sergey gordeychik and dmitry evteev (positive technologies) "one time passwords or devil is in...
DESCRIPTION
TRANSCRIPT
![Page 1: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/1.jpg)
Как я перестал боятся токенов и полюбил одноразовые пароли
Сергей Гордейчик
Дмитрий Евтеев
Positive Technologies
![Page 2: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/2.jpg)
Кто мы?
Positive Technologies
У этих ребят всегда есть свежая версия XSpider :)
Сергей Гордейчик
когда-то: разработка, bugtraq, pentest, research
теперь: MaxPatrol, MaxPatrol, MaxPatrol, MaxPatrol
Дмитрий Евтеев
pentest, research, pentest, research, MaxPatrol, research, research, penetest….
![Page 3: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/3.jpg)
О чем пойдет речь
Аутентификация
Актуальные векторы угроз
Системы одноразовых паролей
Уязвимости приложений
Проблемы с реализацией
Атаки на клиентов
Резюме
![Page 4: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/4.jpg)
Аутентификация
Один из базовых защитных механизмов• Как правило, на нем все и заканчивается :)
Основные подходы (факторы)• Нечто, что мы знаем• Нечто, что мы имеем• Нечто, что мы есть (аутентификация?)
Распространенные реализации• Старые добрые пароли (фуууу!)• Одноразовые пароли (One Time Password, OTP)• Цифровые сертификаты, смарт-карты
![Page 5: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/5.jpg)
Аутентификация в Интернет-Банках
Требуется обеспечить высокий уровень безопасности
Широкое использование Интернет-технологий
• HTTP/HTTPS для передачи данных
• Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
• Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам его криптографической защиты
• Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
• Вероятно отсутствие обновлений безопасности
• Низкий уровень ИТ и ИБ грамотности
• Возможно наличие вредоносных программ
• Вероятна работа с недоверенного рабочего места
![Page 6: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/6.jpg)
Актуальные векторы угроз
Клиент СерверСеть
Уязвимости ПО
Уязвимости WEB
Социотехнические атаки
Уязвимости WEBУязвимости ПО
Уязвимости аутентифкации
Перехват и модификация
данных
![Page 7: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/7.jpg)
Системы одноразовых паролей
Достаточно широко распространены
• Невысокая стоимость при потенциальной защищенности
• Есть мнение, что
OTP на token == Сертификат на Smartcard
Мало зависят от ОС/Браузера
Вызывают ужас у пентестеров
Возможны разные варианты реализации
• Заранее рассчитанные списки паролей
• Генераторы паролей
• SMS-сервис
![Page 8: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/8.jpg)
Компьютер клиента банка или
платежный терминал
Web-серверLDAP, Radius
Проверка OTP
Запрос к Web серверу по протоколу HTTPS
Как это работает?
![Page 9: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/9.jpg)
Почему OTP на token != Сертификат на Smartcard
Однократная проверка аутентичности транзакции• Решение об аутентичности принимает Web-сервер
(приложений) один раз• Цифровую подпись можно проверять на каждом этапе
Уязвимости Web-приложений
• Наличие уязвимости позволяет провести транзакцию без знания пароля
Сетевые проблемы
• Цифровые сертификаты – двухсторонний SSL – NO MITM
Секрет хранится на клиенте
Одноразовые пароли тоже пароли
![Page 10: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/10.jpg)
Уязвимости Web-приложений
http://www.webappsec.org/projects/statistics/
При детальной ручной и автоматизированной оценке методами «черного» и «белого» ящика вероятность обнаружения уязвимости высокой степени риска достигает 97%.
![Page 11: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/11.jpg)
Уязвимости Web-приложений
http://www.webappsec.org/projects/statistics/
Распределение вероятности обнаружения уязвимости по классам WASC.
![Page 12: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/12.jpg)
Проблемы с реализацией
«Проверка» длины пароля осуществлялась на сервере с помощью серверных сценариев.
Пример аутентификации в одном OTP-based приложении:
![Page 13: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/13.jpg)
OTP – не (всегда) моментальные пароли
Censored
![Page 14: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/14.jpg)
OTP – не (всегда) моментальные пароли
Длина пароля – 6 цифр (миллион комбинаций)
Можно сузить диапазон комбинаций•можно существенно сократить диапазон для
брутфорса (перебирать один диапазон)
Время жизни • секунды (теоретически)• часы (практически)•Как правило сервер держит «окно» правильных
паролей
За приемлемое время можно подобрать несколько «живых паролей»
![Page 15: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/15.jpg)
OTP – не (всегда) одноразовые пароли
При использовании сгенерированных списков зачастую разрешается повторное использование паролей • Удобно. Не ехать же в банк после 60 переводов?
Вероятность повтора: 1-(59/60)^n
При наличии перехваченного пароля• При 100 запросах - 81,376%• При 500 запросах - 99,9%
Суммарная энтропия 60*10^6 ~ 2^26
При 1000 попыток в секунду ~ 7 суток (полный перебор)
![Page 16: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/16.jpg)
Атаки на клиентов
Односторонний SSL•Фишинг, MITM
Уязвимости WEB•XSS – самая распространенная проблема (~60%
сайтов)•CSRF – практически все
Хранение секрета в системе•Специально обученный троян в состоянии
сохранить и использовать OTP (особенно для «карточек»)
![Page 17: Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwords or Devil is in Details". Infosecurity on Softool 2008](https://reader035.vdocuments.mx/reader035/viewer/2022081414/54b900d64a79596a218b4595/html5/thumbnails/17.jpg)
Резюме
OTP != Smartcard
Уязвимости Web-приложений
• Наличие уязвимости позволяет провести транзакцию без знания пароля
• Необходимость дополнительного контроля HTTP-сессии
Одноразовые пароли тоже пароли
• Возможен перехват
• Небольшая энтропия – подбор значения
• Большое «окно»
• Необходимы стандартные «парольные» контрмеры