Wojciech Dworakowski. Autoryzacja transakcji V S. Malware i hackerzy SECURE

Transkrypt

1 Wojciech Dworakowski Autoryzacja transakcji V S Malware i hackerzy SECURE

2 whoami Testowanie i doradztwo dotyczące bezpieczeństwa aplikacji i systemów IT od 2003 roku / ponad 300 systemów i aplikacji Badania dotyczące nowych metod ataku i obrony OWASP Poland Chapter Leader 2

3 Agenda Metody autoryzacji VS scenariusze działania malware podróż w czasie Trendy i co czeka nas w (niedalekiej) przyszłości Podatności w mechanizmach autoryzacji Jak wybrać skuteczną metodę autoryzacji transakcji?

4 Metody autoryzacji transakcji Image: Image: Domestic transferto account 99XXXX890 amount 1.00 EUR authorization code: Image: wikipedia.org Image: wikipedia.org Image: iss.thalesgroup.com Image: emue.com Image: vasco.com 4

5 EWOLUCJA METOD OBRONY I ATAKU

6 Dawno, dawno temu Uwierzytelnienie: hasło(maskowane) Autoryzacja transakcji: brak Scenariusz ataku: keylogger Sinowall/ Mebroot(2006)

7 Kody TAN / itan- Zdrapki

8 Time-based One-Time Password(TOTP) Wskazanie tokena ma krótki czas życia Wyłudzenie wskazania i użycie go w czasie (prawie) rzeczywistym Podmiana transakcji w przeglądarce nr_konta= kwota=1000 KOD=3872

9 Challenge-response Hasło: *********** Image: iss.thalesgroup.com ID: Odpowiedź tokena:

10 Webinject + socjotechnika Rachunek: Kwota: PLN ID: Odpowiedź tokena: Złe hasło. Wprowadź ponownie hasło i odpowiedź tokena Hasło: Image: iss.thalesgroup.com ID: Odpowiedź tokena:

11 Słabości / Rekomendacje Wszystkie te metody nie pozwalają na weryfikację danych transakcji Metoda autoryzacji transakcji powinna umożliwiać użytkownikowi weryfikację znaczących danych transakcji (np. dla przelewu konto odbiorcy i kwota)

12

13 Image: Alior Bank SMS z kodem jednorazowym i opisem transakcji Przelew krajowy: Nr konta odbiorcy22xxxx222kwota PLN kod autoryzujący:

14 Metody ataku na autoryzację hasłem SMS Przechwycenie sesji i zmiana danych transakcji w locie Zmiana nr konta w clipboardzie/ pamięci. Problemy: Użytkownicy nie weryfikują danych transakcji Użytkownicy weryfikują dane transakcji z ekranem

15 Autoryzacja przy użyciu smartcard Uwierzytelnianie Image: alibaba.com 15

16 Malware VS smartcard Autoryzacja transakcji Podsłuchanie PIN, Uwierzytelnie i wykonanie przelewów keylogger + remote desktop 16

17 Image: Barclays Bank CAP reader 17

18 Socjotechnika Weryfikacja poprawność działania czytnika: Włóż kartę Naciśnij SIGN Wprowadź swój PIN Przepisz następujący ciąg znaków: Wprowadź Przepisz odpowiedź tutaj:

19 Socjotechnika ( Dyre Wolf ) Źródło:

20 Bankowość mobilna Brak uznanego, jednolitego standardu autoryzacji transakcji Tylko przelewy zaufane SMS Token challenge-response Jako funkcja aplikacji Jako osobna aplikacja PIN(ten sam co do uwierzytelniania) Biometria (głos, odcisk palca)

21 Overlay Źródło: Arxan/IBM -

22

23 Malware = Arsenał narzędzi = Różne scenariusze webinject, form grabbing, cookie grabbing browser hooking on-the-fly webinjectform original server Przejmowanie sesji VNC WykrywaniePOS + Skanowanie pamięci Wykrywanie smardcard + próba odczytu Wykrywanieplatform bankowych + atak

24 Cele: Atakowane aplikacje Bankowość mobilna Bankowość korporacyjna Platformy bankowości korporacyjnej (np. Multicash) Płatności elektroniczne Private banking, Domy maklerskie, FOREX Integracja z systemami FK, SDK.

