Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Problemy z uwierzytelnianiem

463 views

Published on

  • Be the first to comment

  • Be the first to like this

Problemy z uwierzytelnianiem

  1. 1. …w świecie bez banków Marcin Spychała, Web-Fraud Specialist Problemy z uwierzytelnianiem
  2. 2. ©2015 IBM Corporation2 19 October 2015  Historia z morałem – świat bez banków  O uwierzytelnianiu w teorii  Na ile ufać ludziom  Mały eksperyment MitM  Założenia dla idealnego systemu antyfraudowego Agenda
  3. 3. Historia z morałem Świat bez banków
  4. 4. ©2015 IBM Corporation4 19 October 2015 Historia z morałem..
  5. 5. ©2015 IBM Corporation5 19 October 2015 Zmiana której nie widać – back office Produkt Dostarczanie usługi Personalizacja usługi Podstawa nowoczesnej usługi bankowej: Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę.
  6. 6. ©2015 IBM Corporation6 19 October 2015 Zmiana, którą trochę widać - proces wprowadzenie x.commerce API wprowadzenie mobile API Podstawa nowoczesnej usługi bankowej: Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę we właściwym momencie (dzięki Real Time API).
  7. 7. ©2015 IBM Corporation7 19 October 2015 Zmiana, którą widać – mobilność i aplikacje
  8. 8. ©2015 IBM Corporation8 19 October 2015 Czego nie robi Amazon? Sprzedaje produkty? Dostarcza produkty do klientów? Wydaje książki? Produkuje towary? Zarządza sklepami? Co robi Amazon.com? Podstawową działalnością Amazon.com nie jest produkowanie towaru, projektowanie procesów lub dostarczanie produktów, Amazon.com skupia się na zarządzaniu relacjami z klientem w sposób innowacyjny (skupiając się na optymalizacji pozytywnych doznań klientów)
  9. 9. ©2015 IBM Corporation9 19 October 2015 Za co kochamy Starbucks? Co zyskujemy? Kochamy ich bo nie zawracają nam głowy procesem (zakupu kawy). Nasze Latte z dostawą do biurka.
  10. 10. ©2015 IBM Corporation10 19 October 2015 A za co Uber? Co zyskujemy? Kochamy ich bo nie zawracają nam głowy procesem (transportu). Dostajemy się z A do B bez procesu szukania taksówki i procesu dokonywania płatności
  11. 11. ©2015 IBM Corporation11 19 October 2015 Bank bez produktów?
  12. 12. ©2015 IBM Corporation12 19 October 2015 Bank bez produktów? cd.
  13. 13. ©2015 IBM Corporation13 19 October 2015 Historia banku uniwersalnego…
  14. 14. ©2015 IBM Corporation14 19 October 2015 …vs współczesność
  15. 15. Teorię mamy świetną O uwierzytelnianiu w teorii
  16. 16. ©2015 IBM Corporation16 19 October 2015 Podstawowe równanie uwierzytelniania P+K+B Possesion Knowledge Biometric
  17. 17. ©2015 IBM Corporation17 19 October 2015 Sposoby uwierzytelniania Proste uwierzytelnianie Silne uwierzytelnianie Uwierzytelnianie dwuskładnikowe
  18. 18. ©2015 IBM Corporation18 19 October 2015 Typy uwierzytelniania Uwierzytelnianie jednokierunkowe Uwierzytelnianie dwukierunkowe (jednoetapowe i dwuetapowe) Uwierzytelnienie klienta Uwierzytelnienie serwera Dane uwierzytelniające Poświadczenie Poświadczenie
  19. 19. ©2015 IBM Corporation19 19 October 2015 Sposoby obejścia – proste uwierzytelnianie 1. Infekcja złośliwym oprogramowaniem 2. Telefon z helpdesku („proszę się zalogowac do konta”) 3. Keylogger 4. Nagrywanie ekranu 5. Pharming (podstawiona strona) 6. MitM (aka – fałszywy punkt dostępowy) 7. …
  20. 20. ©2015 IBM Corporation20 19 October 2015  W teorii „sile” uwierzytelnienie  W praktyce – problemy z poprawną implementacją: - Czytniki kart często wpięte do komputerów na stałe (również klucze USB) - Hasło z karty jednorazowej lub kod z tokena można wyłudzić metodami socjotechnicznymi Sposoby obejścia – silne uwierzytelnianie
  21. 21. ©2015 IBM Corporation21 19 October 2015 Uwierzytelniania dwuskładnikowe  P+K; P+B  W teorii „silne” uwierzytelnienie  Praktyczny problem z „P” – Przykładowo „kod jednorazowy po przeczytaniu zmienia stan z P na K” a wtedy można wyłudzić metodami socjotechnicznymi  Ataki na komponent B:
