it-swarm-vi.com

Hiệu quả của hình ảnh bảo mật

Các hình ảnh bảo mật như hình ảnh được trình bày khi đăng nhập vào ngân hàng có cung cấp bất kỳ lợi ích bảo mật hữu hình nào không, hay chúng chủ yếu là rạp chiếu phim?

Theo hiểu biết của tôi, nếu ai đó đang lừa đảo người dùng của bạn, việc họ yêu cầu proxy từ người dùng của bạn đến trang web xác thực của bạn và lấy hình ảnh bảo mật với bất kỳ thông tin xác thực nào mà người dùng cung cấp trước khi nhận hình ảnh (ví dụ: tên người dùng). Nếu đây là trường hợp, hình ảnh bảo mật dường như không cung cấp bảo mật bổ sung và thực sự có thể gây hại nếu chúng giúp thuyết phục người dùng rằng một trang web độc hại là hợp pháp.

Tui bỏ lỡ điều gì vậy?

49
Stephen Touset

Câu hỏi tuyệt vời! Khi nó xảy ra, tôi có thể trình bày dữ liệu thử nghiệm cho câu hỏi này - và dữ liệu rất hấp dẫn. (Tôi nhận thấy rằng một số câu trả lời chứa suy đoán từ các nguyên tắc đầu tiên về mức độ bảo mật của những hình ảnh bảo mật này. Tuy nhiên, dữ liệu hóa ra có một số điều ngạc nhiên cho tất cả chúng ta!)

Phương pháp thử nghiệm. "Hình ảnh bảo mật" đã được đánh giá trong một nghiên cứu người dùng, được thực hiện với người dùng thông thường được yêu cầu thực hiện ngân hàng trực tuyến trong phòng thí nghiệm. Không biết gì về họ, một số người trong số họ đã bị 'tấn công' một cách có kiểm soát, để xem liệu họ có cư xử an toàn hay không và liệu hình ảnh an ninh có giúp ích hay không.

Các nhà nghiên cứu đã đánh giá hai cuộc tấn công:

  • Tấn công MITM: Các nhà nghiên cứu đã mô phỏng một cuộc tấn công trung gian nhằm loại bỏ SSL. Dấu hiệu duy nhất có thể nhìn thấy của cuộc tấn công là thiếu chỉ báo HTTPS (không có HTTPS trong thanh địa chỉ, không có biểu tượng khóa, v.v.).

  • Tấn công hình ảnh bảo mật: Các nhà nghiên cứu mô phỏng một cuộc tấn công lừa đảo. Trong cuộc tấn công này, có vẻ như người dùng đang tương tác với trang web ngân hàng thực, ngoại trừ hình ảnh bảo mật bị thiếu. Ở vị trí của nó, cuộc tấn công đặt văn bản sau:

    Thông báo bảo trì SiteKey: Bank of America hiện đang nâng cấp tính năng SiteKey giành giải thưởng của chúng tôi. Vui lòng liên hệ với dịch vụ khách hàng nếu SiteKey của bạn không xuất hiện lại trong vòng 24 giờ tới.

    Tôi thấy đây là một cuộc tấn công tuyệt vời. Thay vì cố gắng tìm ra hình ảnh bảo mật nào để hiển thị cho người dùng, đừng hiển thị bất kỳ hình ảnh bảo mật nào, và chỉ cố gắng thuyết phục người dùng rằng không có hình ảnh bảo mật nào. Đừng cố gắng đánh bại hệ thống an ninh nơi mạnh nhất; chỉ cần bỏ qua toàn bộ điều bằng cách làm suy yếu nền tảng của nó.

Dù sao, các nhà nghiên cứu sau đó đã tiến hành quan sát cách người dùng hành xử khi họ bị tấn công theo những cách này (mà họ không biết).

Kết quả thử nghiệm. Kết quả? Các cuộc tấn công đã vô cùng thành công.

  • Không một người dùng nào tránh được cuộc tấn công MITM; mỗi một người tiếp xúc với cuộc tấn công MITM đều phải lòng nó. (Không ai nhận thấy rằng họ đang bị tấn công.)

  • 97% những người tiếp xúc với cuộc tấn công hình ảnh an ninh đã rơi vào nó. Chỉ có 3% (2 trong số 60 người tham gia) hành xử an toàn và từ chối đăng nhập khi bị tấn công.

