Your SlideShare is downloading. ×
0
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008

1,582

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,582
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
37
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Как я перестал боятся токенов и полюбил одноразовые пароли Сергей Гордейчик Дмитрий Евтеев Positive Technologies
  • 2. Кто мы?
    • Positive Technologies
      • У этих ребят всегда есть свежая версия XSpider :)
    • Сергей Гордейчик
      • когда-то: разработка, bugtraq, pentest, research
      • теперь: MaxPatrol, MaxPatrol, MaxPatrol, MaxPatrol
    • Дмитрий Евтеев
      • pentest, research , pentest, research, MaxPatrol, research, research, penetest….
  • 3. О чем пойдет речь
    • Аутентификация
    • Актуальные векторы угроз
    • Системы одноразовых паролей
    • Уязвимости приложений
    • Проблемы с реализацией
    • Атаки на клиентов
    • Резюме
  • 4. Аутентификация
    • Один из базовых защитных механизмов
      • Как правило, на нем все и заканчивается :)
    • Основные подходы (факторы)
      • Нечто, что мы знаем
      • Нечто, что мы имеем
      • Нечто, что мы есть (аутентификация?)
    • Распространенные реализации
      • Старые добрые пароли (фуууу!)
      • Одноразовые пароли ( One Time Password, OTP)
      • Цифровые сертификаты, смарт-карты
  • 5. Аутентификация в Интернет-Банках
    • Требуется обеспечить высокий уровень безопасности
    • Широкое использование Интернет-технологий
      • HTTP/HTTPS для передачи данных
      • Клиент - стандартный браузер и расширения ( AJAX, ActiveX, Java )
      • Наследование уязвимостей Web- приложений
    • Низкое доверие к каналу связи и стандартным средствам его криптографической защиты
      • Высока опасность успешных атак типа «фишинг», «человек по середине»
    • Низкое доверие к рабочему месту клиента
      • Вероятно отсутствие обновлений безопасности
      • Низкий уровень ИТ и ИБ грамотности
      • Возможно наличие вредоносных программ
      • Вероятна работа с недоверенного рабочего места
  • 6. Актуальные векторы угроз
  • 7. Системы одноразовых паролей
    • Достаточно широко распространены
      • Невысокая стоимость при потенциальной защищенности
      • Есть мнение, что
        • OTP на token == Сертификат на Smartcard
    • Мало зависят от ОС / Браузера
    • Вызывают ужас у пентестеров
    • Возможны разные варианты реализации
      • Заранее рассчитанные списки паролей
      • Генераторы паролей
      • SMS- сервис
  • 8. Как это работает?
  • 9. Почему OTP на token != Сертификат на Smartcard
    • Однократная проверка аутентичности транзакции
      • Решение об аутентичности принимает Web- сервер (приложений) один раз
      • Цифровую подпись можно проверять на каждом этапе
    • Уязвимости Web- приложений
      • Наличие уязвимости позволяет провести транзакцию без знания пароля
    • Сетевые проблемы
      • Цифровые сертификаты – двухсторонний SSL – NO MITM
    • Секрет хранится на клиенте
    • Одноразовые пароли тоже пароли
  • 10. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ При детальной ручной и автоматизированной оценке методами «черного» и «белого» ящика вероятность обнаружения уязвимости высокой степени риска достигает 97%.
  • 11. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/ Распределение вероятности обнаружения уязвимости по классам WASC.
  • 12. Проблемы с реализацией «Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев. Пример аутентификации в одном OTP-based приложении :
  • 13. OTP – не (всегда) моментальные пароли Censored
  • 14. OTP – не (всегда) моментальные пароли
    • Длина пароля – 6 цифр (миллион комбинаций)
    • Можно сузить диапазон комбинаций
      • можно существенно сократить диапазон для брутфорса (перебирать один диапазон)
    • Время жизни
      • секунды (теоретически)
      • часы (практически)
      • Как правило сервер держит «окно» правильных паролей
    • За приемлемое время можно подобрать несколько «живых паролей»
  • 15. OTP – не (всегда) одноразовые пароли
    • При использовании сгенерированных списков зачастую разрешается повторное использование паролей
      • Удобно. Не ехать же в банк после 6 0 переводов?
    • Вероятность повтора: 1-(59/60)^n
    • При наличии перехваченного пароля
      • При 100 запросах - 81,376%
      • При 500 запросах - 99,9%
    • Суммарная энтропия 60*10 ^6 ~ 2^26
    • При 1000 попыток в секунду ~ 7 суток (полный перебор)
  • 16. Атаки на клиентов
    • Односторонний SSL
      • Фишинг, MITM
    • Уязвимости WEB
      • XSS – самая распространенная проблема ( ~60% сайтов)
      • CSRF – практически все
    • Хранение секрета в системе
      • Специально обученный троян в состоянии сохранить и использовать OTP ( особенно для «карточек»)
  • 17. Резюме
    • OTP != Smartcard
    • Уязвимости Web- приложений
      • Наличие уязвимости позволяет провести транзакцию без знания пароля
      • Необходимость дополнительного контроля HTTP- сессии
    • Одноразовые пароли тоже пароли
      • Возможен перехват
      • Небольшая энтропия – подбор значения
      • Большое «окно»
      • Необходимы стандартные «парольные» контрмеры
  • 18. Спасибо за внимание! [email_address]

×