web-dev-qa-db-ja.com

セキュリティ画像の有効性

銀行へのログイン時に提示されるようなセキュリティ画像は、具体的なセキュリティ上の利点を提供しますか、それともほとんど劇場ですか?

私の理解では、誰かがユーザーをフィッシングしている場合、ユーザーからのリクエストを本物のWebサイトにプロキシし、ユーザーが画像を受け取る前にユーザーが提供する資格情報(ユーザー名など)を使用してセキュリティ画像を取得することも簡単です。これが事実である場合、セキュリティ画像は追加のセキュリティを提供しないようであり、悪意のあるWebサイトが正当であることをユーザーに納得させるのに役立つ場合、実際には有害である可能性があります。

何か不足していますか?

authenticationphishingsecurity-theatersitekeysecurity-seal
49
Stephen Touset

すばらしい質問です。偶然にも、私はこの質問に関する実験データを提示できます-そしてデータは魅力的です。 (これらのセキュリティイメージが提供するセキュリティに関する第一原則からの推測が回答の一部に含まれていることに気づきました。しかし、データは私たち全員にとっていくつかの驚きを持っていることがわかりました!)

実験的な方法論。「セキュリティ画像」は、ラボでオンラインバンキングの実行を依頼された一般ユーザーを対象に実施されたユーザー調査で評価されています。彼らには知られていないが、安全に動作するかどうか、セキュリティイメージが役立つかどうかを確認するために、制御された方法で「攻撃」されたものもあった。

研究者は2つの攻撃を評価しました:

  • MITM攻撃:研究者たちは、SSLを取り去る中間者攻撃をシミュレートしました。攻撃の目に見える唯一の兆候は、HTTPSインジケーターがないことです(アドレスバーにHTTPSがない、ロックアイコンがないなど)。

  • セキュリティ画像攻撃:研究者たちはフィッシング攻撃をシミュレートしました。この攻撃では、セキュリティ画像が欠落していることを除いて、ユーザーが実際の銀行サイトを操作しているように見えます。その代わりに、攻撃は次のテキストを配置します。

    SiteKeyメンテナンス通知:Bank of Americaは現在、受賞歴のあるSiteKey機能をアップグレードしています。 24時間以内にSiteKeyが表示されない場合は、カスタマーサービスにお問い合わせください。

    これは素晴らしい攻撃だと思います。ユーザーに表示するセキュリティイメージを理解しようとするのではなく、セキュリティイメージをまったく表示せずに、セキュリティイメージがなくても問題がないことをユーザーに説得してください。最強のセキュリティシステムを破ろうとしないでください。土台を弱めることで全体をバイパスするだけです。

とにかく、研究者たちは、ユーザーがこれらの方法で攻撃されたとき(ユーザーの知らないうちに)の動作を観察し始めました。

実験結果結果は?攻撃は信じられないほど成功しました。

  • 1人のユーザーがMITM攻撃を回避したわけではありません。 MITM攻撃にさらされたすべての人がそのために失敗しました。 (彼らが攻撃を受けていることに気づいた人はいません。)

  • セキュリティイメージの攻撃にさらされた人の97%がそれに当てはまりました。この攻撃を受けた場合、3%(60人の参加者のうち2人)のみが安全に動作し、ログインを拒否しました。

結論。この実験からいくつかの教訓を引き出しましょう。

  • まず、セキュリティイメージは効果がありません。彼らは非常に単純な攻撃手法によって容易に打ち負かされます。

  • 第二に、どのセキュリティメカニズムが効果的であるかを評価するとき、私たちの直感は信頼できません。セキュリティの専門家でも、間違った結論を導き出す可能性があります。たとえば、このスレッドを見てください。一部の人々は、セキュリティイメージが攻撃者に強制的に働きかけてMITM攻撃を実装するよう強制するため、セキュリティを強化するとの見方をしています。この実験から、この議論は水を保持しないことがわかります。実際、非常に単純な攻撃(Webサイトのクローンを作成し、セキュリティイメージをメンテナンスのために現在ダウンしているという通知でセキュリティイメージを置き換える)は、実際には非常に成功しています。

    そのため、システムのセキュリティがユーザーの行動に依存する場合、一般ユーザーが実際にどのように行動するかを評価するために厳密な実験を行うことが重要です。私たちの直感と「第一原理」分析は、データの代わりにはなりません。

