[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Przemyslaw Skowron przemyslaw.skowron at gmail.com
Mon May 17 17:02:08 EDT 2010


W dniu 17 maja 2010 21:53 użytkownik Burdach Mariusz
<M_Burdach at compfort.pl> napisał:
> Moim zdaniem nie jest możliwe opracowanie rzetelnego a zarazem pełnego rankingu bezpieczeństwa bankowości internetowej (detalicznej bądź korporacyjnej).
>

Wykorzystam anegdotkę usłyszaną z ust Wojtka Dworakowskiego, mam
nadzieję, że nie będzie miał nic przeciwko. W USA projektuje się
systemy w wersji 1.0, a w Polsce od razu 3.0. Może osoby, które dłużej
interesują się działalnością fundacji OWASP zauważyły, że projekty w
pierwszych wersjach nie są bardzo skomplikowane, kompleksowe i nie
spełniają oczekiwań ludzi oczekujących rozwiązań kompletnych pod
każdym względem.

To tak słowem wstępu. Jestem w pełni świadomy, że pełnego rankingu
bezpieczeństwa bankowości internetowej nie zrobimy i w tym w pełni się
zgadzamy.

> Pierwszy argument już został podany: Poprawność implementacji zastosowanego przez Bank mechanizmu np. autoryzacji transakcji. Publikowane rankingi bazują na założeniu że mechanizm został zaimplementowany poprawnie. Chociaż jeśli tak jest, to do określenia jest lista zagrożeń dotycząca każdego z mechanizmów.

Będzie trzeba przyjąć takie założenia (bo na pewno nie chcę wykonywać
nieetycznych testów bezpieczeństwa). Przymierzam się do zrobienia
okrojonego modelowania zagrożeń by przybliżyć obszar, który nas
interesuje.

> Drugi argument: Banki wykorzystują dodatkowe mechanizmy podnoszące bezpieczeństwa transakcji, które często nie są widoczne dla "przeciętnego" klienta Banku, np. system wykrywania nadużyć. Nie muszę dodawać, że żaden Bank nie ujawni szczegółów. Tylko czasami można usłyszeć opinię klienta który zdziwiony jest faktem, że dostaje kod SMS przy transakcji na 50 zl a nie przy transakcji dziesięciokrotnie większej.
> Ponadto dla wygody Banki pozwalają klientom na wybór mechanizmu autoryzacji transakcji, ale akurat tutaj można (dla uproszczenia) przyjąć że bezpieczeństwo bankowości internetowej konkretnego Banku określa najsłabszy mechanizm :).
>

W tym wypadku proponowałbym przedstawienie wszystkich mechanizmów
bezpieczeństwa, następnie można zaznaczyć, które da się wyłączyć,
które są domyślnie włączone. Wynikiem projektu powinna być metodyka
pozwalająca ocenić czy konkretna bankowość internetowa chce ("chce",
bo nie chcę oceniać samej implementacji, nie na tym etapie)
minimalizować prawdopodobieństwo wykorzystanie różnego rodzaju
podatności. W tym momencie jestem daleki od tworzenia rankingu na jej
podstawie, to będzie drugi etap i w związku z nim zamierzam
skontaktować się ze ZBP.

> Nie wyobrażam sobie też rankingu uwzględniającego podatności każdego z Banków, które zostały wykryte podczas testów. Przy opracowywaniu kryteriów z tego zakresu faktycznie dokumenty OWASP mogą być pomocne.
>

Ja również sobie nie wyobrażam :) z małym wyjątkiem, tych podatności,
które są widoczne bez potrzeby przeprowadzania testów.

> Bardzo podoba mi się propozycja dotycząca zdefiniowana grupy odbiorców gdyż kryteria muszą być przydatne i zrozumiałe. W przypadku dziennikarzy ważne jest aby byli w stanie przekazać czytelnikom informacje na temat Banków oferujących bezpieczne mechanizmy. Pod pojęciem "bezpieczny mechanizm" rozumiem taki który powoduje że ryzyko związane z utratą środków jest mniejsze. W tym zakresie można liczyć na pomoc ZBP, który właśnie reaktywował projekt Bezpieczny Bank.
> Dla osób zajmujących się bezpieczeństwem istotne jest aby nowy mechanizm autoryzacji transakcji na który zdecydował się Bank był poprawnie zaimplementowany. Kody generowane przy SMS czy tokenach challenge-response są dobrym przykładem.
>

Jak najbardziej w planach jest poruszenie tematu w ZBP.

Dodatkowo, co jest dla mnie trochę zaskakujące, chyba nikt nie
poruszył tematu możliwości uzyskania informacji o np. środkach jakimi
dysponuje dany klient banku. Wydaje mi się, że skoncentrowaliśmy się,
a rankingi w mediach na pewno, na dwóch punktach:
 - zalogowanie sie do e-bankingu
 - autoryzacja operacji w e-bankingu

Pomijając błedy implementacyjne w powyższych, istnieją inne
podatności->zagrożenia, które nie są w ogóle brane pod uwagę w tych
rankingach. Właśnie to spowodowało, że moim zdaniem ostatni ranking w
PCWorld jest bardzo mało obiektywny. Wczesniej opublikowany raport
przez serwis bankier.pl przyjąłem z uśmiechem na twarzy, bo było jasno
napisane czego raport dotyczy i zawierał dokładnie to. W rankingu
PCWorld jest bardzo obiecujący wstęp mówiący o innych zagrożeniach niż
logowanie/autoryzacja, niestety w dalszej części nie ma już o tym
słowa.

Przez weekend podszedłem do tematu trochę zbyt optymistycznie,
zapraszam do dalszej dyskusji, a w najbliższym czasie postaram się
zebrać to w całość i nakreślić ramy projektu uwazględniając Wasze
uwagi. Myślę, że podczas czerwcowego spotkania OWASP Poland w Krakowie
znajdziemy ~20-30 minut by poruszyć ten temat w szerszym i węższym
gronie.

Zapraszam!
-- 
Przemyslaw Skowron, <przemyslaw.skowron {at} gmail.com>


More information about the Owasp-poland mailing list