Phishing – attacco all’autenticazione a due fattori
Inserito da Manlio Torquato il Gio, 2006-07-18 14:37
Luglio 2006 | Security
060718-AttaccoToken
Attraverso il suo blog
Bruce Schneier lancia l’allarme: il phishing attacca anche i
meccanismi di autenticazione a due fattori, i cosiddetti token.
Ma nei giorni scorsi, riferisce il Washington Post, la banca è stata attaccata dai phisher.
L’attacco avviene come segue: viene creato un falso sito perfettamente identico a quello della Citibank e via email si chiede alla vittima di inserire user id, password e codice segreto generato dal token. Sfruttando il tempo a disposizione (il minuto in cui il codice segreto non cambia) l’attaccante riesce ad impersonificare il vero proprietario delle credenziali ed operare la truffa.
È proprio quello che fa questo nuovo attacco di phishing! Per rendere più realistico il falso sito web, non si sostituisce il sito vero della banca ma semplicemente si interpone fra questo e l’utilizzatore legittimo.
Infatti finora si pensava che una buona tecnica per verificare se il sito web a cui ci si collega fosse effettivamente quello vero fosse di inserire la prima volta codici errati: in tal modo se il sito era effettivamente quello della banca avremmo ricevuto (correttamente) un codice d’errore mentre se eravamo di fronte al sito di un phisher avremmo ricevuto un (falso) messaggio di conferma.
La nuova tecnica d’attacco intercetta i dati senza interrompere però il flusso con il sito “vero” (si “mette in mezzo”) ed in tal modo rende inefficace anche questa tecnica di sicurezza.
L’autenticazione a due fattori risolveva i problemi di sicurezza di dieci anni fa ma è inutile per quelli odierni. Dieci anni fa gli attacchi erano “passivi” quali l’eavesdropping (cioè "ascoltare di nascosto" dati riservati) e l’offline password guessing (cioè: “indovinare le password”).
Oggi gli attacchi sono “attivi”: phishing e trojan horse.
La vera minaccia, ammoniva 18 mesi fa Bruce Schneier, è l’impersonificazione e a riguardo le tecniche degli attaccanti mutano in base alle difese adottate; l’autenticazione a due fattori costringerà i criminali informatici a modificare le loro tecniche, questo è tutto.
“Prevedo” concludeva Schneier “che le banche e le altre istituzioni finanziarie spenderanno milioni per dotare i propri clienti di token per l’autenticazione a due fattori; all’inizio ciò dissuaderà i criminali da tentare nuovi attacchi ma quando questa tecnologia si sarà diffusa essa sarà attaccata come tutte le altre”.
Italian Black Hats Association - Associazione Italiana Black Hats, Man in the Middle Attacks: cos’è, come ottenerlo, come prevenirlo… (pdf, 323 K)
Per IsacaRoma Newsletter ha scritto anche: Letture sotto l’ombrellone per i Security Manager
Contatti?
L’allarme del Washington Post
Il Washington Post, nella sua edizione online, è il primo a segnalare un nuovo salto di qualità dei criminali informatici. Finora si riteneva che l’utilizzo di sistema di autenticazione forte, basato cioè non solo su user-id e password, ma anche su un token “fisico” capace di generare un numero random sincronizzato tra utente e sito web fosse in grado di contrastare il phishing. È proprio il metodo scelto da Citibank's Citibusiness service che richiede ai propri utenti di inserire, oltre al proprio user name e password anche un codice segreto generato da un token e che ogni minuto viene sostituito.Ma nei giorni scorsi, riferisce il Washington Post, la banca è stata attaccata dai phisher.
L’attacco avviene come segue: viene creato un falso sito perfettamente identico a quello della Citibank e via email si chiede alla vittima di inserire user id, password e codice segreto generato dal token. Sfruttando il tempo a disposizione (il minuto in cui il codice segreto non cambia) l’attaccante riesce ad impersonificare il vero proprietario delle credenziali ed operare la truffa.
L’attacco “man in the middle
Come recita Wikipedia l'attacco dell'uomo in mezzo, meglio conosciuto come “man in the middle attack” o MITM è un attacco nel quale l'attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti senza che nessuna delle due sia in grado di sapere se il collegamento sia stato compromesso.È proprio quello che fa questo nuovo attacco di phishing! Per rendere più realistico il falso sito web, non si sostituisce il sito vero della banca ma semplicemente si interpone fra questo e l’utilizzatore legittimo.
Infatti finora si pensava che una buona tecnica per verificare se il sito web a cui ci si collega fosse effettivamente quello vero fosse di inserire la prima volta codici errati: in tal modo se il sito era effettivamente quello della banca avremmo ricevuto (correttamente) un codice d’errore mentre se eravamo di fronte al sito di un phisher avremmo ricevuto un (falso) messaggio di conferma.
La nuova tecnica d’attacco intercetta i dati senza interrompere però il flusso con il sito “vero” (si “mette in mezzo”) ed in tal modo rende inefficace anche questa tecnica di sicurezza.
La previsione di Bruce Schneier
Già nel marzo 2005 Schneier ricordava che l’autenticazione a due fattori non è la panacea di tutti i mali (informatici); essa non può difendere contro il phishing né essere efficace contro il furto d’identità.L’autenticazione a due fattori risolveva i problemi di sicurezza di dieci anni fa ma è inutile per quelli odierni. Dieci anni fa gli attacchi erano “passivi” quali l’eavesdropping (cioè "ascoltare di nascosto" dati riservati) e l’offline password guessing (cioè: “indovinare le password”).
Oggi gli attacchi sono “attivi”: phishing e trojan horse.
La vera minaccia, ammoniva 18 mesi fa Bruce Schneier, è l’impersonificazione e a riguardo le tecniche degli attaccanti mutano in base alle difese adottate; l’autenticazione a due fattori costringerà i criminali informatici a modificare le loro tecniche, questo è tutto.
“Prevedo” concludeva Schneier “che le banche e le altre istituzioni finanziarie spenderanno milioni per dotare i propri clienti di token per l’autenticazione a due fattori; all’inizio ciò dissuaderà i criminali da tentare nuovi attacchi ma quando questa tecnologia si sarà diffusa essa sarà attaccata come tutte le altre”.
Link
La previsione di Bruce Schneier in CRYPTO-GRAM del 15 marzo 2005 (pdf, 111 K) ed un successivo chiarimento in CRYPTO-GRAM del 15 aprile 2005 (pdf, 108 K) - traduzione italiana a cura di Communication ValleyItalian Black Hats Association - Associazione Italiana Black Hats, Man in the Middle Attacks: cos’è, come ottenerlo, come prevenirlo… (pdf, 323 K)
Chi è Manlio Torquato?
Manlio si occupa di sicurezza informatica da tanti anni. Ora ha voluto mettere ordine nelle sue letture.Per IsacaRoma Newsletter ha scritto anche: Letture sotto l’ombrellone per i Security Manager
Contatti?
IsacaRoma Newsletter link
» email this story | printer friendly version | 2008 reads
