I controlli di sicurezza nell’online Banking

27.9.2013 - Venezia - ISACA VENICE Chapter 1

SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO

I controlli di sicurezza

nell’online Banking

Gianluca Salvalaggio

Venezia, 27 settembre 2013

Soluzioni e sicurezza per applicazioni mobile e payments



I controlli di sicurezza

nell’online Banking

Minacce e contromisure



Soluzioni e sicurezza per applicazioni mobile e payments

Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese.

SPONSOR DELL’EVENTO

Sponsor e sostenitori di ISACA VENICE Chapter

Con il patrocinio di



Gianluca Salvalaggio

Responsabile della Sicurezza delle Informazioni Consorzio Triveneto S.p.A CISSP. Laureato in Ingegneria e in Informatica. > 10+ anni nel campo dell'Information Security > docente in corsi di Networking e Sicurezza Informatica



ABSTRACT

Vengono presentate le più diffuse MINACCE ai sistemi di Internet banking e si analizzano le principali misure di SICUREZZA adottate.



Agenda

• Introduzione •Minacce •Contromisure •Conclusioni



Internet Banking

Servizi di Internet Banking

• consultare il saldo di conto corrente

• operare sui mercati finanziari (trading, …)

• disporre bonifici

• pagamenti di bollette e ricariche telefoniche

• etc, etc. ….

Si dividono nei canali

• Retail (home/private): rivolto ai clienti privati

• Corporate: destinato alle aziende



Internet Banking

http://www.thefreelibrary.com/Stanford+Federal+Credit+Union+Pioneers+Online+Financial+Services.-a017104850

Quando è nato?

• La prima banca che ha iniziato a fornire servizi di Internet Banking è stata la Stanford Federal Credit Union nel 1995.

• In Italia il fenomeno ha cominciato a diffondersi nel 1999.

Quanto è diffuso in Italia?

• Secondo una ricerca Eurostat (2012), solo il 37% degli “internauti” accede a servizi di online banking (la media UE è del 54%).

• Secondo il rapporto “Global Digital Market” (Assinform 2012), il 20% degli italiani accede a servizi di home banking (media UE ~ 40%).

http://epp.eurostat.ec.europa.eu/cache/ITY_PUBLIC/4-18122012-AP/EN/4-18122012-AP-EN.PDF

http://www.rapportoassinform.it/interna.asp?ln=3&sez=309



Sicurezza dell’Internet Banking

Perché è importante la sicurezza nell’Internet Banking?

• Internet è un mondo virtuale parallelo

• Come si dice? “tutto il mondo è paese”

• Internet Banking = vengono gestiti SOLDI

• SOLDI = irresistibile opportunità per i criminali




[1] https://blogs.rsa.com/now-registering-classes-cybercrime-u/

Chi sono questi nuovi criminali?

• Hacker? Naaa

• “Le parole sono importanti”, chiamiamoli (banking) cybercriminal:

commettono le frodi bancarie compromettendo il “sistema” Internet Banking.

si avvalgono di competenze “creative” ed estremamente avanzate [1]

sono ben organizzati

sono fortemente motivati: illeciti profitti




Sistema Internet Banking:

• Client side: PC, smartphone, …

• Internet: protocolli di rete

• Bank side: server, applicazioni, …

Client side Internet Bank side




• I cybercriminal cercano di sfruttare i punti deboli del sistema

Principio dell’anello debole. In tutti gli ambiti della Sicurezza Informatica, vale il seguente principio: la resistenza di una catena è determinata dalla resistenza dell’anello più debole.




• Esempio: un’indagine dell’Università del Michigan del 2007 effettuata su 214 banche statunitensi, rivelava che il 47% dei siti conteneva il form di login all’interno di pagine insicure (non HTTPS).

Nel corso degli anni c’è stata una continua evoluzione

http://newswise.com/articles/view/542848/

• delle minacce

• delle contromisure messe in atto

• dell’attenzione verso la Sicurezza



Minacce - client side

Le azioni che i cybercriminal cercano di mettere in atto sono principalmente due:

• furto delle credenziali (UserID/password/pwd dispositiva)

• compromissione della postazione di lavoro dell’utente (PC/mobile): infettarla con banking malware.

A tale scopo, le tecniche maggiormente utilizzate lato client sono

• phishing

• spear phishing

• watering-hole attack



Minacce - phishing

Sfrutta una tecnica di social engineering: attraverso l'invio di e-mail che imitano la grafica della banca, si induce la vittima ad accedere a siti controllati dall’aggressore.

http://it.wikipedia.org/wiki/Phishing

Phishing: truffa via Internet attraverso la quale si inganna la vittima convincendola a fornire informazioni personali sensibili (password, PIN, …).



Minacce - spear phishing

Spear phishing: evoluzione del phishing tradizionale (spam mail) che fa leva sulla familiarità e confidenza. La mail sembra proprio indirizzata alla vittima: contiene il suo nome ed altre info personali. Induce la vittima ad

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf

https://blogs.rsa.com/anatomy-of-an-attack/

aprire un file allegato, che infetterà il PC.

