it-swarm-tr.com

Güvenlik Görüntülerinin Etkinliği

Bankalara giriş yaptıktan sonra sunulanlar gibi güvenlik görüntüleri somut bir güvenlik avantajı sağlıyor mu yoksa çoğunlukla tiyatro mudur?

Anladığım kadarıyla, birisi kullanıcılarınızı kimlik avı yapıyorsa, kullanıcılarınızdan gerçek web sitenize istekleri proxy yapmak ve kullanıcının resmi almadan önce sağladığı kimlik bilgileriyle güvenlik resmini almaları da önemlidir (ör. Kullanıcı adı). Bu durumda, güvenlik görüntüleri ek güvenlik sağlamaz ve kullanıcıları kötü amaçlı bir web sitesinin meşru olduğuna ikna etmeye yardımcı olurlarsa aslında zararlı olabilirler.

Bir şey mi kaçırıyorum?

49
Stephen Touset

Harika bir soru! Olduğu gibi, bu soru hakkında deneysel veriler sunabilirim - ve veriler büyüleyici. (Bazı yanıtların, bu güvenlik görüntülerinin ne kadar güvenlik sunduğuna dair ilk ilkelerden spekülasyonlar içerdiğini fark ettim. Ancak, verilerin hepimiz için bazı sürprizler olduğu ortaya çıkıyor!)

Deneysel metodoloji. "Güvenlik görüntüleri" laboratuarda online bankacılık yapmaları istenen sıradan kullanıcılarla gerçekleştirilen bir kullanıcı çalışmasında değerlendirilmiştir. Onlardan habersiz, bazıları güvenli bir şekilde davranıp davranmayacaklarını ve güvenlik görüntülerinin yardımcı olup olmadığını görmek için kontrollü bir şekilde 'saldırıya uğradı'.

Araştırmacılar iki saldırıyı değerlendirdi:

  • MITM saldırısı: Araştırmacılar SSL'yi ortadan kaldıran ortadaki adam saldırısını simüle etti. Saldırının tek görünür göstergesi, bir HTTPS göstergesinin olmamasıdır (adres çubuğunda HTTPS yok, kilit simgesi vb. Yok).

  • Güvenlik imajı saldırısı: Araştırmacılar kimlik avı saldırısı taklit etti. Bu saldırıda, güvenlik resminin eksik olması dışında, kullanıcılar gerçek banka sitesiyle etkileşime giriyor gibi görünüyor. Saldırı yerine aşağıdaki metni yerleştirir:

    SiteKey Bakım Bildirimi: Bank of America şu anda ödüllü SiteKey özelliğimizi geliştirmektedir. Site Anahtarınız önümüzdeki 24 saat içinde yeniden görünmezse lütfen müşteri hizmetlerine başvurun.

    Bunu parlak bir saldırı olarak görüyorum. Kullanıcıya hangi güvenlik görüntüsünün gösterileceğini anlamaya çalışmak yerine, herhangi bir güvenlik görüntüsü göstermeyin ve kullanıcıyı güvenlik görüntüsü olmadığı konusunda ikna etmeye çalışın. Güvenlik sistemini en güçlü olduğu yerde yenmeye çalışmayın; sadece temelini baltalayarak her şeyi atla.

Her neyse, araştırmacılar daha sonra kullanıcıların bu şekilde saldırıya uğradıklarında (kendi bilgileri olmadan) nasıl davrandıklarını gözlemlemeye devam ettiler.

Deney sonuçları. Sonuçlar? Saldırılar inanılmaz derecede başarılıydı.

  • Tek bir kullanıcı MITM saldırısından kaçınmamıştır; MITM saldırısına maruz kalan her biri bunun için düştü. (Kimse saldırı altında olduklarını fark etmedi.)

  • Güvenlik imajı saldırısına maruz kalanların% 97'si buna düştü. Sadece% 3'ü (60 katılımcıdan 2'si) güvenli davrandı ve bu saldırı ile vurulduğunda giriş yapmayı reddetti.

