it-swarm-eu.dev

Účinnost bezpečnostních snímků

Poskytují bezpečnostní obrazy, jako jsou ty, které se zobrazují při přihlášení do bank, hmatatelné bezpečnostní výhody, nebo jsou většinou divadelní?

Podle mého pochopení, pokud někdo phishinguje vaše uživatele, je pro ně také triviální, aby odesílali žádosti od uživatelů na vaše autentické webové stránky a získávali bezpečnostní obraz s veškerými přihlašovacími údaji, které uživatel poskytne před obdržením obrázku (např. Uživatelské jméno). Pokud se jedná o tento případ, zdá se, že bezpečnostní obrazy neposkytují žádné další zabezpečení a mohou být skutečně škodlivé, pokud pomáhají přesvědčit uživatele, že škodlivý web je legitimní.

Uniká mi něco?

49
Stephen Touset

Skvělá otázka! Jak se to stane, mohu předložit experimentální údaje k této otázce - a data jsou fascinující. (Všiml jsem si, že některé z odpovědí obsahují spekulace z prvních principů o tom, kolik bezpečnosti tyto bezpečnostní obrázky nabízejí. Data se však u nás všech překvapí!)

Experimentální metodologie „Bezpečnostní obrazy“ byly vyhodnoceny v uživatelské studii provedené s běžnými uživateli, kteří byli požádáni o provedení online bankovnictví v laboratoři. Jak je jim známo, někteří z nich byli „napadeni“ kontrolovaným způsobem, aby zjistili, zda se budou chovat bezpečně nebo ne a zda bezpečnostní obrazy pomáhají či nikoli.

Vědci vyhodnotili dva útoky:

  • Útok MITM: Vědci simulovali útok typu člověk uprostřed, který odstraňuje SSL. Jedinou viditelnou indikací útoku je to, že chybí indikátor HTTPS (v adresním řádku není ikona HTTPS, ikona zámku atd.).

  • Útok na bezpečnostní obraz: Vědci simulovali phishingový útok. Při tomto útoku to vypadá, že uživatelé interagují s reálným bankovním serverem, kromě toho, že chybí bezpečnostní obraz. Na jeho místo útok umístí následující text:

    Upozornění na chybu SiteKey: Bank of America v současné době vylepšuje naši oceněnou funkci SiteKey. Pokud se váš server SiteKey neobjeví během následujících 24 hodin, obraťte se na zákaznický servis.

    Považuji to za skvělý útok. Spíše než pokusit se zjistit, jaký bezpečnostní obraz se má uživateli ukázat, neukazujte vůbec žádný bezpečnostní obraz a zkuste uživatele přesvědčit, že je v pořádku, že neexistuje žádný bezpečnostní obraz. Nepokoušejte se porazit bezpečnostní systém tam, kde je nejsilnější; prostě obejít celou věc podkopáním jejího založení.

Vědci pak pokračovali v pozorování toho, jak se uživatelé chovali, když byli napadeni těmito způsoby (bez jejich vědomí).

Experimentální výsledky Výsledky? Útoky byly neuvěřitelně úspěšné.

  • Útoku MITM se nevyhnul ani jeden uživatel; každý, kdo byl vystaven útoku MITM, pro něj padl. (Nikdo si nevšiml, že byli pod útokem.)

  • 97% z těch, kteří byli vystaveni útoku na bezpečnostní obraz, propadlo. Pouze 3% (2 ze 60 účastníků) se chovalo bezpečně a při útoku se odmítlo přihlásit.

Závěry Dovolte mi z tohoto experimentu vyvodit ponaučení.

  • Nejprve bezpečnostní obrazy jsou neúčinné. Jsou snadno poraženi velmi jednoduchými technikami útoku.

  • Za druhé, při hodnocení, jaké bezpečnostní mechanismy budou účinné, naše intuice nejsou spolehlivé. Dokonce i odborníci na bezpečnost mohou vyvodit nesprávné závěry. Podívejte se například na toto vlákno, kde se někteří lidé domnívají, že bezpečnostní obrazy přidávají jistotu, protože nutí útočníka, aby tvrději pracoval a implementoval útok MITM. Z tohoto experimentu vidíme, že tento argument nevytváří vodu. Ve skutečnosti je velmi jednoduchý útok (klonování webu a nahrazení bezpečnostního obrazu upozorněním, že funkce bezpečnostního obrazu je v současné době z důvodu údržby), v praxi velmi úspěšný.