• la vittima “abbassa le difese” e apre l’allegato.

• è un attacco mirato



Minacce - watering-hole attack

watering-hole: se l’attacco diretto risulta difficile, si opera in maniera diversa: • si individuano i siti più visitati dal target.

• si compromette qualcuno di questi siti

• si aspetta ….

• quando la vittima accede ad uno dei siti infetti, la sua postazione viene infettata (drive-by download)



Minacce - attack vector

Obiettivo principale dei cybercriminal è infettare, con software maligno, la postazione di lavoro della vittima (PC/mobile). I principali vettori di attacco usati sono:

• file allegati nelle e-mail

• attacchi di tipo drive-by download



Minacce - drive-by download

In un attacco drive-by download, un sito benigno viene compromesso in modo da ridirigere l’utente che vi accede verso siti maligni dai quali, in modo silente, viene scaricato il malware.

http://blogs.technet.com/b/security/archive/2011/12/08/what-you-should-know-about-drive-by-download-attacks-part-1.aspx

• Vengono sfruttate vulnerabilità del browser (plug-in, Java, Flash, …)



Minacce - Exploit kit

Gli exploit kit sono appunto dei toolkit che, con attacchi di tipo drive-by download, sfruttano vulnerabilità software (spesso nel browser) per diffondere malware. Tra i vari exploit kit citiamo:

http://blogs.mcafee.com/mcafee-labs/styx-exploit-kit-takes-advantage-of-vulnerabilities

• Black Hole

• Styx

• CrimeBoss

• Nuclear

• Phoenix



Minacce - Malware

Nel corso degli anni il cosiddetto banking malware è diventato sempre più sofisticato. Sono stati sviluppati appositi crimeware kit commercializzati nel black market.

• ZeuS

• SpyEye

• Citadel

• Carperb

• Perkele

• KINS

• Hesperbot



Minacce - Malware

Le tecniche di attacco impiegate dal malware finanziario, hanno (in)seguito l’evoluzione dei meccanismi di sicurezza adottati dai sistemi di Internet Banking:

• Keylogging

• Form grabbing

• Video grabbing

• Webinject (MiTB)

attacchi contromisure



Minacce - Webinject

Gli attacchi di tipo webinject sono estremamente sofisticati e seguono il paradigma Man in The Browser (MiTB).

• contromisure basate su codici OTP inseriti dall’utente sono inefficaci

• modificano le pagine HTML ricevute dall’utente (campi aggiuntivi nei form di autenticazione, riepilogo delle operazioni) e i dati inviati da quest’ultimo verso la banca (dati di una transazione). Il tutto in modo completamente trasparente.



Minacce - Bank side

L’attacco al “sistema” Internet Banking sul fronte Banca si realizza in vari modi:

• Compromissione dei server attraverso i quali viene erogato il servizio (ad es. sfruttando vulnerabilità sw)

• Compromissione delle postazioni di lavoro della rete bancaria (ad es: utilizzando spear phishing).

• Insider

L’obiettivo principale di tali attacchi è il furto di informazioni (credenziali, …)

http://www.spamfighter.com/News-18473-Computers-of-St-Marys-Bank-Tainted-with-Malware.htm



Minacce - Bank side II

A livello bank side, un altro punto attaccabile è l’applicazione web, sulla quale si basa il servizio. Vengono sfruttate vulnerabilità legate a come è stato scritto il codice. Alcuni esempi di attacchi sono:

• XSS (Cross site scripting)

• SQL injection

• CSRF (Cross site Request Forgery)

Spesso tali vulnerabilità vengono sfruttate con tecniche di phishing (verso l’utente).

https://www.whitehatsec.com/assets/WPstatsReport_052013.pdf



Contromisure - client side

Le protezioni a livello client side sono completamente fuori dal controllo della banca. Le principali sono:

• “limitare la superfice di attacco”: ad es. rimuovere plug-in del browser non necessari.

• utilizzare software anti-malware

• mantenere TUTTO il software sempre aggiornato

• usare strumenti di protezione (es. EMET)

• navigare sicuri

• paranoid:

utilizzare postazioni dedicate



Contromisure - Bank side (server)

Lato Banca bisogna adottare le principali misure di sicurezza:

• seguire un approccio “defence in depth”

• Firewall

• Web Application Firewall

• IDS/IPS

• HIDS (file integrity check)

• Patch management

• Vulnerability assessment (VA), pentest

• Monitoraggio degli eventi e delle minacce (SIEM).



Contromisure - Bank side II (sviluppo)

La sicurezza del sistema Internet Banking passa ovviamente anche per la fase di sviluppo dell’applicazione:

• “baking in security”

• adottare un Secure SDLC

• code review

• Security testing (w3af, skipfish, Vega)

• Security best practices (es: OWASP)

NEVER TRUST USER INPUT

whitelisting vs blacklisting

………….

https://www.owasp.org/index.php/Category:OWASP_Guide_Project

http://www.nsa.gov/ia/_files/factsheets/TSA-13-1019-FS.pdf



Contromisure - autenticazione

Il metodo di autenticazione costituisce la parte più critica del sistema; oltre alla coppia userID/password si utilizza un ulteriore meccanismo per autorizzare le disposizioni.