Kết luận. Hãy để tôi rút ra một số bài học từ thí nghiệm này.

  • Đầu tiên, hình ảnh bảo mật không hiệu quả. Họ dễ dàng bị đánh bại bởi các kỹ thuật tấn công rất đơn giản.

  • Thứ hai, khi đánh giá cơ chế bảo mật nào sẽ hiệu quả, trực giác của chúng tôi không đáng tin cậy. Ngay cả các chuyên gia bảo mật chuyên gia có thể rút ra kết luận sai. Ví dụ, hãy xem chủ đề này, trong đó một số người đã đưa ra quan điểm rằng hình ảnh bảo mật sẽ thêm một số bảo mật vì họ buộc kẻ tấn công phải làm việc chăm chỉ hơn và thực hiện một cuộc tấn công MITM. Từ thí nghiệm này, chúng ta có thể thấy rằng lập luận này không giữ được nước. Thật vậy, một cuộc tấn công rất đơn giản (sao chép trang web và thay thế hình ảnh bảo mật bằng một thông báo nói rằng tính năng hình ảnh bảo mật hiện đang được bảo trì) là cực kỳ thành công trong thực tế.

    Vì vậy, khi bảo mật của một hệ thống phụ thuộc vào cách người dùng sẽ hành xử, điều quan trọng là phải tiến hành các thử nghiệm nghiêm ngặt để đánh giá cách người dùng thông thường thực sự sẽ hành xử trong cuộc sống thực. Trực giác và phân tích "từ nguyên tắc đầu tiên" của chúng tôi không thể thay thế dữ liệu.

  • Thứ ba, người dùng thông thường không hành xử theo cách mà mọi người bảo mật đôi khi họ muốn. Đôi khi chúng ta nói về một giao thức là "người dùng sẽ làm như vậy, sau đó máy chủ sẽ làm như vậy và nếu người dùng phát hiện bất kỳ sai lệch nào, người dùng sẽ biết anh ta đang bị tấn công". Nhưng đó không phải là cách người dùng nghĩ. Người dùng không có suy nghĩ đáng ngờ rằng những người bảo mật có và bảo mật không phải là ưu tiên hàng đầu của họ. Nếu điều gì đó không hoàn toàn đúng, một chuyên gia bảo mật có thể nghi ngờ cô ấy đang bị tấn công - nhưng đó thường không phải là phản ứng đầu tiên của người dùng thông thường. Người dùng thông thường đã quá quen với việc các trang web không ổn định đến mức phản ứng đầu tiên của họ, khi nhìn thấy điều gì đó kỳ lạ hoặc bất thường, thường là nhún vai và cho rằng Internet (hoặc trang web) không hoạt động tốt ngay tại chốc lát. Vì vậy, nếu cơ chế bảo mật của bạn phụ thuộc vào người dùng trở nên nghi ngờ nếu một số tín hiệu nhất định vắng mặt, có lẽ đó là lý do run rẩy.

  • Thứ tư, không thực tế khi mong đợi người dùng nhận thấy sự vắng mặt của chỉ báo bảo mật, giống như biểu tượng khóa SSL. Tôi chắc rằng tất cả chúng ta đã chơi "Simon Says" khi còn bé. Sự thú vị của trò chơi hoàn toàn là thế - ngay cả khi bạn biết để ý đến nó - thật dễ dàng bỏ qua sự vắng mặt của cue "Simon Says". Bây giờ hãy nghĩ về một biểu tượng SSL. Tìm kiếm biểu tượng SSL không phải là nhiệm vụ chính của người dùng, khi thực hiện ngân hàng trực tuyến; thay vào đó, người dùng thường chỉ muốn thanh toán hóa đơn của họ và hoàn thành công việc để họ có thể chuyển sang một thứ hữu ích hơn. Làm thế nào dễ dàng hơn để không nhận thấy sự vắng mặt của nó, trong những trường hợp đó!

