ΑρχικήInvestigationsΑΠΟΚΑΛΥΨΗ: Η πλειοψηφία των εφαρμογών e-banking των τραπεζών ευάλωτες σε υποκλοπή συνθηματικών!
InvestigationsRapidalert

ΑΠΟΚΑΛΥΨΗ: Η πλειοψηφία των εφαρμογών e-banking των τραπεζών ευάλωτες σε υποκλοπή συνθηματικών!

Cybersigate
By Cybersigate

Μια νέα έρευνα τουΕργαστηρίου Ασφάλειας ΣυστημάτωντουΠανεπιστημίου Πειραιώςείδε πρόσφατα το φως της δημοσιότητας. Εκτελώντας σειρά πειραμάτων, οι ερευνητές του Πανεπιστημίου κατέληξαν ότι η πλειοψηφία των εφαρμογών e-banking των Ελληνικών τραπεζών είναι ευάλωτες σε υποκλοπές συνθηματικών από τοπικά δίκτυα.

Στόχος της έρευνας ήταν η αξιολόγηση της ικανότητας των εφαρμογών e-banking των Ελληνικών τραπεζών να αντιμετωπίζουν, αποτελεσματικά, επιθέσεις τύπου sslstrip.

Τα πειράματα εκτέλεσαν οι μεταπτυχιακοί φοιτητές τουΤμήματος Ψηφιακών Συστημάτωντου Πανεπιστημίου Πειραιώς: Χρ. Λύβας, Φ. Λαλαγιάννης, Γ. Κοντογιάννης, Γρ. Βαλτάς, Σπ. Μαντζουράτος και Στ. Μάνδυλας, υπό την καθοδήγηση του κ.Χρήστου Ξενάκη, επίκουρου καθηγητή στο Πανεπιστήμιο Πειραιώς και του κ.Χριστόφορου Νταντογιάν, ερευνητή και διδάσκοντα στο Πανεπιστήμιο του Πειραιώς.

Αξίζει να σημειωθεί ότι για τα αποτελέσματα της έρευνας ενημερώθηκαν έγκαιρα τόσο η αρμόδια διεύθυνση της Τράπεζας της Ελλάδος όσο και το Εθνικό CERT.

Load More... Subscribe

Εισαγωγή

Σε αυτή την αναφορά παρουσιάζουμε τα αποτελέσματα της έρευνάς μας σχετικά με την ικανότητα των εφαρμογώνe-bankingτων Ελληνικών τραπεζών να αντιμετωπίζουν, αποτελεσματικά, επιθέσεις τύπουsslstrip. Συγκεκριμένα, μελετήσαμε έξι Ελληνικές τράπεζες:Alpha Bank, Εθνική Τράπεζα Ελλάδος (NBG group), Τράπεζα Πειραιώς, Eurobank, CitibankκαιΤράπεζα Χανίων. Το γενικό συμπέρασμα είναι ότι η πλειοψηφία των εφαρμογών e-banking των Ελληνικών τραπεζών είναι ευάλωτες σε υποκλοπή συνθηματικών(όνομα χρήστη, συνθηματικό, συνθηματικό μιας χρήσης – token, κτλ)από τοπικά δίκτυα(π.χ., εταιρικά δίκτυα, ίντερνετ καφέ – εστιατόρια, ξενοδοχεία, πανεπιστημιακά δίκτυα, σχολικά δίκτυα, αεροδρόμια, σταθμούς, λιμάνια,κτλ.). Συνεπώς, είναι απαραίτητη η λήψη συγκεκριμένων μέτρων ασφάλειας από τους διαχειριστές των εν λόγω εφαρμογών, προκειμένου να αναβαθμιστεί το επίπεδο ασφάλειας που παρέχουν, ώστε να προστατεύουν επαρκώς τους χρήστες τους.