  • 第3に、通常のユーザーは、セキュリティ担当者が望むとおりに動作しない。時々、プロトコルについて「ユーザーはそのようなことをし、サーバーはそうしたことをし、ユーザーが何らかの逸脱を検出した場合、ユーザーは攻撃を受けていることを知るだろう」と話します。しかし、それはユーザーの考えではありません。ユーザーは、セキュリティ担当者が持っているような疑わしい考え方を持っておらず、セキュリティが彼らの最前線にいるわけではありません。何かが正しくない場合、セキュリティの専門家は彼女が攻撃を受けていると疑う可能性がありますが、それは通常のユーザーの最初の反応ではありません。通常のユーザーは、Webサイトが不安定であることに慣れているので、奇妙なまたは異常な何かを目にしたときの最初の反応は、それをすくめて、インターネット(またはWebサイト)が正しく機能していないと想定することです瞬間。したがって、セキュリティメカニズムが、特定のキューが存在しない場合にユーザーが疑わしいことに頼る場合、それはおそらく不安定な理由にあります。

  • 第4に、SSLロックアイコンのようなセキュリティインジケータがないことにユーザーが気づくことを期待するのは現実的ではありません。私たちは皆、子供の頃「サイモンは言う」を演奏したと確信しています。ゲームの面白さは、それを気にかけることを知っていても、「Simon Says」の手がかりがないことを見逃しやすいことです。次に、SSLアイコンについて考えます。オンラインバンキングを実行する場合、SSLアイコンの検索はユーザーの主要なタスクではありません。代わりに、ユーザーは通常、請求書を支払って家事を済ませて、もっと便利なものに移動したいだけです。そのような状況で、その不在に気付かず失敗する方がはるかに簡単です!

ちなみに、銀行業界がこれらの調査結果にどのように対応したのか疑問に思われるかもしれません。結局のところ、彼らはセキュリティイメージ機能(さまざまなマーケティング名で)をユーザーに強調しています。では、セキュリティイメージ機能は実際にはほとんど役に立たないという発見にどのように反応しましたか?回答:そうではありません。彼らはまだセキュリティ画像を使用しています。そして、彼らに彼らの反応について尋ねるなら、典型的な反応は「まあ、私たちのユーザーはセキュリティ画像を本当に好きであり、感謝しています」という形の何かでした。これはあなたに何かを伝えます:それはセキュリティ画像が主にセキュリティシアターの形であることを伝えます。これらは、実際に深刻な攻撃から保護するだけでなく、ユーザーにプロセスを快適にさせるために存在します。

参考資料。上記で要約した実験の詳細については、次の研究論文を参照してください。

61
D.W.

私は彼らのセキュリティを特に高く評価していません。しかし、彼らは単なるセキュリティシアター以上のものです。彼らは潜在的に攻撃者の仕事をより困難にし、セキュリティフォレンジックの専門家の仕事を簡単に異常を追跡することができます。

セキュリティ画像/フレーズまたは同等のものがないとしましょう。次に、中間者攻撃者は、偽のバージョンのWebサイトを作成して、赤い旗がポップアップすることなく、疑いを持たないユーザーの資格情報をキャプチャできます。 (銀行にhttpsがないことをユーザーに知らせたり、ユーザーのWebブラウザーに過激な証明書をインストールしたりできると仮定します)。

次に、私の銀行(ING)で使用されているスキームを分析してみましょう。新しいブラウザから登録するときは常に、最初にユーザー名を入力すると、銀行が「Hi jim bob」と返信します。2つの(ランダムな)セキュリティ質問(約5)のリスト。以前にこのコンピュータを使用したことがないため。これらの質問はやや低いエントロピーですが、それでも正しく理解するには、私と私の家族歴を知る必要があります。または、これらの質問を私のコンピューターにプロキシします。次に、私のセキュリティイメージが表示され、パスワードが要求されます。

したがって、今度は中間者攻撃をアクティブにする必要があります(その場合、ユーザーが偽のサイトを完全に模倣する資格情報をユーザーが提供するのを常に待機している偽のサーバー)。まず、これが私の通常のコンピュータからのものである場合、セキュリティの質問を再入力する必要があるのではないかと思われるかもしれません。さて、MitMは攻撃中に実際の銀行にクエリを実行して、最初に私のアカウントで取得された2つのランダムな質問を見つけ、それを無表情に私に送り返し、私の回答を記録してから、https接続を介して実際の銀行に私の回答を送り返す必要があります。セキュリティイメージを取得します。

次に、攻撃者はセキュリティイメージのURLを取得するか、自分でダウンロードしてから、中間のWebサーバーにアップロードして、そこからダウンロードする必要があります。セキュリティイメージのURLを取得しただけだとすると、これは疑わしい可能性があります。そのため、別のIPがセキュリティイメージを表示し、他のすべてのWebサイトへのhttps接続を確立していました。または、攻撃者がそれをダウンロードして再表示した場合、攻撃者のIPアドレスが公開され、悪意を持って制御されたIPアドレスをブロック/シャットダウンできる可能性があります。

迂回できますか?しかし、それは単なるセキュリティシアターではなく、httpsとともに多層防御に役立つ可能性があります。考えれば考えるほど、これが一番のセールスポイントだと思います。私がラッシュにいる場合、私の銀行がhttpsではなかった場合、気付かない可能性があります。セキュリティの質問を再入力するように求められた場合一時停止し、実際の銀行のURLがhttpsであることを再確認します(httpまたは類似のものではありません)。

12
dr jimbob

この場合、セキュリティイメージは追加のセキュリティを提供しないように見えますが、

ログインページの静的なコピーを引き出す代わりに、フィッシング詐欺師は、元のWebサイトとやり取りできるページを作成する必要があります。

極端な仮説は、それらが非常に馬鹿であり、独自のIPまたはそれらにリンクできるIPを使用してカスタムイメージを取得することです。

それほど極端ではない愚かさの仮説は、1つまたはいくつかの異なるIPアドレスで多くのカスタムイメージを取得することであり、ISPからのIPアドレスの疑いを引き起こす可能性がありますnotキャリアワイドNATを使用することが知られています。

ただし、単純なタイプのフィッシングと通常のログイン/パスワードのペアでは、同じ「元のIP」の問題が存在します。これらの収集されたデータの唯一の価値は、元のWebサイトへのログインに使用できることです。 フィッシング詐欺師は、疑いをかけたくない場合は常に「見栄えの良い」IPアドレスのプールを必要とします(「見栄えの良い」アドレスとはウェブページとそのユーザー層)。

銀行フィッシングの場合、お金は「ミュール」によって中間口座に送金される必要があります。漁業者はIPアドレス(ボットネットがこれらを提供できる)だけでなく、中間銀行口座も必要です。 実際の人々はこれらのアカウントを提供する必要があります。

大規模なフィッシングには確かに適切な計画と厳格なセキュリティ手順が必要です。これは遅かれ早かれ、漁業の発見と調査が行われるためです。そして、そうである場合、フィッシング操作の担当者は確実にプライバシーを気にします(見つかりません)。

そのような操作の正確な詳細はわかりませんが、「セキュリティイメージのダウンロード」の追加が抑止力になるとは思いません。

悪意のあるWebサイトが正当であることをユーザーに納得させるのに役立つ場合、実際には有害です。

はい、そうです。

平均的なフィッシングユーザーの可能性が高いユーザーはスキームの適切なセキュリティ評価を行うことができませんです。そのようなユーザーのほとんどすべてが、セキュリティ上の利点を過大評価します。

また、ユーザーはセキュリティ画像もチェックしますか?

3
curiousguy

信頼の問題に取り組む勇気ある試みです。 SSLは、コンピュータが信頼を確立するのに最適ですが、人々にとってはあまり意味がありません。サイトが技術者ではないユーザーに、それがそうであるように見える証拠を提供するためのより良い方法を考えることができるなら、私はそれについて聞いて非常に興味があります。

他の人が言ったように、彼らはフィッシャーの前に別のハードルを置きます。

ただし、スタンドアロンのフィッシングサイトと比較すると、実際のサービスプロバイダーはその活動をある程度把握できる可能性があります。同じアドレスからのさまざまなユーザーに対する多数のリクエストに続いて、それ以上のインタラクションまたは自動化されたインタラクションが見られることは、かなり目に見えるはずです。

1
symcbean