    Pokud tedy bezpečnost systému závisí na tom, jak se budou uživatelé chovat, je důležité provést přísné experimenty, aby se vyhodnotilo, jak se běžní uživatelé budou chovat ve skutečném životě. Naše intuice a analýzy „od prvního principu“ nenahrazují data.

  • Zatřetí, obyčejní uživatelé se nechovají tak, jak si lidé, kteří si to lidé někdy přejí, si chtějí. Někdy mluvíme o protokolu jako „uživatel bude dělat takové a takové, pak server bude dělat takové a takové, a pokud uživatel zjistí jakoukoli odchylku, uživatel bude vědět, že je pod útokem“. Ale takhle si uživatelé myslí. Uživatelé nemají podezřelé myšlení, které mají bezpečnostní lidé, a bezpečnost není v popředí jejich mysli. Pokud něco není zcela v pořádku, odborník na bezpečnost může mít podezření, že je pod útokem - ale obvykle to není první reakce běžného uživatele. Obyčejní uživatelé jsou tak zvyklí na to, že webové stránky jsou šupinaté, že jejich první reakcí, když vidí něco podivného nebo neobvyklého, je často to, že to shrug off, a předpokládají, že internet (nebo web) nefunguje úplně přímo okamžik. Pokud se váš bezpečnostní mechanismus spoléhá na to, že se uživatelé stanou podezřelými, pokud některé narážky chybí, je to pravděpodobně kvůli nejistým důvodům.

  • Začtvrté, není reálné očekávat, že si uživatelé všimnou absence bezpečnostního indikátoru, jako je ikona zámku SSL. Jsem si jistý, že jsme všichni hráli "Simon Says" jako dítě. Zábava ze hry je úplně taková, že - i když víte, že na ni musíte dávat pozor - je snadné přehlédnout absenci tága „Simon Says“. Nyní přemýšlejte o ikoně SSL. Hledání ikony SSL není při provádění online bankovnictví primárním úkolem uživatele; místo toho uživatelé obvykle jen chtějí platit své účty a nechat hotovo hotové, aby se mohli přejít k něčemu užitečnějšímu. O kolik snadnější je za těchto okolností nevšimnout si jeho nepřítomnosti!

Mimochodem, možná se divíte, jak bankovní sektor na tato zjištění reagoval. Koneckonců, uživatelům zdůrazňují funkci bezpečnostních obrazů (pod různými marketingovými názvy); Jak tedy reagovali na objev, že funkce bezpečnostního obrazu je v praxi prakticky zbytečná? Odpověď: nemají. Stále používají bezpečnostní obrazy. A pokud se jich zeptáte na jejich odpověď, typická odpověď byla něco podobného „dobře, naši uživatelé mají rádi a oceňují bezpečnostní obrazy“. To vám něco řekne: říká vám, že bezpečnostní obrazy jsou do značné míry formou bezpečnostního divadla. Existují proto, aby se uživatelé cítili dobře z procesu, více než aby skutečně chránili před vážnými útoky.

Odkazy Pro více podrobností o experimentu, který jsem shrnul výše, si přečtěte následující výzkumný příspěvek:

61
D.W.

Jejich bezpečnost nehodnotím zvlášť vysokou; ale jsou to víc než jen bezpečnostní divadlo. Mohou potenciálně ztížit práci útočníka a práci forenzních expertů pro sledování anomolií.

Řekněme, že neexistuje žádný bezpečnostní obraz/fráze nebo ekvivalent. Poté může útočník postavit falešnou verzi webu tak, aby zachytil pověření nic netušících uživatelů, aniž by se objevily červené vlajky. (Za předpokladu, že může uživatele přimět, aby si všiml nedostatku https ve své bance, nebo si do webového prohlížeče uživatelů nainstaloval nadřazený certifikát.).

Nyní pojďme analyzovat schéma používané mojí bankou (ING), kde kdykoli se zaregistruji z nového prohlížeče, nejprve napíšu své uživatelské jméno, banka odpoví „Ahoj jim bob“, odpověz na dvě (náhodné) bezpečnostní otázky (z seznam asi 5), protože jste tento počítač dosud nepoužívali. Tyto otázky jsou poněkud nízkou entropií, ale stále byste museli znát mě a moji rodinnou historii, abyste se dostali do pořádku; nebo tyto otázky posílejte na můj počítač. Pak mi ukáže bezpečnostní obrázek a požádá o heslo.

