - jedynie sam identyfikator...

Opis ataku - przypadek 1

Załóżmy że jesteś przeciętnym użytkownikiem, chcesz zalogować się na stronie swojego banku - nie istotne jest tutaj to, czy kliknąłeś na link z maila, przeszedłeś z innej strony, czy po prostu pomyliłeś dwie litery w adresie - fakt jest taki, że znajdujesz się na fałszywej stronie która wygląda identycznie jak ta na którą patrzyłeś już wiele razy.

Podajesz swój numer klienta, enter. Na kolejnej podstronie widzisz pole do podania hasła, jednak czegoś brakuje...

Brak twojego obrazka z małym słodkim kotkiem sprawia, że stajesz się bardziej czujny - szybko zauważasz, że strona na której się znajdujesz nie posiada "tego zielonego paska z nazwą banku" przy adresie, oraz że adres zawiera przestawione litery w nazwie domeny.

Brak tego jednego elementu wyrwał cię z rutyny. Wszystko zadziałało tak jak w założeniach.

Opis ataku - przypadek 2

Znajdujesz się na spreparowanej stronie (nie zauważasz tego oczywiście - wiadomo, rutyna). Podajesz identyfikator klienta, enter. Na kolejnej podstronie pola do wprowadzenia hasła, a obok niego obrazek słodkiego, małego kotka - czyli tak jak zawsze. Wpisujesz to co zwykle, enter... Później pojawia się zdziwienie gdy z kontem dzieje się coś nieoczekiwanego.

To zbyt łatwe

Nie trzeba stosować bardziej zaawansowanych ataków aby przełamać "zabezpieczenie" spersonalizowanego obrazka.

Mamy spreparowaną stronę - wygląda ona identycznie jak prawdziwa.
Ofiara wchodzi na spreparowaną stronę i podaje swój numer klienta – po wpisaniu informacja ta jest przesyłana na serwer atakującego. Atakujący może zwyczajnie teraz zdobyć naszą grafikę ze strony banku - nie potrzebuje do tego hasła, czy też żadnych innych dodatkowych danych. Dostęp do tego elementu jest banalnie prosty – tak samo prosty jak wpisanie innego numeru przy logowaniu i podejrzenie obrazu przypisanego do wybranego przez nas numeru. Jeśli w Twojej przeglądarce widać ten obraz, to żadna metoda nie powstrzyma kogoś aby go skopiować - serwer atakującego swobodnie może udawać klienta inicjującego logowanie.

Po niewielkim wysiłku skrypt atakującego serwuje nam pobrany wcześniej obraz – ofiara nie zauważy niczego podejrzanego.

Zaufanie

Ten sposób ataku jest prosty w swoich założeniach, jednak atakujący zyskuje bardzo wiele - zaufanie swojej ofiary. Popatrzmy na kilka komentarzy:

Proste rozwiązania są najlepsze!
Zamiast tłumaczenia klientowi jak i gdzie sprawdzić, czy połączenie z bankiem jest realizowane za pomocą protokołu szyfrowanego, zamiast sprawdzania co do literki adresu strony banku, zamiast szukania i sprawdzania ważności certyfikatu – rzut okiem czy zgadza się obrazek przy NIKu. Proste i skuteczne.

Token obrazkowy - cóż; jest to w końcu odpowiedź na moje dylematy. Czy aby na pewno jestem na autoryzowanej stronie banku? Czy przypadkiem cwany hacker nie podrobił certyfikatu autentyczności czy też innych skomplikowanych świadectw zapewniających nas laików o oryginalności? Tego tak naprawdę nie wiedziałem, a z czasem nawet przestałem sprawdzać. Okazuje się że można w sposób prosty, przystępny i intuicyjny załatwić temat.

Ooooo...bardzo sprytne i pomysłowe! Często loguję się do bzwbk24 (nawet kilka razy dziennie ) i teraz będę miała pewność, że robię to w sposób całkowicie bezpieczny. Sprawdzenie certyfikatów bezpieczeństwa nie zawsze jest proste i łatwo o tym zapomnieć, a taki zmyślny detal rozwiąże ten porblem :)

Pomysł jest prosty i bardzo dobry. Nie trzeba niczego wpisywać i pamiętać dodatkowych kombinacji liczb i liter. Obrazki są ładne i każdy może wybrać coś dla siebie. No i mamy pewność, że jesteśmy na właściwej stronie.
Dobra robota!