Sonuçlar. Bu deneyden bazı dersler çıkarmaya çalışayım.

  • İlk olarak, güvenlik görüntüleri etkisiz. Çok basit saldırı teknikleri ile kolayca yenilirler.

  • İkincisi, hangi güvenlik mekanizmalarının etkili olacağını değerlendirirken, sezgilerimiz güvenilir değil. Uzman güvenlik uzmanları bile yanlış sonuçlar çıkarabilir. Örneğin, bazı kişilerin güvenlik görüntülerinin güvenlik ekledikleri görüşünü aldıkları bu iş parçacığına bakın, çünkü saldırganı daha fazla çalışmaya ve bir MITM saldırısı uygulamaya zorlarlar. Bu deneyden, bu argümanın su tutmadığını görebiliriz. Gerçekten de, çok basit bir saldırı (web sitesini klonlayın ve güvenlik görüntüsünü güvenlik görüntüsü özelliğinin şu anda bakım için kapalı olduğunu belirten bir bildirim ile değiştirin) pratikte son derece başarılıdır.

    Bu nedenle, bir sistemin güvenliği kullanıcıların nasıl davranacağına bağlı olduğunda, sıradan kullanıcıların gerçek hayatta gerçekte nasıl davranacağını değerlendirmek için titiz deneyler yapmak önemlidir. Sezgilerimiz ve "ilk prensipler" analizlerimiz verilerin yerine geçmez.

  • Üçüncü olarak, sıradan kullanıcılar güvenlik çalışanlarının bazen istedikleri gibi davranmazlar. Bazen bir protokol hakkında "kullanıcı böyle yapacak, o zaman sunucu böyle yapacak ve kullanıcı herhangi bir sapma tespit ederse, kullanıcı saldırı altında olduğunu bilecektir" şeklinde konuşuruz. Ancak kullanıcılar böyle düşünmez. Kullanıcılar, güvenlik insanlarının sahip olduğu şüpheli zihniyete sahip değildir ve güvenlik akıllarının başında gelmez. Bir şey doğru değilse, bir güvenlik uzmanı saldırı altında olduğundan şüphelenebilir - ancak bu genellikle sıradan bir kullanıcının ilk tepkisi değildir. Sıradan kullanıcılar, web sitelerinin garip veya olağandışı bir şey gördüklerinde ilk tepkilerinin sık sık omuz silkmesi ve İnternet'in (veya web sitesinin) an. Bu nedenle, güvenlik mekanizmanız belirli ipuçları yoksa kullanıcıların şüphelenmeye dayanıyorsa, büyük olasılıkla titrek bir temeldedir.

  • Dördüncüsü, kullanıcıların bir güvenlik göstergesinin olmadığını fark etmelerini beklemek gerçekçi değil, bir SSL kilit simgesi gibi. Eminim hepimiz çocukken "Simon Says" oynadık. Oyunun eğlencesi tamamen - buna dikkat etmeyi bildiğin zaman bile - "Simon Says" işaretinin yokluğunu göz ardı etmek kolaydır. Şimdi bir SSL simgesi düşünün. Çevrimiçi bankacılık işlemlerinde SSL simgesini aramak kullanıcının birincil görevi değildir; bunun yerine, kullanıcılar genellikle faturalarını ödemek ve daha yararlı bir şeye geçebilmeleri için işi yapmak isterler. Bu koşullarda yokluğunu fark etmemek ne kadar kolay!

