MiTB

Man-in the Browser (MiTB) sessionen berättade många intressanta saker, men de flesta har jag redan läst om eller hört talas om. Har ni inte hört talas om det så är det hög tid att kolla upp det eftersom det är ett allvarligt hot mot all verksamhet på Internet där någon form av transaktion med varor eller pengar sker. De försöker numera lägga in extra sidor ”för att öka säkerheten”, använder social engineering för att få information från kunden, ser till att ta bort spåren efter sig så att virusprogrammen inte trojanen osv…

Föreläsaren, Gunther Ollman (IBM), sa att det inte spelar någon roll om man använder out-of –the-band devices eftersom de kan ändra all information som flödar från browsern. Givetvis så visade han upp IBM:s framforskade lösning som en möjlighet mot MiTB.

Framtida attacker blir mer avancerade och de finansiella instituten eller e-handelssiter lappar bara igen de hål som öppnats istället för att tänka om, tyvärr hittas nya hål och möjligheter hela tiden. Att allting är så komplext och blir mer komplext ökar bara möjligheterna för attackeraren! Arbeta tillsammans och tänk om istället! Här kommer några tips:

• Är det uppenbart för kunden om ytterligare sidor läggs till eller justeras?
• Är det klart för kunden vad som förväntas av dem?
• Hur många sidor måste kunder navigera genom för att genomföra transaktionen?
• Är alla steg logiska?
• Presenteras viktiga frågor och åtgärder som text eller grafik?
• Skulle en kund känna igen förändringar till sidans innehåll?
• Kan gränssnittet förenklas ytterligare?
• Tänk på att all information kan fås från kunden genom att fråga dem!
• Validering av transaktioner från kunden måste förutsätta att deras dator är korrumperad!

Slutligen säger Gunther att attackerna är Big business och utförs av en väl organiserad brottslighet.