Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Сила и слабость двухфакторности в процессах аутентификации и защите электронных транзакций
Тихонов С.Н., к.ф.-м.н.,
начальник департамента ИТ
ООО КБ “Альба Альянс”,
Бондаренко М.В., к.т.н.,
заместитель начальника ДИТ
ООО КБ “Альба Альянс”,
выпускники группы MBA CIO-14
Школа IT-менеджмента
АНХ при Правительстве РФ
Введение
Хорошей практикой в системах дистанционного обслуживания является многофакторность. Многофакторность используется для аутентификации клиентов и защиты электронных транзакций. Второй канал связи с клиентом может использоваться и в антифродовой системе для подтверждения того, что транзакция не является мошеннической. Многофакторность несомненно полезна. Но с развитием технологий в реализации многофакторности обнаруживаются существенные уязвимости.
Рассмотрим достоинства и риски реализации механизмов многофакторности и опишем способы уменьшить или компенсировать риски (risk mitigation).
Текущая ситуация.
2FA, или двухфакторная аутентификация, считается одним из наиболее надежных способов защитить учетную запись от взлома. Но на практике мы наблюдаем все больше инцидентов взлома учетных записей [32], [35]. Тем не менее, многие компании не спешат отказываться от 2FA или модифицировать 2FA, приводя в качестве аргумента надежность второго фактора при компрометации первого [33]. Для компаний финансового рынка взлом учетной записи с последующей кражей денег – высокая степень риска, успешные атаки являются дорогими и серьезными инцидентами и несут не только репутационный риск. Поэтому атаки на банковские системы пользуются повышенным вниманием [34]. Часто банки становятся мишенью таргетированных атак [46], последствия которых в случае успеха могут быть очень тяжелыми. И тем не менее, многие банки используют ОТП- и USB- токены для двухфакторной аутентификации и одноразовых кодов [48].
2FA требует использования двух из трех независимых способов аутентификации. Использование одного способа дважды (например, использование двух различных паролей) не считается двухфакторной аутентификацией. Факторы аутентификации включают ([29])
- то, что вы знаете (например, пароль или парольная фраза);
- то, что у вас есть (например, ключи или смарт-карты);
- то, что вы есть (например, биометрические параметры).
Основные проблемы многофакторности связаны с зависимостью факторов и существованием альтернативных путей, которые могут привести к иллюзии безопасности.
Часто клиент банка для доступа к Интернет-банку использует то же самое мобильное устройство, на которое приходят смс-сообщения с одноразовыми паролями. Это одна из часто встречающихся причин, по которым двухфакторность фактически сводится на нет [24].
Недостатками реализации двухфакторности также являются
- Уязвимость мобильных устройств (malware [2])
- Уязвимость мобильных устройств, обеспечивающая неадекватную, неконтролируемую реакцию на смс (возможность перехвата смс [3], [4], [5])
- Комплексные таргетирование атаки, атаки при которой канал компрометации не определен, так как злоумышленник осуществляет атаку в течение продолжительного времени, перебирая различные виды угроз и уязвимостей до получения результата (advanced persistent threat , APT [42], [54])
- Эволюция угроз[40], [41], [45]…
Например, такой код
будучи встроенным в активный контент pdf-файла, согласно таким [43] пояснениям, дает вот такой результат:
Это только демонстрация на актуальной версии Adobe Acrobat Reader. Использование активного контента в pdf-файлах, в реализации злоумышленников, может иметь совсем другой результат.
Второй пример - если клиент получает смс с одноразовым кодом, обеспечивающим механизм неквалифицированной электронной подписи, на завирусованный смартфон под управлением Android. Его одноразовый код может быть перехвачен злоумышленником, что означает полную компрометацию [31].
В начале 2000-х для двухфакторности использовались корпоративные системы, подразумевавшие оффлайновый режим, отдельное физическое устройство (или список кодов на бумаге) для второго фактора, например, RSA SecurID. Такой способ реализации был дорогим и трудным в обращении. Реализация была узко-специализированной для корпоративной системы. Но с другой стороны – второй фактор оставался независимым.
