it-swarm-id.com

Keefektifan Gambar Keamanan

Apakah gambar keamanan seperti yang disajikan saat masuk ke bank memberikan manfaat keamanan yang nyata, atau sebagian besar berupa teater?

Menurut pemahaman saya, jika seseorang melakukan phising pada pengguna Anda, itu juga sepele bagi mereka untuk meminta proxy dari pengguna Anda ke situs web asli Anda dan mengambil gambar keamanan dengan kredensial apa pun yang diberikan pengguna sebelum menerima gambar (mis., Nama pengguna). Jika ini masalahnya, gambar keamanan tampaknya tidak memberikan keamanan tambahan, dan mungkin sebenarnya berbahaya jika membantu meyakinkan pengguna bahwa situs web berbahaya adalah sah.

Apakah saya melewatkan sesuatu?

49
Stephen Touset

Pertanyaan bagus! Ketika itu terjadi, saya dapat menyajikan data eksperimental tentang pertanyaan ini - dan datanya menarik. (Saya perhatikan bahwa beberapa jawaban berisi spekulasi dari prinsip pertama tentang seberapa banyak keamanan yang ditawarkan gambar keamanan ini. Namun, data ternyata memiliki beberapa kejutan bagi kita semua!)

Metodologi eksperimental. "Gambar keamanan" telah dievaluasi dalam studi pengguna, dilakukan dengan pengguna biasa yang diminta melakukan perbankan online di lab. Tanpa diketahui oleh mereka, beberapa dari mereka 'diserang' dengan cara yang terkendali, untuk melihat apakah mereka akan berperilaku aman atau tidak dan apakah gambar keamanan membantu atau tidak.

Para peneliti mengevaluasi dua serangan:

  • Serangan MITM: Para peneliti mensimulasikan serangan man-in-the-middle yang menghapus SSL. Satu-satunya indikasi serangan yang terlihat adalah kurangnya indikator HTTPS (tidak ada HTTPS di bilah alamat, tidak ada ikon kunci, dll.).

  • Serangan gambar keamanan: Para peneliti mensimulasikan serangan phishing. Dalam serangan ini, sepertinya pengguna berinteraksi dengan situs bank nyata, kecuali bahwa gambar keamanan tidak ada. Sebagai gantinya, serangan menempatkan teks berikut:

    Pemberitahuan MainKey SiteKey: Bank of America sedang meningkatkan fitur SiteKey pemenang penghargaan kami. Silakan hubungi layanan pelanggan jika SiteKey Anda tidak muncul kembali dalam 24 jam ke depan.

    Saya menemukan ini serangan yang brilian. Daripada mencoba mencari tahu apa gambar keamanan untuk ditampilkan kepada pengguna, jangan menunjukkan gambar keamanan sama sekali, dan hanya mencoba untuk meyakinkan pengguna bahwa tidak apa-apa bahwa tidak ada gambar keamanan. Jangan mencoba mengalahkan sistem keamanan di tempat yang paling kuat; hanya memotong semuanya dengan merusak fondasinya.

Bagaimanapun, para peneliti kemudian melanjutkan untuk mengamati bagaimana perilaku pengguna ketika mereka diserang dengan cara ini (tanpa sepengetahuan mereka).

Hasil percobaan. Hasilnya? Serangan itu sangat sukses.

  • Tidak ada satu pengguna pun yang menghindari serangan MITM; setiap orang yang terkena serangan MITM jatuh cinta padanya. (Tidak ada yang memperhatikan bahwa mereka diserang.)

  • 97% dari mereka yang terkena serangan gambar keamanan jatuh untuk itu. Hanya 3% (2 dari 60 peserta) yang berperilaku aman dan menolak untuk masuk ketika terkena serangan ini.

Kesimpulan. Biarkan saya mencoba untuk mengambil beberapa pelajaran dari percobaan ini.

  • Pertama, gambar keamanan tidak efektif. Mereka mudah dikalahkan oleh teknik serangan yang sangat sederhana.

  • Kedua, ketika menilai mekanisme keamanan apa yang akan efektif, intuisi kami tidak dapat diandalkan. Bahkan pakar keamanan profesional dapat menarik kesimpulan yang salah. Misalnya, lihat utas ini, di mana beberapa orang telah mengambil pandangan bahwa gambar keamanan menambah keamanan karena mereka memaksa penyerang untuk bekerja lebih keras dan menerapkan serangan MITM. Dari percobaan ini, kita dapat melihat bahwa argumen ini tidak tahan air. Memang, serangan yang sangat sederhana (mengkloning situs web dan mengganti gambar keamanan dengan pemberitahuan yang mengatakan fitur gambar keamanan saat ini sedang dalam pemeliharaan) sangat berhasil dalam praktiknya.

    Jadi, ketika keamanan suatu sistem tergantung pada bagaimana pengguna akan berperilaku, penting untuk melakukan eksperimen yang ketat untuk mengevaluasi bagaimana pengguna biasa benar-benar akan berperilaku dalam kehidupan nyata. Intuisi dan analisis "dari prinsip pertama" kami bukan merupakan pengganti data.