Pozytywy i negatywy

Takie rozwiązanie chroni przed pomyłką przy podawaniu numeru klienta. Chroni także przed phishingiem - "Opis ataku - przypadek 1" powyżej. Jednak to rozwiązanie otwiera furtkę dla atakujących. Pozyskanie obrazkowego tokenu przypisanego do naszego konta nie jest trudne.

To nie jest zabezpieczenie

Coś co zabezpiecza, ale w pewnych sytuacjach może skutecznie ułatwić atak, zabezpieczeniem nie jest.

Kiedy by to miało sens? To rozwiązanie będzie działać jedynie wówczas, jeśli klientami banku będą osoby rozsądne myślące według tego algorytmu:

  • Jeśli obraz nie jest prawidłowy lub nie wyświetla się, to zakończ działanie – witryna jest podejrzana
  • Jeśli widzisz prawidłowy obraz to przejdź do dalszej analizy bezpieczeństwa witryny na której się znajdujesz

Większość będzie działać według tego algorytmu:

  • Jeśli obraz nie jest prawidłowy lub nie wyświetla się, to zakończ działanie – witryna jest podejrzana
  • Jeśli widzisz prawidłowy obraz to znaczy że jesteś na bezpiecznej witrynie, wpisuj hasło…

Jak widać w obu przypadkach pierwsza część algorytmu wygląda identycznie (do tego to rozwiązanie zostało stworzone). Druga część wygląda już niestety inaczej (to już jest efekt uboczny). Jest to rozwiązanie kierowane do osób rozsądnych, ale nie ma możliwości sprawdzenia tego, czy z tego rozwiązania będą korzystać także osoby "nierozsądne".

Inna kwestia: czy osoba zazwyczaj rozsądna w pewnych okolicznościach nie zacznie zachowywać się nierozsądnie? Zmęczenie, pośpiech, itd.? Bardzo możliwe, wykluczyć tego nie można. Czy więc warto z tego korzystać nawet wówczas, gdy uważamy się za osoby rozsądne? To już indywidualna decyzja.

Rozwiązać to inaczej?

Spersonalizowane obrazy w temacie phishingu przydają się wówczas, kiedy trafiamy na sfałszowaną stronę i obraz nie wyświetla się, lub jest inny niż oczekiwany - tylko wtedy. W innych przypadkach może tylko zaszkodzić.

Więc? Może zwyczajnie warto poinformować użytkowników o tym, że jest to jedynie drobne ułatwienie, a nie skuteczne rozwiązanie w zakresie wykrywania phishingu? Z cytatów podanych na początku jasno wynika, że Alior Bank sugeruje użytkownikom to, że mają do czynienia z czymś skutecznym w każdym przypadku. BZWBK nie mówi o tym nic, nie mówi też o tym do czego to rozwiązanie nie służy - użytkownicy wyciągną wnioski takie, jak w cytatach podanych nieco dalej w tym wpisie.

Ciekaw jestem kiedy napotkam bank, który wprost powie: "Dajemy wam fajną możliwość weryfikacji podejrzanych stron, ale pamiętajcie, że to może wykryć sfałszowane strony, ale nigdy nie zagwarantuje że jesteście na właściwiej stronie"? Jaka część użytkowników by zrozumiała sens tego, co ja opisuje w tym wpisie?

Jak mogą ulepszyć to rozwiązanie banki?

Można wyłapywać masowe wywołania pierwszego etapu logowania - ale to nie jest skuteczne rozwiązanie, jedynie kolejna przeszkoda którą można obejść. Serwowanie obrazów z unikalnymi jednorazowymi adresami, rozpoznawanie przeglądarek, itd.? Jeśli coś ma zostać wysłane do przeglądarki, to nie ma sposobu aby zablokować możliwość skopiowania danego obrazu.

Więc co dalej...?

Jak długo banki będą oszukiwać siebie samych i przy okazji użytkowników? Będzie trzeba poczekać na jakiś większy atak gdzie zostanie pokazana negatywna strona tego rozwiązania?

