• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
 

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

on

  • 2,600 views

 

Statistics

Views

Total Views
2,600
Views on SlideShare
2,445
Embed Views
155

Actions

Likes
1
Downloads
33
Comments
0

9 Embeds 155

http://sgordey.blogspot.com 123
http://sgordey.blogspot.ru 9
http://www.securitylab.ru 7
http://translate.googleusercontent.com 4
http://xss.yandex.net 3
https://twitter.com 3
http://www.slideshare.net 2
http://sgordey.blogspot.jp 2
http://sgordey.blogspot.de 2
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008 Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008 Presentation Transcript

    • Как я перестал боятся токенов и полюбил одноразовые пароли Сергей Гордейчик Дмитрий Евтеев Positive Technologies
    • Кто мы?
      • Positive Technologies
        • У этих ребят всегда есть свежая версия XSpider :)
      • Сергей Гордейчик
        • когда-то: разработка, bugtraq, pentest, research
        • теперь: MaxPatrol, MaxPatrol, MaxPatrol, MaxPatrol
      • Дмитрий Евтеев
        • pentest, research , pentest, research, MaxPatrol, research, research, penetest….
    • О чем пойдет речь
      • Аутентификация
      • Актуальные векторы угроз
      • Системы одноразовых паролей
      • Уязвимости приложений
      • Проблемы с реализацией
      • Атаки на клиентов
      • Резюме
    • Аутентификация
      • Один из базовых защитных механизмов
        • Как правило, на нем все и заканчивается :)
      • Основные подходы (факторы)
        • Нечто, что мы знаем
        • Нечто, что мы имеем
        • Нечто, что мы есть (аутентификация?)
      • Распространенные реализации
        • Старые добрые пароли (фуууу!)
        • Одноразовые пароли ( One Time Password, OTP)
        • Цифровые сертификаты, смарт-карты
    • Аутентификация в Интернет-Банках
      • Требуется обеспечить высокий уровень безопасности
      • Широкое использование Интернет-технологий
        • HTTP/HTTPS для передачи данных
        • Клиент - стандартный браузер и расширения ( AJAX, ActiveX, Java )
        • Наследование уязвимостей Web- приложений
      • Низкое доверие к каналу связи и стандартным средствам его криптографической защиты
        • Высока опасность успешных атак типа «фишинг», «человек по середине»
      • Низкое доверие к рабочему месту клиента
        • Вероятно отсутствие обновлений безопасности
        • Низкий уровень ИТ и ИБ грамотности
        • Возможно наличие вредоносных программ
        • Вероятна работа с недоверенного рабочего места
    • Актуальные векторы угроз
    • Системы одноразовых паролей
      • Достаточно широко распространены
        • Невысокая стоимость при потенциальной защищенности
        • Есть мнение, что
          • OTP на token == Сертификат на Smartcard
      • Мало зависят от ОС / Браузера
      • Вызывают ужас у пентестеров
      • Возможны разные варианты реализации
        • Заранее рассчитанные списки паролей
        • Генераторы паролей
        • SMS- сервис
    • Как это работает?
    • Почему OTP на token != Сертификат на Smartcard
      • Однократная проверка аутентичности транзакции
        • Решение об аутентичности принимает Web- сервер (приложений) один раз
        • Цифровую подпись можно проверять на каждом этапе
      • Уязвимости Web- приложений
        • Наличие уязвимости позволяет провести транзакцию без знания пароля
      • Сетевые проблемы
        • Цифровые сертификаты – двухсторонний SSL – NO MITM
      • Секрет хранится на клиенте
      • Одноразовые пароли тоже пароли
    • Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ При детальной ручной и автоматизированной оценке методами «черного» и «белого» ящика вероятность обнаружения уязвимости высокой степени риска достигает 97%.
    • Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ Распределение вероятности обнаружения уязвимости по классам WASC.
    • Проблемы с реализацией «Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев. Пример аутентификации в одном OTP-based приложении :
    • OTP – не (всегда) моментальные пароли Censored
    • OTP – не (всегда) моментальные пароли
      • Длина пароля – 6 цифр (миллион комбинаций)
      • Можно сузить диапазон комбинаций
        • можно существенно сократить диапазон для брутфорса (перебирать один диапазон)
      • Время жизни
        • секунды (теоретически)
        • часы (практически)
        • Как правило сервер держит «окно» правильных паролей
      • За приемлемое время можно подобрать несколько «живых паролей»
    • OTP – не (всегда) одноразовые пароли
      • При использовании сгенерированных списков зачастую разрешается повторное использование паролей
        • Удобно. Не ехать же в банк после 6 0 переводов?
      • Вероятность повтора: 1-(59/60)^n
      • При наличии перехваченного пароля
        • При 100 запросах - 81,376%
        • При 500 запросах - 99,9%
      • Суммарная энтропия 60*10 ^6 ~ 2^26
      • При 1000 попыток в секунду ~ 7 суток (полный перебор)
    • Атаки на клиентов
      • Односторонний SSL
        • Фишинг, MITM
      • Уязвимости WEB
        • XSS – самая распространенная проблема ( ~60% сайтов)
        • CSRF – практически все
      • Хранение секрета в системе
        • Специально обученный троян в состоянии сохранить и использовать OTP ( особенно для «карточек»)
    • Резюме
      • OTP != Smartcard
      • Уязвимости Web- приложений
        • Наличие уязвимости позволяет провести транзакцию без знания пароля
        • Необходимость дополнительного контроля HTTP- сессии
      • Одноразовые пароли тоже пароли
        • Возможен перехват
        • Небольшая энтропия – подбор значения
        • Большое «окно»
        • Необходимы стандартные «парольные» контрмеры
    • Спасибо за внимание! [email_address]