26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5
[styczeń] luty marzec
kwiecień maj czerwiec
lipiec sierpień
wrzesień październik
listopad grudzień
ZTIC - bezpieczny kanał do banku
Wpis z dnia: 2009-11-10, z godziny: 13:40
Czy hasła jednorazowe przysyłane przez SMS ochronią nas gdy nasz komputer jest pod kontrolą złodzieja? Nie, jeśli nie sprawdzimy szczegółów przelewu w otrzymanej wiadomości. Osoba kontrolująca nas komputer za pomocą konia trojańskiego może przecież podmienić szczegóły naszego przelewu (numer konta, kwota), a następnie poczekać aż wpiszemy otrzymany kod do okna przeglądarki - i użyć go do autoryzacji swojego przelewu.

Ataki tego typu nazywa się Man in the Browser, dla odróżnienia od Man in the Middle, dokonywanego poza naszym komputerem. Stanowią one istotną jakościową różnicę w stosunku do wcześniejszych technik, takich jak zwykła kradzież statycznego hasła do konta czy nawet kradzież haseł jednorazowych dostarczanych na karcie.

Problem MITB sprowadza się do tego, jak dalece paranoicznym podejściem powinniśmy wykazywać się korzystając z niezaufanego systemu operacyjnego - i jak dalece niezaufane są systemy, z których korzystamy na codzień. Jeśli złośliwe oprogramowanie może kontrolować nasz system to można właściwie zapomnieć o możliwości zbudowania jakiegokolwiek bezpiecznego kanału do przekazania danych autoryzujacych transakcję.

Problem ten próbowano rozwiązać na wiele sposobów - utwardzanie systemu operacyjnego można prowadzić tak długo, aż otrzymamy ogryzek o maksymalnie obciętej i kontrolowanej funkcjonalności, w której każda niestandardowa operacja wymaga zewnętrznego potwierdzenia (patrz A co z systemami klasy trusted?). Żeby przekonać się o tym, że w praktyce nie da się tego używać w systemie "do Internetu" wystarczy spróbować np. Request Policy dla Firefoksa.

Drugi trend to separacja tych części systemu, na których polegamy najbardziej i wyrzucenie ich na zewnątrz - w tej kategorii mieści się Trusted Platform Module, karty kryptograficzne, HSM czy opisywany tutaj kiedyś mikro-firewall Yoggie.

Opracowany przez IBM w Zurychu token ZTIC wywodzi się również z tego nurtu i w praktyce najbardziej przypomina chyba właśnie Yoggie. Jest to małe urządzenie USB, stanowiące faktycznie miniaturowy komputer, które po podłączeniu do komputera staje się serwerem proxy dla przeglądarki użytkownika. Ze względu na to, że sesja SSL jest obsługiwana w ZTIC - który pozostaje poza kontrolą koni trojańskich, nie zadziała większość ataków polegających na przechwyceniu sesji SSL i zmanipulowaniu przeglądarki użytkownika tak, by udawała, że wszystko jest w porządku.

To jednak nie wszystko. Właściwy "bezpieczny kanał" jest zapewniany przez ZTIC w ten sposób, że pokazuje on kluczowe informacje o transakcji na wbudowanym wyświetlaczu. Oczywiście oznacza to, że ZTIC musi "rozumieć" formularz transakcji przesyłany w bieżącej sesji - dlatego bank musi przygotować go pod kątem swojego systemu transakcyjnego. Spersonalizowany token będzie pokazywał kwotę transakcji czy numer konta docelowego, eliminując tym samym szeroki arsenał ataków polegających na "przykrywaniu" tego co widzi użytkownik. Faktyczne potwierdzenie transakcji następuje natomiast dopiero po przyciśnięciu przycisku OK na obudowie tokena.

Szczegóły:

www.zurich.ibm.com/ztic/

Komentarze:
Redakcja Computerworld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Paweł KrawczykIP: 89.78.183.11111-11-2009, 17:53
Mi się osobiście wydaje, że taki gadżet nada się głównie dla bankowości korporacyjnej i przy bardzo dużej odpowiedzialności. Dla masowego klienta jest to rzecz za droga - nawet pewnie nie sam token, tylko koszty zarządzania nimi.
Artur NaporaIP: 91.189.19.5510-11-2009, 19:15
Tak jak nowoczesne metody włamywania nie zrewolucjonizowały rynku zamków tak nowoczesne metody uwierzytelniania czy autoryzacji nie zrewolucjonizują zabezpieczeń bankowych.
Dla wielu ludzi zwykłe tekturowe drzwi z prostą wkładką są wystarczająco mocne do zabezpieczenia ich majątku w domu/mieszkaniu.
Ilu z nas decyduje się na rolety, drzwi antywłamaniowe, skomplikowane zamki i alarmy ???
Bezpieczeństwo jest zawsze kompromisem między ryzykiem a kosztem. (B. Schneier ?) Kosztem jest również wygoda a raczej jej brak.
Często impulsem do podniesienia zabezpieczeń są wymagania ubezpieczyciela lub wysokość składki ubezpieczeniowej.

Skomplikowane i drogie zabezpieczenia eBanków mają jednak przyszłość.
Prawdopodobnie dojdziemy kiedyś do sytuacji w której instytucje finansowe uzależnią maksymalną kwotę swojej odpowiedzialności w przypadku fraudu od wybranego przez klienta zabezpieczenia.
Przemek SkowronIP: 79.189.251.3510-11-2009, 14:37
Jestem zdania, że poza nowymi metodami autoryzacji zlecania operacji w bankowości elektroczniej, warto jeszcze wycisnąć kilka soków z tego co jest. Na samym początku napisałeś o tym, że w SMSie z kodem potwierdzającym operację są szczegóły pozwalające stwierdzić co to za operacja, na jaką kwotę, z jakiego na jaki rachunek. Myślę, że nadal mało mówi się o tym by czytać treść SMSów. To, że pojawiają się zasady bezpiecznego korzystania z bankowości elektroczniej to krok do przodu, zacznijmy o tym głośniej mówić to może nie będzie trzeba podnosić kosztów korzystania z bankowości bo zdecydujemy się na nowy 'dodatek' (np. sprzętowy token) i ktoś musi za to zapłacić.

Pozdrawiam,
--
Przemek
Liczba zatwierdzonych komentarzy: 3      dodaj swój komentarz  
Serwisy IDG: IDG.pl | PC World Komputer | Computerworld | NetWorld | Kino Domowe | Zoom | Digit | CEO | CIO | CFO | CMO | CSO | Macworld | Tips & Tricks | Gamestar | Internet Standard | IT Partner | IT Standard | Kupuj.pl | JobUniverse | CyberJoy | Fotografia
Korzystanie z serwisu Bywalec Computerworld jest jednoznaczne z wyrażeniem zgody na następujące warunki obsługi. Regulamin korzystania z serwisu. Serwis realizuje wytyczne ASME oraz uzupełnienia IDG dotyczące zasad publikacji w mediach elektronicznych.
© copyright 2012 IDG Poland SA
04-204 Warszawa ul. Jordanowska 12
tel. (+48 22) 321 78 00  fax (+48 22) 321 78 88