Bu arada, bankacılık endüstrisinin bu bulgulara nasıl tepki verdiğini merak edebilirsiniz. Sonuçta, güvenlik görüntüleri özelliklerini (çeşitli pazarlama adları altında) kullanıcılara vurgular; güvenlik imajı özelliğinin pratikte işe yaramaz olduğunu keşfetmesine nasıl tepki verdiler? Cevap: Yapmadılar. Hala güvenlik görüntüleri kullanıyorlar. Onlara yanıtlarını sorarsanız, tipik bir yanıt "iyi, kullanıcılarımız güvenlik görüntülerini gerçekten beğenir ve takdir eder" biçiminde bir şeydir. Bu size bir şey anlatır: güvenlik görüntülerinin büyük ölçüde bir tür güvenlik tiyatrosu olduğunu söyler. Kullanıcıları süreç hakkında iyi hissettirmek için var, ciddi saldırılara karşı gerçekten korumaktan daha fazlası.

Referanslar. Yukarıda özetlediğim denemeyle ilgili daha fazla bilgi için aşağıdaki araştırma belgesini okuyun:

61
D.W.

Onların güvenliği özellikle yüksek değil; ama onlar sadece güvenlik tiyatrosundan daha fazlası. Potansiyel olarak saldırganın işini daha zor hale getirebilir ve anormallikleri izleyen bir güvenlik adli tıp uzmanının işi daha kolay olabilir.

Diyelim ki güvenlik resmi/ifadesi veya eşdeğeri yok. Ardından, ortadaki bir saldırgan, şüpheli olmayan kullanıcıların kimlik bilgilerini herhangi bir kırmızı bayrak açmadan yakalamak için web sitesinin sahte bir sürümünü oluşturabilir. (Kullanıcının bankalarında https eksikliğini fark edebileceğini veya kullanıcıların web tarayıcısına fradualent bir sertifika yüklediklerini varsayarsak).

Şimdi, bankamın (ING) kullandığı düzeni analiz edelim, yeni bir tarayıcıdan kayıt yaptığımda, önce kullanıcı adımı yazıyorum, banka "Merhaba jim bob" yanıtını veriyor, lütfen iki (rastgele) güvenlik sorusunu (bir yaklaşık 5 listesi) bu bilgisayarı daha önce kullanmadığınız için. Bu sorular biraz düşük entropidir, ancak yine de doğru olması için beni ve aile geçmişimi bilmeniz gerekir; veya bu soruları bilgisayarıma proxy olarak gönder. Sonra bana güvenlik resmimi gösterir ve şifremi sorar.

Bu yüzden şimdi orta saldırıdaki adam aktif olmalı (o zaman her zaman kullanıcıların sahte bir siteyi mükemmel bir şekilde taklit eden kimlik bilgilerini vermesini bekleyen sahte bir sunucu). İlk olarak, normal bilgisayarımdan geldiğinde güvenlik sorularıma yeniden girmem gerektiğinden şüphelenebilirim. Şimdi, MitM, ilk önce hesabım için getirilen iki rastgele soruyu bulmak, gerçekte bana geri göndermek ve cevaplarımı kaydetmek ve daha sonra https bağlantısı üzerinden gerçek bankaya cevaplarımı geri göndermek için saldırı sırasında gerçek bankayı sorgulamak zorunda. güvenlik resmini al.

Ardından, saldırganın güvenlik resminin URL'sini alması veya kendisinin indirmesi, ardından onlardan indirebilmem için ortadaki web sunucusuna yüklemesi gerekir. Güvenlik görüntüsünün URL'sini yeni getirdiklerini söylerken bu şüpheli olabilir, bu nedenle farklı bir IP güvenlik görüntüsünü izledi ve daha sonra her şey için web sitelerine bir https bağlantısı kurdu. Ya da saldırganlar indirip bana yeniden gösterdiyse, şimdi saldırganların IP adresi açığa çıktı ve kötü niyetli olarak kontrol edilen IP adresini engelleme/kapatma işlemi gerçekleştirebilirler.

