РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
Безопасность в Интернете: руководство THG, часть I

Безопасность в Интернете: руководство THG, часть II

Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Безопасность в Интернете: руководство THG, часть III
Краткое содержание статьи: Третья часть руководства посвящена различным способом аутентификации, включая самый передовой: двухфакторную аутентификацию. Когда будете вводить логин и пароль для доступа к банковскому счёту, задумайтесь, позаботился ли банк о вашей безопасности и сохранности денег на счету?

Безопасность в Интернете: руководство THG, часть III


Редакция THG,  10 сентября 2006
Страница: Назад  1 2 Далее


Безопасность систем интернет-банкинга

При выборе банка пользователи зачастую сравнивают такие параметры, как предлагаемые проценты по вкладам, типы вкладов и, конечно же, услуги, например, возможность оформления кредита или ссуды. Но в мире, где всё больше сервисов переходит в онлайн, системы интернет-банкинга постепенно становятся всё популярнее. В будущем они будут удивлять не больше, чем банкомат в соседнем магазине. Так не пора ли нам задуматься о безопасности, которую обеспечивают эти самые банки?

Начнём мы с уязвимостей страниц входа. Обычно банки используют достаточно строгие дизайны страниц, имеющие поля для ввода PIN-кода или пароля. Но в чём же проблема? Почему эти страницы опасны? И что предлагают разработчики этих систем для более безопасной работы через Интернет?

Сегодня среди экспертов по безопасности активно обсуждается двухфакторная аутентификация (2 Factor Authentication - 2FA). Конечно, она вовсе не станет решением всех проблем аутентификации в Интернете, но позволит существенно укрепить защиту.

Двухфакторная аутентификация ставит ещё один барьер между хакером и вашим счётом в банке. Суть в том, чтобы второй фактор находился вне досягаемости для злоумышленников. Например, одноразовые коды доступа, генерируемые на основе PIN-кодов или без них и выводящиеся на смартфон, КПК или даже мобильный телефон.

Но не будем забегать вперёд. Посмотрим, где хранятся наши учётные данные от системы интернет-банкинга.

Ситуация сегодня

В нашем предыдущем материале мы рассмотрели некоторые угрозы, с которыми сталкивается сегодня обычный пользователь онлайновых сервисов. Надеемся, что читатель учёл описанные там особенности своей работы с такими сервисами.

Ниже мы приведём решения, которые используются для обеспечения безопасности в современном Интернете, включая двухфакторную аутентификацию.

Решения однофакторной аутентификации основываются на простой аутентификации, при которой пароль может быть перехвачен клавиатурными или экранными шпионами. Либо пароль можно получить с помощью социальной инженерии. Рассмотрим следующие варианты:

  1. передача всего пароля;
  2. частичная передача пароля или PIN-кода;
  3. клавиатура-скремблер;
  4. виртуальная клавиатура.

Раздельная двухфакторная аутентификация использует два различных, никак не взаимосвязанных между собой фактора. Другими словами, вводится пароль или PIN-код, а также какие-то данные, полученные не с компьютера, с которого осуществляется доступ. Рассмотрим следующие методы:

  1. статические таблицы кодов;
  2. списки TAN;
  3. пароли, передаваемые через SMS.

Комбинированная двухфакторная аутентификация предусматривает использование пароля и ключа. При этом мы обрабатываем выдаваемые банком данные с помощью брелока-шифратора или программы на КПК/мобильном телефоне, после чего вводим ответный код. Мы рассмотрим:

  1. динамические таблицы;
  2. электронные брелоки-шифраторы;
  3. мобильные телефоны/КПК.

Что ж, позвольте начать со столь знакомого диалога ввода логина и пароля.

Как мы уже отмечали в предыдущей статье, защита, основанная на полной передаче пароля или PIN-кода, себя не оправдывает. Данные, которые полностью вводятся в соответствующих окнах, может перехватить злоумышленник и с успехом использовать. К сожалению, множество известных сайтов по-прежнему используют именно такой подход.

Не правда ли, следующая иллюстрация выглядит знакомо?

Ситуация сегодня

Вряд ли для кого-то является секретом, что такие сайты, как PayPal, сегодня наиболее популярны среди фишеров.

Сайт Fraudwatch собирает статистику о множестве различных типов онлайнового мошенничества. И PayPal действительно можно встретить в списках Fraudwatch. Кроме того, существует множество сайтов, подвергающихся атакам мошенников, которые не встречаются в подобных списках. Дело в том, что компании часто замалчивают информацию о взломе.

Вот ещё один пример.

Ситуация сегодня

Davy Stock Brokers.

Ещё вариант с вводом другого типа данных, но на самом деле пароли и PIN-коды одинаково уязвимы.

Ситуация сегодня

Сайты, использующие подобный способ аутентификации, рано или поздно могут столкнуться с серьёзными проблемами, поскольку код такой web-страницы скачать вовсе не сложно. Программы, подобные WGET, можно без проблем скачать и сохранить все объекты сайта на жёсткий диск. В таком случае вы получите почти полную копию сайта, включая картинки и всяческие предупреждения, в том числе и о фишинге! Не сложно понять, почему фишинг стал столь популярной атакой.

Частичная передача паролей или PIN-кодов позволяет несколько повысить уровень защиты. Но, опять же, здесь есть опасность подвергнуться атаке фишинга, либо методом социальной инженерии, или даже стать жертвой перехватчика клавиатуры, который получит всю необходимую информацию через два-три успешных входа. Несмотря на это, такой подход наиболее популярен в сегодняшних системах интернет-банкинга. Пример ниже.

Ситуация сегодня

Практически все данные, необходимые для доступа, злоумышленник может получить через серию атак на ПК, либо сразу добыть их через фишинг и социальную инженерию.

Клавиатура-скремблер. На экран выводится краткая таблица шифрования, где нужная цифра соответствует какой-либо букве. И пользователь должен набрать PIN-код с помощью букв. К сожалению, при таком подходе всё, что нужно перехватить, уже есть на экране. Поэтому хакеру достаточно захватить экран пользователя. Пример показан ниже.

Ситуация сегодня

Троян-перехватчик экрана и клавиатуры прекрасно преодолевает такую защиту. Да и фишинг здесь тоже сработает, поскольку нужный PIN-код можно получить из вводимой пользователем информации.

Экранные клавиатуры ничем не лучше.

Ситуация сегодня

Экранный шпион может легко захватить все "клики". Фишинг по-прежнему работает, так как пользователь всё равно даёт пароль/PIN-код, пусть и с помощью экранной клавиатуры.
Страница: Назад  1 2 Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Компьютерный сервис: детали для сборки пк - выбирай YouDo!