Security Summit Rome 2011

Copyright 2011 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

Metodologia per la simulazione degli attacchi e per l’ analisi delle minaccie contro le applicazioni web

Marco Morana OWASP

Security Summit Roma 9 Giugno 2011

OWASP

What is OWASP?

2

OWASP 3

Agenda Della Presentazione

PARTE I: I nuovi scenari di attacco ai siti web: dati e statistiche

PARTE II: La metodologia per la simulazione degli attacchi e delle minaccie

PARTE III: Esempio dell’uso delle methodologia per l’analisi delle minaccie, attachi e calcolo dei rischi causati da banking-malware

OWASP 4

PARTE I: I nuovi scenari di attacco: dati e statistiche

OWASP

Il cambiamento dello scenario delle minaccie alle applicazioni

5

Lo scenario delle minaccie e’ cambiato drammaticamente rispetto a dieci anni fa, alcuni esempi: Gli attori di attacco sono motivati dal denaro (e.g. furto

di dati di carta di cerdito per vendita, frodi finanziarie) Gli attori di attacco fanno parte del crimine

organizzato (e.g. spie dei segreti/proprieta’ intelletuale e gruppi terroristici)

I target sono le aziende e in particolare il settore finanza

SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape

OWASP

Dati sulle minaccie del malware e hacking

6

Contribuiscono alla maggioranza delle perdita dei dati (2010)

Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/

Cosituiscono le minaccie principali per tipologia di attacco

OWASP

I targets delle minaccie malware e hacking

7

I siti e le applicazioni web costituiscono la percentuale piu alta presa di mira dagli attacchi di malware e hacking

I tipi di dati piu’ a rischio sono dati sensibili (e.g. carte di credito)

Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/

OWASP 8

CyberCrime & Doing Time A Blog about Cyber Crime and related Justice issues: http://garwarner.blogspot.com

Gli Attori Delle Minaccie Dietro Gli Attacchi di Hacking e Malware

Il presunto hacker si e’ appena svegliato e sorseggiando il caffe (o tea o magari vodka) inizia la sua giornata di lavoro con una bella lista di indirizzi IP di computer compromessi e di logins per autenticarsi ai siti. Lo step successivo consiste nel spendere alcune ore a distibuire malware nei PC compromessi e rivedere la lista dei PC della settimana scorsa per aggiornarsi sui dati collezionati.Dopo di che’ e ‘ ora di andare a casa ad accudire moglie e figli.

OWASP

Sherlock Holmes vs. Dr Jerkill/Mr Hyde

9

OWASP

L’ approccio al rischio “conosco ma non faccio nulla”

OWASP

L’ approccio al rischio “Paura Incertezza e Dubbio” Paura di essere fuori norma

=> multe e restrizioni e controlli (e.g. SEC, PCI etc)

Paura di perdere la reputazione => nel caso di perdita di dati sensibili, forzato a notificare il pubblico (SB 1386)

Paura di cause penali => nel caso la vittima della frode e’ il business-cliente invece che l’utente

Incerto sulle cause e le conseguenze=> Siamo noi il target? Se lo siamo quanto denaro potremmo perdere?

Dubbi sulla efficacia delle contro misure=> Non ci fidiamo delle nostre mezzi, processi e persone

OWASP

L’ approccio al rischio “come antagonista a chi il rischio lo deve mitigate” “Noi vs. Loro”

(Dept. Sicurezza vs. Dev/IT/Business Units): Mitigazione

faccendo ricorso alla pillola magica

Non c’e dimostrazione di come gli attachi avvengono e impattano i business

Non c’e’ nessun incentivo a collaborare fra chi il rischio lo identifica e chi lo deve mitigare con le contromisure

OWASP 13

L’ approccio al rischio ”Persone, Processi e Technologie” Personale preparato e

qualificato per rispondere agli incidenti

Processi adequati per l’identificazione degli errori di design e le vulnerabilita’ che vengono sfruttati dagli hackers

Technologie e contromisure per la mitigazione delle minaccie del malware e hackers

OWASP 14

PARTE II-Introduzione al metodo di Threat Modeling PASTA™ (Process for Attack Simulation and Threat

Analysis)

OWASP

La Methodologia Per L’Analisi Delle Minaccie [Application] Threat Modeling

Un processo strategico che punta a considerare le minaccie, i possibili scenari di attacco e le vulnerabilita che possono essere sfruttate nell’ambiente applicativo con lo scopo di gestire rischi e livelli di impatto.

