Как я перестал боятся токенов  и  полюбил одноразовые пароли Сергей Гордейчик Дмитрий Евтеев Positive  Technologies
Кто мы? <ul><li>Positive Technologies </li></ul><ul><ul><li>У этих ребят всегда есть свежая версия  XSpider :) </li></ul><...
О чем пойдет речь <ul><li>Аутентификация </li></ul><ul><li>Актуальные векторы угроз </li></ul><ul><li>Системы одноразовых ...
Аутентификация <ul><li>Один из базовых защитных механизмов </li></ul><ul><ul><li>Как правило, на нем все и заканчивается :...
Аутентификация в Интернет-Банках <ul><li>Требуется обеспечить высокий уровень безопасности </li></ul><ul><li>Широкое испол...
Актуальные векторы угроз
Системы одноразовых паролей <ul><li>Достаточно широко распространены </li></ul><ul><ul><li>Невысокая стоимость при  потенц...
Как это работает?
Почему  OTP  на  token  != Сертификат на  Smartcard <ul><li>Однократная проверка аутентичности транзакции </li></ul><ul><u...
Уязвимости  Web- приложений http://www.webappsec.org/projects/statistics/ При детальной ручной и автоматизированной оценке...
Уязвимости  Web- приложений http://www.webappsec.org/projects/statistics/ Распределение вероятности обнаружения уязвимости...
Проблемы с реализацией «Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев. Пример аутентифика...
OTP  – не (всегда) моментальные пароли Censored
OTP  – не (всегда) моментальные пароли <ul><li>Длина пароля – 6 цифр (миллион комбинаций) </li></ul><ul><li>Можно сузить д...
OTP  – не (всегда) одноразовые пароли <ul><li>При использовании сгенерированных списков зачастую разрешается повторное исп...
Атаки на клиентов <ul><li>Односторонний  SSL </li></ul><ul><ul><li>Фишинг,  MITM </li></ul></ul><ul><li>Уязвимости  WEB </...
Резюме <ul><li>OTP != Smartcard </li></ul><ul><li>Уязвимости  Web- приложений </li></ul><ul><ul><li>Наличие уязвимости поз...
Спасибо за внимание! [email_address]
Upcoming SlideShare
Loading in...5
×

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

1,612

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,612
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
37
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