W tym wpisie nie omawiałem innych zabezpieczeń stosowanych przez banki - poruszyłem jedną kwestię zabezpieczeń i tego, jak może ona negatywnie wpływać na zachowania użytkowników (w tym interpretację innych możliwych do wykrycia przesłanek mówiących o ataku). Nie wspomniałem tutaj też o wadach spersonalizowanych obrazów takich jak podatność przykładowo na typowy atak "man in the middle". Nie trzeba jednak armaty na komara.

Jak to robić lepiej?

Kiedy spersonalizowany obraz może się przydać? Odpowiedź jest prosta: wtedy, kiedy jego zdobycie będzie wymagało podania wcześniej informacji, która nie może być znana atakującemu.

Popatrzy na przykładową, wieloetapową weryfikację:

  • Klient podaje swój numer identyfikacyjny
  • Następnie podaje kod jednorazowy (wygenerowany przykładowo przez token)
  • Jeśli kod zgadza się, to pojawia się kolejny etap w którym widać spersonalizowany obraz użytkownika
  • Użytkownik widząc prawidłowy obraz podaje hasło

Różnica? Przeciętny człowiek posiadający dostęp do Internetu znając nasz NIK nie może sprawdzić jaki obraz przypisaliśmy do swojego konta - potrzebne jest coś jeszcze (hasło jednorazowe).

Więc czym różni się ta wersja rozwiązania z przykładowo tekstem "Witaj Jan Kowalski" (o czym pisałem wyżej)? Tam spersonalizowany element (przykładowo tekst) został przeniesiony na koniec poprawnego logowania. Tutaj mamy widoczny spersonalizowany element widoczny w trakcie logowania.

Osoby odpowiedzialne za bezpieczeństwo banków przesunęły moment ujawnienia spersonalizowanej informacji na sam początek, co jest błędem. Nie trzeba przesuwać jednak tego etapu na sam koniec – pod udanym logowaniu. Przykład z wieloetapową weryfikacją pokazuje to chyba wystarczająco jasno.

Wielkim plusem spersonalizowanego obrazu jest to, że można wykryć próbę oszustwa zanim użytkownik poda wszystkie swoje dane do logowania. W tym przypadku zachowujemy ten plus, oraz eliminujemy największy efekt uboczny.

Wniosek z całości jest taki, że bank nie może pierwszy odsłaniać kart – użytkownik musi najpierw przedstawić coś swojego, niepublicznego.

Co z bankami teraz?

Wątpię aby coś zmieniło się pod tym względem. Usunięcie tego rozwiązania sprawi, że użytkownicy będą pytać o to "dlaczego ich bank ogranicza im dostęp do zabezpieczeń". Próba wyjaśnienia usunięcia tego rozwiązania sprawi, że pojawią się komentarze typu: "przez tyle czasu korzystaliśmy z czegoś niebezpiecznego?" – wiadomo, żadny bank raczej do tego nie dopuści.

Jedynym sensownym wyjściem jest rozbudowa zabezpieczeń tak, aby spersonalizowany obraz nie był dostępny dla każdego kto jest uzbrojony w przeglądarkę.

Komentarze 535:

  • » Marek: 08.11.2011 o 17:01

    Spodziewałem się na końcu reklamy banku w stylu "a u nas rozwiązano to tak..." :)

  • » Geppetto: 08.11.2011 o 20:22

    Pewnie nie rozumiem Twojego postu, ale rozważmy następującą sytuację.
    Użytkownik wszedł na stronę podszywającą się pod bank:
    - podaje swój numer identyfikacyjny
    - następnie podaje kod jednorazowy
    - skrypt wchodzi na stronę banku, wpisuje numer identyfikacyjny, a na następnej stronie kod jednorazowy - posiada już obrazek
    - serwujemy stronę klientowi z poprawnym obrazkiem
    - użytkownik wprowadza hasło

    Mamy teraz dostęp do konta bankowego, wprawdzie tylko podczas tej sesji, ale jednak zdobyliśmy go. Co więcej nie widzę, żadnej korzyści z przesunięcia pokazania obrazka na późniejszą fazę logowania.
    Jedyną różnicą zwiększająca bezpieczeństwo jest podanie jednorazowego kodu podczas logowania, bo ewentualny złodziej będzie mógł działać tylko "w tle" naszych własnych działań na koncie bankowym.

    Możliwe, że się mylę.

