» »

Novi standardi informacijske varnosti v bančništvu

1
2
»

MrStein ::

Cowboy6 je izjavil:

_Sajmon_ je izjavil:

Vsi, ki pljuvate po tej kao varnostni luknji: kaj pa bi pa za vas bilj najbolj sprejemljiv način prijave v elektronsko banko? Ne nujno najbolj varen, ampak tak, ki bi bilj najboljši kompromis enostavnosti in varnosti?


IMHO, uporaba certifikata in kompleksnega gesla je sprejemljiv način. Da se temu doda še 2FA je dovolj varen način.

certifikat in geslo sta že dva faktorja in to precej močna (pri geslu je seveda odvisno od politike)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jlpktnst ::

poweroff je izjavil:

Poanta je v tem, da ne govorimo o nekem forumu tipa med.over.net ali Nova24TV.si. Govorimo o banki.

Banke se morajo držati tudi nekih standardov, PCI-DSS, ISO 17799, ISO 27001, PSD2,... Ni to nek hec. Res je, če uporabljaš 2FA je lahko PIN manj varen, krajši... ampak daj ljudem vsaj možnost, da si nastavijo močnejšo varnost, če želijo. Še bolje pa je, da se ljudi aktivno spodbuja k temu, da razvijajo boljšo varnostno kulturo.


Točno to me jezi - zakaj hudiča nimamo tisti, ki si želimo močna gesla te možnosti? Zakaj hudiča smo prisiljeni v nek brezvezni pin v kombinaciji z nezanesljivim 2fa? Res slabo.

MrStein ::

Spura je izjavil:

MrStein je izjavil:

NLB ima še vedno omejitev, da v geslu ne sme biti "posebnih" znakov?

Hja, varnost "po naše".

Ali website uporablja CP-1250 namesto unicode (to je pri nasih mojstrih kar pogosto, sploh uni ki delajo v .NETu) ali pa v bazi shranjujejo clear-text gesla in nimajo baze na unicode nastavljene. To da imajo bazo na CP-1250 nastavljeno je pa kar 100% verjetnost.

Kaj ima to veze s tem, da v geslu ne smejo biti naslednji ASCII znaki: , . - / ! ?

joze67 je izjavil:


MrStein je izjavil:


OK, vdri v mojo.
Aja ne moreš. Ker nimaš mojega telefona. Pa tudi, če bi ga imel, ne bi mogel.

Na www.spletna-banka.si pa lahko greš kadarkoli.

To je razlika.

Res, ampak se moraš še zanašati na operaterja, da ni preveč prijazen in ne izda novega SIM-a kar na osnovi telefonskega klica in kakega "osebnega" podatka.

Ne rabim. Lahko ti dam original SIM. Pa še PIN zraven. Tako za SIM, kot za bančno aplikacijo. Pa še vedno ne boš mogel.

Smo zdaj to razčistili?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

poweroff je izjavil:

A je res tako težko komitentom dati Yubikey in se s tem reši večina teh problemov?

Kako? Za vsako banko en? Pa za FURS en. Pa za e-upravo. Pa za službo. Pa za...

Še za x.509 se niso mogli zmenit, pa gre za 100% isti protokol.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

YubiKey podpira x.509 certifikate, podobno kot Gemalto in podobni USB kljuci. Mogoce se tudi to spreminja, ampak poslovni uporabniki so vcasih dobivali pametno kartico in bralnik, oz. USB kljucek s certifikatom.

WizzardOfOZ ::

G-man je izjavil:

Men se zdi, da bomo videli vedno več takih scenarijev:

- združitev dveh podjetij, ki imata neke antične mainframe
- antični mainframi imajo nikakav password policy
- ker je treba mergat dva informacijska sistema (14 dni nazaj!) se neki na hitro naheka (ker spreminjat mainframe sisteme dandanes je črna magija in plačaš v zlatu)
- najdeš neko rešitev po najnižjem skupnem imenovalcu, ki se še komaj drži nad vodo s pomočjo selotejpa in paličic za ražnjiče

In ne pozabit, pri takih zadevah je to v prvi vrsti poslovna odločitev, ne varnostna.

https://www.itproportal.com/features/wh...

Mainframe ima že od nekdaj politiko 8 mest za geslo, ki mora biti sestavljeno iz črk, posebnih znakov in številk.
Vprašanje pa je če se da sistemcem to vklopit, ker so tako zaverovani v varnost mainframea.

SeMiNeSanja ::

Ne vem, zakaj se iz ene ušive avtentikacije dela takšno znanost.

Mathai predlaga Ubikey. Meni ta metoda ni všeč, ker bi se jo z 99,9% verjetnostjo uporabilo kot enofaktorsko avtentikacijo - ukradeš ključ in lahko neovirano dostopaš do accounta, ne rabiš več ne userja, niti geslo, saj imaš ključek.