  1. 1. Как я перестал боятся токенов и полюбил одноразовые пароли Сергей Гордейчик Дмитрий Евтеев Positive Technologies
  2. 2. Кто мы? <ul><li>Positive Technologies </li></ul><ul><ul><li>У этих ребят всегда есть свежая версия XSpider :) </li></ul></ul><ul><li>Сергей Гордейчик </li></ul><ul><ul><li>когда-то: разработка, bugtraq, pentest, research </li></ul></ul><ul><ul><li>теперь: MaxPatrol, MaxPatrol, MaxPatrol, MaxPatrol </li></ul></ul><ul><li>Дмитрий Евтеев </li></ul><ul><ul><li>pentest, research , pentest, research, MaxPatrol, research, research, penetest…. </li></ul></ul>
  3. 3. О чем пойдет речь <ul><li>Аутентификация </li></ul><ul><li>Актуальные векторы угроз </li></ul><ul><li>Системы одноразовых паролей </li></ul><ul><li>Уязвимости приложений </li></ul><ul><li>Проблемы с реализацией </li></ul><ul><li>Атаки на клиентов </li></ul><ul><li>Резюме </li></ul>
  4. 4. Аутентификация <ul><li>Один из базовых защитных механизмов </li></ul><ul><ul><li>Как правило, на нем все и заканчивается :) </li></ul></ul><ul><li>Основные подходы (факторы) </li></ul><ul><ul><li>Нечто, что мы знаем </li></ul></ul><ul><ul><li>Нечто, что мы имеем </li></ul></ul><ul><ul><li>Нечто, что мы есть (аутентификация?) </li></ul></ul><ul><li>Распространенные реализации </li></ul><ul><ul><li>Старые добрые пароли (фуууу!) </li></ul></ul><ul><ul><li>Одноразовые пароли ( One Time Password, OTP) </li></ul></ul><ul><ul><li>Цифровые сертификаты, смарт-карты </li></ul></ul>
  5. 5. Аутентификация в Интернет-Банках <ul><li>Требуется обеспечить высокий уровень безопасности </li></ul><ul><li>Широкое использование Интернет-технологий </li></ul><ul><ul><li>HTTP/HTTPS для передачи данных </li></ul></ul><ul><ul><li>Клиент - стандартный браузер и расширения ( AJAX, ActiveX, Java ) </li></ul></ul><ul><ul><li>Наследование уязвимостей Web- приложений </li></ul></ul><ul><li>Низкое доверие к каналу связи и стандартным средствам его криптографической защиты </li></ul><ul><ul><li>Высока опасность успешных атак типа «фишинг», «человек по середине» </li></ul></ul><ul><li>Низкое доверие к рабочему месту клиента </li></ul><ul><ul><li>Вероятно отсутствие обновлений безопасности </li></ul></ul><ul><ul><li>Низкий уровень ИТ и ИБ грамотности </li></ul></ul><ul><ul><li>Возможно наличие вредоносных программ </li></ul></ul><ul><ul><li>Вероятна работа с недоверенного рабочего места </li></ul></ul>
  6. 6. Актуальные векторы угроз
  7. 7. Системы одноразовых паролей <ul><li>Достаточно широко распространены </li></ul><ul><ul><li>Невысокая стоимость при потенциальной защищенности </li></ul></ul><ul><ul><li>Есть мнение, что </li></ul></ul><ul><ul><ul><li>OTP на token == Сертификат на Smartcard </li></ul></ul></ul><ul><li>Мало зависят от ОС / Браузера </li></ul><ul><li>Вызывают ужас у пентестеров </li></ul><ul><li>Возможны разные варианты реализации </li></ul><ul><ul><li>Заранее рассчитанные списки паролей </li></ul></ul><ul><ul><li>Генераторы паролей </li></ul></ul><ul><ul><li>SMS- сервис </li></ul></ul>
  8. 8. Как это работает?
  9. 9. Почему OTP на token != Сертификат на Smartcard <ul><li>Однократная проверка аутентичности транзакции </li></ul><ul><ul><li>Решение об аутентичности принимает Web- сервер (приложений) один раз </li></ul></ul><ul><ul><li>Цифровую подпись можно проверять на каждом этапе </li></ul></ul><ul><li>Уязвимости Web- приложений </li></ul><ul><ul><li>Наличие уязвимости позволяет провести транзакцию без знания пароля </li></ul></ul><ul><li>Сетевые проблемы </li></ul><ul><ul><li>Цифровые сертификаты – двухсторонний SSL – NO MITM </li></ul></ul><ul><li>Секрет хранится на клиенте </li></ul><ul><li>Одноразовые пароли тоже пароли </li></ul>
  10. 10. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ При детальной ручной и автоматизированной оценке методами «черного» и «белого» ящика вероятность обнаружения уязвимости высокой степени риска достигает 97%.
  11. 11. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ Распределение вероятности обнаружения уязвимости по классам WASC.
  12. 12. Проблемы с реализацией «Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев. Пример аутентификации в одном OTP-based приложении :
  13. 13. OTP – не (всегда) моментальные пароли Censored
  14. 14. OTP – не (всегда) моментальные пароли <ul><li>Длина пароля – 6 цифр (миллион комбинаций) </li></ul><ul><li>Можно сузить диапазон комбинаций </li></ul><ul><ul><li>можно существенно сократить диапазон для брутфорса (перебирать один диапазон) </li></ul></ul><ul><li>Время жизни </li></ul><ul><ul><li>секунды (теоретически) </li></ul></ul><ul><ul><li>часы (практически) </li></ul></ul><ul><ul><li>Как правило сервер держит «окно» правильных паролей </li></ul></ul><ul><li>За приемлемое время можно подобрать несколько «живых паролей» </li></ul>
  15. 15. OTP – не (всегда) одноразовые пароли <ul><li>При использовании сгенерированных списков зачастую разрешается повторное использование паролей </li></ul><ul><ul><li>Удобно. Не ехать же в банк после 6 0 переводов? </li></ul></ul><ul><li>Вероятность повтора: 1-(59/60)^n </li></ul><ul><li>При наличии перехваченного пароля </li></ul><ul><ul><li>При 100 запросах - 81,376% </li></ul></ul><ul><ul><li>При 500 запросах - 99,9% </li></ul></ul><ul><li>Суммарная энтропия 60*10 ^6 ~ 2^26 </li></ul><ul><li>При 1000 попыток в секунду ~ 7 суток (полный перебор) </li></ul>
  16. 16. Атаки на клиентов <ul><li>Односторонний SSL </li></ul><ul><ul><li>Фишинг, MITM </li></ul></ul><ul><li>Уязвимости WEB </li></ul><ul><ul><li>XSS – самая распространенная проблема ( ~60% сайтов) </li></ul></ul><ul><ul><li>CSRF – практически все </li></ul></ul><ul><li>Хранение секрета в системе </li></ul><ul><ul><li>Специально обученный троян в состоянии сохранить и использовать OTP ( особенно для «карточек») </li></ul></ul>
  17. 17. Резюме <ul><li>OTP != Smartcard </li></ul><ul><li>Уязвимости Web- приложений </li></ul><ul><ul><li>Наличие уязвимости позволяет провести транзакцию без знания пароля </li></ul></ul><ul><ul><li>Необходимость дополнительного контроля HTTP- сессии </li></ul></ul><ul><li>Одноразовые пароли тоже пароли </li></ul><ul><ul><li>Возможен перехват </li></ul></ul><ul><ul><li>Небольшая энтропия – подбор значения </li></ul></ul><ul><ul><li>Большое «окно» </li></ul></ul><ul><ul><li>Необходимы стандартные «парольные» контрмеры </li></ul></ul>
  18. 18. Спасибо за внимание! [email_address]
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×