Nhân tiện, bạn có thể tự hỏi làm thế nào ngành ngân hàng đã phản ứng với những phát hiện này. Rốt cuộc, họ nhấn mạnh tính năng hình ảnh bảo mật của họ (dưới nhiều tên tiếp thị khác nhau) cho người dùng; Vì vậy, làm thế nào họ đã phản ứng với việc phát hiện ra rằng tính năng hình ảnh bảo mật là tất cả nhưng vô dụng trong thực tế? Trả lời: họ không có. Họ vẫn sử dụng hình ảnh bảo mật. Và nếu bạn hỏi họ về phản hồi của họ, một câu trả lời điển hình là một dạng "tốt, người dùng của chúng tôi thực sự thích và đánh giá cao những hình ảnh bảo mật". Điều này cho bạn biết một điều: nó cho bạn biết rằng những hình ảnh bảo mật phần lớn là một dạng của nhà hát an ninh. Chúng tồn tại để làm cho người dùng cảm thấy tốt về quy trình, hơn là thực sự bảo vệ chống lại các cuộc tấn công nghiêm trọng.

Tài liệu tham khảo. Để biết thêm chi tiết về thí nghiệm tôi đã tóm tắt ở trên, hãy đọc tài liệu nghiên cứu sau:

61
D.W.

Tôi không đánh giá bảo mật của họ đặc biệt cao; nhưng họ không chỉ là nhà hát an ninh. Chúng có khả năng có thể làm cho công việc của kẻ tấn công trở nên khó khăn hơn và công việc của một chuyên gia pháp y an ninh theo dõi sự bất thường dễ dàng hơn.

Giả sử không có hình ảnh/cụm từ bảo mật hoặc tương đương. Sau đó, một kẻ tấn công trung gian có thể xây dựng một phiên bản giả mạo của trang web để thu thập thông tin của người dùng không nghi ngờ mà không có bất kỳ cờ đỏ nào xuất hiện. (Giả sử họ có thể khiến người dùng nhận thấy việc thiếu https tại ngân hàng của họ hoặc đã cài đặt chứng chỉ sai lệch trong trình duyệt web của người dùng).

Bây giờ, hãy phân tích sơ đồ được sử dụng bởi ngân hàng của tôi (ING), trong đó bất cứ khi nào tôi đăng ký từ trình duyệt mới, trước tiên tôi nhập tên người dùng của mình, ngân hàng trả lời "Hi jim bob", vui lòng trả lời hai câu hỏi bảo mật (ngẫu nhiên) (từ một danh sách khoảng 5) như bạn chưa từng sử dụng máy tính này trước đây. Những câu hỏi này có phần entropy thấp, nhưng bạn vẫn phải biết tôi và lịch sử gia đình của tôi để có được chính xác; hoặc ủy quyền những câu hỏi này cho máy tính của tôi. Sau đó, nó cho tôi xem hình ảnh bảo mật của tôi và hỏi mật khẩu của tôi.

Vì vậy, bây giờ người đàn ông trong cuộc tấn công trung gian phải hoạt động (sau đó một máy chủ giả mạo luôn chờ người dùng cung cấp thông tin mô phỏng hoàn hảo một trang web giả mạo). Đầu tiên, tôi có thể nghĩ nghi ngờ rằng tôi phải nhập lại các câu hỏi bảo mật của mình khi đây là từ máy tính bình thường của tôi. Bây giờ, MitM phải truy vấn ngân hàng thực tế trong cuộc tấn công để tìm ra hai câu hỏi ngẫu nhiên được tìm nạp cho tài khoản của tôi, gửi lại cho tôi dường như và ghi lại câu trả lời của tôi và sau đó gửi lại câu trả lời của tôi cho ngân hàng thực qua kết nối https của họ với lấy hình ảnh bảo mật.

Sau đó, kẻ tấn công phải lấy URL của hình ảnh bảo mật hoặc tự tải xuống, sau đó tải nó lên máy chủ web trung gian của họ để tôi tải xuống từ chúng. Điều này có thể đáng ngờ nếu nói rằng họ vừa lấy URL của hình ảnh bảo mật, do đó, một IP khác đã xem hình ảnh bảo mật sau đó đã thiết lập kết nối https đến trang web của họ cho mọi thứ khác. Hoặc nếu những kẻ tấn công đã tải xuống và hiển thị lại cho tôi, thì bây giờ địa chỉ IP của kẻ tấn công đã bị lộ và chúng có thể có được khối/tắt địa chỉ IP bị kiểm soát độc hại.

