לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


11/2006

תחליפי הזדהות חזקה


הפיקוח האמריקאי על הבנקים מחייב את הבנקים בארצות הברית לספק ללקוחות אמצעי פיסי להזדהות על מנת להתמודד עם מתקפות הפישינג הרבות. זו החלטה די מטופשת כיוון שכל מנגנוני ההזדהות ניתנים לעקיפה, כיוון שכולם מתבססים על משהו בצד המשתמש ועל תחנת קצה שלרוב אינה מוגנת. מתקפות פישינג מתוחכמות מהעת האחרונה הוכיחו שתקיפה של מנגנוני הזדהות חזקה אינה תרחיש קיצון אלא מצב בפועל.

 

בכתבה הזו מתוארים מנגנונים אחרים שבנקים מתחילים ליישם במקום אמצעי הזדהות (בין היתר כי העלויות של פרויקטים כאלה עצומים, היתרונות לא ברורים והלקוחות לא אוהבים אותם). הפתרונות המובילים לדעתי מבחינה אבטחתית הנם פתרונות שניתן לקרוא להם הזדהות סטטיסטית, או בלשונה של RSA, הזדהות אדפטיבית (אגב, זה פתרון של Cyota הישראלית שנקנתה על ידם). המשמעות היא שמנתחים סדרה של פרמטרים המאפיינים את המשתמש ולא מתייחסים רק לשם המשתמש והסיסמה. נתונים אלה יכולים להיות נתונים אודות תחנת הקצה, נתונים על המיקום הפיסי של כתובת ה-IP ממנה מגיעים, הצלבה עם נתונים כאלה בין לקוחות וכדומה.

 

מבחינת יחס עלות תועלת פתרונות כאלה מציגים יחס עלות-תועלת הרבה יותר גבוה מפתרונות של הזדהות חזקה ובשלב זה נראים גם יותר מאובטחים מהם. אני מניח שאם רוצים לתקוף מנגנון שכזה צריך (בעת ביצוע מתקפת פישינג) לדגום את הנתונים הרלוונטים בתחנת הקצה ולזהות את כתובת ה-IP ממנה ניגשת התחנה. את המתקפה מבצעים דרך שרתי proxy במרחב הכתובות המתאים, תוך הצגת נתוני הזיהוי הרלוונטים של התחנה (cookie, או כל אובייקט אחר שהאתר רוצה). על מנת לטשטש את יכולת הצלבת הנתונים של המערכות תידרש החלה תדירה של כתובות IP. כמובן שמתקפות שמבוצעות דרך טרויאניים ישירות מהמחשב הנתקף יעברו את מנגנוני האבטחה האלה.

 

צריך לשים לב אבל שיש הבדל בין הגנה על פרטיות הלקוחות להגנה על כספם. מימוש מנגנונים כאלה עבור הגנה על הכסף מספקת רמת הגנה גבוהה, כיוון שפעילות של תוקף בתוך החשבון במאפיינים שחורגים ממאפייני הפעילות של הלקוח תיחסם באופן אוטומטי (וזה לכשעצמו יצריך מהתוקפים למקד את ההתקפות ללקוחות שיש יותר סיכוי שמאפייני הפעילות שלהם חשופים לגניבת כספים). לעומת הגנה על הכסף, הגנה על הפרטיות קשה יותר כיוון שבעוד שבפעילות בחשבון ניתן לבנות פרופיל מורכב, בגישה לחשבון עצמו קשה יותר לבנות פרופיל כזה ולכן קשה יותר לזהות חריגות.

 

הבעיה המרכזית איתה מתמודדים בנקים היא שבקשר הזה עם הלקוחות, הבנקים נדרשים להתבסס על רמת אבטחה שתלויה בלקוח. בניגוד לעקרון האבטחה המחייב להחזיק את מנגנון האבטחה צמוד לחזה.

נכתב על ידי , 30/11/2006 20:57   בקטגוריות אבטחת מידע כללי, הנדסה חברתית, Phishing ו-Pharming, כלכלת אבטחת מידע, כרטיסים חכמים, הצפנות ושמונצס, פרטיות, סוסים וירוסים וחיות אחרות  
2 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 49




65,157
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2024 © עמותת ישראבלוג (ע"ר)