Ads 468x60px

perjantai 27. huhtikuuta 2012

Adrian ja pyöristyshyökkäys

Adrian Furtuna KPMG Romaniasta esitteli Hacknetissä seuraavan hyökkäyksen verkkopankkeja vastaan. Hyökkäys perustuu pyöristysvirheeseen valuutanvaihdossa. Adrianin testaamassa pankissa oli mahdollista vaihtaa pieni summa Romanian letejä euroiksi. Oikea vaihtokurssi on noin 4,5 letiä yhtä euroa kohti. Vaihtamalla mahdollisimman pienen summan (0,023 letiä) euroiksi, saa yhden eurosentin. Kurssit luonnollisesti vaihtelevat pankin ja valuuttojen mukaan. Joissakin pankeissa voisi ehkä vaihtaa vielä pienemmän summan.

Uusi vaihtokurssi on siis huomattavasti parempi, noin 2,6 letiä per euro. Toisaalta yhdellä siirrolla voi siirtää erittäin pienen summan rahaa. Tämä ei pankin mielestä ollut mikään ongelma, sillä heillä on käytössään Digipass-laite, jolla tilisiirrot vahvistetaan. Laitteeseen on syötettävä verkkopankin esittämä haasteluku ja laite vastaa luvulla, jolla siirto viedään loppuun. Vastaavia ratkaisuja on suomalaisissa verkkopankeissa, mutta useimmiten ilman elektronista laitetta.

Adrian todisti hyökkäyksen mahdolliseksi rakentamalla fyysisen laitteen. Laitetta ohjataan sovelluksella ja se painaa Digipassin näppäimiä sekä lukee vastauksen web-kameralla. Sovellus muuntaa tämän jälkeen kuvan numeroiksi, jotka se syöttää verkkopankkiin.

Laitteella voi käytännössä tehdä noin 10 siirtoa per minuutti. Päivässä tämä tarkoittaa noin 103 euron voittoa. Suuremman hyökkäyksen toteuttaminen vaatii useita laitteita.

Pankkimaailmassa hyvin harva ratkaisu on loppujen lopuksi turvallinen :)

-Antti A

2 kommenttia:

japi kirjoitti...

Harvassa verkkopalvelussa pyritäänkään totaaliseen turvallisuuteen. Tavoitteena on tehdä hyökkäys mahdollisimman työlääksi ja kalliiksi sekä minimoida vahingot. Haasteena on maineenhallinta, koska käyttäjille turvallisuus on usein on/off. Normaalikäytössä turvallisuus ei saa tulla tielle, mutta ongelmatapauksessa ihmetellään, miksei kaikkea mahdollista oltu tehty.

Jostain syystä mieleeni tuli tämä video, jossa pojat saavat kaupasta ilmaiset karkit keksimällään porsaanreiällä: http://www.youtube.com/watch?v=ZJ2AeAy4T_g

Mika Laaksonen kirjoitti...

Joo, toi esimerkki noista karkeista on myös ihan loistava.

Tässä meidän esimerkissä mielestäni oleellisinta ei ole kyseinen haavoittuvuus, koska se on helppo estää. Oleellista on mielestäni se, että ollaan valmiita ottamaa vielä ylimääräinen askel sen eteen, että konkretisoidaan riski ja tuodaan se asiakkaalle esille mahdollisimman hyvin.

Lähetä kommentti