Nó có thể được bỏ qua, chắc chắn là có. Nhưng nó không chỉ là nhà hát an ninh và có thể là một phần hữu ích của phòng thủ chuyên sâu cùng với https. Tôi càng nghĩ về nó, tôi nghĩ đây là điểm bán hàng chính. Tôi có thể không nhận ra nếu ngân hàng của mình không https nếu tôi đang vội. Nếu được nhắc nhập lại câu hỏi bảo mật của tôi; Tôi có thể tạm dừng và kiểm tra kỹ xem đó có phải là https với URL của ngân hàng thực tế không (không phải http hoặc một cái gì đó tương tự).

12
dr jimbob

Nếu đây là trường hợp, hình ảnh bảo mật dường như không cung cấp bảo mật bổ sung,

Thay vì lấy một bản sao tĩnh của trang đăng nhập, giờ đây những kẻ lừa đảo phải tạo một trang có khả năng tương tác với trang web gốc.

Một giả thuyết cực đoan là chúng cực kỳ ngu ngốc và sẽ truy xuất các hình ảnh tùy chỉnh bằng IP của chính chúng hoặc một IP có thể được liên kết với chúng.

Một giả thuyết cực kỳ ngu ngốc là họ sẽ truy xuất nhiều hình ảnh tùy chỉnh với một hoặc một vài địa chỉ IP khác nhau, điều này có thể gây nghi ngờ cho các địa chỉ IP từ ISP chứ không phải được biết là sử dụng NAT rộng tàu sân bay.

Nhưng cùng một vấn đề "IP gốc" tồn tại với kiểu lừa đảo đơn giản, với cặp đăng nhập/mật khẩu thông thường: giá trị duy nhất của những dữ liệu được thu thập này là chúng có thể được sử dụng để đăng nhập vào trang web gốc. Những kẻ lừa đảo luôn cần một nhóm địa chỉ IP "ưa nhìn" nếu họ không muốn gây nghi ngờ (địa chỉ "ưa nhìn" phụ thuộc vào địa chỉ nào trên trang web và đối tượng của nó).

Đối với lừa đảo ngân hàng, tiền phải được chuyển bằng "con la" sang tài khoản trung gian . Các ngư dân không chỉ cần địa chỉ IP (một mạng botnet có thể cung cấp các địa chỉ này), mà cả các tài khoản ngân hàng trung gian. Người thật phải cung cấp các tài khoản này.

Lừa đảo ở quy mô lớn chắc chắn đòi hỏi phải lập kế hoạch tốt và quy trình bảo mật nghiêm ngặt, bởi vì sớm hay muộn, hoạt động khai thác sẽ được phát hiện và điều tra. Và khi đó, những người phụ trách hoạt động lừa đảo chắc chắn quan tâm đến quyền riêng tư của họ (không được tìm thấy).

Tôi không biết chi tiết chính xác của các hoạt động như vậy, nhưng tôi không tin rằng việc thêm "tải xuống hình ảnh bảo mật" sẽ là một biện pháp ngăn chặn.

và có thể thực sự có hại nếu họ giúp thuyết phục người dùng rằng một trang web độc hại là hợp pháp.

Vâng thực sự.

Trung bình có khả năng là nạn nhân của người dùng lừa đảo không thể thực hiện đánh giá bảo mật thích hợp của chương trình. Hầu như tất cả người dùng như vậy sẽ đánh giá quá cao lợi ích bảo mật.

Và người dùng thậm chí có kiểm tra hình ảnh bảo mật?

3
curiousguy

Đó là một nỗ lực dũng cảm để giải quyết vấn đề niềm tin. SSL rất tốt cho các máy tính để thiết lập lòng tin - nhưng khá vô nghĩa với mọi người. Nếu bạn có thể nghĩ ra một cách tốt hơn để một trang web cung cấp bằng chứng cho người dùng không có kỹ thuật rằng đó là những gì nó xuất hiện thì tôi rất muốn nghe về nó.

Như những người khác đã nói, họ đặt một rào cản khác trước những kẻ lừa đảo.

Nhưng so với một trang lừa đảo độc lập, điều đó có nghĩa là nhà cung cấp dịch vụ thực sự có khả năng có một số khả năng hiển thị đối với hoạt động; nhìn thấy rất nhiều yêu cầu cho những người dùng khác nhau từ cùng một địa chỉ, theo sau là không có sự tương tác nào nữa hoặc tương tác tự động sẽ hiển thị rõ ràng.

1
symcbean