  • Ketiga, pengguna biasa tidak berperilaku seperti yang diharapkan oleh petugas keamanan. Kadang-kadang kita berbicara tentang protokol sebagai "pengguna akan melakukan ini-dan-itu, maka server akan melakukan ini-dan-itu, dan jika pengguna mendeteksi penyimpangan, pengguna akan tahu dia sedang diserang". Tapi bukan itu yang dipikirkan pengguna. Pengguna tidak memiliki pola pikir mencurigakan yang dimiliki petugas keamanan, dan keamanan tidak ada di garis depan pikiran mereka. Jika ada sesuatu yang tidak beres, seorang pakar keamanan mungkin curiga dia sedang diserang - tetapi itu biasanya bukan reaksi pertama dari pengguna biasa. Pengguna biasa begitu terbiasa dengan kenyataan bahwa situs web tidak stabil sehingga reaksi pertama mereka, setelah melihat sesuatu yang aneh atau tidak biasa, sering mengabaikannya dan menganggap bahwa Internet (atau situs web) tidak berfungsi dengan baik di saat. Jadi, jika mekanisme keamanan Anda bergantung pada pengguna untuk menjadi curiga jika isyarat tertentu tidak ada, itu mungkin karena alasan yang lemah.

  • Keempat, tidak realistis untuk mengharapkan pengguna memperhatikan tidak adanya indikator keamanan, seperti ikon kunci SSL. Saya yakin kita semua bermain "Simon Says" sebagai seorang anak. Kesenangan dari permainan ini sepenuhnya - bahkan ketika Anda tahu untuk menjaganya - mudah untuk mengabaikan ketiadaan isyarat "Simon Says". Sekarang pikirkan tentang ikon SSL. Mencari ikon SSL bukan tugas utama pengguna, saat melakukan perbankan online; sebaliknya, pengguna biasanya hanya ingin membayar tagihan mereka dan menyelesaikan tugasnya sehingga mereka dapat beralih ke sesuatu yang lebih berguna. Betapa jauh lebih mudah untuk gagal menyadari ketidakhadirannya, dalam keadaan itu!

Omong-omong, Anda mungkin bertanya-tanya bagaimana industri perbankan merespons temuan ini. Bagaimanapun, mereka menekankan fitur gambar keamanan mereka (dengan berbagai nama pemasaran) kepada pengguna; jadi bagaimana mereka bereaksi terhadap penemuan bahwa fitur gambar keamanan pada dasarnya tidak berguna? Jawab: belum. Mereka masih menggunakan gambar keamanan. Dan jika Anda bertanya kepada mereka tentang respons mereka, respons tipikal adalah bentuk "well, pengguna kami benar-benar menyukai dan menghargai gambar keamanan". Ini memberi tahu Anda sesuatu: itu memberi tahu Anda bahwa gambar keamanan sebagian besar merupakan bentuk teater keamanan. Mereka ada untuk membuat pengguna merasa nyaman dengan prosesnya, lebih dari sekadar melindungi dari serangan serius.

Referensi. Untuk detail lebih lanjut dari percobaan yang saya rangkum di atas, bacalah makalah penelitian berikut ini:

61
D.W.

Saya tidak menilai keamanan mereka sangat tinggi; tetapi mereka lebih dari sekadar teater keamanan. Mereka berpotensi dapat membuat pekerjaan penyerang lebih sulit dan pekerjaan ahli forensik keamanan melacak anomali lebih mudah.

Katakanlah tidak ada gambar/frasa keamanan atau yang setara. Kemudian seorang penyerang tengah dapat membuat versi palsu dari situs web untuk menangkap kredensial pengguna yang tidak menaruh curiga tanpa bendera merah bermunculan. (Dengan asumsi mereka dapat membuat pengguna memperhatikan kurangnya https di bank mereka atau telah menginstal sertifikat fradualen di browser web pengguna).

Sekarang, mari kita menganalisis skema yang digunakan oleh bank saya (ING), di mana setiap kali saya mendaftar dari browser baru, saya pertama kali mengetik nama pengguna saya, bank menjawab "Hai jim bob", tolong jawab dua pertanyaan keamanan (acak) (dari daftar sekitar 5) karena Anda belum pernah menggunakan komputer ini sebelumnya. Pertanyaan-pertanyaan ini agak entropi rendah, tetapi Anda masih harus tahu saya dan sejarah keluarga saya untuk mendapatkan yang benar; atau proksi pertanyaan ini ke komputer saya. Lalu itu menunjukkan gambar keamanan saya, dan meminta kata sandi saya.

