Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Cyberprzestępcy przełamali dwuetapowe zabezpieczenia (two-factor authentication) bankowe. System jednorazowych haseł nie jest zatem tak bezpieczny, jak mogłoby się wydawać.

Przekonał się o tym menedżer firmy Ferma, który przed kilkoma miesiącami zalogował się na swoje konto. Używał przy tym hasła jednorazowego, którym był sześciocyfrowy kod generowany automatycznie przez specjalne urządzenie co 30-60 sekund. Okazało się, że w czasie, gdy mężczyzna był zalogowany na koncie, cyberprzestępcy przeprowadzili 27 transakcji, okradając go na 447 000 dolarów.

Późniejsze badania komputera poszkodowanego ujawniły, że wcześniej, podczas wizyty na jednej z witryn, został on zarażony szkodliwym kodem, który potrafi zainicjować transakcje i korzysta ze słabości systemu haseł jednorazowych.

Eksperci zauważają, że żadne zabezpieczenia nie powstrzymają cyberprzestępców. Mogą jedynie utrudnić im pracę i spowodować, że włamanie stanie się bardziej kosztowne.

Jeśli użytkownik dopuści do zainfekowania komputera, nie może być pewien, czy nie zostanie okradziony. I nie uchronią go przed tym nawet hasła jednorazowe.

Znacznie lepszym rozwiązaniem od stosowania po stronie użytkownika urządzeń generujących hasła jest wysyłanie ich SMS-em, jednak walka z cyberprzestępcami przypomina zabawę w kotka i myszkę. "Przestępcy otwierają jakieś drzwi, my je zamykamy, a oni znajdują inne" - mówi Ariel Avitan odpowiedzialny za bezpieczeństwo w firmie Frost & Sullivan.

Share this post


Link to post
Share on other sites

W zasadzie banalnym rozwiązaniem problemu byłby (a raczej: jest) limit liczby lub kwoty transakcji. Nie sądzę, żeby ktokolwiek rzeczywiście wykonywał jednego dnia 27 transakcji na kwotę pół miliona dolarów. Wystarczyłby limit do 10 transakcji lub 10 000 dolarów + konieczność autoryzacji inną drogą, gdy chce się ten limit przekroczyć. W zasadzie aż mi się ciśnie na usta stwierdzenie, że bank nawalił na całej linii, bo nie wykorzystał środków bezpieczeństwa dostępnych od wielu, wielu lat.

Share this post


Link to post
Share on other sites

Ciężko to nazwać "przełamaniem", bo samo uwierzytelnienie spełniło swoje zadanie. Wina kolesia, że ma syf na kompie i odwiedza niebezpieczne stronki. Ciekawe jest też stwierdzenie "korzysta ze słabości systemu haseł jednorazowych", bo jeśli miał on token typu challenge-response, to dziwne, że nie zauważył 27 próśb o wysłanie kodu. Chyba, że to była jakaś inna odmiana tokenu. Nie bardzo wiem czemu rozwiązanie via SMS miałoby być znacznie lepsze...

Share this post


Link to post
Share on other sites

Od jakiegoś czasu korzystam z autoryzacji operacji kodami przesyłanymi SMSem. W każdym SMSie, oprócz kodu, znajdują się dane operacji (kwota, 6 początkowych i 4 końcowe liczby numeru konta docelowego) oraz numer operacji dokonywanej tego dnia (każdego dnia licznik zaczyna się od 1).

 

Do przeprowadzenia ataku na tego typu system, atakujący musiałby zarazić również telefon i np zmieniać treść SMSa, ale to byłoby i tak bardzo ciężkie, bo trojan w telefonie musiałby znać oryginalne dane transakcji, którą użytkownik przeprowadza. Ewentualnie atakujący musiałby wcześniej ukraść sam telefon.

 

@wilk:

Jeżeli Token generuje kod w oparciu tylko i wyłącznie o aktualny czas (to by wynikało z treści). Jeżeli kod się zmienia co kilkanaście sekund, to przez te kilkanaście sekund można przeprowadzić wiele operacji przy pomocy tego samego kodu. W takim razie to nie jest nawet kod jednorazowy i atakujący wcale nie wykorzystał słabości kodów jednorazowych, bo tu nie miało miejsca użycie takiego kodu.