• password dispositiva, facilmente attaccabile con il semplice phishing.

• TAN (Transaction Authorization Number): codici one-time presi a caso da una lista; attaccabili con phishing.

• iTAN (indexed TAN)/grid cards: l’utente deve inserire il codice collocato nella posizione specificata dalla banca (es: D4); attaccabili con MiTB.

• Token OTP: attaccabili con MiTB

problema: il codice NON è legato ai dati della transazione.



Contromisure - autenticazione II

Evoluzione: autenticazione a due canali (out of band - OOB)

• mTAN (mobile TAN) il codice OTP viene inviato via SMS dalla banca (con i dati della transazione).

il primo malware che ha attaccato tale sistema è stato ZitMo (Zeus in the Mobile) nel 2010.

la compromissione dello smartphone causa la redirezione dell’SMS.

http://howtosecure.com/zitmo-zeus-in-the-mobile-threatens-mobile-banking/



Contromisure - autenticazione III

Evoluzione: autenticazione a due canali (out of band - OOB)

• Securecall: l’autorizzazione delle transazioni avviene chiamando, con cellulare abilitato, un numero verde e digitando il codice indicato dalla banca.

l’autenticazione è data dal numero di cellulare chiamante.

ad oggi non ci sono evidenze di compromissioni dello smartphone che sono riuscite ad aggirare il meccanismo.



Contromisure - autenticazione IV

Evoluzione: autorizzazione “visuale”

• chipTAN (flickerTAN): si utilizza un device dedicato che “legge” dal monitor i dettagli della transazione (flicker code), li visualizza e indica all’utente il codice da inserire per l’autorizzazione.

• photoTAN: simile al precedente, ma “legge” i dati dal monitor attraverso lo smartphone (app dedicata)

nel 2012 Tatanga è riuscito ad attaccare tale sistema (trojan + social engineering).

http://www.trusteer.com/blog/tatanga-attack-exposes-chiptan-weaknesses

http://www.cronto.com/commerzbank-and-cronto-launch-phototan-for-secure-online-banking-transactions.htm

l’utilizzo dello smartphone è smart, ma è anche un punto di debolezza?

Autenticazione della transazione: il codice è associato ai dati della transazione.



Contromisure - sistemi antifrode

Altro approccio: con i Sistemi Antifrode ci si mette a valle; si cerca di rilevare e bloccare la frode subito dopo che è stata commessa.

• richiedono la presenza di personale dedicato lato Banca (uff. antifrode)

• si utilizzano sistemi (backend-side) basati sull’analisi comportamentale

• apprendono pattern di comportamento degli utenti e a fronte di scostamenti segnalano “transazioni sospette”.

IBAN destinatario

IP sorgente

orario

firma del browser

eventuali blacklist

• Non sono infallibili …



Contromisure - Normative

Negli ultimi anni anche a livello normativo e di organismi centrali si è posta l’attenzione sulla sicurezza informatica in ambito bancario (e non).

• nov 2008 - provvedimento del Garante sugli Amministratori di Sistema

• mag 2011 - provvedimento del Garante in materia di informazioni bancarie e di tracciamento delle operazioni bancarie

• mar 2013 - ABI Lab e Consorzio CBI pubblicano:

“Azioni di contrasto e prevenzione delle frodi … - Elementi di attenzione per le banche”

• Lo standard PCI-DSS (carte di credito) fornisce spunti interessanti

“Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dell’Internet Banking”

• monitoraggio, II fattore di autenticazione, VA e pentest periodici, ….

• policy di sicurezza, postazioni dedicate, formazione/awareness, controllo postazioni, …



CONCLUSIONI

Quella di contrasto alle frodi bancarie è una guerra continua: “you build a wall, the bad guys build a higher ladder”.

• Contromisure solo tecnologiche NON bastano: non esiste una soluzione definitiva (no silver bullett)

troppa sicurezza diventa “poco usabile”

malware: sempre di più e sempre più sofisticato

superficie di attacco allargata (drive-by attacks, …)

• Bisogna agire anche sulla componente “umana” (social engineering) security awareness

la sicurezza deve diventare parte integrante della user experience



CONCLUSIONI

Bisogna essere sempre più consapevoli che Internet NON è un “posto” sicuro; va posta la massima ATTENZIONE su ogni tipo di operatività: e-mailing, social networking, online banking, …

“Non è un posto per ingenui“ “Non è un paese per vecchi”



Domande …



Grazie per l’attenzione!

Gianluca Salvalaggio http://www.linkedin.com/in/salvalaggio [email protected]

Date post:	15-Mar-2022
Category:	Documents
Upload:	others
View:	4 times
Download:	0 times

I controlli di sicurezza nell’online Banking

Documents