Teď musí být člověk uprostřed útoku aktivní (pak falešný server, který vždy čeká na uživatele, aby udělil pověření, které dokonale napodobuje falešný web). Nejprve si myslím, že je podezřelý z toho, že musím znovu zadat své bezpečnostní otázky, když je to z mého běžného počítače. Nyní musí MitM dotazovat skutečnou banku během útoku, aby nejprve našel dvě náhodné otázky načtené pro můj účet, poslal mi je zpět a zdánlivě zaznamenal své odpovědi a poté poslal zpět své odpovědi skutečné bance přes jejich https připojení k chytit bezpečnostní obraz.

Útočník pak musí buď chytit URL bezpečnostního obrazu, nebo si ji stáhnout sám, a pak ji nahrát do svého prostředního webového serveru, abych z nich mohl stáhnout. To by mohlo být podezřelé, kdyby řekli, že si právě vzali URL bezpečnostního obrazu, takže jiná IP si prohlédla bezpečnostní obraz a poté navázala na své webové stránky https připojení pro všechno ostatní. Nebo pokud jej útočníci stáhli a znovu mi přehráli, nyní byla IP adresa útočníků odhalena a mohou mít možnost získat blok/vypnutí této škodlivě kontrolované IP adresy.

Mohlo by se to obejít, rozhodně ano. Ale není to jen bezpečnostní divadlo a mohlo by být užitečnou součástí obrany do hloubky spolu s https. Čím více na to myslím, myslím, že to je hlavní prodejní místo. Možná si nevšímám, jestli moje banka nebyla https, pokud jsem ve spěchu. Pokud se zobrazí výzva k opětovnému zadání bezpečnostních otázek; Mohu pozastavit a znovu zkontrolovat, zda se jedná o https s adresou skutečné banky (nikoli http nebo něco podobného).

12
dr jimbob

Pokud tomu tak je, zdá se, že bezpečnostní obrazy neposkytují žádné další zabezpečení,

Namísto tahání statické kopie přihlašovací stránky musí nyní phisherové vytvořit stránku schopnou interakce s původním webem.

Extrémní hypotéza spočívá v tom, že jsou nesmírně hloupí a načtou vlastní obrázky pomocí své vlastní IP nebo IP, která s nimi může být spojena.

Méně extrémní hypotéza je, že načtou mnoho vlastních obrázků s jednou nebo několika různými IP adresami, což by mohlo zvýšit podezření na IP adresy od ISP nikoli je známo, že používá NAT široké nosiče.

Stejné problémy s „Původní IP“ však existují s phishingem jednoduchého typu, s běžným párem login/heslo: jedinou hodnotou těchto shromážděných dat je to, že je lze použít k přihlášení do původního webu. Phishingové vždy potřebují skupinu „dobře vypadajících“ IP adres, pokud nechtějí vzbuzovat podezření (to, co závisí „dobře vypadající“ adresa, na webové stránce a jejím publiku).

Při phishingu v bankách musí být peníze převedeny „mezky“ na mezip účty . Rybáři potřebují nejen IP adresy (botnet je může poskytnout), ale také zprostředkující bankovní účty. Skuteční lidé musí tyto účty poskytovat.

Phishing ve velkém měřítku bezpochyby vyžaduje dobré plánování a přísné bezpečnostní postupy, protože dříve nebo později bude rybářská operace objevena a vyšetřena. A když je, lidé odpovědní za phishingovou operaci se určitě starají o jejich soukromí (nenalezeno).

Nevím přesné podrobnosti o takových operacích, ale nemyslím si, že přidání „stáhnout bezpečnostní obrázek“ bude odrazující.

a může ve skutečnosti je škodlivý, pokud pomáhá přesvědčit uživatele, že škodlivý web je legitimní.

Ano vskutku.

Průměrný uživatel , který se pravděpodobně stane obětí phishingu , je nemůže provést správné vyhodnocení zabezpečení systém. Téměř všichni uživatelé budou přeceňovat bezpečnostní výhody.

A uživatelé dokonce kontrolují bezpečnostní obraz?

3
curiousguy

Je to odvážný pokus vyřešit problém důvěry. SSL je skvělý pro počítače, aby si vybudovali důvěru - ale pro lidi docela bezvýznamný. Pokud si dokážete představit lepší způsob, jak by web mohl poskytnout důkaz netechnickému uživateli, že to je to, co se zdá, pak bych o něm měl velký zájem.

Jak říkali ostatní, před phishery umístili další překážku.

Ale ve srovnání se samostatným webem phishingu to znamená, že skutečný poskytovatel služeb má potenciální viditelnost nad činností; viděno mnoho žádostí o různé uživatele ze stejné adresy, po nichž následuje žádná další interakce nebo automatizovaná interakce, by mělo být docela viditelné.

1
symcbean