Si focalizza su diversi aspetti per la mitigazione delle minaccie: Architettura & Software (design) Gli assetti a rischio (dati, server, applicazioni) Prospettiva di attacco o di difesa

Si basa su diversi metodologie per la determinazione delle minaccie e correlazione con le vulnerabilita’

OWASP

Metodologia Threat Modeling di OWASP

Methodolgia simplificata: Focalizzata

sulle minaccie al software

Non include l’analisi ed il calcolo dei rischi

L’analisi delle minaccie e’ fatta a diversi livelli

OWASP Threat Risk Modeling http://www.owasp.org/index.php/Threat_Risk_Modeling

OWASP

Metodologia Threat Modeling STRIDE di Microsoft

17

User/Browser

HTTPsRequest

HTTPsResponses

DM

Z (U

ser/Web

Server B

ou

nd

ary)

Message XML/JMS

Web Server

ApplicationServer

Application Calls (.do)

Messaging Bus

Authentication Credential

Store

Restricted

Netw

ork

(Ap

p &

DB

Server/F

inan

cial S

erver B

ou

nd

ary)

Application Responses

Auth Data

ServiceMessage

Response

SQL Query Call/JDBC

Intern

al (Web

Server/ A

pp

& D

B S

erver Bo

un

dary

)

Financial Transaction Processing MainFrame

Financial Transactions (ACH, wires

external transfer)

MFA RBA/Fraud

DetectionXML/HTTPS

XML/HTTPS

I. Spoofing

II. Repudiation

I. Tampering

II. Repudiation

III. Info Disclosure

IV. Denial OF service

OWASP

Limitazioni Delle Metodologie Di Threat Modeling Usate Oggi Diverse metodologie ma nessuna e’ adottata a

larga scala STRIDE & DREAD non sono metodologie ma modelli per la

classificazione delle minaccie e dei rischi Limitate nello scopo (e.g. assetto, attacco,

software, security centriche) non tutti gli approcci considerano l’analisi degli errori di design

Limitate nell’adozione nella SDLC sopratutto rispetto ad altre attivita (e.g. review codice sicuro, pen testing)

Non sono parte dei processi di InfoSec (e.g. information security risk management, fraud, incident response)

Processi soggettivi ed ad-hoc si basano sull’esperienza di chi fa l’analisi SMEs (Subject Matter Experts)/Security Architects/Consultants

OWASP

La ricetta per la P.A.S.T.A™ Threat Modeling Si focalizza sugli

asset di business come target degli attacchi

Include tutti i processi per la (e.g. intelligence) mitigazione strategica dei rischi

Si basa sulla analisi degli scenari di attacco

Si focalizza nelle minimizzazione dei rischi delle applicazioni e degli impatti per il business

OWASP

The P.A.S.T.A™ Threat Modeling Methodology

20

• Identify Business Objectives• Identify Security & Compliance Requirements

• Business Impact Analysis 1. Define Objectives

• Capture the boundaries of the technical environment• Capture Infrastructure | Application | Software

Dependencies

2. Define Technical Scope

• Identify Use Cases | Defin App Entry Points & Trust levels

• Identify Actors | Assets| Services | Roles| Data Sources

• Data Flow Diagramming (DFDs) | Trust Boundaries

3. Application Decomposition

• Probabilistic Attack Scenarios Analysis• Regression Analysis on Security Events

• Threat Intelligence Correlation & Analytics4. Threat Analysis

• Queries of Existing Vulnerability Reports & Issues Tracking

• Threat to Existing Vulnerability Mapping Using Threat Trees

• Design Flaw Analysis Using Use & Abuse Cases • Scorings (CVSS/ CWSS) | Enumerations (CWE/CVE)