Jadi sekarang orang di serangan tengah harus aktif (maka server palsu yang selalu menunggu pengguna untuk memberikan kredensial yang dengan sempurna meniru situs palsu). Pertama, saya mungkin berpikir bahwa saya harus memasukkan kembali pertanyaan keamanan saya ketika ini dari komputer normal saya. Sekarang, MitM harus meminta bank yang sebenarnya selama serangan untuk pertama-tama menemukan dua pertanyaan acak yang diambil untuk akun saya, mengirimkannya kembali kepada saya tanpa terlihat dan mencatat jawaban saya dan kemudian mengirim kembali jawaban saya ke bank nyata melalui koneksi https mereka ke ambil citra keamanan.

Kemudian penyerang harus mengambil URL gambar keamanan atau mengunduhnya sendiri, lalu mengunggahnya ke server web di tengah mereka untuk saya unduh dari mereka. Ini bisa mencurigakan jika mengatakan mereka baru saja mengambil URL gambar keamanan, sehingga IP yang berbeda melihat gambar keamanan kemudian membuat koneksi https ke situs web mereka untuk yang lainnya. Atau jika penyerang mengunduhnya dan ditampilkan kembali kepada saya, sekarang alamat penyerang IP telah terbuka dan mereka mungkin bisa mendapatkan blok/shutdown yang mengontrol alamat IP jahat.

Mungkinkah dilewati, pasti ya. Tapi ini bukan hanya teater keamanan dan bisa menjadi bagian yang membantu pertahanan dengan https. Semakin saya memikirkannya, saya pikir ini adalah nilai jual utama. Saya mungkin tidak memperhatikan jika bank saya tidak https jika saya sedang terburu-buru. Jika diminta memasukkan kembali pertanyaan keamanan saya; Saya dapat menjeda dan mengecek apakah itu https dengan URL bank yang sebenarnya (bukan http atau yang serupa).

12
dr jimbob

Jika ini masalahnya, gambar keamanan tampaknya tidak memberikan keamanan tambahan,

Alih-alih menarik salinan statis dari halaman login, sekarang phisher harus membuat halaman yang mampu berinteraksi dengan situs web asli.

Hipotesis ekstrem adalah bahwa mereka sangat bodoh, dan akan mengambil gambar khusus dengan IP mereka sendiri, atau IP yang dapat dihubungkan dengan mereka.

Hipotesis bodoh yang tidak terlalu ekstrem adalah bahwa mereka akan mengambil banyak gambar khusus dengan satu atau beberapa alamat IP yang berbeda, yang mungkin menimbulkan kecurigaan untuk alamat IP dari ISP bukan dikenal menggunakan NAT lebar pembawa.

Tetapi masalah "IP Asal" yang sama ada dengan phishing dari tipe sederhana, dengan pasangan login/kata sandi biasa: satu-satunya nilai dari data yang dikumpulkan ini adalah bahwa mereka dapat digunakan untuk masuk ke situs web asli. Phisher selalu membutuhkan kumpulan alamat IP "tampan" jika mereka tidak ingin menimbulkan kecurigaan (apa alamat "tampan" tergantung di halaman web dan pemirsanya).

Untuk phishing bank, uang harus ditransfer oleh "bagal" ke akun perantara . Nelayan tidak hanya membutuhkan alamat IP (botnet dapat menyediakan ini), tetapi juga rekening bank perantara. Orang sungguhan harus menyediakan akun ini.

Phishing dalam skala besar tentu memerlukan perencanaan yang baik, dan prosedur keamanan ketat, karena cepat atau lambat, operasi penangkapan akan ditemukan, dan diselidiki. Dan ketika itu, orang-orang yang bertanggung jawab atas operasi phishing tentu peduli privasi mereka (tidak ditemukan).

Saya tidak tahu detail pasti dari operasi seperti itu, tetapi saya tidak percaya penambahan "unduh gambar keamanan" akan menjadi pencegah.

dan mungkin sebenarnya berbahaya jika mereka meyakinkan pengguna bahwa situs web jahat itu sah.

Ya memang.

Rata-rata yang kemungkinan menjadi korban pengguna phishing adalah tidak dapat melakukan evaluasi keamanan skema yang tepat. Hampir semua pengguna seperti itu akan melebih-lebihkan manfaat keamanannya.

Dan apakah pengguna bahkan memeriksa gambar keamanan?

3
curiousguy

Ini adalah upaya berani untuk mengatasi masalah kepercayaan. SSL bagus untuk komputer untuk membangun kepercayaan - tetapi sangat tidak berarti bagi orang-orang. Jika Anda bisa memikirkan cara yang lebih baik bagi sebuah situs untuk memberikan bukti kepada pengguna non-teknis bahwa memang seperti itu maka saya akan sangat tertarik untuk mendengarnya.

Seperti yang orang lain katakan, mereka menempatkan rintangan lain di depan phisher.

Tetapi dibandingkan dengan situs phising mandiri, itu berarti bahwa penyedia layanan nyata berpotensi memiliki beberapa visibilitas atas aktivitas tersebut; melihat banyak permintaan untuk pengguna yang berbeda dari alamat yang sama diikuti oleh tidak ada interaksi lebih lanjut atau interaksi otomatis harus cukup terlihat.

1
symcbean