Post on 13-Apr-2017
…w świecie bez banków
Marcin Spychała, Web-Fraud Specialist
Problemy z uwierzytelnianiem
©2015 IBM Corporation2 May 3, 2023
Historia z morałem – świat bez banków O uwierzytelnianiu w teorii Na ile ufać ludziom Mały eksperyment MitM Założenia dla idealnego systemu antyfraudowego
Agenda
Historia z morałemŚwiat bez banków
©2015 IBM Corporation4 May 3, 2023
Historia z morałem..
©2015 IBM Corporation5 May 3, 2023
Zmiana której nie widać – back office
ProduktDostarczanie usługi Personalizacja usługi
Podstawa nowoczesnej usługi bankowej:Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną
dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę.
©2015 IBM Corporation6 May 3, 2023
Zmiana, którą trochę widać - proces
wprowadzenie x.commerce APIwprowadzenie mobile API
Podstawa nowoczesnej usługi bankowej:Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną
dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę we właściwym momencie (dzięki Real Time API).
©2015 IBM Corporation7 May 3, 2023
Zmiana, którą widać – mobilność i aplikacje
Czyj to klient?
Kto jest klientem?
©2015 IBM Corporation8 May 3, 2023
Czego nie robi Amazon?
Sprzedaje produkty?
Dostarcza produkty do klientów?
Wydaje książki?Produkuje towary?
Zarządza sklepami?
Co robi Amazon.com?Podstawową działalnością Amazon.com nie jest produkowanie towaru,
projektowanie procesów lub dostarczanie produktów,Amazon.com skupia się na zarządzaniu relacjami z klientem w sposób innowacyjny
(skupiając się na optymalizacji pozytywnych doznań klientów)
©2015 IBM Corporation9 May 3, 2023
Za co kochamy Starbucks?
Co zyskujemy?Kochamy ich bo nie zawracają nam głowy procesem (zakupu kawy).
Nasze Latte z dostawą do biurka.
©2015 IBM Corporation10 May 3, 2023
A za co Uber?
Co zyskujemy?Kochamy ich bo nie zawracają nam głowy procesem (transportu).
Dostajemy się z A do B bez procesu szukania taksówki i procesu dokonywania płatności
©2015 IBM Corporation11 May 3, 2023
Bank bez produktów?
©2015 IBM Corporation12 May 3, 2023
Bank bez produktów? cd.
©2015 IBM Corporation13 May 3, 2023
Historia banku uniwersalnego…
©2015 IBM Corporation14 May 3, 2023
…vs współczesność
Teorię mamy świetnąO uwierzytelnianiu w teorii
©2015 IBM Corporation16 May 3, 2023
Podstawowe równanie uwierzytelniania
P+K+BPossesionKnowledgeBiometric
©2015 IBM Corporation17 May 3, 2023
Sposoby uwierzytelniania
Proste uwierzytelnianieSilne uwierzytelnianieUwierzytelnianie dwuskładnikowe
©2015 IBM Corporation18 May 3, 2023
Typy uwierzytelniania
Uwierzytelnianie jednokierunkoweUwierzytelnianie dwukierunkowe (jednoetapowe i dwuetapowe)
Uwierzytelnienieklienta
Uwierzytelnienieserwera
Dane uwierzytelniające
Poświadczenie
Poświadczenie
©2015 IBM Corporation19 May 3, 2023
Sposoby obejścia – proste uwierzytelnianie
1. Infekcja złośliwym oprogramowaniem2. Telefon z helpdesku („proszę się zalogowac do konta”)3. Keylogger4. Nagrywanie ekranu5. Pharming (podstawiona strona)6. MitM (aka – fałszywy punkt dostępowy)7. …
©2015 IBM Corporation20 May 3, 2023
W teorii „sile” uwierzytelnienie W praktyce – problemy z poprawną implementacją:
- Czytniki kart często wpięte do komputerów na stałe (również klucze USB)- Hasło z karty jednorazowej lub kod z tokena można wyłudzić metodami
socjotechnicznymi
Sposoby obejścia – silne uwierzytelnianie
©2015 IBM Corporation21 May 3, 2023
Uwierzytelniania dwuskładnikowe
P+K; P+B W teorii „silne” uwierzytelnienie Praktyczny problem z „P”
– Przykładowo „kod jednorazowy po przeczytaniu zmienia stan z P na K” a wtedy można wyłudzić metodami socjotechnicznymi
Ataki na komponent B:
©2015 IBM Corporation22 May 3, 2023
Model kontrasygnaty analogowej (teoria vs praktyka)– Teoria: transakcje musi zatwierdzać druga osoba– Praktyka:
Zatwierdzam wszystkie troje transakcje żeby zaoszczędzić czas Nie zatwierdzam żadnej twoje transakcji dla swojego bezpieczeństwa Model mieszany: zatwierdzam – ale trwa to bardzo długo
– Model kontrasygnaty cyfrowej Obejście metodą „on the fly server side inject”
Obejście uwierzytelniania dwuetapowego
Że będą się stosować do zasad bezpieczeństwa…
….i czy w ogóle je znają?
