RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Thursday, March 3. 2011

Zrób kilka przelewów i nie daj się okraść

Pora na kolejny eksperyment. Tym razem jest on związany z bankowością internetową i tematem autoryzacji transakcji. Eksperyment jest podwójny ponieważ symuluję w nim dwie metody autoryzacji transakcji. Pierwsza jego część związana jest z autoryzacją transakcji przy użyciu kodów jednorazowych dostarczanych poprzez SMS. W drugiej części w ograniczonym stopniu symuluję autoryzację transakcji przy użyciu tokena challenge/response. Zadanie polega na wykonaniu przelewu tak, jak w normalnym banku, który korzysta z tych metod autoryzacji transakcji. Po prostu zrób kilka przelewów i nie daj się okraść.

Opis eksperymentu

Wykonanie przelewu składa się z kilku kroków:

  • wpisanie danych przelewu,
  • weryfikacja danych przelewu i autoryzacja przelewu,
  • potwierdzenie przyjęcia przelewu przez system,

Właściwie we wszystkich znanych mi implementacjach bankowości internetowej realizacja przelewu (jednorazowego) wygląda dokładnie w ten sposób. To, co należy zrobić jest chyba oczywiste, ale mimo wszystko poniżej krótkie wyjaśnienie.

Krok pierwszy

W pierwszym kroku należy wybrać rachunek źródłowy z listy dostępnych rachunków, podać rachunek docelowy oraz określić kwotę przelewu. Poprawność rachunku docelowego jest w pewnym stopniu sprawdzana, więc dla ułatwienia do testów można wybrać rachunki z poniższej listy:

11743595768571836044835192
86838190504756051574591477
49263174307784557062425993
66535420617534122943881352
31747252965565379347649383
14816841773810322603736388
79338539747433924478129025
66730235229301259482034214
20867872805376479112518345
40648215398433556418928123
49285291257357701183774342
32289112522816385615972636
89009064457030143418607591
67917086100575810243989684
29716143087803837322023708
48927519529237728968333491
09379294686772428910953563
65948843172887022509851599
16694429447128447092522988
08269234550834239051317297

Powyższe numery rachunków zostały wygenerowane przy pomocy tego przyjemnego narzędzia: http://bogus.ovh.org/generatory/iban.html. Numery te są poprawne, przynajmniej w zakresie sumy kontrolnej, natomiast najprawdopodobniej nie reprezentują żadnego istniejącego w rzeczywistości numeru rachunku.

Krok drugi

W drugim kroku wykonywaną operację należy autoryzować. Sposób autoryzacji zależy od wersji zadania. W pierwszym przypadku "przysyłany jest SMS", który w tym przypadku jest symulowany przez treść wyświetlaną w ramce.

SMS jest specjalnie wyświetlany nieco z dołu i boku, by choć trochę zasymulować sięganie (wzrokiem) do telefonu. Na tym etapie transakcję można wysłać lub anulować. Swoją drogą gdybym był wyjątkowo złośliwy, pobawiłbym się trochę bardziej stylami tak, by czytelność tego "SMS" była równie niska, jak na przeciętnym telefonie komórkowym.

Nieco więcej wyobraźni wymaga druga wersja, która symuluje działanie tokenu challenge/response. W tym przypadku zwykle jest tak, że w celu autoryzacji operacji konieczne jest przepisanie kodu challenge do urządzenia, a następnie kodu response z urządzenia na stronę. W tym przypadku całe zadanie upraszczam tylko do jednego etapu - jako kod autoryzacyjny należy przepisać liczbę losową oraz dwie pierwsze i cztery ostatnie cyfry numeru rachunku docelowego. Oczywiście również w tym przypadku wykonywaną transakcję można anulować.

