Назва ПЗ - UPSMON PRO.
Посилання: https://www.upspowercom.com/PRO-Windows.jsp
Пристрій УПС здатний надати всю необхідну інформацію про те, в якому стані зараз перебуває мережа і сервера в цілому, також можна дізнатися про ступінь захищеності пристроїв і всієї системи, а ПЗ для нього дозволяє користувачам віддалено відстежувати пристрій. Користувачі цього ПЗ - люди, які мають пристрій.
Завдання 1.2:
UPSMON PRO має вразливість до проходження шляху. Віддалений зловмисник із загальними правами користувача може використати цю вразливість, щоб обійти автентифікацію та отримати доступ до довільних системних файлів.
Завдання 1.3:
В розділі немає прикладів уразливого коду, лише опис уразливості.
Завдання 2.1:
Варіант 20: A password is revealed by subscriber to a website impersonating the verifier.
Зловмисник створює вебсайт, що схож на оригінал. Зловмисник може надіслати листа користувачеві, в якому закликає підтвердити якісь свої дані, наприклад пароль або банківські дані для підписки на сервіс (в залежності від вебсайту). Користувач зробить це та зловмисник отримає дані користувача таким чином.
Завдання 2.2:
Впроваджувати двофакторну верифікацію.
Поширювати рівень інформованості користувачів про фішинг, вчити їх розпізнавати його можливості.
Сповіщати користувачів про підозрілу активність їхніх аккаунтів.
Кожного дня потужність атак для вгадування або збору паролів для отримання неуповноважного доступу до системи чи даних стає все більшою, оскільки техніка злому паролів стає все більш складною, а потужні обчислення стають доступнішими. За останні три роки кількість фішингових атак з метою викрадення облікових записів або особистих даних зросла більш ніж утричі [1]. Лише протягом третього кварталу 2022 року сталося 15 мільйонів витоків даних через те, що облікові записи користувачів Інтернету зламали зловмисники [2]. Нині ми настільки сприйнятливі до атак з метою крадіжки облікових записів, що, за статистикою, принаймні один із наших онлайн облікові записів (електронна пошта, соціальні мережі, банки) будуть зламані або піддані спробі злому протягом наступних 12 місяців [3]. Отже, існує важлива потреба мати більш надійні та безпечні механізми доступу для захисту даних і систем. Найпопулярнішим, але основним механізмом автентифікації користувачів є використання паролів [4], головним чином тому, що концепція використання паролів є ефективним та рентабельним рішенням для автентифікації користувачів. Паролі є прикладом однофакторної автентифікації (Single-FactorAuthentication, SFA), яка була в основному прийнята спільнотою через її простоту та зручність [5,6]. Фундаментальна вимога до будь-якого пароля полягає в тому, щоб його було легко запам’ятати та його безпечність. Іншими словами, процес автентифікації має бути ефективним, а паролі — важко вгадуваними [7]. Тим не менш, це найслабший рівень автентифікації [8,9], і було зрозуміло, що однофакторна автентифікація не є надійною для забезпечення належного захисту через кілька загроз безпеки [10].
Багатофакторна автентифікація (Multi-factor authentication, MFA) була запропонована для забезпечення більш високого рівня безпеки [11] і для додавання надійного захисту від крадіжки облікових записів шляхом значного збільшення труднощів для зловмисників отримання доступу до інформаційних систем і даних, навіть якщо паролі або PIN-коди були скомпрометовані фішинговими атаками або іншими способами. Багатофакторна автентифікації вдається зробити це за допомогою багаторівневого підходу, тобто за допомогою неї система вимагає від користувача надати комбінацію двох або більше облікових даних для підтвердження особи, щоб можна було надати їй доступ [12]. Механізми багатофакторної автентифікації здебільшого базуються на біометрії, тобто автоматизованому розпізнаванні осіб на основі їх поведінкових [13,14] та біологічних характеристик [15]. Однак використання біологічних факторів має свої труднощі, головним чином пов’язані з простотою використання [16], що значною мірою впливає на зручність використання системи багатофакторної автентифікації. Крім того, біометричні механізми мають високі витрати на впровадження та все ще вразливі до багатьох різноманітних атак, таких як атаки візуальних образів, перехоплення виводу датчиків, атаки на відмову в обслуговуванні, атаки відтворення [17], і т.д.
У цьому документі пропонується новий багатофакторний механізм автентифікації, який не потребує додаткового обладнання та базується виключно на зображеннях та їхніх зв’язках, встановлених користувачем. Поєднання тексту та графіки збільшує простір для пароля, тим самим роблячи механізм автентифікації більш надійним і безпечним проти різних типів загроз безпеки. Внески цієї дослідницької роботи такі:
Розробка нового алгоритму багатофакторної автентифікації, заснованого на виборі зображень і зв’язках, встановлених користувачем.
Функціональний прототип механізму, розроблений і розгорнутий як мобільний додаток, доступний для IOS і Android.
