it-swarm-eu.dev

Wirksamkeit von Sicherheitsbildern

Bieten Sicherheitsbilder, wie sie beim Anmelden bei Banken angezeigt werden, konkrete Sicherheitsvorteile, oder handelt es sich hauptsächlich um Theaterbilder?

Nach meinem Verständnis ist es für jemanden, der Ihre Benutzer phishing, auch trivial, Anfragen von Ihren Benutzern an Ihre authentische Website zu senden und das Sicherheitsimage mit den vom Benutzer angegebenen Anmeldeinformationen abzurufen, bevor er das Image erhält (z. B. den Benutzernamen). In diesem Fall scheinen Sicherheitsbilder keine zusätzliche Sicherheit zu bieten und können tatsächlich schädlich sein, wenn sie dazu beitragen, Benutzer davon zu überzeugen, dass eine schädliche Website legitim ist.

Vermisse ich etwas

49
Stephen Touset

Gute Frage! Zufällig kann ich experimentelle Daten zu dieser Frage präsentieren - und die Daten sind faszinierend. (Ich habe festgestellt, dass einige der Antworten Spekulationen von ersten Prinzipien darüber enthalten, wie viel Sicherheit diese Sicherheitsbilder bieten. Die Daten stellen jedoch einige Überraschungen für uns alle dar!)

Experimentelle Methodik. "Sicherheitsbilder" wurden in einer Benutzerstudie ausgewertet, die mit normalen Benutzern durchgeführt wurde, die gebeten wurden, im Labor Online-Banking durchzuführen. Unbekannt wurden einige von ihnen auf kontrollierte Weise "angegriffen", um zu sehen, ob sie sich sicher verhalten würden oder nicht und ob die Sicherheitsbilder halfen oder nicht.

Die Forscher bewerteten zwei Angriffe:

  • MITM-Angriff: Die Forscher simulierten einen Man-in-the-Middle-Angriff, bei dem SSL entfernt wird. Der einzige sichtbare Hinweis auf den Angriff ist das Fehlen eines HTTPS-Indikators (kein HTTPS in der Adressleiste, kein Schlosssymbol usw.).

  • Sicherheitsimage-Angriff: Die Forscher simulierten einen Phishing-Angriff. Bei diesem Angriff scheinen die Benutzer mit der realen Bank-Site zu interagieren, außer dass das Sicherheitsimage fehlt. An seiner Stelle setzt der Angriff den folgenden Text:

    SiteKey-Wartungshinweis: Die Bank of America aktualisiert derzeit unsere preisgekrönte SiteKey-Funktion. Bitte wenden Sie sich an den Kundendienst, wenn Ihr SiteKey nicht innerhalb der nächsten 24 Stunden erneut angezeigt wird.

    Ich finde das ein brillanter Angriff. Anstatt herauszufinden, welches Sicherheitsimage dem Benutzer angezeigt werden soll, zeigen Sie überhaupt kein Sicherheitsimage an und versuchen Sie einfach, den Benutzer davon zu überzeugen, dass es in Ordnung ist, dass kein Sicherheitsimage vorhanden ist. Versuchen Sie nicht, das Sicherheitssystem dort zu besiegen, wo es am stärksten ist. umgehen Sie einfach das Ganze, indem Sie sein Fundament untergraben.

Wie auch immer, die Forscher beobachteten dann, wie sich Benutzer verhielten, wenn sie auf diese Weise angegriffen wurden (ohne ihr Wissen).

Experimentelle Ergebnisse. Die Ergebnisse? Die Angriffe waren unglaublich erfolgreich.

  • Kein einziger Benutzer hat den MITM-Angriff vermieden. Jeder einzelne, der dem MITM-Angriff ausgesetzt war, fiel darauf herein. (Niemand bemerkte, dass sie angegriffen wurden.)

  • 97% derjenigen, die dem Sicherheitsimage-Angriff ausgesetzt waren, fielen darauf herein. Nur 3% (2 von 60 Teilnehmern) verhielten sich sicher und weigerten sich, sich anzumelden, wenn sie von diesem Angriff getroffen wurden.