5. Vulnerability & Weaknesses Analysis

• Attack Surface Analysis• Attack Tree Development | Attack Library Mgt• Attack to Vulnerability & Exploit Analysis using

Attack Trees

6. Attack Modeling

• Qualify & quantify business impact• Countermeasure Identification & Residual Risk

Analysis• ID risk mitigation strategies

7. Risk & Impact Analysis

OWASP

Gli utenti della metodologia P.A.S.T.A™

21

Business managers che in questo modo possono incorporare i requisiti di sicurezza per mitigare i rischi

Architetti delle applications che cosi possono identificare gli errori del design e identificare le contromisure per rimediarli e per proteggere i dati e gli assets

Sviluppatori che cosi possono capire se il software e’ vulnerabile ed esposto agli attacchi

Security testers che possono usare i casi di use e abuso e le librerie di attacco per testare l’applicazione

Project managers che cosi possono gestire la remediazione dei diffetti in modo piu’ efficace

CISO che cosi possono prendere decisioni su come mitigate i rischi a livello applicativo

OWASP 22

PART III-Uso della methodologia PASTA™ per l’analisi delle minaccie, attacchi e dei

rischi del banking-malware

OWASP

Gli steps della analisi del banking malware usando la metodologia P.A.S.T.A.

23

I. Documentazione dei requisiti per l’analisi dei rischi delle minaccie banking malware, attachi e vulnerabilita’

II. Definizione dello scopo tecnico dell’ analisi III. Analisi della sicurezza del sito dal punto di vista

dei controlli di sicurezza a livello architetturale e di funzione

IV. Studio e analisi delle minaccie dai dati di intelligence

V. Analisi delle vulnerabilita’ che possono essere sfruttate dalle minaccie per causare un impatto

VI.Modelli degli scenari di attaccoVII.Formulazione della strategia per la mitigazione

del rischio e per la riduzione dell’ impatto a livello di business

OWASP 24

STAGE I Definizione Degli Obbiettivi di Sicurezza e

Del Business: “Cattura dei requisiti per l’ analisi e la gestione dei rischi di banking

malware”

OWASP

Analisi Preliminare Degli Impatti

Impatti per l’azienda/business Perdita di denaro a causa di frodi (e.g.

transferimento illegale di denaro) e perdita di dati sensibili del cliente

Non responabilita’ legale per frodi contro clienti-business e’ causa di azioni legali da parte degli stessi

Perdita di reputazione/immagine a causa della notificazione al pubblico della perdita dei dati sensibili dei clienti, questo ha anche un impatto sulla fedelta’ dei clienti

Non in regola con la legge e la regolamentazione di sicurezza (e.g. PCI-DSS, FFIEC/OCC, GLBA, SB 1386, FACT Act, PATRIOT Act) e’ causa di multe e controlli costosi compliance

Impatti per I clienti Furto di login per l’accesso a siti di on-line

banking Furto dei dati sensibili Perdita di denaro dal conto nel caso di conti

aziendali/privati

OWASP

Obbiettivi Dell’ Analisi e Requisiti Di Sicurezza e di Regolamentazione

Project Business Objective Security and Compliance RequirementPerform an application risk assessment to analyze malware banking attacks

Risk assessment need to assess risk from attacker perspective and identify on-line banking transactions targeted by the attacks

Identify application controls and processes in place to mitigate the threat

Conduct architecture risk analysis to identify the application security controls in place and the effectiveness of these controls. Review current scope for vulnerability and risk assessments.

