Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.
V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.
Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson, je bil CAP protokol tako optimiziran, da je varnostno povsem neustrezen. Raziskovalci so z reverznim inženiringom bančne pametne kartice in čitalca, ki ga uporabljajo v Britaniji rekonstruirali CAP protokol, katerega podrobnosti sicer - kako znano - niso bile nikoli javno objavljene.
Odkrili so številne slabosti tako v zasnovi protokola, kot tudi v sami ideji uporabe takega načina avtentikacije katerih posledica je, da napadalci svoje žrtve lahko olajšajo za poljubno vsoto na njihovem bančnem računu.
Vsekakor gre za izredno poučen članek, ki opisuje številne resnične scenarije zlorab elektronskega bančništva. Na branje!
Novice » Varnost » Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen
kuglvinkl ::
300 kosmatih, kolk je to podobno recimo sistemu SKB banke? Ni kartice, samo pin se vsakič sproti poračuna s kalkulatorjem, ki ti ga dajo. WTF?
Your focus determines your reallity
FastWIND ::
300 kosmatih, kolk je to podobno recimo sistemu SKB banke? Ni kartice, samo pin se vsakič sproti poračuna s kalkulatorjem, ki ti ga dajo. WTF?
Ampak tisti pin veš samo ti ?
Utk ::
heh, še par let, pa bo nekdo začel prodajat štumfe s ključavnico. Najbolj varna stvar, vam rečem.
jan01 ::
jype ::
kody ::
še najbolj se mi zdi...
osebno PIN + RSA Secure ID
uporablja NKBM....
ker tudi certifikat od NLB je bolj tako
osebno PIN + RSA Secure ID
uporablja NKBM....
ker tudi certifikat od NLB je bolj tako
FastWIND ::
še najbolj se mi zdi...
osebno PIN + RSA Secure ID
uporablja NKBM....
ker tudi certifikat od NLB je bolj tako
Tudi Probanka ima sistem osebni PIN + RSA Secure ID
ender ::
Take čitalce uporablja Banka Koper, in meni se je že od začetka zdelo sumljivo, kako se SecureCode ves čas enakomerno povečuje.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
denial ::
še najbolj se mi zdi...
osebno PIN + RSA Secure ID
uporablja NKBM....
Samo pri izvajanju transakcij. Za pregled stanja je dovolj u/p... še digitalnega potrdila ne uporabljajo. Phishing heavens?
SELECT finger FROM hand WHERE id=3;
fosil ::
Samo pri izvajanju transakcij. Za pregled stanja je dovolj u/p... še digitalnega potrdila ne uporabljajo. Phishing heavens?
Morda res, ampak kaj si lahko pomaga s pregledom stanja na tvojem računu? Brez pina in rsa-ja denarja ne more nakazat.
Tako je!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | 2,2 € za menjavo PIN kode (strani: 1 2 )Oddelek: Loža | 16334 (6288) | crniangeo |
» | Online plačevanjeOddelek: Loža | 1939 (1596) | mikhail |
» | Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 98846 (92057) | sisemen |
» | Internetno bančništvo (strani: 1 2 )Oddelek: Loža | 19774 (15460) | Tilen |
» | Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )Oddelek: Novice / Varnost | 12122 (8613) | CaqKa |