Dlaczego takie uproszczenie? W części implementacji tokenu C/R weryfikacja parametrów transakcji wykonywana jest w trakcie konstruowania przez użytkownika wartości do przepisania do tokenu. Samo przepisywanie danych do/z tokenu oraz proces wyliczania kodu nie jest w tym przypadku kluczowy. W normalnym przypadku odpowiedni response potwierdza, że:

  • użytkownik posiada sekret umożliwiający przekształcenie challenge na response (czarną skrzynkę: token),
  • użytkownik operuje na tym samym challenge co serwer,

W tym przypadku sprawdzam jedynie drugi element, tokenu nie ma. Co prawda mógłbym go "napisać", może wówczas cały eksperyment byłby bardziej sexy, ale ja leniwy z natury jestem :)

Krok trzeci

Jeśli transakcja zostaje wysłana, pojawia się potwierdzenie przyjęcia transakcji do realizacji. W przypadku anulowania transakcji następuje powrót do kroku pierwszego, w którym można ponownie rozpocząć wykonywanie przelewu.

Jak sprawdzić wyniki

Po wykonaniu co najmniej 10 transakcji pojawi się dodatkowo identyfikator użytkownika. Można sobie go gdzieś zapisać, bo za jakiś czas udostępnię możliwość sprawdzenia, czy i ile razy coś poszło nie tak :) Wyniki pojawią się nie wcześniej niż za dwa tygodnie, podobnie jak możliwość sprawdzenia swoich dokonań.

Identyfikator wygląda mniej więcej tak:

Tak, przyznaję. Wyświetlając identyfikator klienta dopiero po 10 przelewach chcę skłonić uczestników eksperymentu do wykonania co najmniej 10 prób :) I co gorsza chodzi o 10 prób zarówno w pierwszym, jak i w drugim przypadku, a nie łącznie.

Zapraszam do zabawy i z góry dziękuję wszystkim za udział. Przykład:

Do poprawnego(?) działania przykładów wymagany jest JavaScript. Nie jest on wykorzystywany w jakiś kluczowy sposób, ale jest. Piszę o tym tylko dlatego, że mimo wszystko przynajmniej część czytelników tego bloga jest dość "specyficzna" i swoje przeglądarki w różne dodatkowe zabezpieczenia dozbraja. A potem "coś nie działa" :)

Powodzenia!

Ślady
Jak i z jakim skutkiem atakowałem kody SMS
Pora przedstawić wyniki eksperymentu dotyczącego skuteczności różnych metod autoryzacji transakcji, konkretnie SMS i tokenów C/R. Na początek opiszę wyniki dla kodów SMS. A jak przedstawiają się rezultaty? Na początek może napiszę, że w 45% przypadków ata
Weblog: Wampiryczny blog
Przesłany: Mar 14, 08:59
Jak i z jakim skutkiem atakowałem token C/R
Mój eksperyment dotyczący autoryzacji transakcji składał się z dwóch części. Wyniki pierwszej części dotyczącej kodów SMS już omówiłem, teraz pora na drugi przykład symulujący działanie tokenu C/R.Do kiedy zbierałem dane Wyniki, które tu prezentuję, do
Weblog: Wampiryczny blog
Przesłany: Mar 21, 07:30
Hasła maskowane. Znowu.
Co jakiś czas powraca temat haseł maskowanych i ich rzekomo większego bezpieczeństwa, niż haseł "tradycyjnych". Nie specjalnie monitoruję te dyskusje, bo swoje zdanie na temat tego typu haseł mam, wiele razy je przedstawiłem i nie spodziewam się zmiany s
Weblog: Wampiryczny blog
Przesłany: Sep 16, 23:02
Komentarze
Arghhh... Dlaczego klawisz "Anuluj" dałeś przed "Wyślij" :-) Kilka razy udało mi się kliknąć Anuluj mimo, że chciałem Wyślij :-)
#1 Mariusz Kędziora (Strona) o 2011-03-03 09:41
A to muszę przyznać, że mnie zdziwiłeś. Dla mnie to jakoś intuicyjnie jest, że przycisk związany z kontynuacją znajduje się z prawej strony (np. "Dalej"), a ten z powrotem lub anulowaniem akcji - z lewej.
#1.1 Paweł Goleń o 2011-03-03 09:44
W sumie to może i masz rację... Chyba za szybko to chciałem zrobić i ręka przechodziła mi na najbliższy przycisk. Aż w wolnej chwili zajrzę do moich 2 banków jak tam wygląda kolejnośc i nazewnictwo przycisków.
#1.1.1 Mariusz Kędziora (Strona) o 2011-03-03 11:50
PGolen:Z jednej strony masz rację z drugiej operowanie [tabem/enterem] w formularzach powoduje że wyślij jako pierwsze jest wygodniejsze.
#1.1.2 nrb (Strona) o 2011-03-03 13:26
Dobry przykład konfliktu wygoda vs. bezpieczeństwo. Co jest lepsze - przez pomyłkę wysłać przelew, czy przez pomyłkę go nie wysłać? :-)