По мере роста популярности мобильных устройств происходил переход на программные токены. Программные токены дешевле, легче реализуемы, основаны на открытых стандартах RFC (TOTP, HOTP, [25], [26]), их можно получать на разные устройства.
В требованиях стандарта безопасности данных индустрии платежных карт многофакторности уделяется особое внимание. Требования усиливаются с ростом версии стандарта (п.8.3, 8.3а PCI DSS [27], [28]), причем в п.8.3 стандарта указывается на необходимость использования функционала токенов. В реальных системах дистанционного обслуживания функционал токена часто реализуют через СМС. Это удобно, но не безопасно.
Уязвимости двухфакторности через СМС-сообщения были использованы в инцидентах успешных атак ([6]). Для усиления безопасности начали применять смарткарты. У смарткарт было два основных недостатка:
- смарткарты не спасали, если мобильное устройство пользователя содержало malware ([7], [8], [9]),
- смарткарты требовали от пользователя большого количества ручного ввода для удостоверения транзакции.
Следующим шагом были попытки использовать биометрию. Способ более надежный, но был дорогим, не помогал определить некорректную транзакцию в случае malware на хосте, и не позволял оперативные действия при компрометации ([10], [11]).
В результате текущее состояние дел при программно-реализованной многофакторности таково: много-факторность вместо “много независимых факторов”. Независимости препятствуют несколько обстоятельств
- Данные и аутентификация на одном и том же устройстве (([12], [13], ]14], [15], [16], [17], [18]))
- Дополнительные пути кода (два фактора часто встраиваются в уже существующие системы, остаются “Application-specific passwords”, ограничения устаревшего ПО, редкие действия например восстановление пароля, специальные пользователи – admin, доступ через API. Примеры – [19] – [21])
- Связи устройств на разных уровнях в облачной ИТ-инфраструктуре.
Что дальше?
Вариантов в такой ситуации немного. Готовых нет. Конкретно нужно
- Оценить, действительно ли факторы 2FA независимы
- Понять реалистичность таргетированного вредоносного ПО и разработать противодействия для такого варианта
- Реализовать архитектуру, в которой многофакторная аутентификация – единая универсальная система, а не внешняя заплатка
Какие меры могут помочь усилить безопасность? Рекомендации специалистов ([44])
- Application-specific двухфакторная аутентификация ([30])
- Устройства, которые принимают несколько входов (например, The Grugq’s DarkMatter [22] [53]) для оценки угроз
- Подход Amazon к усилению аутентификации ([23])
- Защищенное хранилище информации на устройстве клиента ([54])
- Физические устройства аутентификации с прямым UI/UX (user interface and user experience) – например внешний кардридер с собственной клавиатурой
- Уведомления по независимому каналу
Практика компаний
В обеспечении безопасности информационных систем, в том числе систем Интернет-банкинга, полезны системы дополнительного информирования клиента, например на его доверенный e-mail адрес. Такие уведомления часто используется в системах дистанционного банковского обслуживания. Но по нашим наблюдениям mail-адрес клиента – физического лица может быть неактуальным. Поэтому при использовании такого способа информирования клиентской службе банка необходимо предусмотреть проверку актуальности mail-адреса клиента.
Яндекс использует QR-коды [37], но в дилемме компромисса между инфобезопасностью и удобством QR-код скорее на стороне удобства. Чтобы такое решение было безопасным, на мобильном устройстве должен находиться неизвлекаемый ключ, как на токене. Но смартфон – не токен, а потому с нашей сточки зрения нельзя исключить компрометации этого фактора.
В системах Интернет-банкинга смс-сообщения с одноразовыми паролями и уведомления по e-mail могут использоваться как элемент взаимодействия с клиентом в системах IDS/FDS (Intrusion Detection Systems / Fraud Detection Systems) [36]
Заключение.