  • » Przemek: 08.11.2011 o 21:31

    @Adriano,

    Artykuł ciekawy, natomiast nie mogę się z Tobą zgodzić w kilku punktach.

    1) "Obrazek ten ułatwia Ci rozpoznanie, że strona" - zauważ, że bank komunikuje iż obrazek "ułatwia", a nie _gwarantuje_. Masz prawo do własnej interpretacji, ze swojej strony sugeruję uwierzyć czy też zaufać, że rozum ludzie pracujący w banku i dla banku posiadają, uważam, że nikt tam nie zamierza tworzyć złudnego poczucia bezpieczeństwa.

    2) "Coś co zabezpiecza, ale w pewnych sytuacjach może skutecznie ułatwić atak, zabezpieczeniem nie jest." - w tym wypadku nie dość, że oksymoron to jeszcze nadinterpretacja. Jestem przekonany, że jak jeszcze raz o tym pomyślisz dojdziesz do nieco innych wniosków. Moim zdaniem obrazki antyphishingowe to rozwiązanie minimalizujące ryzyko (minimalizujące, a nie niwelujące je do zera). Same w sobie nie stanowią podatności. To, że mogą być wykorzystane przez bardziej zaawansowanego autora phishingu i wymaga to większego zaangażowania z jego strony oznacza tylko, że bank osiągnął to co zamierzał - podniósł poprzeczkę dla phishera i podniósł poziom bezpieczeństwa. Wiesz, to trochę jak z autoryzacją operacji drugim kanałem, np. kodem SMS. Można powiedzieć, że są już znane przypadki bankerów przejmujących kody SMS, ale czy to oznacza, że autoryzacja takimi kodami to już nie jest zabezpieczenie, bo istnieje scenariusz, w którym można je jednak wykorzystać do autoryzacji transakcji, której byś sobie nie życzył?

    3) Kiedy dbasz o bezpieczeństwo informacji musisz chodzić na kompromisy, szczególnie kiedy zabezpieczasz systemy masowego użytku. W Twoim podejściu z dodatkowym krokiem jest pewien problem, właściwie grono problemów:
    a) Klient musi podać więcej danych by się zalogować (spada ergonomia użycia, bez tokena nie zaloguje się by np. sprawdzić swoje saldo)
    b) phisher nadal może przygotować spreparowaną stronę wg. Twojego scenariusza ataku, utrudnienie polega na dodaniu jednego kroku więcej w całym procesie - czy chciałbyś by ktoś nazwał Twoje zabezpieczenie rozwiązaniem, które z zabezpieczaniem nie ma nic wspólnego - wg. Twojej definicji ;) ?

    I kończąc, zgadzam się z Tobą, że są Klienci, którzy oczekują wyższego poziomu bezpieczeństwa kosztem ergonomii korzystanie z systemu. Banki mają też alternatywy, które mogą zaproponować swoim Klientom by faktycznie podnieść poziom bezpieczeństwa.

    Na koniec warto nadmienić, że większość znanych mi banków posiada mechanizmy bezpieczeństwa gwarantujące, że przechwycenie przez kogoś danych pozwalających na zalogowanie się do bankowości elektronicznej nie umożliwi wyprowadzenie środków z rachunku. Ktoś może poznać Twoje dane i może to być już realna "strata", natomiast moim skromnym zdaniem nie warto tego widzieć w biało-czarnych barwach jak w tym poście.

    PS
    Wielokrotnie spotkałem się z takim podejściem jak Twoje, nie jest ono złe, wręcz przeciwnie, widać, że myślisz, analizujesz. Jak dojdzie do tego jeszcze kilka aspektów to będzie już całkiem kompletne, a przez to merytorycznie jeszcze lepsze czego Ci serdecznie życzę. Wszystko przyjdzie z czasem.

  • » Adriano: 08.11.2011 o 22:00

    @Geppetto, @Przemek: poruszyliście ciekawe kwestie, wyjaśnienie mam w draftach do kolejnego wpisu który ma być kontynuacją tego - chcę pokazać kolejne "teoretyczne kłopoty" związane z phishingiem (są poruszone kwestie także z tokenem).