Na ile ufać ludziom…
©2015 IBM Corporation24 May 3, 2023
Historia jednego wycieku…
©2015 IBM Corporation25 May 3, 2023
Strach dobrym motywatorem?
Total password entries = 11,716,208Total unique password entries = 4,867,246
©2015 IBM Corporation26 May 3, 2023
Psychologia haseł AM„Those that think adding a few more words to the word password makes it harder to crack:”mypasswordispasswordsuperhardpasswordthebestpasswordeverthisisagoodpassword
„Those that are having doubts about using the site:”ishouldnotbedoingthisithinkilovemywifethisiswrongwhatthehellamidoing
„Those that are in denial:”likeimreallygoingtocheatjustcheckingitoutjusttryingthisout
„Those who trusted AM:”youwillneverfindoutyouwillnevergetthissecretissafewithme
„Those who think this is a dating site:”lookingfornewlifefriendswithbenefits
17-18.10.2015Mały eksperyment MitM
©2015 IBM Corporation28 May 3, 2023
Miejsca i czas
Około 1 godzina działania fałszywego punktu dostępowego
©2015 IBM Corporation29 May 3, 2023
Konfiguracja
sslstrip &ettercap
Ofiara
fałszywy punkt dostępowy
Atakujący
router
https://www.youtube.com/watch?v=HePt2J4uSno
©2015 IBM Corporation30 May 3, 2023
Zalogowanych użytkowników– Costa Coffie: 42– Lotnisko Chopina: 113– Złote Tarasy: 61
Testowane podatności:– Windows:
CVE-2015-0081 (trzecia próba) CVE-2015-0096 (pierwsza próba)
– Android CVE-2015-1538 (pierwsza próba)
Rezultaty (po godzinie)
W teorii nie ma problemów z implementacją…Założenia idealnego systemu
©2015 IBM Corporation32 May 3, 2023
Założenia
Minimalizacja zaangażowania klienta Minimalny wpływ na doznania klienta Detekcja + eliminacja zagrożeń Maksymalizacja skuteczności przeciw zagrożeniom typu 0-day Mały wpływ na posiadaną infrastrukturę banku Minimalizacja fałszywych alarmów
©2015 IBM Corporation33 May 3, 2023
Komponenty systemu
Zaawansowana ochrona
antyfraudowa
Ochrona przez źródłem problemu
• Usuwanie infekcji i blokada przed eksfiltracją
• Detekcja aktywnych zagrożeń na stacjach końcowych w czasie rzeczywistym
• Identyfikacja przejęcia tożsamości i nieuprawnionego dostępu
Poprawa doznań klientów
• Redukcja niepotrzebnych uwierzytelnień, weryfikacji transakcji i innych interakcji
• Lepsze zabezpieczenie transakcji i proaktywna remediacja dla klientów zhakowanych
Minimalizacja wpływu na infrastrukturę i procesy
• Minimalizacja alarmów false-positives
• Integracja danych detekcyjnych z istniejącymi systemami i procesami w czasie rzeczywistym
• SaaS ułatwia implementacje i niweluje stopień skomplikowania infrastruktury
Wykorzystanie światowej sieci detekcji malware
• Dane wywiadowcze z ponad 500M+ próbników w sieci
• Dostosowanie zabezpieczeń bez potrzeby interakcji z klientem
• Dostęp do badań nad zagrożeniami w celu poprawienia własnej wiedzy
©2015 IBM Corporation34 May 3, 2023
Dlaczego IBM?
©2015 IBM Corporation
Marcin SpychałaWeb-Fraud Specialist IBM Securitymarcin.spychala@pl.ibm.com+48 519 116 160Linkedin: pl.linkedin.com/in/marcin.spychala