Трудно давать определенные оценки там, где речь идет о безопасности в областях, где клиенты в дилемме удобство-безопасность выбирают удобство. Хороший результат дает следование рекомендациям FFIEC [47], PCI DSS и лучшим практикам. Согласно нашим наблюдениям следование требованиям PCI DSS (для систем Интернет-банкинга в части 2FA), использование OTP-токенов и наличие в ИТ-инфраструктуре SIEM-систем [49], IDS-систем [50] и FDS-систем [51] достаточны для обеспечения приемлемого уровня безопасности транзакций. Но в части удобства таких систем клиенты компаний финансового рынка могут иметь другое мнение.
Литература
1. Ryan Lackey. “Two Factor Failure”. https://www.blackhat.com/eu-14/briefings.html#two-factor-failure
2. Chris Smith. Dangerous Android malware can do anything it wants with over 500K infected devices. Aug 7, 2014 http://userandroid.com/eep-dangerous-android-malware-can-do-anything-it-wants-with-over-500k-infected-devices/
3. Android Mobile Security Threats http://usa.kaspersky.com/internet-security-center/threats/mobile
4. John Zorabedian. SophosLabs: Android malware intercepts SMS messages to steal mobile banking codes. http://blogs.sophos.com/2014/02/05/sophoslabs-android-malware-intercepts-sms-messages-to-steal-banking-info/
5. Vinay Pidathala, Hitesh Dharmdasani, Jinjian Zhai, Zheng Bu ” MisoSMS: New Android Malware Disguises Itself as a Settings App, Steals SMS Messages”, FireEye Blogs, Threat research, December 16, 2013, https://www.fireeye.com/blog/threat-research/2013/12/misosms.html
6. Matthew Prince. Post Mortem: Today's Attack; Apparent Google Apps/Gmail Vulnerability; and How to Protect Yourself. 01.07.2012 https://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app/ , http://thehackernews.com/2012/06/ugnazi-hackers-attack-on-cloudflare-via.html
7. Lucian Constantin. Proof-of-concept malware can share USB smart card readers with attackers over Internet. http://www.computerworld.com/article/2493077/malware-vulnerabilities/proof-of-concept-malware-can-share-usb-smart-card-readers-with-attackers-ove.html
8. Net-security. Chinese using malware to attack US DoD smart card security. 13.01.2012 http://www.net-security.org/malware_news.php?id=1962
9. Alexandr Matrosov, Eugene Rodionov. SmartCard Vulnerabilities in Modern Banking Malwaare. http://www.slideshare.net/matrosov/smartcard-vulnerabilities-in-modern-banking-malware
10 Startbug’s TouchID attck, video demonstrating the technique. http://istouchidhackedyet.com/
11.Marc Rogers. Why I hacked TouchID (again) and still think it’s awesome. September 23, 2014 https://blog.lookout.com/blog/2014/09/23/iphone-6-touchid-hack/
12. Mathew J. Schwartz. Financial Trojans: Tools for Espionage. Malware Variants Target Salesforce Users, Manufacturers. September 23, 2014 http://www.bankinfosecurity.com/financial-trojans-tools-for-espionage-a-7344/op-1
13. Victor Chebyshev, Roman Unuchek, Mobile Malware Evolution: 2013. February 24, 2014 http://securelist.com/analysis/kaspersky-security-bulletin/58335/mobile-malware-evolution-2013/
14. Atif Mushtaq. Man in the Browser. February 18, 2010 https://www.fireeye.com/blog/threat-research/2010/02/man-in-the-browser.html
15. Marc Rogers. ZertSecurity. May 6, 2013. https://blog.lookout.com/blog/2013/05/06/zertsecurity/
16. Robert Lipovsky. New Hesperbot targets: Germany and Australia. 10 Dec 2013 http://www.welivesecurity.com/2013/12/10/new-hesperbot-targets-germany-and-australia/
