Cílené útoky na klienty banky

1,811 views

Published on

Published in: Travel, Business
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,811
On SlideShare
0
From Embeds
0
Number of Embeds
25
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Cílené útoky na klienty banky

  1. 2. Nie čo o mne <ul><li>Rastislav Turek [ synopsi ] </li></ul><ul><li>Nezávislý bezpečnostný konzultant </li></ul><ul><li>Člen organizácie OWASP </li></ul><ul><li>Autor blogu zameraného na bezpečnosť blog.synopsi.com </li></ul><ul><li>[email_address] </li></ul><ul><li>http://www.linkedin.com/in/synopsi </li></ul>
  2. 3. Typy útokov <ul><li>Plošné </li></ul><ul><li>- zameriavajú sa na web/server/aplikáciu, ich zásah ovplyvňuje všetkých používateľov (SQL Injection, DDoS, atď) </li></ul><ul><li>Cielené </li></ul><ul><li>- zameriavajú sa na konkrétnych užívateľov, viac sofistikované (XSS, CSRF, ClickJacking, atď.) </li></ul>
  3. 4. Prečo cieliť útoky <ul><li>ťažká odhaliteľnosť </li></ul><ul><li>možnosť upravovať parametre útoku za behu </li></ul><ul><li>zložitá obrana (málo automatizovaných nástrojov, neexistujúce nástroje, atď.) </li></ul><ul><li>jednoduchá možnosť využívať sociálne inžinierstvo (Phishing) </li></ul><ul><li>možnosť vyradiť znalých užívateľov (detekcia NoScriptu, CSS Hack, atď.) </li></ul>
  4. 5. Staro-nové formy útokov <ul><li>Cross-site Scripting (XSS) </li></ul><ul><li>- distribúcia malwaru, odcudzovanie dát </li></ul><ul><li>Cross-request Forgery (CSRF) </li></ul><ul><li>- užívateľská interakcia bez jeho vedomia </li></ul><ul><li>CSS Hack </li></ul><ul><li>Clickjacking </li></ul><ul><li>- vyvolanie interackie užívateľa bez jeho vedomia </li></ul>
  5. 6. Čo je Cross-site Scripting (XSS) http ://domain.com/search?q= <script>alert(‘XSS’);</script>
  6. 7. Mo žnosti Cross-site Scripting (XSS) <ul><li>Možnosť získať užívateľove dáta </li></ul><ul><li>- Cookies, Session, Email, Kreditné karty, atď. </li></ul><ul><li>Možnosť pracovať s DOM </li></ul><ul><li>- dokonalý phishing </li></ul><ul><li>V kombinácii s CSRF </li></ul><ul><li>- možnosť zmeniť heslo, email a iné dáta </li></ul><ul><li>Obchádzať bezpečnú komunikáciu (SSL) </li></ul><ul><li>Možnosť vytvoriť Keylogger </li></ul>
  7. 8. Cross-site Request Forgery (CSRF) <ul><li>Možnosť interakcie bež užívateľovho vedomia </li></ul><ul><li>- email, registrácia, anketa, reklama, zdieľanie </li></ul><ul><li>Veľmi zlý spôsob filtrácie </li></ul><ul><li>- RFC 2616 </li></ul><ul><li>V kombinácii s XSS </li></ul><ul><li>- simulovanie správania užívateľa </li></ul><ul><li>DDoS </li></ul><ul><li>- pri veľkej návštevnosti možnosť zaútočiť na menšie weby (slashdot efekt) </li></ul>
  8. 9. Mýty o CSRF a XSS <ul><li>Non-persistant XSS je nutné posielať cez IM/mail </li></ul><ul><li>- možnosť umiestniť do iframe/src na web </li></ul><ul><li>Cez XSS je možné získať len Cookies </li></ul><ul><li>- práca s DOM, odosielanie/načítavanie dát </li></ul><ul><li>XSS cez post nie je možné vyvolať </li></ul><ul><li>- nezáleží na metóde posielania dát </li></ul><ul><li>Proti CSRF je možné bojovať kontrolou referera </li></ul><ul><li>- referer je možné posielať spoofnutý </li></ul>
