[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Fri May 14 18:51:47 EDT 2010


On 2010-05-14 18:56, Tomasz Dudzisz wrote:

> Bylo sporo o atakach na SMSy - nie jest to takie trudne (chociazby
> wyrobienie sobie duplikatu karty SIM ofiary).

Oczywiście, że było sporo. Tylko nie do końca dotyczyło to sytuacji w
Polsce. Bo rozumiem, że chodzi Ci o ataki polegające na wyrobieniu sobie
duplikatu u operatora, a nie o klonowanie kart SIM?

Zwróć uwagę, że atak polegający na uzyskaniu duplikatu karty ofiary ma
charakter "targeted attack". Atak przy pomocy malware jest natomiast
powszechniejszy i w dodatku - globalny. Wymaga mimo wszystko mniejszego
nakładu pracy niż wyrabianie duplikatów kart.

Tak w temacie: http://niebezpiecznik.pl/post/bankery-61-zagrozen-w-q1/

Podobnie ograniczony zasięg mają ataki polegające na klonowaniu kart
(różne), czy nawet na podsłuchiwaniu transmisji GSM.

> No tak - ale Ty mówisz o używalności, a ranking porównywał bezpieczeństwo
> i dlatego zapytałem. Być może dotychczasowe rozwiązania zrzucenia 
> przeprowadzenia operacji CR na klienta są niezbyt wygodne - wierzę, że
> da się to zrobić lepiej (np odczytanie kodu aztec telefonem z ekranu
> komputera czy coś równie mechanicznie prostego) - ale w kontekście 
> bezpieczeństwa trudno mi uznać SMSy za lepsze czy równie dobre jak 
> tokeny CR.

Mówię o bezpieczeństwie i używalności. Bezpieczeństwo i używalność są ze
sobą związane, konkretnie stoją w opozycji. Konieczne jest odpowiednie
wyważenie używalności i bezpieczeństwa. Zwracam uwagę, że implementacje
tokenów CR, które w challenge przekazywałyby do tokena podobną ilość
informacji, jaką użytkownik otrzymuje wraz z kodem SMS, byłyby
niewygodne w użytkowaniu.

W chwili obecnej SMSy są lepsze. Realnym problemem jest malware, przed
którym SMSy dają możliwość ochrony (porównanie parametrów operacji), a
kody CR nie zawsze. Podkreślam - NIE ZAWSZE, bo to zależy od konkretnej
implementacji. Jeśli response jest wyliczany na podstawie przykładowo 8
znaków challenge, to nie ma takiej możliwości, by zakodować na nich dane
jednoznacznie identyfikujące transakcję.

Sytuacja się zmieni, gdy będą bardziej powszechnie używane rozwiązania
przekazujące do aplikacji w komórce dane transakcji, na przykład przez
wspomniane kody QR. A zmieni się, bo koszty wysyłania kodów przez SMS są
niepomijalne. Zresztą, z tego co wiem, są już implementacje "tokenów CR
na komórkę", które jestem uznać za lepsze od SMS. Muszą się tylko
upowszechnić, a także powszechniejsze musi się stać użycie urządzeń
(telefonów), na których takie tokeny będą wystarczająco dobrze działać.
Moja nokia E51 sobie na przykład nie specjalnie radzi z kodami QR, bo
aparat stosunkowo słaby, a i zakurzony już niemiłosiernie...

Proste założenie - aplikacja CR na komórkę jest lepsza niż kody
przesyłane przez SMS jest nieuzasadnione.

A teraz poproszę o argumenty wyższości CR nad SMS.

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list