17. Spyeye for Android http://contagiominidump.blogspot.nl/2011/09/spyeye-for-android.html?m=1
18. Alicia diVittorio Security Alert: PC-Botnet, Zeus, Targets users of Windows and Symbian Phones. February 24, 2011 https://blog.lookout.com/blog/2011/02/
19. Dan Goodin, PayPal 2FA is easily bypassed, teenage whitehat hacker says. Technique discovered in June requires nothing more than spoofing a cookie. Aug 5, 2014 http://arstechnica.com/security/2014/08/paypal-2fa-is-easily-bypassed-teenage-white-hat-hacker-says/
20. Jon Oberheide The PayPal 2FA Bypass: How Legacy Infrastructure Impacts Modern Security. Jun 26, 2014 https://www.duosecurity.com/blog/the-paypal-2fa-bypass-how-legacy-infrastructure-impacts-modern-security
21. Adam Goodman. Bypassing Google's Two-Factor Authentication. Feb 25, 2013 https://www.duosecurity.com/blog/bypassing-googles-two-factor-authentication
22. Cammy Harbison, DarkMatter Phone: A Secure Communications ROM Is Coming To Android. 10/15/2014 http://www.idigitaltimes.com/darkmatter-phone-secure-communications-rom-coming-android-390170
23. Amazon Web Services. Overview of Security Processes. March 2013 http://cryptome.org/2014/08/amazon-cloud-security.pdf
24. Michael Gioia, Webroot, February 2015. The Risks and Rewards of Mobile Banking Apps. http://f6ce14d4647f05e937f4-4d6abce208e5e17c2085b466b98c2083.r3.cf1.rackcdn.com/risks-rewards-mobile-banking-apps-pdf-3-w-1126.pdf
25. D. M'Raihi,Verisign, Inc.; S. Machani, Diversinet Corp.; M. Pei, Symantec; J. Rydell, Portwise, Inc. TOTP: Time-Based One-Time Password Algorithm. ISSN: 2070-1721 https://tools.ietf.org/html/rfc6238 , May 2011
26. D. M'Raihi, VeriSign; M. Bellare, UCSD; F. Hoornaert, Vasco; D. Naccache, Gemplus; O. Ranen, Aladdin. HOTP: An HMAC-Based One-Time Password Algorithm. http://www.ietf.org/rfc/rfc4226.txt , December 2005.
27. Стандарт безопасности данных индустрии платежных карт (PCI DSS) Требования и процедура аудита безопасности. Версия 2.0 Октябрь 2010 http://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/pci_dss_v2-0.pdf .
28. Стандарт безопасности данных индустрии платежных карт (PCI DSS) Требования и процедура аудита безопасности. Версия 3.0 Ноябрь 2013 http://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PCI_DSS_v3.pdf
29. Стандарт безопасности данных платежных приложений (PA-DSS) индустрии платежных карт (PCI). Требования и процедуры аудита безопасности. Версия 3.0, ноябрь 2013 г. http://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PA-DSS_v3.pdf
30. Chester Wisniewski. The power of two - All you need to know about two-factor authentication. https://nakedsecurity.sophos.com/2014/01/31/the-power-of-two-all-you-need-to-know-about-2fa/
31. Paul Ducklin. Android banking malware with a twist in the delivery. January 31, 2014 https://nakedsecurity.sophos.com/2014/01/31/android-banking-malware-with-a-twist-in-the-delivery/
32. Shubham Shah. How I bypassed 2-Factor-Authentication on Google, Facebook, Yahoo, LinkedIn, and many others. May 3, 2014. http://shubh.am/how-i-bypassed-2-factor-authentication-on-google-yahoo-linkedin-and-many-others/
33. Security Lab by Positive Technologies. Обойти двухфакторную аутентификацию можно, перехватив токен 2FA. 19.05.2014. http://www.securitylab.ru/news/453062.php
34. Алиса Шевченко. Атаки на банковские системы. О схемах атаки на системы электронной коммерции и универсальном российском трояне-банкере Ibank.. http://www.nobunkum.ru/ru/banker-attacks