Token Challenge-Response oczywiście jest dużo lepszym zabezpieczeniem. Kod generowany przez bank jest przetwarzany przez Token w oparciu o zmienną czasową. Jednak jeżeli atakującemu udałoby się złamać algorytm i klucz tokenu, mógłby on sam generować odpowiedź tokenu.

W przypadku autoryzacji SMSem masz w pełni losowe kody, które zna tylko system bankowy i Ty (no ewentualnie operator Twojej sieci).

Share this post


Link to post
Share on other sites

A ja ciągle korzystam z papierowej listy haseł jednorazowych (mniejsza szansa że ukradną mi listę, niż telefon) i też uważam że taki typ dwupoziomowej autoryzacji jest w zasadzie nie do złamania. Ktoś musiałby podsłuchać moją klawiaturę lub w inny sposób wykraść login i hasło do banku, a następnie napaść na mnie kradnąc listę (bądź w przypadku haseł smsowych - telefon). Tego typu przedsięwzięcie w zupełności nie opłaca się wykonaniu na zwykłą osobę, której obrót na koncie nie przekracza kilku-kilkunastu tysięcy miesięcznie.. Także możemy spać bezpiecznie ;)

 

@mikroos: Ja myślę że ten bank oferuje takie limity o jakich mówisz, ale ten gość po prostu mógł je sobie zdjąć. Np ja tak zrobiłem, bo któregoś dnia zostałem zblokowany tym, ze wykonałem 5 czy ileś transakcji (akurat tak dziwnie wyszło, że dużo razy do bankomatu chodziłem). No ale ja, to wiem że nie ma mnie co napadać - gdybym miał na koncie większe sumy, to pewnie zrobiłbym właśnie tak jak zasugerowałeś - określił limity ilości oraz sumy transakcji..

Share this post


Link to post
Share on other sites

A ja ciągle korzystam z papierowej listy haseł jednorazowych (mniejsza szansa że ukradną mi listę, niż telefon) i też uważam że taki typ dwupoziomowej autoryzacji jest w zasadzie nie do złamania.

 

Wystarczy ją sfotografować. ;)

Share this post


Link to post
Share on other sites

Myślę że nie jest to takie proste, zważywszy że wyciągam ją jedynie będąc przy komputerze, jedynie gdy wykonuję transakcję która nie jest zdefiniowana ;)

 

Także zapewne fakt fotografowania byłby mi znany - a wtedy zero problemu - dzwonię do banku żeby zablokowali tę listę, i po sprawie :P A zdaje się, że nawet mogę zablokować ją sam, po zalogowaniu się :D

Share this post


Link to post
Share on other sites

@lucky_one: nie bierzesz pod uwagę takiej ewentualności, że na Twoim komputerze zostanie zainstalowany trojan, który podepnie się pod przeglądarkę i będzie pośredniczył w transakcji odpowiednio podmieniając dane transakcji. Takiego trojana nie wykryjesz przez sprawdzenie certyfikatu strony banku, bo on już działa po Twojej stronie, a nie pomiędzy przeglądarką, a bankiem. Wprowadzasz swoje dane przelewu, podajesz kod jednorazowy. Dane przelewu lecą już zmienione, ale z poprawnym kodem. Nie masz możliwości weryfikacji tego (trojan na bieżąco modyfikuje zawartość strony, żebyś myślał, że wszystko jest ok).

 

Z SMSami jest inaczej. Kod jest generowany do tej jednej operacji i dostajesz dane tej transakcji, które możesz zweryfikować i których trojan nie może zamaskować. Jeżeli trojan zmodyfikuje dane do transakcji, to w SMSie dostane dane wysłane przez niego, a nie te, które sam wpisałem w formularzu na stronie. Więc oprócz tego, że masz kod jednorazowy, to dodatkowo dostajesz jeszcze jeden poziom zabezpieczenia.

Share this post


Link to post
Share on other sites

...