  22. 22. ©2015 IBM Corporation22 19 October 2015  Model kontrasygnaty analogowej (teoria vs praktyka) – Teoria: transakcje musi zatwierdzać druga osoba – Praktyka:  Zatwierdzam wszystkie troje transakcje żeby zaoszczędzić czas  Nie zatwierdzam żadnej twoje transakcji dla swojego bezpieczeństwa  Model mieszany: zatwierdzam – ale trwa to bardzo długo – Model kontrasygnaty cyfrowej  Obejście metodą „on the fly server side inject” Obejście uwierzytelniania dwuetapowego
  23. 23. Że będą się stosować do zasad bezpieczeństwa… ….i czy w ogóle je znają? Na ile ufać ludziom…
  24. 24. ©2015 IBM Corporation24 19 October 2015 Historia jednego wycieku…
  25. 25. ©2015 IBM Corporation25 19 October 2015 Strach dobrym motywatorem? Total password entries = 11,716,208 Total unique password entries = 4,867,246
  26. 26. ©2015 IBM Corporation26 19 October 2015 Psychologia haseł AM „Those that think adding a few more words to the word password makes it harder to crack:” mypasswordispassword superhardpassword thebestpasswordever thisisagoodpassword „Those that are having doubts about using the site:” ishouldnotbedoingthis ithinkilovemywife thisiswrong whatthehellamidoing „Those that are in denial:” likeimreallygoingtocheat justcheckingitout justtryingthisout „Those who trusted AM:” youwillneverfindout youwillnevergetthis secretissafewithme „Those who think this is a dating site:” lookingfornewlife friendswithbenefits
  27. 27. 17-18.10.2015 Mały eksperyment MitM
  28. 28. ©2015 IBM Corporation28 19 October 2015 Miejsca i czas Około 1 godzina działania fałszywego punktu dostępowego
  29. 29. ©2015 IBM Corporation29 19 October 2015 Konfiguracja sslstrip & ettercap Ofiara fałszywy punkt dostępowy Atakujący router https://www.youtube.com/watch?v=HePt2J4uSno
  30. 30. ©2015 IBM Corporation30 19 October 2015  Zalogowanych użytkowników – Costa Coffie: 42 – Lotnisko Chopina: 113 – Złote Tarasy: 61  Testowane podatności: – Windows:  CVE-2015-0081 (trzecia próba)  CVE-2015-0096 (pierwsza próba) – Android  CVE-2015-1538 (pierwsza próba) Rezultaty (po godzinie)
  31. 31. W teorii nie ma problemów z implementacją… Założenia idealnego systemu
  32. 32. ©2015 IBM Corporation32 19 October 2015 Założenia  Minimalizacja zaangażowania klienta  Minimalny wpływ na doznania klienta  Detekcja + eliminacja zagrożeń  Maksymalizacja skuteczności przeciw zagrożeniom typu 0-day  Mały wpływ na posiadaną infrastrukturę banku  Minimalizacja fałszywych alarmów
  33. 33. ©2015 IBM Corporation33 19 October 2015 Komponenty systemu Zaawansowana ochrona antyfraudowa Ochrona przez źródłem problemu • Usuwanie infekcji i blokada przed eksfiltracją • Detekcja aktywnych zagrożeń na stacjach końcowych w czasie rzeczywistym • Identyfikacja przejęcia tożsamości i nieuprawnionego dostępu Poprawa doznań klientów • Redukcja niepotrzebnych uwierzytelnień, weryfikacji transakcji i innych interakcji • Lepsze zabezpieczenie transakcji i proaktywna remediacja dla klientów zhakowanych Minimalizacja wpływu na infrastrukturę i procesy • Minimalizacja alarmów false- positives • Integracja danych detekcyjnych z istniejącymi systemami i procesami w czasie rzeczywistym • SaaS ułatwia implementacje i niweluje stopień skomplikowania infrastruktury Wykorzystanie światowej sieci detekcji malware • Dane wywiadowcze z ponad 500M+ próbników w sieci • Dostosowanie zabezpieczeń bez potrzeby interakcji z klientem • Dostęp do badań nad zagrożeniami w celu poprawienia własnej wiedzy
  34. 34. ©2015 IBM Corporation34 19 October 2015 Dlaczego IBM?
  35. 35. ©2015 IBM Corporation Marcin Spychała Web-Fraud Specialist IBM Security marcin.spychala@pl.ibm.com +48 519 116 160 Linkedin: pl.linkedin.com/in/marcin.spychala

×