H επίθεσηsslstrip και οι συνέπειες

Για τη διεξαγωγή της έρευνας χρησιμοποιήθηκε η εφαρμογήsslstripσε ενσύρματα και ασύρματα τοπικά δίκτυα, υλοποιώντας την επίθεση ενδιάμεσης οντότητας (man-in-the-middle).

Συγκεκριμένα, ο ενδιάμεσος-κακόβουλος εκτελώντας τοsslstripενεργεί ως διαμεσολαβητής στην επικοινωνία μεταξύ του θύματος-χρήστη και του εξυπηρετητή της εφαρμογής e-banking.

Υπό κανονικές συνθήκες, η επικοινωνία αυτή θα πρέπει να είναι, πάντα,κρυπτογραφημένηχρησιμοποιώντας το πρωτόκολλοHTTPs. Ωστόσο, ο κακόβουλος, που βρίσκεται στο ίδιο τοπικό δίκτυο με το θύμα-χρήστη, έχει τη δυνατότητα να αναγκάσει το χρήστη, χωρίς να το αντιληφθεί, να επικοινωνήσει με τον εξυπηρετητή της τραπεζικής εφαρμογήςe-bankingμέσωμη κρυπτογραφημένηςσύνδεσης, χρησιμοποιώντας το πρωτόκολλοHTTP. Αυτό είναι εφικτό γιατί οι περισσότεροι χρήστες εκκινούν μια σύνδεση με μια εφαρμογή e-banking πληκτρολογώντας στο φυλλομετρητή τους (browser) μόνο το πεδίο ονόματος (domain name) της τράπεζας (π.χ., eurobank.gr), χωρίς να εισάγουν το πρωτόκολλο επικοινωνίας, χρησιμοποιώντας, έτσι, το καθιερωμένο πρωτόκολλοHTTP. Στη συνέχεια, αφού ο χρήστης επιλέξει την επιλογήe-banking, η εφαρμογή έχει τη δυνατότητα να αναβαθμίσειαυτόματατη σύνδεση απόμη ασφαλήσεασφαλήχρησιμοποιώντας το πρωτόκολλοHTTPs. Στο σημείο αυτό, παρεμβαίνει ο ενδιάμεσος-κακόβουλος και διατηρεί τημη ασφαλή σύνδεσηκαι τομη ασφαλές πρωτόκολλοHTTP.

Η μοναδική ένδειξη για το χρήστη να αντιληφθεί την παρουσία του ενδιάμεσου-κακόβουλου και την εκτέλεση της επίθεσης, είναι να παρατηρήσει ότι τοURLπου εμφανίζεται στο φυλλομετρητή ξεκινά μεhttp://και όχι μεhttps://. Σε περίπτωση που ο χρήστης δεν διαπιστώσει το παραπάνω και συνεχίσει την πλοήγησή του εισάγοντας ευαίσθητα δεδομένα, όπωςόνομα χρήστη, συνθηματικό, συνθηματικό μιας χρήσης,κτλ., για να συνδεθεί στην εφαρμογή, οενδιάμεσος-κακόβουλοςείναι σε θέση να υποκλέψει τα ανωτέρω στο τοπικό δίκτυο, καθώς μεταδίδονται μη κρυπτογραφημένα. Οι συνέπειες μιας τέτοιας υποκλοπής είναιη παραβίαση του τραπεζικού απορρήτουκαθώς καιη δυνατότητα εκτέλεσης μη εξουσιοδοτημένων τραπεζικών συναλλαγών.