@wilk:

Jeżeli Token generuje kod w oparciu tylko i wyłącznie o aktualny czas (to by wynikało z treści). Jeżeli kod się zmienia co kilkanaście sekund, to przez te kilkanaście sekund można przeprowadzić wiele operacji przy pomocy tego samego kodu. W takim razie to nie jest nawet kod jednorazowy i atakujący wcale nie wykorzystał słabości kodów jednorazowych, bo tu nie miało miejsca użycie takiego kodu.

 

To nie tak działa.

To prawda, że token sprzętowy jest de facto zegarkiem, podającym czas (w minutach, od umownej dla danej serii tokenów chwili początkowej) w postaci zaszyfrowanej - innym kluczem dla każdego użytkownika (a zarazem tokenu), co powoduje, że sekwencja tych samych liczb (000000 do 999999) jest inna dla każdego tokenu.

ALE:

Każdy kod generowany przez token jest jednorazowy - nawet jeśli ktoś zdąży wprowadzić drugą operację przed wygaśnięciem ważności kodu to potwierdzenie jej "zużytym kodem" się nie uda. To oczywiście limituje ilość operacji bankowych - w godzinę można zrobić max 60 przelewów, jeśli zmiana kodu jest co minutę, a każdy przelew trzeba oddzielnie zatwierdzić.

 

Token Challenge-Response oczywiście jest dużo lepszym zabezpieczeniem. Kod generowany przez bank jest przetwarzany przez Token w oparciu o zmienną czasową. Jednak jeżeli atakującemu udałoby się złamać algorytm i klucz tokenu, mógłby on sam generować odpowiedź tokenu.

I tak, i nie. Bo taki token może wykorzystywać nie tylko o zmienną czasową, ale też hasło. Wtedy token ma dwa: jedno do jego odblokowania ("zalogowanie do tokenu") i drugie, potrzebne do wygenerowania kodu odpowiedzi z wprowadzonego kodu dostarczonego przez bank.

W dodatku, ponieważ wygenerowany kod ma ograniczony okres ważności, przestępca nawet znając algorytm stosowany przez bank do generowanie challenge'u ma znikome szanse zdążyć tak dobrać treść "fałszywego" przelewu, aby uzyskać to samo, co bank wygenerował dla przelewu klienta (musi to robić metodą prób i błędów, bo challenge jest tworzony przez szyfrowanie). (Gdyby zdążył, mógłby unieważnić przelew oryginalny i złożyć swój, blokując na chwilę komunikację klienta, a ten wprowadzając kod do swojego przelewu potwierdziłby "fałszywkę".)

 

W przypadku autoryzacji SMSem masz w pełni losowe kody, które zna tylko system bankowy i Ty (no ewentualnie operator Twojej sieci).

Niestety już nie tylko - złamano algorytmy szyfrowania komunikacji w sieciach GSM i teraz ani rozmowy ani SMSy nie są tajne :-(

Ktoś dysponujący odpowiednim sprzętem może nie tylko podsłuchać jedno i drugie, ale nawet "podstawić" fałszywą stację bazową i włączyć się w komunikację...

To są skutki wiary, że tajne algorytmy są lepsze niż OpenSource, choć te drugie sprawdza więcej ludzi i dziury są wykrywane o niebo szybciej.

 

witrak()