Аналіз результатів точності, безпеки та зручності використання зосереджується на перевагах і сферах можливості роботи з алгоритмом вибору зображень і зв’язків у механізмі багатофакторної автентифікації.
oleksandrblazhko
commented
11 months ago
Варіант 20: https://nvd.nist.gov/vuln/detail/CVE-2022-38120
Завдання 1.1:
Назва ПЗ - UPSMON PRO. Посилання: https://www.upspowercom.com/PRO-Windows.jsp Пристрій УПС здатний надати всю необхідну інформацію про те, в якому стані зараз перебуває мережа і сервера в цілому, також можна дізнатися про ступінь захищеності пристроїв і всієї системи, а ПЗ для нього дозволяє користувачам віддалено відстежувати пристрій. Користувачі цього ПЗ - люди, які мають пристрій.
Завдання 1.2:
UPSMON PRO має вразливість до проходження шляху. Віддалений зловмисник із загальними правами користувача може використати цю вразливість, щоб обійти автентифікацію та отримати доступ до довільних системних файлів.
Завдання 1.3:
В розділі немає прикладів уразливого коду, лише опис уразливості.
Завдання 2.1:
Варіант 20: A password is revealed by subscriber to a website impersonating the verifier. Зловмисник створює вебсайт, що схож на оригінал. Зловмисник може надіслати листа користувачеві, в якому закликає підтвердити якісь свої дані, наприклад пароль або банківські дані для підписки на сервіс (в залежності від вебсайту). Користувач зробить це та зловмисник отримає дані користувача таким чином.
Завдання 2.2:
Завдання 3:
Стаття: https://www.researchgate.net/publication/367317424_A_Novel_Multi-Factor_Authentication_Algorithm_Based_on_Image_Recognition_and_User_Established_Relations Новий алгоритм багатофакторної автентифікації, що заснований на розпізнаванні зображень і встановлених користувачами відносинах.
1. Введення
Кожного дня потужність атак для вгадування або збору паролів для отримання неуповноважного доступу до системи чи даних стає все більшою, оскільки техніка злому паролів стає все більш складною, а потужні обчислення стають доступнішими. За останні три роки кількість фішингових атак з метою викрадення облікових записів або особистих даних зросла більш ніж утричі [1]. Лише протягом третього кварталу 2022 року сталося 15 мільйонів витоків даних через те, що облікові записи користувачів Інтернету зламали зловмисники [2]. Нині ми настільки сприйнятливі до атак з метою крадіжки облікових записів, що, за статистикою, принаймні один із наших онлайн облікові записів (електронна пошта, соціальні мережі, банки) будуть зламані або піддані спробі злому протягом наступних 12 місяців [3]. Отже, існує важлива потреба мати більш надійні та безпечні механізми доступу для захисту даних і систем. Найпопулярнішим, але основним механізмом автентифікації користувачів є використання паролів [4], головним чином тому, що концепція використання паролів є ефективним та рентабельним рішенням для автентифікації користувачів. Паролі є прикладом однофакторної автентифікації (Single-FactorAuthentication, SFA), яка була в основному прийнята спільнотою через її простоту та зручність [5,6]. Фундаментальна вимога до будь-якого пароля полягає в тому, щоб його було легко запам’ятати та його безпечність. Іншими словами, процес автентифікації має бути ефективним, а паролі — важко вгадуваними [7]. Тим не менш, це найслабший рівень автентифікації [8,9], і було зрозуміло, що однофакторна автентифікація не є надійною для забезпечення належного захисту через кілька загроз безпеки [10].
Багатофакторна автентифікація (Multi-factor authentication, MFA) була запропонована для забезпечення більш високого рівня безпеки [11] і для додавання надійного захисту від крадіжки облікових записів шляхом значного збільшення труднощів для зловмисників отримання доступу до інформаційних систем і даних, навіть якщо паролі або PIN-коди були скомпрометовані фішинговими атаками або іншими способами. Багатофакторна автентифікації вдається зробити це за допомогою багаторівневого підходу, тобто за допомогою неї система вимагає від користувача надати комбінацію двох або більше облікових даних для підтвердження особи, щоб можна було надати їй доступ [12]. Механізми багатофакторної автентифікації здебільшого базуються на біометрії, тобто автоматизованому розпізнаванні осіб на основі їх поведінкових [13,14] та біологічних характеристик [15]. Однак використання біологічних факторів має свої труднощі, головним чином пов’язані з простотою використання [16], що значною мірою впливає на зручність використання системи багатофакторної автентифікації. Крім того, біометричні механізми мають високі витрати на впровадження та все ще вразливі до багатьох різноманітних атак, таких як атаки візуальних образів, перехоплення виводу датчиків, атаки на відмову в обслуговуванні, атаки відтворення [17], і т.д.
У цьому документі пропонується новий багатофакторний механізм автентифікації, який не потребує додаткового обладнання та базується виключно на зображеннях та їхніх зв’язках, встановлених користувачем. Поєднання тексту та графіки збільшує простір для пароля, тим самим роблячи механізм автентифікації більш надійним і безпечним проти різних типів загроз безпеки. Внески цієї дослідницької роботи такі: