HARD CORE SECURITY LAB

Autorem poniższego artykułu jest Paweł Farbaniec (e-mail: pawel.farbaniec w domenie otan.pl, strona domowa: http://softwareinorder.com/).

Komplikujemy sobie życie wprowadzając coraz wymyślniejsze zabezpieczenia. Z jednej strony to dobrze, bo dzięki temu mimo problemów czujemy się bezpieczniejsi. Jednak wprowadzając pewne metody odsłaniamy inne słabe punkty systemu. Przykładowo rozważmy blokowanie konta po kilku nieudanych próbach logowania. Czy zawsze komputerowemu przestępcy musi chodzić o włamanie na konto konkretnego użytkownika? Co gdyby wandal chciał po prostu sparaliżować pracę banku na kilka godzin lub dni? Wystarczy dezaktywować choćby część kont. Jak? Nic trudnego, wystarczy tylko zasymulować użytkownika...

Jakiś czas temu, gdy Alior Bank wprowadzał swoje usługi, założyłem u nich konto. Po raz pierwszy spotkałem się wtedy z maskowanym hasłem. Do tej pory rutynowo zapamiętywałem swoje hasła kojarząc je z identyfikatorem lub stroną. Maskowane hasła wymagają odrobiny myślenia przy ich wprowadzaniu. Nie dość, że długość formatki na hasło jest zmienna, to jeszcze wprowadza się znaki na losowych pozycjach. Logowanie trwało więc trochę dłużej. Czasami jednak zagadkowo zdarzało się, że otrzymywałem do wypełnienia więcej znaków niż wynikało to z długości mojego hasła.

Jako, że były to początki tego banku, pomyślałem że to błąd w oprogramowaniu. Później zacząłem kombinować i pomyślałem, że w tym szaleństwie jest jednak metoda. Mimo formatki na 12 znaków należy wypełnić tylko 11, weryfikować dodatkowo użytkownika poprzez długość hasła, które wprowadza. Niestety wszystkie pola wymagały wypełnienia, nie byłem w stanie znaleźć racjonalnego wyjaśnienia.

Niedawno sytuacja powtórzyła się. Znów dostałem formatkę na 12 znaków hasła, o jeden za dużo. Tym razem moje podejrzenie wzbudził jednak identyfikator konta, który wpisałem. Okazało się, że nieświadomie użyłem identyfikatora z innego banku (mBank), a pech chciał, że pasuje on do jakiegoś innego konta w Alior. Uff, rozwiązanie problemu banalne a właściwie to jaki problem? Co najmniej kilka razy zablokowałem jakiemuś nieszczęśnikowi konto przez błędnie wpisany identyfikator...

W ten sposób łatwo mogę zablokować konto, do którego nie mam uprawnień. Oczywiście zawsze można się pomylić i przypadkowo trafić na właściwy dla kogoś innego identyfikator. Przy czym obie sytuacje są niepożądane. Jak to rozwiązać? Jak ustrzec się przed takimi przypadkami? Jak tworzyć identyfikator, który będzie wykluczał lub chociaż zmniejszał prawdopodobieństwo użycia identyfikatora z innego banku, a jednocześnie będzie na tyle prosty i łatwy do zapamiętania, aby zaakceptowali go użytkownicy?

Identyfikator generowany z samych cyfr jest co najmniej niebezpieczny. Co by było gdyby ktoś (nie namawiam, ale teoretyzuje) postanowił dezaktywować wszystkie konta klientów banku? Zapewne taka instytucja jest zabezpieczona na różne ataki, a system monitorowany, ale w odpowiednich warunkach jestem pewien, że taki atak byłby skuteczny. Dezaktywacja nawet kilku tysięcy kont klientów przy przyjętej procedurze odzyskiwania zablokowanego konta może oznaczać paraliż infolinii na wiele godzin, a nawet dni. Jednym słowem spory problem do ogarnięcia.

Oczywiście istnieje wiele sposobów na zabezpieczenie dostępu do konta zarówno sprzętowych i softwarowych, ale przychodzą mi dwa bardzo proste sposoby. Dlaczego nie pozwalać określać użytkownikom samodzielnie własnych alfanumerycznych identyfikatorów? Są łatwiejsze do zapamiętania przez zwykłych użytkowników a prawdopodobieństwo ich pomyłkowego wprowadzenia znikome.

Można zastosować identyfikator wewnętrzny/pośredni, wyliczany na podstawie wprowadzonych przez użytkownika wartości – wystarczy odpowiednio skleić identyfikator konta oraz hasło lub jego część tworząc coś w rodzaju unikalnego odcisku konta. Będzie się on zmieniał przy zmianie hasła i system musi to obsłużyć, ale zmiana ta jest całkowicie przezroczysta dla użytkowników.

Oba przykłady eliminują problem i nie wymagają dużych nakładów finansowych oraz czasu na ich realizację.

[Od redakcji]

Rzeczywiście przeprowadzenie tego typu ataku polegającego na automatycznym zablokowaniu znacznej części kont użytkowników poprzez wykonanie dla każdego z potencjalnych identyfikatorów kilkukrotnej próby logowania wydaje się wykonalne. Wszystko to dzięki temu, że postać bankowych identyfikatorów klienta stosowanych przy dostępie do kanałów internetowych jest zazwyczaj ściśle określona. Przykładowo w przypadku mBanku jest to ośmioznakowy identyfikator złożony wyłącznie z cyfr. Nawet jeśli poszczególne identyfikatory są mocno rozproszone w obrębie dostępnego zakresu, to przy zaangażowaniu odpowiednich środków (prawdopodobnie nie obejdzie się bez sporej puli adresów IP), wykonanie skutecznego ataku jest jak najbardziej możliwe.