Warto popatrzeć jak to wygląda w różnych sytuacjach. Na przykład zamknięcie programu z niezapisanym dokumentem domyślnie ustawia focus na przycisku powodującym jednak zapisanie zmian. Ale jeśli chce się zapisać plik pod nazwą, która już istnieje, wówczas domyślna akcja to "nie".
#1.1.2.1 Paweł Goleń o 2011-03-03 13:54
No i się dałem okraść ale zauważyłem po wciśnięciu guzika wyślij:|
Swoją drogą też mi się za pierwszym razem wcisnęło anuluj zamiast wyślij, choć intuicyjnie dalej jest z prawej strony:)
#2 Kurt o 2011-03-03 13:17
Dobre. SMSowe wypełniłem, C/R wypełnię później.
Raz dałem się zrobić i zauważyłem po fakcie, a później mój awareness wzrósł i już nie było tak łatwo.
Poza tym spodziewałem się podstępu, a i tak zawaliłem.
Sprytne z tą zmianą kwoty.
#3 dotnokato o 2011-03-03 13:40
Zobaczymy jak będą wyglądać wyniki za tydzień/dwa tygodnie, gdy więcej osób weźmie udział w eksperymencie. I tak pewnie wyniki będą trochę wypaczone właśnie przez to, że uczestnicy spodziewają się podstępu :-)
#3.1 Paweł Goleń o 2011-03-03 13:59
Pomimo świadomości podstępu - bo przecież eksperyment ma polegać na próbie oszustwa użytkownika, gdzieś po 6 transakcjach i tak moja świadomość bardziej mówiła "klikaj next, next, next" niż "sprawdzaj dokładnie co klikasz". Musiałem walczyć ze sobą ;-).
#3.1.1 sk o 2011-03-04 10:27
Anulowanie transakcji w wersji SMSowej nie działa w Chrome. Komunikat: Please shorten this text to 6 characters or less (you are currently using 32 characters). Co ciekawe, to akurat mechanizm Chrome'a, który (nie wiem, od kórej wersji, teraz zauważyłem), waliduje maxlength i nie pozwoli przesłać formularza.
#4 Krzysztof Kotowicz (Strona) o 2011-03-03 14:30
Już działa. Zastosowałem profesjonalne obejście problemu i usunąłem maxlength :-)
#4.1 Paweł Goleń o 2011-03-03 14:37
To że dane do przelewu są sztuczne - powoduje że trudniej wyłapać niezgodności, w praktyce jest zwykle łatwiej bo wtedy jestem bardziej skoncentrowany na ile i gdzie ( na z kąd już mniej ale to raczej nowy ficzer niż bug).
#5 leszczuu o 2011-03-03 21:16
Możesz wpisywać inne, prawdziwe docelowe numery rachunku. Podałem listę przykładowych numerów tylko po to, by ułatwić życie tym osobom, które z jakichś powodów nie chcą na przykład używać swoich numerów.

