[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Przemyslaw Skowron przemyslaw.skowron at gmail.com
Fri May 14 12:51:08 EDT 2010


W dniu 14 maja 2010 17:50 użytkownik Paweł Goleń
<pawel.golen at gmail.com> napisał:
> On 2010-05-14 17:33, Paweł Krawczyk wrote:
>
>> Najprościej zacząć od tego, kto jakie zna cele biznesowe
>> uwierzytelnienia i autoryzacji w bankach bo to nie jest wcale takie
>> oczywiste.

Uzupełniając: chciałbym byśmy zajęli się także innymi "słabościami"
bezpieczeństwa bankowości internetowej :) także tymi, które nie
prowadzą od razu do transferu środków finansowych, ale np. umożliwiają
wgląd w historię rachunku czy saldo.

> A myślisz, że w bankach jest duże zrozumienie celów biznesowych
> uwierzytelnienia i autoryzacji przez "właścicieli" systemów bankowości
> internetowej? Moje doświadczenia z dawnych czasów wskazują na to, że
> mechanizmy te są postrzegane przez nich jako utrudnienie odstraszające
> klientów i najchętniej by z nich zrezygnowali. Trochę się od tego czasu
> zmieniło, jednak było kilka głośnych przypadków wyprowadzenia sporych
> kwot pieniędzy i bezpieczeństwo zaczęto postrzegać jako przewagę
> konkurencyjną. Inna sprawa, że dalej podejście bazuje na otrzymaniu
> systemu podobnego do (tu wstawić lidera rynku), a nie wyboru
> rzeczywiście najlepszej metody uwierzytelnienia po uwzględnieniu jakiejś
> analizy ryzyka oraz sprawdzenia jej "używalności".
>
> W sumie chętnie usłyszę wypowiedzi ludzi z banków, tylko nie Przemka (or
> compatible) z przyczyn oczywistych :)

M.in. z tego powodu jest potrzeba zaangażowania osób nie związanych
bezpośrednio z bankami - potrzebujemy tutaj obiektywnego spojrzenia na
problem, bez konieczności bycia politycznie poprawnym.

>> Raport PCWK jest faktycznie dość słaby a przede wszystkim dlatego, że
>> wrzuca do jednego worka bankowość korporacyjną i masową. A one mają
>> dość odmienne potrzeby jeśli chodzi o bezpieczeństwo (np.
>> niezaprzeczalność).
>
> Fakt. Może na razie ograniczmy się do bankowości detalicznej?
> Rzeczywiście bankowość korporacyjna ma sporo specyficznych usług albo
> scenariuszy użycia...

Jestem za, rozbijmy to na dwie części, właściwie to trzy, bo obsługa
biura maklerskiego często jest zaimplementowana/zintegrowana z
bankowością, a jest imho niepomijalna w rozpatrywanym zakresie.

>> Oceny są także wystawiane bez zdefiniowania kryterium "lepszości". Co
>> z tego, że podpis elektroniczny jest "najbezpieczniejszy", skoro
>> przez lata w Fortisie korzystało z niego zaledwie kilkuset klientów
>> bo jest za to bezpieczeństwo płaci się bardzo niską używalnością?
>
> Ten temat akurat znam bliżej. Tam poza kosztami bezpieczeństwa były
> jeszcze spore problemy wynikające z wybranej technologii, co skutecznie
> utrudniało wygodne korzystanie z systemu. Dość ciekawie określił to
> pewien klient, którego wypowiedzi jednak z czystej przyzwoitości
> przytoczyć nie mogę.
>
> Inna sprawa, że uznawanie tokenu challenge-response w telefonie za
> rozwiązanie lepsze niż kody SMS jest, przynajmniej dla mnie,
> kontrowersyjne. To tak odnośnie kryteriów "lepszości".
>
> Według mnie sens ma określenie obszarów, które będą oceniane. Następnie
> można zastanowić się nad tym co w konkretnym obszarze oceniać.

Przez weekend postaram się zebrać obszary, które moim zdanie warto
brać pod uwagę. Oczywiście cały czas liczę na Wasz wkład :)

Odpowiadając też Pawłowi K. - oczywiście z czasem, jak już wyklaruje
się dokument, który będzie wynikiem naszych prac to powstanie wersja
anglojęzyczna. Postaram się zrobić z tego normalny projekt OWASP (w
kategorii Dokumenty).

Ponieważ widzę zainteresowanie, napiszę do liderów OWASP z pytaniem o
podobne projekty. Może uda się zebrać materiały, które ułatwią
ogarnięcie tematu.

PS
Cieszę się, że wybudziłem Was z letargu :-)

-- 
Przemyslaw Skowron, <przemyslaw.skowron {at} gmail.com>


More information about the Owasp-poland mailing list