Schlussfolgerungen. Lassen Sie mich versuchen, einige Lehren aus diesem Experiment zu ziehen.

  • Erstens Sicherheitsbilder sind unwirksam. Sie werden leicht durch sehr einfache Angriffstechniken besiegt.

  • Zweitens, wenn wir beurteilen, welche Sicherheitsmechanismen wirksam sein werden, unsere Intuitionen sind nicht zuverlässig. Selbst erfahrene Sicherheitsexperten können die falschen Schlussfolgerungen ziehen. Schauen Sie sich zum Beispiel diesen Thread an, in dem einige Leute die Ansicht vertreten haben, dass Sicherheitsimages etwas Sicherheit hinzufügen, weil sie den Angreifer dazu zwingen, härter zu arbeiten und einen MITM-Angriff zu implementieren. Aus diesem Experiment können wir sehen, dass dieses Argument kein Wasser enthält. In der Tat ist ein sehr einfacher Angriff (Klonen der Website und Ersetzen des Sicherheitsabbilds durch einen Hinweis, dass die Sicherheitsabbildfunktion derzeit wegen Wartungsarbeiten nicht verfügbar ist) in der Praxis äußerst erfolgreich.

    Wenn die Sicherheit eines Systems davon abhängt, wie sich Benutzer verhalten, ist es wichtig, strenge Experimente durchzuführen, um zu bewerten, wie sich normale Benutzer im wirklichen Leben tatsächlich verhalten. Unsere Intuitionen und "From-First-Principles" -Analysen sind kein Ersatz für Daten.

  • Drittens, normale Benutzer verhalten sich nicht so, wie es sich Sicherheitsleute manchmal wünschen. Manchmal sprechen wir von einem Protokoll als "der Benutzer wird dies und das tun, dann wird der Server dies und das tun, und wenn der Benutzer eine Abweichung feststellt, wird der Benutzer wissen, dass er angegriffen wird". Aber so denken Benutzer nicht. Benutzer haben nicht die verdächtige Einstellung, die Sicherheitsleute haben, und Sicherheit steht nicht im Vordergrund ihres Denkens. Wenn etwas nicht ganz stimmt, könnte ein Sicherheitsexperte vermuten, dass sie angegriffen wird - aber das ist normalerweise nicht die erste Reaktion eines normalen Benutzers. Normale Benutzer sind so an die Tatsache gewöhnt, dass Websites schuppig sind, dass ihre erste Reaktion, wenn sie etwas Seltsames oder Ungewöhnliches sehen, oft darin besteht, es abzuschütteln und anzunehmen, dass das Internet (oder die Website) nicht ganz richtig funktioniert Moment. Wenn Ihr Sicherheitsmechanismus darauf beruht, dass Benutzer misstrauisch werden, wenn bestimmte Hinweise fehlen, liegt dies wahrscheinlich an wackeligen Gründen.

  • Viertens es ist nicht realistisch zu erwarten, dass Benutzer das Fehlen einer Sicherheitsanzeige bemerken, wie ein SSL-Schlosssymbol. Ich bin sicher, wir haben alle als Kind "Simon Says" gespielt. Der Spaß des Spiels besteht ausschließlich darin, dass es - selbst wenn Sie wissen, dass Sie darauf achten müssen - leicht ist, das Fehlen des Hinweises "Simon Says" zu übersehen. Denken Sie jetzt an ein SSL-Symbol. Das Suchen nach dem SSL-Symbol ist nicht die Hauptaufgabe des Benutzers beim Ausführen von Online-Banking. Stattdessen möchten Benutzer in der Regel nur ihre Rechnungen bezahlen und die Arbeit erledigen, damit sie zu etwas Nützlicherem übergehen können. Wie viel einfacher ist es unter diesen Umständen, seine Abwesenheit nicht zu bemerken!