Comply with FACT Act of 2003 and FFIEC guidelines for authentication in the banking environment

Develop a written program that identifies and detects the relevant warning signs – or “red flags” – of identity theft. Perform a risk assessment of online banking high risk transactions such as transfer of money and access of Sensitive Customer Information

Analyze attacks and the targets that include data and high risk transactions

Analyze attack vectors used for acquisition of customers’PII, logging credentials and other sensitive information. Analyze attacks against user account modifications, financial transactions (e.g. wires, bill-pay), new account linkages

Identify a Risk Mitigation Strategy That Includes Detective and Preventive Controls/Processes

Include stakeholders from Intelligence, IS, Fraud/Risk, Legal, Business, Engineering/Architecture. Identify application countermeasures that include preventive, detective (e.g. monitoring) and compensating controls against malware-based banking Trojan attacks

OWASP 27

STAGE II Definizione dello Scope Tecnico Dell’Analisi

”Definizione dello scopo di threat modeling relativo ai requisiti dell’analisi”

OWASP

Profilo Della Applicazione In Scopo Dell’ Analisi: Sito Online Banking

Application Profile: Online Banking Application

General Description

The online banking application allows customers to perform banking activities such as financial transactions over the internet. The type of transactions supported by the application includes bill payments, wires, funds transfers between customer’s own accounts and other bank institutions, account balance-inquires, transaction inquires, bank statements, new bank accounts loan and credit card applications. New online customers can register an online account using existing debit card, PIN and account information. Customers authenticate to the application using username and password and different types of Multi Factor Authentication (MFA) and Risk Based Authentication (RBA)

Application Type Internet

Data Classification

Public, Non Confidential, Sensitive and Confidential PII

Inherent Risk HIGH

High Risk Transactions

YES

User roles Visitor, customer, administrator, customer support representative

Number of users 3 million registered customers

OWASP

Definizione Dello Scopo Tecnico Dell’Analisi Informazione estratta dai documenti di progetto:

Componenti della applicazione web in funzione dei livelli funzionali (presentazione, logica, dati)

Topologia della rete (firewall, servers, routers etc) Protocolli e processi che sono parte dell’

architettura “end to end” (diagrammi del flow dei dati)

Scenari e funzioni d’uso (diagrammi di sequenza)

Modello della applicazione in supporto dell’analisi: Gli assets dell’ applicazione (e.g. dati/servizi a

diverse sezioni della architettura applicativa) I controlli di sicurezza dell’applicazione

(autenticazione, autorizzazione, crittografia, gestione della session, validazione dell’input, archivio e logs)

Le interazioni fra l’utente e l’applicazione per le varie transazioni web (e.g. login, registrazione, query dei dati etc)

OWASP 30

Scopo della Architettura: On-line Banking Application Architecture Diagram

OWASP

Transazioni di On-Line Banking in Scopo Per L’Analisi

31

Identifica le transazioni on-line che sono possibili targets per malware e hacking (e.g. transazioni ad alto rischio): Funzioni di login (e.g. registrazione, reset userId/pwd) Funzioni per la gestione del profilo (e.g. cambio del

profilo/account email, indirizzo, telefono etc) Funzioni di autenticazione con fattore multi-factor Transazioni riguardandi validazione del customer

con dati sensibili (e.g. validazione di CCN#, CVV, ACC# and PINs for registrazione e per apertura di conto)

Accesso a dati confidenziali e sensibili (e.g. ACC#, CCN#, SSN, DOB)

Transazioni bancarie as alto rischio: Transfermienti di denaro a conti esterni ACH Bonifici, Pagamenti

OWASP 32

STAGE III Analisi dell’ applicazione:”Identificazione dei controlli di protezione dei dati/assets e efficacia del controlli stessi nella mitiazione del rischio di

attacchi da banking malware”

OWASP

Analisi del data flow di processo della applicazione di Online Banking

33

User/Browser

HTTPsRequest

HTTPsResponses

DM

Z (U

ser/Web

Server B

ou

nd

ary)

Message XML/JMS

Web Server

ApplicationServer

Application Calls (.do)

Messaging Bus

Authentication Credential

Store

Restricted

Netw

ork

(Ap

p &

DB

Server/F

inan

cial S

erver B

ou

nd

ary)

Application Responses

Auth Data

ServiceMessage

Response

SQL Query Call/JDBC

Intern

al (Web

Server/ A

pp

& D

B S

erver Bo

un

dary

)

Financial Transaction Processing MainFrame

Financial Transactions (ACH, wires

external transfer)