25 Cele: Zawężenie ataków Ataki celowane (targeting) Firmy / korporacje Klienci zamożni Developerzy aplikacji bankowych Łatwiejszy atak niż na bank Na raz wiele aplikacji Np. Corcow sprawdza czy ofiara jest developerem Androida

26 Metody działania Malware wycelowane w konkretną aplikację a nie masowe Dostosowanie się do mechanizmów uwierzytelniania i autoryzacji Rozwój metod socjotechnicznych Podmiana rachunku u źródła Wykorzystanie podatności w mechanizmach autoryzacji

27 Podatności w mechanizmach autoryzacji PODATNOŚCI FUNKCJONALNE - PRZYKŁAD

28 Kluczowe operacje bez dodatkowej autoryzacji Np.: Zmiana nr do kodów SMS Parowanie nowego urządzenia autoryzacyjnego Zmiana szablonu płatności

29 Zmiana nr do SMS 29

30 Zmiana nr do SMS 30

31 Podatności w mechanizmach autoryzacji PODATNOŚCI NIEFUNKCJONALNE- PRZYKŁAD

32 Krok1: Użytkownik wprowadza dane transakcji POST /domestictransfer HTTP/1.1 task=approve_trn trndata.acc_id= trndata.bnf_name=telecom+operator+ltd trndata.bnf_acc_no= trndata.amount=1.00 trndata.currency=eur trndata.title=invoice

33 Krok2: Użytkownik wprowadza dane autoryzujące POST /domestictransfer HTTP/1.1 task=send_response trndata.response=

34 Nadpisanie danych transakcji POST /domestictransfer HTTP/1.1 task=send_response trndata.response= trndata.bnf_acc_no= trndata.amount= trndata.currency=eur 34

35 JAK WYBRAĆ SKUTECZNĄ METODĘ AUTORYZACJI?

36 Każdy bank i każda aplikacja są inne Klienci: retail, MSP, corpo, private Kanały: web, mobile, IVR, WebService,... Funkcjonalność Profil klienta środki, produkty, świadomość Profil ryzyka, apetyt na ryzyko Edukacja użytkowników

37 Detekcja malware -Nie ma paneceumna wszystkie scenariusze ataków Scenariusz Przekierowaniena stronę atakującego Zmianatransakcji w przeglądarce Czyja stacjakomunikuje z bankiem? atakującego ofiary Czystrona jest zmieniana w przeglądarce? webinject, przekierowanie w DNS, strona serwowana lokalnie, webinject j.w. + back-connect ofiary webinject, przekierowanie w DNS, strona serwowana lokalnie, Remote desktop ofiary Nie Zmiana nr rachunku w clipboardzie,pamięci, na stronie źródłowej ofiary Nie

38 i jeszcze kilka (nieskutecznych?) pomysłów Wyblokujemyadres IP / charakterystykę przegladarki/ konta słupów! Zaciemnijmy kod stonyto malware nie będzie umiało zrobić webinjecta! Ograniczymy czas życia kodu autoryzującego! Rozwiązania te są dobre ale na krótką metę. Warto je stosować (w przypadku incydentu) ale zakładać zmianę taktyki atakującego

39 i kilka bardziej skutecznych przykładów Którzy klienci mają dostępne duże środki obrotowe? Czy mają włączone dodatkowe zabezpieczenia: autoryzacja na dwie ręce, limity, powiadomienia? Przy wylogowaniu sprawdzanie czy klient wyciągnął kartę z czytnika Timeout + Techniki utrudniające scrapping Rozwiązania tego typu również nie są uniwersalne Ale skutecznie i trwale ograniczają powierzchnię ataku

40 Potrzebna jest uniwersalna strategia autoryzacji i uwierzytelniania Wszystkie kanały Nie tylko obecne trendy ale też spojrzenie w przyszłość Bezpieczeństwo / Wygoda użytkowania / Koszty Regulacje Poprawność implementacji Zabezpieczenia dodatkowe np.: limity, podpis na dwie ręce, powiadomienia, Detekcja Malware, podejrzanych operacji, anomalii Edukacja użytkowników

41 WYGODA UŻYTKOWANIA KOSZT BEZPIECZEŃSTWO Sławek Jasek

42

43

44 Materiały dodatkowe OWASP Transaction Authorization Cheat Sheet E-banking transaction authorization possible vulnerabilities, security verification and best practices for implementation Script-based malware detection in Online Banking Security Overview Raport Obserwatorium.biz: Nowe podejście do autoryzacji. Systemowe zabezpieczenie instytucji finansowej

45 Dziękuję, Zapraszam do