יומן אבטחה

בהמשך לרשימה שפרסמתי שלשום

David Nicholson מסביר בבלוג שלו את אופי הפריצה לחשבונות HSBC. הוא לא אחד החוקרים, אך הוא לקוח הבנק והצליח לפענח, כנראה, את מה שהחוקרים "גילו".

הבנק עושה שימוש בקוד משתמש על מנת לזהות לקוחות. אלא שבמקום לבקש מהלקוחות להקליד את קוד המשתמש הם מתבקשים להקליד רק שלוש ספרות מתוכו. תמיד יהיו אלה שלוש ספרות רצופות ותמיד בסדר בו הן מופיעות (כלומר משמאל לימין). הוא מראה כיצד ניתן באמצעות זיהוי הקשות מקלדת וניתוח סטטיסטי של התפלגות מספרים לזהות לאחר שהוקלטו מספר תהליכי הזדהות את רצף המספרים. הוא הגיע להצלחה של ניחוש קוד המשתמש בתוך 12 נסיונות, החוקרים טוענים שהגיעו לכך בתוך 9 נסיונות. כמובן שכל זה תקף כל עוד המשתמש לא החליף את הסיסמא שלו (כלומר אני מניח שיש גם סיסמא שהמשתמש בוחר או שקוד המשתמש ניתן להחלפה על ידי המשתמש).

כדי לנצל את המתקפה צריך Keylogger על התחנה. אם כבר התקינו לך כזה, מה הבעיה לקחת צילומי מסך של חלון ההזדהות בו כתוב למשתמש אילו ספרות לכתוב? זה יחסוך את כל התהליך של הניתוח הסטטיסטי. שלא תבינו לא נכון, זו פרצה במערכת. אך HSBC לא שגו כשהחליטו שזה סיכון ששווה לקחת אותו. זו מתקפה לא טריוויאלית וגם לא מאוד יעילה מבחינת תוקפים. אולי היא תהפוך להיות טריוויאלית ויעילה, אך היא לא כזו כעת וכנראה לא הייתה כזו לפני שנתיים. מה גם שבהנתן הצורך בהשתלת קוד עוין על המחשב הנתקף, כמעט כל סוג הזדהות יהפוך להיות חשוף למתקפה.