ВАШИНГТОН, округ Колумбия (19 февраля 2005 г.) - Новый подход к обеспечению безопасности может улучшить защиту номеров кредитных карт, банковских паролей и другой конфиденциальной информации для тех, кто выходит в Интернет с помощью беспроводных подключений, сообщили исследователи на ежегодном собрании Американская ассоциация развития науки (AAAS) сегодня.
Один и тот же протокол может использоваться во многих компьютерных сетях, в которых два компьютера, портативные устройства связи или сетевые узлы должны одновременно проверять подлинность друг друга.
Протокол, называемый «отложенным раскрытием пароля», был создан Маркусом Джейкобссоном и Стивом Майерсом из Университета Индианы. По словам исследователей, он может найти применение в любой среде, где требуется «взаимная аутентификация личности».
Этот новый протокол безопасности может помочь предотвратить обман потребителей, например, при подключении к поддельному беспроводному концентратору в аэропорту. Или протокол может уведомить вас о том, что ссылка, содержащаяся в электронном письме, выглядящем законным, ведет на поддельный веб-сайт, созданный для кражи вашей конфиденциальной информации, такой как пароли и PIN-коды к банковским счетам, номера кредитных карт и номера счетов для онлайн-финансирования. услуги трансфера.
Меры безопасности также могут помочь остановить организованную преступность и группы, финансирующие терроризм, от сбора большого количества номеров счетов денежных переводов, которые могут быть использованы для отмывания денег, говорят исследователи.
В одном из возможных приложений протокол безопасности можно использовать для проверки того, что два беспроводных устройства, пытающихся соединиться друг с другом, не подключаются по ошибке к другому устройству. Это полезно для защиты связи между мобильными устройствами, например, между членами аварийных бригад, которые подключены через беспроводные сети, построенные «на лету»."
Эти так называемые "одноранговые" сети обладают большим потенциалом для применения в военных целях и при реагировании на чрезвычайные ситуации, когда сетевая инфраструктура разрушена или отсутствует. Однако гибкость одноранговых сетей открывает двери для атак. Новый протокол призван укрепить такие сети, используя своего рода электронный «допрос», чтобы убедиться, что они не скомпрометированы.
Протокол также обещает, поскольку онлайн-банкинг становится все более распространенным. В одном сценарии преступники могут «просеивать» или отмывать деньги через большое количество счетов после взлома системы злоумышленником. Каждая учетная запись будет поддерживать правильный баланс для ничего не подозревающей жертвы, даже когда злоумышленник переводит через нее средства. Если используется большое количество учетных записей и сложные схемы платежей, то такое неправомерное поведение трудно отследить до злоумышленника, который может работать на плательщика, конечного получателя средств или на обоих.
Для того, чтобы сетевые злоумышленники могли отмывать деньги через онлайн-счета для перевода средств ничего не подозревающих лиц, преступники должны прекратить отправку уведомлений по электронной почте от компании, занимающейся переводом средств, владельцу счета. По словам исследователей, для остановки таких электронных уведомлений могут использоваться «атаки типа «отказ в обслуживании»» и другие виды сетевых атак. Но заметить такие маневры непросто.
Сложно сказать, какую именно тактику используют сетевые злоумышленники прямо сейчас, потому что многие люди не знают, что их атакуют. Тем не менее, преступники, у которых нет большей страсти, чем отмывание денег, уже усиленно думают о такого рода проектах., - объяснил Якобссон.
Использование отложенного раскрытия пароля или аналогичного протокола может помочь предотвратить такие преступления. Если бы протокол использовался онлайн-банком, между банком и онлайн-клиентом произошла бы техническая версия следующего диалога для аутентификации личности обеих сторон без разглашения паролей.
КЛИЕНТ: Здравствуйте, банк. Я знаю свой банковский пароль. Если вы действительно мой банк, то вы уже знаете мой пароль. Я не доверяю тебе, и ты не доверяешь мне. Я не собираюсь говорить вам свой пароль. Мы собираемся использовать этот протокол аутентификации, который называется «отложенное раскрытие пароля». Это позволяет нам обоим быть уверенными, что другой не лжет о нашей личности, но при этом не выдает никакой конфиденциальной информации.
БАНК: Продолжайте.
КЛИЕНТ: Банк, я вышлю вам зашифрованную информацию. Вы можете расшифровать его, только если знаете мой пароль. Если вы не знаете пароль, вы, конечно, можете попробовать все возможные пароли (хотя это большая работа!), но вы никогда не узнаете из моего сообщения, если выберете правильный. Как только вы расшифруете сообщение, я хочу, чтобы вы отправили его мне. Если он будет правильно расшифрован, я буду знать, что вы уже знаете мой пароль. Как только я узнаю, что вы знаете мой пароль, я отправлю его вам, чтобы вы могли убедиться, что я тоже его знаю. Конечно, если я лгу о своей личности и не знаю пароля в первую очередь, то я ничего не узнаю о пароле из вашего сообщения, так что это безопасно в обоих направлениях.
Для получения более подробной информации о протоколе отложенного раскрытия пароля (подана заявка на патент) см. технический документ Маркуса Якобссона под названием «Скрытые атаки», который доступен на сайте www.ste alth-attacks.info
Якобссон надеется получить «бета-код» для Windows и Mac весной 2005 года, а код для распространенных платформ мобильных телефонов - позже в 2005 году.