Sie fragen sich übrigens vielleicht, wie die Bankenbranche auf diese Ergebnisse reagiert hat. Schließlich betonen sie den Benutzern ihre Funktion für Sicherheitsbilder (unter verschiedenen Marketingnamen). Wie haben sie auf die Entdeckung reagiert, dass die Sicherheitsimagefunktion in der Praxis so gut wie unbrauchbar ist? Antwort: haben sie nicht. Sie verwenden immer noch Sicherheitsbilder. Und wenn Sie sie nach ihrer Antwort fragen, hat eine typische Antwort die Form "Nun, unsere Benutzer mögen und schätzen die Sicherheitsbilder wirklich". Dies sagt Ihnen etwas: Es sagt Ihnen, dass die Sicherheitsbilder größtenteils eine Form des Sicherheitstheaters sind. Sie dienen dazu, den Benutzern ein gutes Gefühl für den Prozess zu geben und sie nicht nur vor schwerwiegenden Angriffen zu schützen.

Referenzen. Für weitere Details des oben zusammengefassten Experiments lesen Sie das folgende Forschungspapier:

61
D.W.

Ich schätze ihre Sicherheit nicht besonders hoch ein; Aber sie sind mehr als nur Sicherheitstheater. Sie können möglicherweise die Arbeit des Angreifers erschweren und die Arbeit eines forensischen Sicherheitsexperten, der Anomolien aufspürt, erleichtern.

Angenommen, es gibt kein Sicherheitsbild/-phrase oder ein gleichwertiges Element. Dann kann ein Man-in-the-Middle-Angreifer eine gefälschte Version der Website erstellen, um Anmeldeinformationen ahnungsloser Benutzer zu erfassen, ohne dass rote Fahnen auftauchen. (Vorausgesetzt, sie können den Benutzer dazu bringen, das Fehlen von https in seiner Bank zu bemerken, oder sie haben ein fradualentes Zertifikat im Webbrowser des Benutzers installiert.).

Lassen Sie uns nun das von meiner Bank (ING) verwendete Schema analysieren. Wenn ich mich in einem neuen Browser registriere und zuerst meinen Benutzernamen eingebe, antwortet die Bank mit "Hi jim bob". Bitte beantworten Sie zwei (zufällige) Sicherheitsfragen (von a Liste von ungefähr 5), da Sie diesen Computer noch nicht benutzt haben. Diese Fragen sind etwas entropiearm, aber Sie müssten mich und meine Familiengeschichte kennen, um richtig zu werden. oder übermitteln Sie diese Fragen an meinen Computer. Dann zeigt es mir mein Sicherheitsbild und fragt nach meinem Passwort.

Jetzt muss der Mann im mittleren Angriff aktiv sein (dann ein gefälschter Server, der immer darauf wartet, dass Benutzer Anmeldeinformationen angeben, die eine gefälschte Site perfekt imitieren). Erstens könnte ich den Verdacht haben, dass ich meine Sicherheitsfragen erneut eingeben muss, wenn diese von meinem normalen Computer stammen. Jetzt muss der MitM die tatsächliche Bank während des Angriffs abfragen, um zuerst die zwei zufälligen Fragen zu finden, die für mein Konto abgerufen wurden, sie scheinbar nahtlos an mich zurücksenden und meine Antworten aufzeichnen und dann meine Antworten über ihre https-Verbindung an die reale Bank zurücksenden Holen Sie sich das Sicherheitsimage.

Dann muss der Angreifer entweder die URL des Sicherheitsabbilds abrufen oder selbst herunterladen und sie dann auf seinen mittleren Webserver hochladen, damit ich sie von ihm herunterladen kann. Dies könnte verdächtig sein, wenn Sie beispielsweise nur die URL des Sicherheitsabbilds abgerufen haben, sodass eine andere IP-Adresse das Sicherheitsabbild angezeigt und dann für alles andere eine https-Verbindung zu ihrer Website hergestellt hat. Oder wenn die Angreifer es heruntergeladen und mir erneut angezeigt haben, wurde jetzt die IP-Adresse des Angreifers offengelegt, und sie können möglicherweise die Blockierung/das Herunterfahren dieser böswillig kontrollierten IP-Adresse erhalten.