    Do reszty poruszonych spraw odniosę się za jakiś czas - gdy zdobędę nieco czasu tutaj w komentarzu :)

  • » Maciej Łebkowski: 08.11.2011 o 22:16

    Oczywiscie, że obrazki nie są żadnym, powtarzam, żadnym zabezpieczeniem. Są iluzją. Chyba, ze przyjmiemy, że atakujący (phisher) jest idiotą, który potrafi skopiować stronę, ale nie ogólnodostępny obrazek (tak, to możliwe, ale nie prawdopodobne). Podobnie zresztą proponowane usprawnienie z tokiem.
    I zgodnie z powyższym, ten element nie powinien w ogóle być rozpatrywany jako zabezpieczenie.

    Oczywiście podpisywanie strony logowania unikalnym znakiem jest dobrą i skuteczną metodą anty-phishingową, ale pod warunkiem, że obrazek **zapisany jest na komputerze** i nie ma żadnego związku z numerem użytkownika ani jego kontem. Technicznie wystarczy zrealizować to unikalnym ciatkiem, które nie wygasa. Strona podszywająca nie będzie w stanie go wykraść i pokazać odpowiedniej grafiki.

    To o tyle ciekawe, że w tej formie to bardziej podpisywanie przeglądarki niż strony. :) niejako efektem ubocznym jest fakt, że podpisana przeglądarka przedstawi się tylko prawdziwej stronie banku.

    Polecam obejrzeć udaną implementację Sign Seal na Yahoo.

  • » procek: 08.11.2011 o 22:28

    Kawał dobrego artykułu, Adriano!
    Nieco z innej beczki:
    W magazynie hakin9 był kiedyś opis jak to magiczne pola do wpisywania hasła wraz z klawiaturą ekranową są żadnym zabezpieczeniem :) Tak więc jakby się tak dobrze przyjrzeć to nie ma takiego sposobu który dawałby 100% skuteczności :)

  • » Przemek: 08.11.2011 o 22:28

    @Maciej: masz prawo tak myśleć co nie zmienia faktu, że możesz nie mieć racji.

  • » Maciej Łebkowski: 08.11.2011 o 22:42

    @Przemek, mam racje. Jeśli tego nie widzisz po tym prostym wytłumaczeniu, to mam nadzieję, że nie zajmujesz się w żaden sposób bezpieczeństwem systemów informatycznych.

  • » Przemek: 08.11.2011 o 22:49

    @Maciej: starasz się być "twardy", ale tak nie przekonasz nikogo ze zdrowym rozsądkiem na czole. Raczej tych, których zahukasz. Mam nadzieję, że realizujesz systemy dla ludzi, którzy mają jaja i nie ulegają Twojemu wpływowi bo Ty "masz rację". Dla mnie to już za daleko od merytorycznej wymiany zdań. Miłego wieczoru.

  • » Przemek: 08.11.2011 o 23:03

    @Maciej: Jednak Klienci firmy, w której pracujesz ulegają Tobie lub innym pracownikom. Nie miej mi tego za złe, ale nie mogę napisać gdzie i jakie macie podatności. Proponuję więcej pokory i przyłożyć się do implementacji bezpieczeństwa w oferowanych produktach. Pozdrawiam!

  • » Adriano: 09.11.2011 o 00:15

    @Geppetto, @Przemek,
    Odpowiadam zbiorczo Wam, nie kieruję nic personalnie - rozszerzam to co chciałem przekazać we wpisie bo ciekawe kwestie poruszyliście (zaznaczam, aby nieporozumień nie było):

    zauważ, że bank komunikuje iż obrazek "ułatwia", a nie gwarantuje.

    Ja wiem o co chodzi w spersonalizowanych obrazach, Wy wiecie, inni moi czytelnicy też - stosuje, dla mnie przydatne rozwiązanie.
    Dla przeciętnego użytkownika nie będzie to niestety mieć większego znaczenia. W komentarzach które cytowałem widać to.

    Przeciętny użytkownik będzie traktował każde oferowane rozwiązanie na równi z innymi.

    Obrazek widoczny publicznie w sieci dla każdego, czy informacja o certyfikacie w przeglądarce - jedno lub drugie "daje gwarancję" autentyczności danej strony w takim samym stopniu - tak myśli przeciętny user (z banków korzystają różni ludzie).

