Problemy z uwierzytelnianiem
- 1. …w świecie bez banków
Marcin Spychała, Web-Fraud Specialist
Problemy z uwierzytelnianiem
- 2. ©2015 IBM Corporation2 19 October 2015
Historia z morałem – świat bez banków
O uwierzytelnianiu w teorii
Na ile ufać ludziom
Mały eksperyment MitM
Założenia dla idealnego systemu antyfraudowego
Agenda
- 5. ©2015 IBM Corporation5 19 October 2015
Zmiana której nie widać – back office
Produkt
Dostarczanie usługi Personalizacja usługi
Podstawa nowoczesnej usługi bankowej:
Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną
dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę.
- 6. ©2015 IBM Corporation6 19 October 2015
Zmiana, którą trochę widać - proces
wprowadzenie x.commerce API
wprowadzenie mobile API
Podstawa nowoczesnej usługi bankowej:
Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną
dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę we właściwym momencie
(dzięki Real Time API).
- 8. ©2015 IBM Corporation8 19 October 2015
Czego nie robi Amazon?
Sprzedaje produkty?
Dostarcza produkty do klientów?
Wydaje książki?
Produkuje towary?
Zarządza sklepami?
Co robi Amazon.com?
Podstawową działalnością Amazon.com nie jest produkowanie towaru,
projektowanie procesów lub dostarczanie produktów,
Amazon.com skupia się na zarządzaniu relacjami z klientem w sposób innowacyjny
(skupiając się na optymalizacji pozytywnych doznań klientów)
- 9. ©2015 IBM Corporation9 19 October 2015
Za co kochamy Starbucks?
Co zyskujemy?
Kochamy ich bo nie zawracają nam głowy procesem (zakupu kawy).
Nasze Latte z dostawą do biurka.
- 10. ©2015 IBM Corporation10 19 October 2015
A za co Uber?
Co zyskujemy?
Kochamy ich bo nie zawracają nam głowy procesem (transportu).
Dostajemy się z A do B bez procesu szukania taksówki i procesu dokonywania
płatności
- 16. ©2015 IBM Corporation16 19 October 2015
Podstawowe równanie uwierzytelniania
P+K+B
Possesion
Knowledge
Biometric
- 17. ©2015 IBM Corporation17 19 October 2015
Sposoby uwierzytelniania
Proste uwierzytelnianie
Silne uwierzytelnianie
Uwierzytelnianie dwuskładnikowe
- 18. ©2015 IBM Corporation18 19 October 2015
Typy uwierzytelniania
Uwierzytelnianie jednokierunkowe
Uwierzytelnianie dwukierunkowe (jednoetapowe i dwuetapowe)
Uwierzytelnienie
klienta
Uwierzytelnienie
serwera
Dane
uwierzytelniające
Poświadczenie
Poświadczenie
- 19. ©2015 IBM Corporation19 19 October 2015
Sposoby obejścia – proste uwierzytelnianie
1. Infekcja złośliwym oprogramowaniem
2. Telefon z helpdesku („proszę się zalogowac do konta”)
3. Keylogger
4. Nagrywanie ekranu
5. Pharming (podstawiona strona)
6. MitM (aka – fałszywy punkt dostępowy)
7. …
- 20. ©2015 IBM Corporation20 19 October 2015
W teorii „sile” uwierzytelnienie
W praktyce – problemy z poprawną implementacją:
- Czytniki kart często wpięte do komputerów na stałe (również klucze USB)
- Hasło z karty jednorazowej lub kod z tokena można wyłudzić metodami
socjotechnicznymi
Sposoby obejścia – silne uwierzytelnianie
- 21. ©2015 IBM Corporation21 19 October 2015
Uwierzytelniania dwuskładnikowe
P+K; P+B
W teorii „silne” uwierzytelnienie
Praktyczny problem z „P”
– Przykładowo „kod jednorazowy po przeczytaniu zmienia stan z P na K” a wtedy można
wyłudzić metodami socjotechnicznymi
Ataki na komponent B:
- 22. ©2015 IBM Corporation22 19 October 2015
Model kontrasygnaty analogowej (teoria vs praktyka)
– Teoria: transakcje musi zatwierdzać druga osoba
– Praktyka:
Zatwierdzam wszystkie troje transakcje żeby zaoszczędzić czas
Nie zatwierdzam żadnej twoje transakcji dla swojego bezpieczeństwa
Model mieszany: zatwierdzam – ale trwa to bardzo długo
– Model kontrasygnaty cyfrowej
Obejście metodą „on the fly server side inject”
Obejście uwierzytelniania dwuetapowego
- 23. Że będą się stosować do zasad bezpieczeństwa…
….i czy w ogóle je znają?