35. Tracy Kitten, Apple Pay: Fraudsters Exploit Authentication. Mobile a Breeding Ground for Counterfeit Card Fraud. March 2, 2015. http://www.inforisktoday.com/apple-pay-fraudsters-exploit-authentication-a-7967/op-1
36. Håkan Kvarnström. Bildnumme. Intrusion and Fraud Detection. Presentation at SWITS-IV
Vadstena, June 7-8 2004. http://www.ce.chalmers.se/staff/hkv
37. Двухфакторная аутентификация, которой удобно пользоваться. 03.02.2015. http://habrahabr.ru/company/yandex/blog/249547/
38. Wikipedia. Data analysis techniques for fraud detection. http://en.wikipedia.org/wiki/Data_analysis_techniques_for_fraud_detection
39. Brian Donohue. Двухфакторная аутентификация: что это и зачем оно нужно? 9 Июнь 2014. http://blog.kaspersky.ru/what_is_two_factor_authenticatio/4272/
40. Axelle Apvrille - FortiGuard Labs, Fortinet Ange Albertini, Corkami Hide Android Applications in Images. BlackHat Europe, Amsterdam, NH October 2014 https://www.blackhat.com/docs/eu-14/materials/eu-14-Apvrille-Hide-Android-Applications-In-Images.pdf
41. Mathew J. Schwartz. 'Freak' Flaw Also Affects Windows’ March 6, 2015. http://www.bankinfosecurity.eu/freak-flaw-also-affects-windows-a-7985
42. Tom Field Vice President, Editorial Information Security Media Group. ADVANCED PERSISTENT
THREATS. SURVEY. New Strategies to Detect, Prevent and Defend. https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/iSMG_APT2014_report_073014.pdf
43. Jose Miguel Esparza. PDF ATTACK .A Journey from the Exploit Kit to the Shellcode. https://www.blackhat.com/docs/eu-14/materials/eu-14-Esparza-PDF-Attack-A-Journey-From-The-Exploit-Kit-To-The-Shellcode.pdf
44. Ryan Lackey – CloudFlare. 2FF: Two Factor Failure. Black Hat EU 2014. 17 OCT 2014. http://www.venona.com/rdl/papers/bh-eu-lackey-2fa.pdf
45. Copyright 2013 Check Point Malware Research Group HIMAN Malware Analysis http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf
46. Experian. 2015 Second Annual Data Breach Industry Forecast. http://www.experian.com/assets/data-breach/white-papers/2015-industry-forecast-experian.pdf
46. Ori Bach. Remote Overlay Virtual Mugging Toolkit Targeting Brazilian Online Banks Discovered by IBM Trusteer. January 13, 2015 http://securityintelligence.com/remote-overlay-virtual-mugging-toolkit-targeting-brazilian-online-banking-discovered-by-ibm-trusteer/#.VP1SauHLKzl
47. Federal Financial Institutions Examination Council. Supplement to Authentication in an Internet Banking Environment. http://www.ffiec.gov/pdf/auth-its-final%206-22-11%20%28ffiec%20formated%29.pdf
48. Business Internet Banking Rank 2013 http://www.banki.ru/news/research/?id=5909810
49. Алексей Дрозд. 06/06/2014 Обзор SIEM-систем на мировом и российском рынке. http://www.antimalware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market
50. Intrusion Detection System (IDS) Reviews. http://community.spiceworks.com/security/intrusion-detection/reviews
51. Top Financial Fraud Detection Software Products. http://www.capterra.com/financial-fraud-detection-software/
52. Что такое APT атака? http://rusystem.net/content/apt
53. DarkMatter Secure Android May Run on Your Phone. http://news.hitb.org/content/darkmatter-secure-android-may-run-your-phone
54. CHECKPOINT. THE MYTHS OF MOBILE SECURITY. Whitepaper. http://www.checkpoint.com/campaigns/myths-of-mobile-security/wp_mythsmobilesecurity_final.pdf