    Właśnie zdobycie zaufania jest czymś, co jest istotne (patrz tytuł). Jeśli miałbym podrobić certyfikat, lub skopiować publicznie dostępny obraz, to wybiorę to drugie. Pójdę łatwiejszą drogą.
    W prosty sposób zdobywam obraz, zdobywam przy tym zaufanie użytkownika - jest już mój bo uśpiłem tym jego czujność.

    Poprzeczka każdego rozwiązania powinna być wysoka tak, aby atakujący nie mógł w banalnie prosty sposób zdobyć zaufania użytkownika.

    My jako średnio lub bardziej obeznani z tematem traktujemy zabezpieczenia jako taką "drabinę" na szczycie której jest dostęp do jakichś danych usera. Pierwszy szczebel to spersonalizowany obraz. Jeśli ktoś nie poradzi sobie z tym, to odsiewamy pewną grupę atakujących == sukces.
    Innych odsiewamy na kolejnych szczeblach.

    Jednak taki schemat nie będzie działał w praktyce - obok ściśle technicznego myślenia trzeba nieco psychologii (tak, dokładnie). Przeciętny user to takie stworzenie które nie myśli logicznie, kieruje się prostymi schematami. Atakujący wchodzi na pierwszy szczebel i reszty nie musi pokonywać, bo user podaje mu dłoń i wciąga na szczyt.

    Jedyną różnicą zwiększająca bezpieczeństwo jest podanie jednorazowego kodu podczas logowania, bo ewentualny złodziej będzie mógł działać tylko "w tle" naszych własnych działań na koncie bankowym.

    Rozwiązanie z tokenem rzeczywiście nie jest idealne tak, jak można wnioskować z mojego wpisu - wiem o tym. Pod względem wygody jak i bezpieczeństwa.

    Token można przejąć tak samo, jak i ten obraz. Idąc dalej można przejąć kolejne informacje podawane przez użytkownika, nawet maskowanie hasła w tym wypadku będzie wyglądać blado, jeśli bank nie przewidzi metod ochrony przed takim wyciąganiem danych (jednak atakujący może skutecznie udawać zwyczajnego użytkownika, rozproszyć atak, czy po prostu nie stawiać na ilość jednoczesnych ataków, itd).

    Co daje moje rozwiązanie z tokenem?

    Bez niego atakujący może "spokojnie pozbierać obrazy przed atakiem" (nie zmienia się ich przecież często, a większość użytkowników nawet nie robi tego), w przypadku właściwego ataku nie trzeba masowo odpytywać banku o obrazy, dzięki czemu atakujący dłużej jest "niewidoczny", ewentualne rozproszenie zapytań w sieci może skutkować znacznym spadkiem wydajności ( użytkownik - strona atakującego - pośrednik atakującego - bank). Eliminacja jednego ogniwa wymaga dodatkowych nakładów, więc cześć potencjalnych atakujących "odpadnie przed", lub zostanie zwyczajnie wykrytych.

    Token zwiększa bezpieczeństwo, tylko w pewnym niewielkim stopniu, ale zwiększa - jeśli chodzi o spersonalizowane obrazy w trakcie logowania.

    Tak czy inaczej poziom zabezpieczenia stawiam poniżej średniej skuteczności dostępnych metod - oczywiście ciągle mając na uwagę "psychologię przeciętnego użytkownika".
    Bo tak jak pisałem: jeśli każdy myślałby rozsądnie, bez możliwości łatwego uśpienia czujności, to schemat drabiny zabezpieczeń sprawdzałby się idealnie.

  • » Adriano: 09.11.2011 o 00:24

    A co do powyższego sporu (który delikatnie zaczął się rozwijać) - wyluzujmy, mamy różne zdania, różne podejścia, warto się wymienić i tyle.

  • » Piotr: 09.11.2011 o 01:15

    Rzeczywiście, jak popatrzy się na całość z punktu widzenia użytkownika debila, to widać sens tego artu. Wcześniej nie za bardzo mogłem sobie tego wyobrazić.

  • » procek: 09.11.2011 o 06:44

    "użytkownika debila" - doprawdy? Śmiem wysnuć twierdzenie, że 60 - 80% użytkowników to właśnie tacy ludzie...

  • » Przemek: 09.11.2011 o 08:27

    @Adriano:

    1) z tą psychologią to różnie bywa, czy możesz podeprzeć swoje stanowisko jakimiś badaniami/testami?