Baypas edilebilir mi, kesinlikle evet. Ama bu sadece güvenlik tiyatrosu değil ve derinlemesine savunma https ile birlikte yararlı bir parçası olabilir. Ne kadar çok düşünürsem, bunun ana satış noktası olduğunu düşünüyorum. Bir Rush'da olduğumda bankamın https olmadığını fark etmeyebilirim. Güvenlik sorularımı tekrar girmem istenirse; Duraklayabilir ve gerçek bankanın URL'siyle https olup olmadığını tekrar kontrol edebilirim (http veya benzeri bir şey değil).

12
dr jimbob

Bu durumda, güvenlik görüntüleri ek güvenlik sağlamaz,

Oturum açma sayfasının statik bir kopyasını çekmek yerine, şimdi kimlik avcılarının orijinal web sitesiyle etkileşime girebilecek bir sayfa hazırlaması gerekir.

Aşırı bir hipotez, son derece aptal oldukları ve özel görüntüleri kendi IP'lerine veya kendilerine bağlanabilen bir IP'ye sahip olacaklarıdır.

Daha az aşırı bir aptallık hipotezi, bir veya birkaç farklı IP adresine sahip birçok özel görüntüyü almalarıdır, bu da IP adresleri için ISP değil taşıyıcı geniş NAT kullandıkları bilinir.

Ancak aynı "Origin IP" sorunları, sıralı oturum açma/parola çiftiyle basit türdeki bir kimlik avı ile ortaya çıkar: toplanan bu verilerin tek değeri, orijinal web sitesinde oturum açmak için kullanılabilmeleridir. Kimlik avı kuşkularını artırmak istemiyorsa, kimlik avcılarının her zaman "iyi görünümlü" IP adresleri havuzuna ihtiyacı vardır ("iyi görünümlü" adresin ne olduğu web sayfasına ve kitlesine bağlıdır).

Banka kimlik avı için para "katır" tarafından ara hesaplara aktarılmalıdır. Balıkçılar sadece IP adreslerine (bir botnet bunları sağlayabilir) değil, aynı zamanda ara banka hesaplarına da ihtiyaç duyar. Gerçek kişiler bu hesapları sağlamalıdır.

Büyük ölçekli kimlik avı kesinlikle iyi bir planlama gerektirir ve katı güvenlik prosedürleri, çünkü er ya da geç, balıkçılık operasyonu keşfedilecek ve araştırılacaktır. Ve kimlik avı işleminden sorumlu kişiler kesinlikle gizlilikleri (bulunamadı) ile ilgilenir.

Bu tür işlemlerin tam ayrıntılarını bilmiyorum, ancak "güvenlik resmini indir" i eklemenin caydırıcı olacağına inanmıyorum.

ve kullanıcıları kötü niyetli bir web sitesinin meşru olduğuna ikna etmeye yardımcı olurlarsa aslında zararlı olabilirler.

Evet kesinlikle.

Ortalama kimlik avı kurbanı olması muhtemel kullanıcı planın uygun güvenlik değerlendirmesini yapamıyor. Hemen hemen tüm bu kullanıcılar güvenlik avantajlarını abartır.

Kullanıcılar güvenlik resmini bile kontrol ediyor mu?

3
curiousguy

Güven sorununu ele almak için cesur bir girişim. SSL, bilgisayarlar için güven oluşturmak için harikadır - ancak insanlar için oldukça anlamsızdır. Bir sitenin teknik olmayan bir kullanıcıya, göründüğü gibi olduğuna dair kanıt sağlaması için daha iyi bir yol düşünebiliyorsanız, bunu duymak isterim.

Diğerlerinin söylediği gibi, kimlik avcılarının önüne başka bir engel daha koyarlar.

Ancak, bağımsız bir kimlik avı sitesi ile karşılaştırıldığında, gerçek hizmet sağlayıcısının etkinlik üzerinde potansiyel olarak bir miktar görünürlüğü olduğu anlamına gelir; aynı adresten farklı kullanıcılar için çok fazla istek görmek ve ardından başka bir entegrasyon veya otomatik bir etkileşim görülmemelidir.

1
symcbean