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.
      Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.
      Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.
      Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Interpol poinformował o zatrzymaniu 25 osób podejrzewanych o przynależność do grupy Anonimowych. Aresztowań dokonała lokalna policja w Argentynie, Chile, Kolumbii i Hiszpanii. Zatrzymani mają od 17 do 40 lat. Zdaniem policji planowali ataki na witryny m.in. kolumbijskiego prezydenta i Ministerstwa obrony oraz chilijskiej firmy energetyczne Endesa oraz Biblioteki Narodowej. W ramach koordynowanej przez Interpol akcji zajęto 250 sztuk różnego sprzętu elektronicznego i przeszukano 40 miejsc w 15 miastach. Aresztowania to wynik rozpoczętego w lutym śledztwa.
      Wśród aresztowanych są cztery osoby zatrzymane w Hiszpanii, które oskarżono o niszczenie witryn internetowych, przeprowadzanie ataków DDoS oraz ujawnienie informacji o policjantach przydzielonych do ochrony biura premiera Hiszpanii i pałacu królewskiego.
    • By KopalniaWiedzy.pl
      Byli szefowie Nortela będą prawdopodobnie musieli gęsto się tłumaczyć. Prasa doniosła, że niegdysiejszy gigant telekomunikacyjny, który zbankrutował, a jego majątek i pracowników przejęli inni, przez niemal dekadę był szpiegowany przez cyberprzestępców.
      Hakerzy, najprawdopodobniej z Chin, po raz pierwszy uzyskali dostęp do sieci wewnętrznej Nortela w roku 2000. Wykorzystali przy tym siedem nazw użytkownika i haseł ukradzionych menedżerom firmy, w tym jej prezesowi. Jak ujawnił Brian Shields, który przez 19 lat pracował w Nortelu i prowadził wewnętrzne śledztwo w sprawie włamania, przez całe lata przestępcy kradli z serwerów firmy dokumentację techniczną, raporty dotyczące nowych technologii, e-maile oraz plany biznesowe. Mieli dostęp do wszystkiego. Mieli dużo czasu. Jedyne, co musieli zrobić, to zdecydowanie, co chcą zabrać - powiedział Shields. Zdradził on również, że Nortel nie zrobił nic, by przeszkodzić włamywaczom. Jedyne podjęte działanie to zresetowanie ukradzionych haseł.
      Przedstawiciele Nortela odmówili skomentowania powyższych informacji. Obecnie zajmują się oni sprzedażą reszty majątku firmy, która w 2009 roku złożyła wniosek o upadłość.
      Z informacji uzyskanych od Shieldsa i inne osoby zaangażowane w śledztwo wynika, że Nortel nie tylko nie zabezpieczył swoich urządzeń, które padły ofiarami ataku, ale nawet nie poinformował o włamaniu firm, którym sprzedaje swój majątek. Nabyły go takie firmy jak Avaya Inc., Ciena Corp., Telefon AB L.M. Ericsson oraz Genband. Nie można wykluczyć, że w kupionym przez nie sprzęcie, oprogramowaniu czy dokumentacji nie znajdują się np. rootkity czy inny rodzaj szkodliwego kodu, który teraz będzie im zagrażał.
      Jacob Olcott z firmy Good Harbor Consulting, która specjalizuje się w doradztwie dotyczącym bezpieczeństwa mówi, że nie ma wymogu prawnego, by informować o włamaniach firmy, które przejmują przedsiębiorstwo będące ofiarą ataku. To przejmujący powinien się o takie rzeczy zapytać. Jednak z drugiej strony Nortel był notowany na amerykańskiej giełdzie, a Komisja Giełd (SEC) wymaga ujawniania inwestorom ryzyk „materialnych“ oraz związanych z różnymi wydarzeniami. Olcott zauważa, że coraz więcej firm zdaje sobie sprawę z faktu, że cyberataki niosą za sobą materialne niebezpieczeństwo. SEC wydał w ubiegłym roku instukcję, w której zauważa, że ataki mogą mieć materialne skutki oraz że firmy powinny zawsze sprawdzać, czy takie skutki miały miejsce.
      Dwóch z byłych menedżerów Nortela odmówiło komentarza. Trzeci, Mike Zafirovski, stwierdził, że włamanie nie stanowiło poważnego problemu, a teoria o ryzyku dla firm, które nabyły majątek Nortela jest „bardzo, bardzo naciągana“.
      Jednak pracownicy, którzy prowadzili śledztwo są innego zdania. Zauważają, że duża liczba pecetów i notebooków Nortela trafiła do wymienionych firm. Część z nich na pewno nie została sprawdzona pod kątem ewentualnego włamania przed podłączeniem ich do sieci Avaya. Pracownicy określili liczbę takich „ryzykownych“ komputerów na wiele setek.
    • By KopalniaWiedzy.pl
      Policja zatrzymała mężczyznę podejrzewanego o włamanie na stronę Kancelarii Prezesa Rady Ministrów. W wywiadzie dla Gazety Wyborczej mężczyzna przyznaje, że to on jest włamywaczem.
      Aresztowania dokonano po tym, jak grupa Happyninja ujawniła, kim są włamywacze. W serwisie Pastebin ujawniono sporą ilość informacji na temat włamywaczy. Happyninja tak tłumaczą swoje działania: Mamy po prostu ich dość i _demaskujemy_ ich z całą świadomością. Idiotyczne podmiany stron nie robią na nas żadnego wrażenia, ale kradzieże pieniędzy ze stron w internecie, na których być może zakupy robią nasi bliscy nie zostaną zostawione same sobie. Nie wspominając już o e-terroryźmie w postaci ataków na strony rządowe. Koniec pozerki oraz lansu, panowie. Poza tym, "walczycie o wolność słowa w internecie" sprzeciwiając się ACTA? My też - dlatego wszystko będzie jawne i ten dokument zobaczy sporo osób, bo informacja ma być wolna.
      Dalej cytują rozmowy przeprowadzane z włamywaczem na kanale IRC, podają jego nazwisko i adres domowy oraz obecny adres. W tym miejscu pada stwierdzenie siedzisz bidoku w jakiejś studenckiej klitce, klikasz z komórki, a komputer do 'akcji' pożyczasz od Bogu ducha winnej Anki. Nie wstyd ci?
      Jak dowiadujemy się z opublikowanych informacji, Fir3 - bo takim pseudonimem posługiwał się mężczyzna - ma już na swoim koncie wyrok za włamanie i podmianę strony sądu w Wałbrzychu. Happyninjas twierdzą też, że włamuje się on do sklepów internetowych i okrada osoby, robiące zakupy przez internet.
      W wywiadzie dla portalu Gazeta.pl zatrzymany stwierdza: Mam najlepszego prawnika w Opolskiem. A polskie prawo jest tak skonstruowane, że jeśli się nie przyznam, to niczego mi nie udowodnią. Poza tym nie ma takiego dowodu, którego nie da się obalić.
       