MFA RBA/Fraud

DetectionXML/HTTPS

XML/HTTPS

OWASP

Analisi Dell Efficacia Dei Controlli di Sicurezza a Livello delle Transazioni Online

34

OWASP 35

STAGE IV Identificazione Delle Fonti Di Intelligence

Per L’Analisi delle Minaccie: “Identificazione ed elaborazione di informazioni sulle minaccie dalle fonti di intelligence al fine di poter analizzare gli scenari e vetori di attacco

usati dal banking malware“

OWASP

Identificazione Delle Fonti Di Intelligence Fonti esterne di

informazioni su attacchi di banking malware

Fonti interne, per esempio da frodi e attacchi/incidenti (SIRT)

Fonti di informazione publica e a pagamento: APWG CERT Digital PhisNet FS-ISAC IC3 Internet Fraud Alerts

(ifraudalert.org)

Trusteer UK Payments Administration Verizon Verisign iDefense Zeus Tracker

Esempio di cosa si puo apprendere dalle fonti di intelligence:1)Un nuovo banking trojan e’ distribuito via siti

vulnerabili a iniezione di data in frames oppoure via spear phishing direttamente ai clienti di banca (targeted)

2)Il malware inietta codice HTML nel browser durante una sessione autenticata di on-line banking ai fini di rubare dati sensibili dall’utente

3)Il malware comunica con il server botnet Commando e Controllo C&C

4)Il C&C serve codice al trojan e permette all’hacker di condurre transazioni impersonando l’utente

5)Il malware mantiene li conto bancario “in balance” per non essere notato dai sistemi anti-frode

OWASP

Domini target del Zeus trojan

Dati Statistici Sui Banking Trojan Targets

Source

OWASP

Trends di Banking Malware

OWASP

Scenario di Attacco Del Banking Malware

39

OWASP

Esempi Di Incidenti Di Banking Malware Riportati Dagli Utenti

40

OWASP

Esempi Di Vettori Di Attacco Estratti Dall’Intelligence

41

OWASP

Profilo Di Minaccia Del Banking Malware

42

1. E’ configurabile per diversi target di banche

2. Utilizza diversi tipi di attacco per infettare il PC utente/browser

3. Accetta e manda comandi al command control server

4. Evade le difese di client e applicazione come Anti-Virus, SS/TLS, MFA C/Q e fraud detection systems

5. Inietta codice HTML nel browser della vittima al fine di catturare conti, logins, data i sensitibili in sessione autenticata

6. Ruba is certificati di autenticazione7. Ruba input alla tastiera usando

key-loggers e form grabbers8. Permette all hacker di transferire

denaro dal conto vittima

OWASP 43

STAGE VAnalisi delle vulnerabilita’:

Analisi delle vulnereabilita’ e dei gap dei cotnrolli di sicurezza che sono sfrutatte per

condurre gli attacchi

OWASP

Correlazione Delle Minaccie di Banking Malware con lo sfruttamento delle vulnerabilita’

44

Minaccie di Social Engineering/Phishing Sfruttano debolezze in anti-phishing controls (e.g. EV SSL) Mancanza di informazione al client circa minaccie di banking

malware Minaccie di imposessamento delle login e dati sensibili

Mancanza di protezione dei dati (e.g. unsecure cookies, tokens, unsecured secrets and certificates for authentication)

Injection di malware via Iframe, SQL inj vulns (e.g. per il dropping),

Errori di implementazione di autorizzazione Error nella logica di validazione del customer (e.g. PINs, ACC#)

Minaccie verso transazioni ad alto rischio (bonifici) Sfruttano errori dell’implementazione e progetto di

authenticazione delle transazione (e.g. MFA bypass, weak authentication)

Vulnerabilita’ session management della transazione (e.g. session fixation, session riding/CSRF)

Vulnerabilita in non repudiazione (e.g. one-way SSL)

OWASP

Vulnerabilita’ Client- Servers A Livello Architettura

45

Data TierIs the layer responsible for data storage and retrieval from a database or file systemQuery commands or messages are processed by the DB server, retrieved from the datasourceand passed back to the lo the logical tier for processing before being presented to the user

