[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Burdach Mariusz M_Burdach at compfort.pl
Mon May 17 15:53:23 EDT 2010


Moim zdaniem nie jest możliwe opracowanie rzetelnego a zarazem pełnego rankingu bezpieczeństwa bankowości internetowej (detalicznej bądź korporacyjnej).
 
Pierwszy argument już został podany: Poprawność implementacji zastosowanego przez Bank mechanizmu np. autoryzacji transakcji. Publikowane rankingi bazują na założeniu że mechanizm został zaimplementowany poprawnie. Chociaż jeśli tak jest, to do określenia jest lista zagrożeń dotycząca każdego z mechanizmów.
Drugi argument: Banki wykorzystują dodatkowe mechanizmy podnoszące bezpieczeństwa transakcji, które często nie są widoczne dla „przeciętnego” klienta Banku, np. system wykrywania nadużyć. Nie muszę dodawać, że żaden Bank nie ujawni szczegółów. Tylko czasami można usłyszeć opinię klienta który zdziwiony jest faktem, że dostaje kod SMS przy transakcji na 50 zl a nie przy transakcji dziesięciokrotnie większej.
Ponadto dla wygody Banki pozwalają klientom na wybór mechanizmu autoryzacji transakcji, ale akurat tutaj można (dla uproszczenia) przyjąć że bezpieczeństwo bankowości internetowej konkretnego Banku określa najsłabszy mechanizm :).
 
Nie wyobrażam sobie też rankingu uwzględniającego podatności każdego z Banków, które zostały wykryte podczas testów. Przy opracowywaniu kryteriów z tego zakresu faktycznie dokumenty OWASP mogą być pomocne.
 
Bardzo podoba mi się propozycja dotycząca zdefiniowana grupy odbiorców gdyż kryteria muszą być przydatne i zrozumiałe. W przypadku dziennikarzy ważne jest aby byli w stanie przekazać czytelnikom informacje na temat Banków oferujących bezpieczne mechanizmy. Pod pojęciem "bezpieczny mechanizm" rozumiem taki który powoduje że ryzyko związane z utratą środków jest mniejsze. W tym zakresie można liczyć na pomoc ZBP, który właśnie reaktywował projekt Bezpieczny Bank. 
Dla osób zajmujących się bezpieczeństwem istotne jest aby nowy mechanizm autoryzacji transakcji na który zdecydował się Bank był poprawnie zaimplementowany. Kody generowane przy SMS czy tokenach challenge-response są dobrym przykładem.
 
Mariusz Burdach


More information about the Owasp-poland mailing list