Könnte es umgangen werden, definitiv ja. Aber es ist nicht nur Sicherheitstheater und könnte zusammen mit https ein hilfreicher Teil der Tiefenverteidigung sein. Je mehr ich darüber nachdenke, desto wichtiger wird dies. Ich kann möglicherweise nicht bemerken, wenn meine Bank nicht https war, wenn ich in Eile bin. Wenn Sie aufgefordert werden, meine Sicherheitsfragen erneut einzugeben; Ich kann pausieren und überprüfen, ob es sich um https mit der URL der tatsächlichen Bank handelt (nicht http oder ähnliches).

12
dr jimbob

Wenn dies der Fall ist, scheinen Sicherheitsimages keine zusätzliche Sicherheit zu bieten.

Anstatt eine statische Kopie der Anmeldeseite abzurufen, müssen die Phisher jetzt eine Seite erstellen, die mit der ursprünglichen Website interagieren kann.

Eine extreme Hypothese ist, dass sie extrem dumm sind und die benutzerdefinierten Bilder mit ihrer eigenen IP oder einer IP abrufen, die mit ihnen verknüpft werden kann.

Eine weniger extreme Dummheitshypothese ist, dass sie viele benutzerdefinierte Bilder mit einer oder mehreren unterschiedlichen IP-Adressen abrufen, was den Verdacht auf IP-Adressen von ISP nicht erwecken könnte, von denen bekannt ist, dass sie Carrier Wide NAT verwenden.

Die gleichen "Origin IP" -Probleme bestehen jedoch bei einem Phishing des einfachen Typs mit dem normalen Anmelde-/Kennwortpaar: Der einzige Wert dieser gesammelten Daten besteht darin, dass sie zum Anmelden auf der ursprünglichen Website verwendet werden können. Die Phisher benötigen immer einen Pool von "gut aussehenden" IP-Adressen, wenn sie keinen Verdacht erregen wollen (Was eine "gut aussehende" Adresse ist, hängt von der Webseite und ihrer Zielgruppe ab).

Für Bank-Phishing muss das Geld von "Maultieren" auf Zwischenkonten überwiesen werden. Die Fischer benötigen nicht nur IP-Adressen (ein Botnetz kann diese bereitstellen), sondern auch Zwischenbankkonten. Echte Leute müssen diese Konten bereitstellen.

Phishing in großem Maßstab erfordert sicherlich eine gute Planung und strenge Sicherheitsverfahren, weil früher oder später wird der Fischereibetrieb entdeckt und untersucht. Und wenn es so ist, kümmern sich die Verantwortlichen für den Phishing-Vorgang sicherlich um ihre Privatsphäre (werden nicht gefunden).

Ich kenne die genauen Details solcher Vorgänge nicht, aber ich glaube nicht, dass das Hinzufügen von "Download des Sicherheitsimages" abschreckend wirken wird.

und kann tatsächlich schädlich sein, wenn sie dazu beitragen, Benutzer davon zu überzeugen, dass eine schädliche Website legitim ist.

Ja in der Tat.

Der durchschnittliche Benutzer wahrscheinlich Opfer von Phishing ist nicht in der Lage, die ordnungsgemäße Sicherheitsbewertung des Schemas durchzuführen. Fast alle diese Benutzer werden die Sicherheitsvorteile überschätzen.

Und überprüfen Benutzer überhaupt das Sicherheitsimage?

3
curiousguy

Es ist ein mutiger Versuch, das Problem des Vertrauens anzugehen. SSL ist ideal für Computer, um Vertrauen aufzubauen - aber für Menschen ziemlich bedeutungslos. Wenn Sie sich eine bessere Möglichkeit für eine Website vorstellen können, einem nicht-technischen Benutzer den Beweis zu liefern, dass es das ist, was es zu sein scheint, wäre ich sehr interessiert, davon zu hören.

Wie andere gesagt haben, stellen sie eine weitere Hürde vor Phisher.

Im Vergleich zu einer eigenständigen Phishing-Site bedeutet dies jedoch, dass der echte Dienstanbieter möglicherweise einen gewissen Überblick über die Aktivität hat. Es sollte ziemlich sichtbar sein, viele Anfragen für verschiedene Benutzer von derselben Adresse zu sehen, gefolgt von keiner weiteren Interaktion oder einer automatisierten Interaktion.

1
symcbean