Αποτελέσματα

Στην έρευνα που διεξήχθη χρησιμοποιήθηκαν τέσσερα δημοφιλή λειτουργικά συστήματα (Windows,OS X,android OS καιiOS) με τις τελευταίες εκδόσεις των γνωστών φυλλομετρητώνchrome,firefox,καιsafari. Η ανάλυση των αποτελεσμάτων συνοψίζεται στον παρακάτω πίνακα. Είναι ευδιάκριτο ότιη πλειοψηφία των εφαρμογώνe-banking των Ελληνικών τραπεζών είναι ευάλωτες σε υποκλοπή συνθηματικών από τοπικά δίκτυα.Μοναδικήεξαίρεση αποτελεί η εφαρμογή της Εθνικής Τράπεζας Ελλάδος, η οποία διαθέτει μηχανισμό προστασίας.

pinakas

Επίσης, διαπιστώθηκε ότι σε όλες τις εφαρμογές που εξετάστηκαν, η κρυπτογράφηση (HTTPs) ενεργοποιείται στη σελίδα εισαγωγής των συνθηματικών (Login page) και όχι στην αρχική σελίδα (homepage) κάθε τράπεζας. Τέλος, όλες οι εφαρμογές χρησιμοποιούν για κρυπτογράφηση το πρωτόκολλο SSL 3.0/TLS 1.0 για το οποίο έχουν ανακαλυφθείαρκετές αδυναμίες.

Η άποψη του SecNews

Το SecNews ως θερμός υποστηρικτής του Full/Partial detail disclosure αναφορικά με αδυναμίες λογισμικού χαιρετίζει την έρευνα του Πανεπιστημίου Πειραιά. Σε κάθε περίπτωση η ΑΜΕΣΗ ενημέρωση των αδυναμιών από το Πανεπιστήμιο Πειραιά προς τα χρηματοπιστωτικά ιδρύματα και την Τράπεζα της Ελλάδος, δεν μπορεί παρά να αξιολογηθεί ΜΟΝΟ θετικά μιας και συνεισφέρει στην ενδυνάμωση της ασφάλειας των υποδομών, στα πλαίσια του ερευνητικού τους έργου.

Αξίζει να αναφέρουμε ότι τις περισσότερες φορές οι αδυναμίες δεν οφείλονται σε παραλείψεις των Τραπεζών αναφορικά με τα μέτρα ασφάλειας που τηρούν. Τα προβλήματα που κυρίως αναφέρει η μελέτη εστιάζουν στους δημιουργούς των εφαρμογών ή σε third-party commercial (ή custom-made) εφαρμογές οι οποίες απαρτίζουν συγκεκριμένα modules ή τμήματα των εφαρμογών ebanking.

[box_success]

cyberattack_3

Προτεινόμενα μέτρα

Ολοκληρώνοντας την έρευνα, προτείνονται μια σειρά από μέτρα που θα πρέπει, άμεσα, να εφαρμόσουν οι τράπεζες, προκειμένου να ενισχύσουν το επίπεδο ασφάλειας που παρέχουν οι εφαρμογές e-banking, προστατεύοντας του χρήστες τους από κακόβουλες ενέργειες.

1. Χρήση του κανόναHSTS (HTTP Strict Transport Security), ο οποίος εξαναγκάζει όλους τους φυλλομετρητές να χρησιμοποιήσουν μόνο τοπρωτόκολλο HTTPs. Έτσι, οποιαδήποτε προσπάθεια σύνδεσης σε μια εφαρμογήe-bankingμε τοπρωτόκολλοHTTPθα αναβαθμίζεται αυτόματα σεHTTPs.

2. Χρήση της τελευταίας έκδοσης του πρωτοκόλλουTLS (δηλαδή τοTLS v1.2), το οποίο παρέχει ισχυρούς αλγορίθμους κρυπτογράφησης.

3. Χρήση κρυπτογραφημένων συνδέσεωνHTTPsσε όλο το εύρος των τραπεζικών ιστοσελίδων. Η χρήση του πρωτοκόλλου HTTP θα πρέπει να αποφεύγεται.

[/box_success]

Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Προηγούμενο άρθρο
Το smartphone της Amazon
Επόμενο άρθρο
Δολοφόνοι συνελήφθησαν χάρη στα… GPS τους
Cybersigate
Cybersigatehttps://www.secnews.gr
H@ck my life!

RELATED ARTICLES

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS

Φόρτωση περισσοτέρων

SecNews - Copyright © 2010 - 2024