      Aktualizacja:
      Prokuratura z Wrocławia, po przesłuchaniu zatrzymanego, nie postawiła mu żadnych zarzutów. Mężczyzna został wypuszczony. Prokuratura nie dysponuje obecnie żadnymi dowodami jego winy.
      Policja zabezpieczyła dysk twardy z komputera mężczyzny. Jego badania potrwają około 2 tygodni.
      Jak informuje serwis TVN24.pl, doniesienie na mężczyznę złożyła jego koleżanka od której pozyczał on komputer. Maszyna ta, jak twierdzą Happyninjas, miała być wykorzystywana do ataków.
      Tymczasem podejrzany stwierdził, że nigdzie się nie włamywał i został pomówiony przez osoby, które go nie lubią.
    • By KopalniaWiedzy.pl
      Reporterzy magazynu NextGov, powołując się na dokument wydany przez US Transportation Security Administration (TSA) informują, że hakerzy dwukrotnie zaatakowali infrastrukturę kolejową Pacific Northwest. Do pierwszego ataku doszło 1 grudnia ubiegłego roku na jednej z linii. Przestępcy włamali się do komputerów kontrolujących sygnalizację, co spowodowało 15-minutowe opóźnienia w ruchu pociągów. Drugi atak miał miejsce kolejnego dnia. Wówczas jednak nie udało im się zakłócić ruchu.
      Śledczy z TSA zidentyfikowali trzy adresy IP, z których przeprowadzono ataki. Nie zdradzają jednak, na terenie jakiego kraju znajdują się te adresy. Nie wykluczono jednak ataku z zagranicy. O problemie poinformowano przedsiębiorstwa kolejowe w USA i Kanadzie, gdyż atak może być częścią jakichś szerzej zakrojonych działań.
      Przedstawiciele Departamentu Bezpieczeństwa Wewnętrznego stwierdzili, że napastnikom prawdopodobnie nie chodziło o atak na linie kolejowe, jednak popełnili jakieś błędy, wskutek czego zakłócili sygnalizację.
×
×
  • Create New...