Poza tym wydaje mi się, że scenariusz w tych moich przykładach będzie mocno podobny na przykład do kupowania rzeczy na Allegro.
#5.1 Paweł Goleń o 2011-03-04 07:42
Jest podobny, ale kupując rzeczy na allegro łatwiej wychwycił bym na przykład inną kwotę - bo najpierw sprawdził bym ile muszę zapłacić i widząc zupełnie inną kwotę być może dało by mi to do myślenia. Natomiast w eksperymencie w niektórych momentach zastanawiałem się "hmm no dobrze to jaką kwotę wylosowałem poprzednio" chcąc sprawdzić czy ta na stronie z potwierdzeniem się zgadza. Natomiast do reszty numerów to odnosi się już mniej(wcale).
#5.1.1 leszczuu o 2011-03-05 23:59
Wróćmy do tej dyskusji za jakiś czas, dobrze? Konkretnie wówczas, gdy czas zbierania danych się skończy i pokażę wyniki.
#5.1.1.1 Paweł Goleń o 2011-03-06 12:18
Rzeczywiście coś działa :-)
Podmieniasz w locie SMSa i nikt nie zwraca uwagi co podpisuje?

Z rachunku
76 2002 6798 0640 9869 9399 0269
Na rachunek
08 5021 8077 3642 1757 3365 9043
Kwota
250,00 PLN

Operacja nr 4 Przelew z rach.: ..33659043 na rach.: 0850..659043 kwota 250,00 PLN, hasło: 547585
#6 kick o 2011-03-07 11:28
Mam prośbę - nie opisujcie NA RAZIE w komentarzach jakie konkretnie przypadki "ataku" zauważyliście. Na razie jeszcze zbieram dane i chciałbym, by osoby wykonujące eksperyment na samym początku i teraz miały podobną świadomość tego, co ich może spotkać.

Kick, puszczę Twój komentarz jak skończę zbierać dane :-)
#7 Paweł Goleń o 2011-03-07 11:35
W przypadku autoryzacji jednego przelewu np. SMSem użytkownik musi uważać, ale jest w stanie wykryć problem. Jednak gdy autoryzujemy wiele przelewów (co jest często robione w firmach) taki SMS zawiera jedynie liczbę transakcji i łączną kwotę, które autoryzujemy.
#8 Jakub Dębski o 2011-03-08 12:24
Ogólnie autoryzacja "nietypowych" operacji, które są dość powszechnie spotykane w bankowościach korporacyjnych, jest problemem. Wystarczy wspomnieć przelewy masowe, paczki przelewów czy paczki przelewów płacowych. Do tego trzeba dodać potencjalne rozdzielenie ról osoby wpisującej przelewy i osoby je autoryzującej. W pewnych przypadkach (przelewy płacowe) może być nawet taka sytuacja, że osoba autoryzująca przelew nie powinna znać dokładnych parametrów autoryzowanej operacji...
#8.1 Paweł Goleń o 2011-03-08 12:47
Nie rozumiem czemu to wszystko ma służyć...
na stronie http://bootcamp.threats.pl/e/test02.php (wersja z SMS) mamy jakiś banalny skrypcik który coś robi (potwierdza)...
O co tu w ogóle chodzi???
Myślałem, że jest tu pokazane jakieś niebezpieczeństwo w zabezpieczeniach przy internetowych przelewach, a tu jakieś zwykłe podmienianie danych przez skrypt i ktoś uważa, że coś takiego może mieć miejsce w rzeczywistości? Z pewnego pkt'u widzenia może, ale bez jaj... panowie...
#9 Skaarj o 2011-10-02 15:45
Po pierwsze nie "może mieć", tylko "już ma" miejsce w rzeczywistości. Po drugie to, o co w tym wszystkim chodzi jest dość dokładnie opisane w tym wpisie oraz wpisach pokrewnych, w szczególności w tym wpisie, który prezentuje wyniki eksperymentu:

http://archive.mroczna-zaloga.org/archives/997-jak-i-z-jakim-skutkiem-atakowalem-kody-sms.html
#9.1 Paweł Goleń o 2011-10-02 17:51