Presentation TierRepresents the top most level of the application. The purpose of this tier is to translate commands from the user interfaceinto data for processing to other tiers and

present back the processed data

Logic TierThis layer processes commands and makes decisions based upon the application business logic It also moves and processes data

between the presentation and the data tier

`

browser

`

browser

Storage

Servers

Query

Servers

Account#, Balance,

Transaction History

> Get MY Account Info And Account

Activity

> Account#:***8765Balance: 45,780 $Last Transaction:

5/25/09

Database

Weak Anti-Phishing and

Anti-UI- Spoofing Controls

& WarningsBrowser

Vulnerabilities & Flaws

Authentication, Authorization, Identification

and Session Mgmt. Vulnerabilities

and Design Flaws

Flaws and Vulnerabilities

While Protecting

Data/Transaction

Confidentiality and Integrity

OWASP

Top Malware Propagation Vulnerabilities

46

OWASP

Vulnerabilta’ potenzialmente sfruttate da banking malware

Black Box

Testing

White Box

Testing

OWASP 48

STAGE VIModello Degli Attacchi:

“Modello degli attacchi di banking malware”

OWASP

Analisi Banking Malware Con Attack Trees

49

Fraudster

Drive-by Download/Malicious Ads

Man In The Browser

Phishing Email, FaceBook Social

Engineering

Upload Malware on Vulnerable Site

Attack Victim’s Vulnerable Browser

Steals Keystrokes with

Key-logger

Modifies UI Rendered By The

Browser

Phish User To Click Link With Malware

Upload Banking Malware on

Customer’s Pc

Harvest Confidential Data/Credentials From

Victim

Steal Digital Certificates For Authentication

Sends Stolen Data to Fraudster’s

Collection Server

Money Transferred From Mule to

Fraudster

Use Stolen Banking Credentials/

Challenge C/Q

Remote Access To Compromised PC

Through Proxy

Logs into Victim’s Online Bank

Account

Fraudster

Perform Un-authorized Money Transfer to Mule

Redirect Users To Malicious Sites

Delete Cookies Forcing to Login To

Steal Logins

OWASP

Analisi di Attacco a Login Con Use and Abuse Cases

50

UserFraudster

Login With UserID password over SSL

Includes

Includes

Enter Challenge Question (C/Q) to authenticate

transaction

Includes

Threatens

Enter One Time Password (OTP) to authenticate

transaction

Includes

Capture C/Qs in transit and authenticate on behalf of userThreatens

Key logger/From grabber captures keystrokes

incl. credentials

Includes

Drops Banking Malware on victims/PC

Includes

Threatens

Includes

Communicate with fraudster C&C

Includes

Capture OTP on web channel

and authenticate on behalf of the user

Trust connection by IP and machine tagging/browser

attributes

Threatens

Includes

Includes

Man In The Browser Injected HTML to capture C/Q

Threatens

Set IP with Proxy/MiTM to same IP gelocation

of the victim

Hijacks SessionIDs, Cookies, Machine Tagging

Includes

Threatens

OWASP

Attacchi Alle Transazioni e Sfruttamento Di Vulnerabilita’

51

OWASP

Threat Modeling Con ThreatModeler™

52

OWASP 53

STAGE VII Analisi dei Rischi e Degli Impatti: “Identificazione della strategia per la

mitigazione del rischio del banking malware”

OWASP

Fattori Per L’Analisi Del Rischio

54

Le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro)

Le vulnerabilita’ (debolezze dell’applicazione) Errori nel design di autenticazione e session management; Vulnerabilita’ in garantire confidenzialita’ e integrity dei dati; mancanza di logs e di tracciabilita’ degli eventi e azioni degli hackers sui sistemi

L’impatto tecnico (compromissione dei controlli) By-passamento di authenticazione multi-fattore (Challenge/Questions, KBA, OTPs;) By-passamento iogica di identificazione del client prima di autorizzare transazioni; Compromissione delle web forms al fine di ottenere dati dall’utente. Abuso session di autenticazione.