    2) Cały czas mam wrażenie, że akceptujesz tylko rozwiązania, które rozwiązują całkowicie problem lub w bardzo dużym stopniu (niemal 100%), a ja chcę Ci przekazać, że czasem stosuje się dodatkowe klocuszki bezpieczeństwa, które dają trochę mniej niż (prawie) wszystko, a jednak analiza ryzyka pokazuje, że są przydatne - zmniejszają ryzyko.

    PS
    Do Macieja osobiście nic nie mam, wierzę, że można by było spotkać się na piwie i normalnie wymienić zdaniem bez spinki.

  • » Adriano: 09.11.2011 o 18:39

    Zacznę od spraw związanych z tematem spersonalizowanych obrazów. Na koniec powiem kiedy moim zdaniem "te malutkie klocuszki bezpieczeństwa" nie dają efektu takiego jak w tym wpisie omówiłem.

    1) z tą psychologią to różnie bywa, czy możesz podeprzeć swoje stanowisko jakimiś badaniami/testami?

    Niestety nie, badania które spotykałem nie uwzględniały tego co ja opisuje w tym wpisie.
    Z chęcią bym przeprowadził badanie z uwzględnieniem czynników o których mówię, jednak na chwilę obecną możliwości brak.

    2) Cały czas mam wrażenie, że akceptujesz tylko rozwiązania, które rozwiązują całkowicie problem lub w bardzo dużym stopniu (niemal 100%).

    Dokładnie rozumiem co chcesz mi przekazać (tak mi się wydaje przynajmniej).

    Wiem o tym, że przeprowadzając badanie wykorzystujące spersonalizowane obrazy odsetek ludzi którzy zauważą, że znajdują się na stronie fałszywej będzie bardzo duży - z tego właśnie względu stosuje się to rozwiązanie i cieszy się ono popularnością.

    Fragment badania które pamiętam (mniej więcej z głowy ogólny sens) - kilka grup, jedna strona przykładowego banku:
    A - pokazujemy stronę prawdziwą
    B - strona fałszywa, obraz spersonalizowany niewidoczny
    C - strona fałszywa, obraz spersonalizowany niewłaściwy
    itd.

    Z tego co pamiętam wykrywalność fałszywej strony w grupie C była wyższa, niż w grupie B - jednak w obu przypadkach dość wysoka. Nie pamiętam jak to wyglądało na tle innych zabezpieczeń, ale tak czy inaczej zabezpieczenie spersonalizowanego obrazu ulokowało się dość wysoko - wiadomo, użytkownik bardziej przywiąże swoją uwagę do elementu graficznego, niż do sprawdzenia poprawności wprowadzonego adresu w przeglądarce przykładowo.

    Ja bym zaproponował badanie, które uwzględniłoby przykładowo także grupy:
    D - strona fałszywa, obraz spersonalizowany prawdziwy + inny czynnik wskazujący na fałszywość

    Myślę, że sporo osób by nie przeszło tego testu. Podobnie jak w przypadku:
    E - strona fałszywa, adres URL prawdziwy + inny czynnik wskazujący na fałszywość
    i podobnych.

    Można powiedzieć, że "współczynnik zaufania" do prezentowanej witryny w przypadku D i E byłby raczej zbliżony, nie odnotowalibyśmy jakichś nadzwyczajnych różnić.
    Więc w czym problem? - w tym, że o wiele łatwiej jest zaserwować użytkownikowi prawdziwy obraz, w stosunku do zaserwowania jakiegokolwiek innego elementu (adres URL przykładowo).
    Przepaść między łatwością zaserwowania prawdziwego obrazu, a resztą jest drastycznie duża.

    Ogólnie moja teza jest taka: nie warto pozwolić atakującemu zdobyć zaufania (nawet tego częściowego) w tak łatwy sposób. Spersonalizowane obrazy mają bardzo duży potencjał, jednak ten nieszczęsny efekt uboczny jak dla mnie sprawia, że rozwiązanie to można łatwo obrócić "przeciwko".

