<<< Onion Routing, TorMit kíván a felhasználó? >>>

Azt nevezzük adathalászatnak (vagy phising-nek), amikor egy bűnöző hamis üzeneteket küld valakinek a nevében, és így próbál érzékeny információkat kicsalni az áldozataitól. Magyarországon az utóbbi napokban többször történt olyan eset, hogy bűnökzők bankok nevében küldtek szét hamis leveleket, amelyekben a bank nevében (például valamilyen biztonsági okra hivatkozva) arra kérték a címzetteket, hogy adják meg a bankhoz tartozó felhasználónevüket és jelszavukat. A levélben általában szerepelt egy link is, amely egy az adott bank honlapját utánzó csaló weboldalra mutatott.

Vajon PKI alapon meg lehetne-e akadályozni az ilyen támadásokat?
Ha igen, akkor milyen eszközök segítségével?

  • Az egyik megoldás szerint a felhasználók a webszerverek SSL tanúsítványa alapján győződhetnek meg arról, hogy biztonságos kapcsolaton kommunikálnak a bankjukkal. A böngésző programok egy apró lakatot jelenítenek meg az állapotsorban, így jelzik, hogy a felhasználó SSL kapcsolaton keresztül néz egy oldalt. Ez a lakat mindössze annyit jelent, hogy valakivel SSL kapcsolaton keresztül (titkosított és hitelesített csatornán) kommunikálunk. Ahhoz, hogy a kommunikációt valóban biztonságosnak nevezhessük, azt is meg kell vizsgálni, hogy kicsoda az, akivel a biztonságos csatornát kiépítettük. Nem sok értelme van az SSL kapcsolatnak, ha nem tudjuk, ki az, akivel titkosítva és hitelesítve kommunikálunk.

    Az erre az egyik lehetőség, hogy ellenőrizzük a böngészőben annak oldalnak a címét, amelyikkel kapcsolatba léptünk. El kell döntenünk, hogy valóban annak az oldalnak a címe szerepel-e (HTTPS-sel) a böngésző címsorában, mint amelyiken lenni szeretnénk. A másik, talán biztonságosabb megoldást azt jelenti, ha rákattintunk a lakatra, és megnézzük a webszerver tanúsítványát is. A tanúsítványból kiderül, hogy a tanúsítványt pontosan kinek vagy minek a számára bocsátották ki. (Itt fontos megjegyezni, hogy csak igazi, megbízható hitelesítés szolgáltató által kibocsátott tanúsítványban bízhatunk igazán. Bármelyik csaló bármikor kibocsáthat saját maga számára tanúsítvánt. Ha figyelmen kívül hagyjuk a böngésző program azon figyelmeztetését, hogy a tanúsítványt nem megbízható szolgáltató bocsátotta ki, akkor az SSL nyújtotta védelem lehet, hogy semmit sem ér.) Mindkét esetben az a probléma, hogy nem könnyű eldönteni, hogy a böngészőben lévő cím vagy a tanúsítványban szereplő megnevezés valóban azt a bankot vagy szervezetet jelenti-e, amelyiknek az oldalán lenni szeretnénk. Például, sok phising üzenet www.xyzbank.net címet tartalmazott, holott a bank valódi címe pedig www.xyzbank.hu volt. Onnantól kezdve, hogy a támadó valóban megszerezte a www.xyzbank.net domaint, nem kerül neki komoly erőfeszítésbe webszerver tanúsítványt szerezni hozzá. Az a tapasztalat, hogy - habár a böngészőkben vannak biztonsági megoldások - a laikus felhasználók nem ismerik, és így nem tudják kihasználni őket. (Ez a tanulmány ilyen próbálkozásokat, kísérleteket mutat be.) Az SSL hiába jelent erős (ma megtörhetetlen) titkosítást és hitelesítést, szinte soha nem használjuk igazán biztonságos módon.

  • A PKI olyan megoldásokat is kínál, miszerint a felhasználó, a kliens azonosítja magát biztonságos módon (tanúsítvány alapon, esetleg intelligens kártya segítségével). Nyilvánvaló, hogy az ilyen megoldás nem segít a phising ellen: itt ugyanis éppen nem a felhasználót, hanem az szervert kellene azonosítani, a csaló szerver bármilyen felhasználó azonosítást elfogad.

    Igaz, ebben az esetben a támadónak nem elég kicsalnia a felhasználó jelszavát, más (például a felhasználó magánkulcsa vagy intelligens kártyája) is szükséges ahhoz, hogy a támadó megszemélyesíthesse a felhasználót. Sajnos, a tapasztalat azt mutatja, hogy a támadók stratégiát váltanak, könnyen alkalmazkodnak az ilyen megoldásokhoz, és így is tudnak csalni.

  • Akár elektronikus aláírás segítségével is próbálhatunk a phising ellen védekezni. Ennek egyik módja az lehet, hogy a bank csak elektronikusan aláírt leveleket küld az ügyfeleinek. Ez csak akkor működhet, ha a bank erről egyértelműen tájékoztatja az összes felhasználót. Ráadásul, itt is felmerülnek az SSL tanúsítványokhoz hasonló problémák: a felhasználónak ekkor is ellenőriznie kell az elektronikus aláírásokat, és gondosan meg kell vizsgálni az aláíráshoz tartoz tanúsítványokat, és el kell tudniuk dönteni, hogy azok valóban a bankhoz tartoznak-e. (Igaz, ez itt egyszerűbb lehet, mint SSL tanúsítványok esetén.)

A PKI több olyan eszközt is kínál, amely használható az ehhez hasonló támadások kivédésére, de önmagában egyik sem elegendő. Így az olyan kijelentéseket "vegyetek tanúsítványt, és akkor minden (biztonsági) problémátok megoldódik" erős túlzásnak tartom.

A phising alapvetően nem az emberek tapasztalatlanságát, naivságát használja ki. A támadás az ember becsapására irányul, és lehet, hogy a védekezés legegyszerűbb módja az, ha az ember tudomásul veszi, hogy igazi bankok ehhez hasonló emaileket nem küldenek, és sem telefonon, sem emailben nem kérik el a PIN kódokat. Az emailekben kapott linkeken lévő oldalakon pedig nem szabad érzékeny információkat megadni.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.