  9. 10. Teória v praxi
  10. 11. Video – Redirect (CSRF) <ul><li>Útočník pošle obeti mail, v ktorom je linka na phishingovú stránku </li></ul><ul><li>http ://web.banky.com/presmeruj?kam=http://phishingovy.web.com </li></ul><ul><li>Obeť si skontroluje linku ktora smeruje na web jeho banky </li></ul><ul><li>Otvorí ju a v sekunde je presmerovaný na phishingový web </li></ul>http://vimeo.com/2227807
  11. 12. Video – Zmena údajov (XSS & CSRF) <ul><li>Útočník vloží nebezpečný skript do skrytého iframu na web (iný, ako je web banky) </li></ul><ul><li>Obeť sa prihlási do IB </li></ul><ul><li>Otvorí infikovaný web </li></ul><ul><li>Ten na pozadí zmení útočníkom vybrané údaje </li></ul><ul><li>Obeť nemá o vykonanej interakcii ani poňatia </li></ul><ul><li>V „očiach“ banky vyzerá táto interakcia ako od užívateľa </li></ul>http://vimeo.com/2227780
  12. 13. Čo je CSS Hack Štandardná vlastnosť prehliadačov označovať užívateľom navštívené odkazy inou farbou a možnosť ich dodatočnej štylyzácie a:visited je využitá za pomoci JavaScriptu k overeniu, či užívateľ navštívil vybranú stránku.
  13. 14. Možnosti CSS Hacku <ul><li>Možnosť cieliť phishingové útoky </li></ul><ul><li>- návštevník je vopred overení, či navštívil niekedy v minulosti stránky IB </li></ul><ul><li>Možnosť zobrazovania cielenej reklamy </li></ul><ul><li>Možnosť zistiť či užívateľ navštevuje konkurenciu </li></ul><ul><li>Možnosť odhadnúť pohlavie užívateľa </li></ul><ul><li>Možnosť cieliť akékoľvek útoky CSRF + XSS </li></ul>
  14. 15. Čo je Clickjacking Využíva interakciu užívateľa a prenáša ju na iný web za pomoci iframe-u. Ten prekryje inou vrstvou, pričom zachová pôvodný interaktívny prvok, alebo ho nahradí vlastným, ktorý naň prensie interakciu užívateľa.
  15. 16. Možnosťi Clickjackingu <ul><li>využíva sa vrstvenie a skrytý iFrame </li></ul><ul><li>infikovateľný Flash, JavaScript / užívateľská ochrana NoScript </li></ul><ul><li>Umožňuje zapnúť kameru a jej nahrávanie </li></ul><ul><li>Umožňuje pridať email do profilu na stránky </li></ul><ul><li>Umožňuje pracovať s akýmkoľvek webom kde je užívateľ ne/ registrovaný </li></ul>
  16. 17. Ochrana proti Clickjackingu Na strane serveru: Zakázať načítavanie webu cez frame na cudzom webe napríklad cez js: <script type=&quot;text/javascript&quot;>if (top!=self) top.location.href=self.location.href;</script> Užívateľ: NoScript (Mozilla, Opera)
  17. 18. České banky a Clickjacking (prieskum) Česká Spořitelna GE Money Komerční Banka Raiffeisen Bank Unicredit Bank Poštovní spořitelna ČSOB Citibank Volksbank mBank
  18. 19. Slovenské banky a Clickjacking (prieskum) mBank ČSOB Dexia Istrobanka Komerční Banka OTP Poštová banka Privatbanka Slovenská Sporiteľňa Tatrabanka Volksbank VÚB
  19. 20. Ďakujem za pozornosť Rastislav Turek | Synopsi.com [email_address]

×