L’impatto per il business (perdita denaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza

OWASP

Factori Per Il Calcolo Del Rischio

Calcolo del rischio basandosi su modelli oggettivi: Qualitativo (e.g. Likelihood x Impact

(H, M, L), Threat Source (STRIDE) x Severity (DREAD), Threat X Vulnerability X Impact (OWASP))

Quantitativo (e.g. ALE = SLE X ARO) Strategia di mitigazione holistica

e multi-layer Controlli per prevenzione e

detection Contromisure a diversi livelli (e.g.

browser web application, infrastructure)

Processi di Governance (e.g. risk based testing, improved fraud detection, threat analysis, cyber intelligence)

55

OWASP

Banking Malware: Application Risk Framework

Threat Agents & Motives

Misuses and Attack Vectors

Security Weaknesses

Countermeasures

Technical Impacts

Business Impacts

Hacker Dropper of Malware

Attacker targets vulnerable sites to upload malware for drive by download

Input validation vulnerabilities allowing for Frame injection of fraudster's URL, file upload via flaws exploits and SQL injection attacks

Identification and remediation of common injection vulnerabilities and data /input validation flaws

Site integrity is violated, visitors of the site get malware downloaded via malicious ads

Reputation loss. Money loss/site taken down, lawsuits

Fraudster attacking bank customers and institutions

Attacker target banking customer with phishing to exploit browser vulnerabilities and upload banking trojan keylogger on his PC/browser

Phishing and social engineering attacks via different channels (email, Facebook, SMS). Lack of customer information about banking malware threats, lack of site to user trust controls (e.g. EV SSL)

Consumer education campaigns, EV-SSL certificates to prove authenticity, site to user controls, browser controls

Once user selects malicious link, JS on client, install banking malware/trojan compromising the browser

Fraud, money losses, reputation loss, data breach disclosure,

Banking malware harvest s viictim’s account/data

Banking malware/trojan, inject HTML form fields in session using MiTB attack , keylogger to stead data, sends data to C&C and receives commands

Browser vulns. allowing MiTB, gaps in anti-automation detection controls, virtual keyboard bypassed by form grabbing

Customer education on spoofed Uis, anti-forgey controls, CAPTCHA, Man present controls, anti-forgery controls

Once customer enter extra data in the HTML form it is sent to C&C: loss of data confidentiality and data integrity since outside application control

Loss of customer PII, credentials, PII. Reputational loss via public disclosure of breach, Compliance audit lawsuits, account replacement cost

Fraudster attacking bank customers and institutions

Attacker sends and receives data to banking malware to perform un-authorized financial transactions using MiTM and session riding attacks

Authentication flaws in protecting transaction with adequate strength, session management flaws and vulnerabilities (e.g. session riding/CSFR, fixation), non-repudiation flaws

Architecture risk analysis to identify flaws, OOBA, OOBV, transaction signatures, fraud detection/monitoring, event correlation from logs

Loss of data confidentiality and transaction integrity, session hijacking, missing logging, detection/monitoring and fraud alerts

Money losses associated to fraud from money transfers. Lawsuits compliance/audit risks

OWASP

Contromisure per la mitigazione del rischio

57

ALERTA & MONITORAGGIO

Sistemi di monitoraggio e alerta frodi Anomaly detection Identificazione di cookies e

di variables settate dal malware

Logs delle sessions/transactions

Controlli anti-automation, man vs.script/botnet Catturano il profile del

browser e gli eventi CAPTCHA

Alerts al cliente via SMSNotifica in tempo reale di azioni sul conto

PREVENZIONE Misure Anti

Contraffazione UI/HTML Watermarks nelle web

forms che sono difficili da riprodurre

Informazioni al clienti al fine di identificare pagine web contraffate dal malware

Authentificazione/Verifica Fuori Canale On-Line (e.g. SMS) Cellulare riceve

richiesta di conferma della transazione on-line. Uso di tokens per firmare la transazione

OWASP 58

Q&Q U E S T I O N SA N S W E R S