    Gdybym pracował nieco bliżej typowego security, to z chęcią bym zlecił przeprowadzenie badań analizujących wpływ zdobycia zaufania użytkowników na ocenę sytuacji związanej z potencjalnym phishingiem - masę czynników można by było tutaj przetestować, aby ulepszać zabezpieczenia nie tylko od strony technicznej (co wychodzi nam już dość dobrze), ale też od strony psychologicznej (moim zdaniem ta część kuleje).

    ja chcę Ci przekazać, że czasem stosuje się dodatkowe klocuszki bezpieczeństwa, które dają trochę mniej niż (prawie) wszystko, a jednak analiza ryzyka pokazuje, że są przydatne - zmniejszają ryzyko

    I tutaj się w 100% zgodzę, jednak zaznaczając, że w przypadkach, kiedy nie mamy do czynienia z możliwością wykorzystania takiej metody do zdobycia zaufania użytkownika.
    Czyli mam na myśli wszystkie zabezpieczenia które działają w tle - są przeźroczyste dla użytkownika. Tutaj idealnie sprawdza się "model drabiny" który naszkicowałem w komentarzach wyżej.

  • » Maciej Łebkowski: 09.11.2011 o 18:41

    @Przzemek, nie wydaje mi się, żebyś wiedział gdzie pracuje. Poza tym nigdy nie pracowałem w firmie, w której temat bezpieczeństwa w ogóle się przewijał; nie mówiąc już o tym, ze byłem za te kwestie odpowiedzialny.

    Still, uważam ze dodawanie "utrudniajek" nie zwiększa poziomu bezpieczeństwa. Atakujący nadal używa jednego wektoru ataku. Nie musi wykładać dodatkowych danych, nie musi mieć dodatkowej, uprzywilejowanej pozycji, etc. To nie zabezpieczenie, bo wystarczy to zrobić, a jak zostało stwierdzone w tekście i nikt się z tym nie kłóci - jest to trywialne zadanie.

    W implementacji Sign Seal dla odmiany, do przeprowadzenia skutecznego ataku (zakładając, ze user zwraca uwagę na obrazek), trzeba znaleźć druga lukę, która pozwoli wykraść ciastko. Lub w inny sposób ustalić jego postać - ale nie jest to trywialne, bo ten obrazek nie jest dostępny dla każdego w internecie. Jeden wektor -- fałszywa strona -- nie jest wystarczający. Trzeba więc poświęcić niewspomiernie wiecej zasobów do przeprowadzenia ataku.

    Ps, jestem ciekaw o jakich lukach mówisz, więc zapraszam na priv. :)

  • » michal: 27.11.2011 o 19:18

    Trudno jest zabierać coś, co się wcześniej podarowało. Dlatego uważam, że wszelkie nowości wprowadzane przez serwisy (w szczególności strony bankowe) powinny być dobrze przemyślane.

  • » procek: 06.12.2011 o 22:51

    Oglądał ktoś "Hackers 2"?
    http://www.elektroda.pl/rtvforum/topic2154889.html#10226933
    i nadal te same sztuczki działają...

  • » Julian Pszczołowski: 07.01.2012 o 20:09

    Świetny blog! Dużo unikatowej i ciekawej treści.
    Szkoda, że nie trafiłem tu wcześniej, a dopiero teraz przez blogroll więcek.pl ;)

    [dodane do zakładek]

  • » Kornelia: 27.04.2012 o 13:34

    Bardzo fajny blog :)

  • » Mariola: 09.05.2012 o 08:48

    Ale o co tyle szumu? Czy grafika na koncie ma aż takie znaczenie? Dla mnie to całkowicie nie istotne.

  • » Adriano: 11.05.2012 o 22:25

    @Mariola: Pod linkiem który podałaś widzę serwis z horoskopami i innymi bzdurami - tak więc odpowiem inaczej: unikalna koniunkcja Plutona z Marsem może sprawić, że ktoś przez ten obrazek straci pieniądze z konta. Myślę, że wyraziłem się dość jasno.

  • » Marcin: 27.12.2012 o 10:28

    Trochę nie na temat ale... czy jest szansa na nowe wpisy? :)

  • » kastom: 28.12.2012 o 22:46

    Fajny blog, każdy ma swoją rację :)

Dodaj komentarz:

Dostępne tagi: [link]http://adres-www[/link] [quote]cytat[/quote] [code]kod[/code] [pre]tekst preformowany[/pre] [b]bold[/b]