Na ile ufać ludziom…
- 25. ©2015 IBM Corporation25 19 October 2015
Strach dobrym motywatorem?
Total password entries = 11,716,208
Total unique password entries = 4,867,246
- 26. ©2015 IBM Corporation26 19 October 2015
Psychologia haseł AM
„Those that think adding a few more
words to the word password makes it
harder to crack:”
mypasswordispassword
superhardpassword
thebestpasswordever
thisisagoodpassword
„Those that are having doubts about
using the site:”
ishouldnotbedoingthis
ithinkilovemywife
thisiswrong
whatthehellamidoing
„Those that are in denial:”
likeimreallygoingtocheat
justcheckingitout
justtryingthisout
„Those who trusted AM:”
youwillneverfindout
youwillnevergetthis
secretissafewithme
„Those who think this is a dating site:”
lookingfornewlife
friendswithbenefits
- 29. ©2015 IBM Corporation29 19 October 2015
Konfiguracja
sslstrip &
ettercap
Ofiara
fałszywy punkt
dostępowy
Atakujący
router
https://www.youtube.com/watch?v=HePt2J4uSno
- 30. ©2015 IBM Corporation30 19 October 2015
Zalogowanych użytkowników
– Costa Coffie: 42
– Lotnisko Chopina: 113
– Złote Tarasy: 61
Testowane podatności:
– Windows:
CVE-2015-0081 (trzecia próba)
CVE-2015-0096 (pierwsza próba)
– Android
CVE-2015-1538 (pierwsza próba)
Rezultaty (po godzinie)
- 31. W teorii nie ma problemów z implementacją…
Założenia idealnego systemu
- 32. ©2015 IBM Corporation32 19 October 2015
Założenia
Minimalizacja zaangażowania klienta
Minimalny wpływ na doznania klienta
Detekcja + eliminacja zagrożeń
Maksymalizacja skuteczności przeciw zagrożeniom typu 0-day
Mały wpływ na posiadaną infrastrukturę banku
Minimalizacja fałszywych alarmów
- 33. ©2015 IBM Corporation33 19 October 2015
Komponenty systemu
Zaawansowana
ochrona
antyfraudowa
Ochrona przez źródłem
problemu
• Usuwanie infekcji i blokada
przed eksfiltracją
• Detekcja aktywnych zagrożeń
na stacjach końcowych w czasie
rzeczywistym
• Identyfikacja przejęcia
tożsamości i nieuprawnionego
dostępu
Poprawa doznań klientów
• Redukcja niepotrzebnych
uwierzytelnień, weryfikacji
transakcji i innych interakcji
• Lepsze zabezpieczenie
transakcji i proaktywna
remediacja dla klientów
zhakowanych
Minimalizacja wpływu na
infrastrukturę i procesy
• Minimalizacja alarmów false-
positives
• Integracja danych detekcyjnych z
istniejącymi systemami i procesami
w czasie rzeczywistym
• SaaS ułatwia implementacje i
niweluje stopień skomplikowania
infrastruktury
Wykorzystanie światowej
sieci detekcji malware
• Dane wywiadowcze z ponad
500M+ próbników w sieci
• Dostosowanie zabezpieczeń bez
potrzeby interakcji z klientem
• Dostęp do badań nad
zagrożeniami w celu poprawienia
własnej wiedzy
- 35. ©2015 IBM Corporation
Marcin Spychała
Web-Fraud Specialist
IBM Security
marcin.spychala@pl.ibm.com
+48 519 116 160
Linkedin: pl.linkedin.com/in/marcin.spychala