[Owasp-poland] Reasonable e-banking security

[Krzysztof Kotowicz]

W kontekście niedawnej dyskusji na temat rozwiązań dt. bezpieczeństwa w
bankowości internetowej w Polsce warto przytoczyć aktualną sprawę sądową z
USA:

http://krebsonsecurity.com/2011/06/court-passwords-secret-questions-reasonable-ebanking-security/

Patco Construction Co - w U.S.A stała się ofiarą Zeusa, za pomocą którego
złodzieje wyciągnęli fundusze (przy okazji zadłużając firmę używając jej
linii kredytowej) zgromadzone w banku Ocean Bank. Patco podało bank do sądu,
argumentując, że pozwany "failed to live up to the terms of its contract
when it allowed customers to log in to accounts using little more than a
user name and password. ".

Wygrać się nie udało, za to w uzasadnieniu wyroku (jak rozumiem) pojawiło
się coś takiego:

(...) Magistrate considered the legal issues and propounded an analysis of
what constitutes "commercially reasonable" security.

"Many security law commentators, myself included, have long held that
reasonable security does not mean bullet-proof security, and that companies
need not be at the cutting edge of security to avoid liability," Navetta
said. "The court explicitly recognizes this concept, and I think that is a
good thing."

Opis stosowanego systemu uwierzytelniania/autoryzacji jest w artykule.
Chodzi o podanie para ID + hasło + security questions w przypadku transakcji
o wysokim ryzyku. Problemem było to, że od 2008 roku dla każdej transakcji
>= $1 wymagane było podanie odpowiedzi na jeden z kilku security questions,
co w przypadku ataków man-in-the-browser oznacza, że atakujący bardzo szybko
pozna wszystkie odpowiedzi.

W artykule o wiele bardziej dokładna analiza, prawna oraz techniczna całej
sprawy. Ciekawy jestem, czy podobne sprawy toczą się/toczyły w Polsce i jaka
jest nasza wykładnia.

-- 
Pozdrawiam,
Krzysztof Kotowicz
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-poland/attachments/20110608/8a837515/attachment.html