Težava je v tem, da se tudi Yubico sam promovira, da predstavlja konec za kakršnakoli gesla (ravno danes bral članek njihovega product managerja "Warum FIDO2 das Ende des Passworts bedeutet"), mene pa zmrazi, če pomislim, da si rabi nekdo samo za nekaj sekund 'sposoditi' ključek, pa jaz o tem ne bom nič vedel, ne prej, ne kasneje.
Ne vem zakaj se pri izgubi/kraji ključkov vedno predpostavlja, da bo ključek našel/ukradel nek popolni neznanec, ki ne bo vedel za katere sisteme/accounte ta ključek uporabljaš. Kaj pa če ga ukrade 'insider'? Npr. nezadovoljna delavka v računovodstvu, medtem ko je direktor/računovodja skočil na WC? Sodelavka bo točno vedela kako 'uporabiti' tisti ključek....

Potem mi je že bolj pri srcu kakšen 2fa na osnovi push notifikacije, ki mi na telefonu 'zateži', čim je nekdo vtipkal moj user/pass. Ni važno kje na svetu sem - če imam internetni dostop, me bo opozorilo, da nekdo nekaj poskuša.

Sem nekoč že prilepil video, kako te zadeve lahko izgledajo v bančništvu (se uporablja že leta v Braziliji)



Pri tem v videjih ni povedano, da se pri inicializaciji push storitve shrani 'prstni odtis' telefona, tako da odpade kakršnakoli možnost kopiranja na drug telefon.

V takem primeru rešitve moraš potem vedeti:
1.) username
2.) geslo ali pin bančnega accounta / kreditne kartice
3.) imeti v posesti telefon lastnika accounta
4.) 'znati' odkleniti telefon (pin, pattern, biometr. odklep)
in opcijsko...
5.) še dodaten pin za odklep push potrditve

Pretiravanje?

No, ker se nekaterim zdijo takšne 'klasične' metode pretirane, so se lotili ustvarjati 'moderne' metode avtentikacije, katere temeljijo na analitiki obnašanja uporabnika.
Tovrstnih rešitev obstaja tudi že kar nekaj (BioCatch, Forter, NUData-Mastercard,..), temeljijo pa na tem, da za osnovni dostop uporabiš nekaj enostavnega na nivoju teh 6-mestnih pin-ov nad katerimi se v tej temi zgražamo.
Od tistega osnovnega dostopa dalje, pa se spremlja, katere menije klikaš, kako hitro premikaš miš, kako hitro tipkaš, itd. itd. in se to ves čas beleži oz. primerja s tvojim profilom obnašanja.
Dokler se giblješ v okviru svojega biometričnega oz. 'behavioral' profila, ti kaj dosti ne težijo. Čim pa se pojavi odstopanje, pa se prične z dodatnimi preverjanji identitete oz. se te vrže ven iz accounta.

No, vse lepo in prav - a kot kompromitirani uporabnik spet ne veš, da se je to zgodilo, če ti je npr. hotel mulc izvesti plačilo za nov e-skiro na Aliexpress (user&pin pa je posnel z GoPro-jem, ko si ga vnašal).

Meni npr. povsem ustreza, da mi vleti SMS, kadarkoli se prijavim v Klik (z certifikatom). Če bi se kdorkoli dokopal do gesla in ključka z certifikatom, imam še vedno neko opozorilo, da se nekaj dogaja.
Nimaš pa več nobenega nadzora nad tem KAJ se je zgodilo, če ti je bil ključek ukraden.

Podobno je pri plačilih z kreditno kartico. Saj je lepo, da te obvestijo z SMS, da se je zgodila transakcija - a je takrat že prepozno, saj nimaš možnosti, da bi na telefonu kliknil "NE DOVOLIM!".
Obratno pa bi dejansko lahko poslal mulca s svojo kartico v trgovino in lepo na daljavo 'blagoslovil' plačilo.

Skratka ni vse SAMO v zanesljivi potrditvi identitete. Stvari so lahko bistveno bolj fleksibilne in bistveno dvignejo nivo varnosti bančnega poslovanja, če so pravilno implementirane, istočasno pa uporabniku dajo boljši občutek varnosti in nadzora nad svojim računom.

Torej talanje Ubikey-ev (zakaj vraga ravno Ubikey? saj so še drugi Fido certificirani ponudniki ključev!) za mene ni rešitev, saj pokriva samo en segment v celi zgodbi - katerega pa lahko potencialno celo poslabša, namesto da bi ga izboljšal (če ga uporabiš na način na katerega ga promovirajo).
Ker pa banke zagotovo nebi ničesar kar tako 'talale', temveč bi to pridno zaračunale komitentom, je zelo vprašljivo, če je še dopustno, da komitentu nabiješ 50€ stroška za tisti ključek, ki na koncu vsega tudi ni neuničljiv.

Kakorkoli obrneš, tisto z točno 8-mestnim številom, pa je resnično bad joke....
Ampak ok...če so zadaj obesili analitiko obnašanja uporabnika... potem pa morda niti ni tako slab ta joke... (samo kaj, ko ne verjamem, da so investirali v kaj takega, saj bi se drugče že hvalili po vseh medijih).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

Pri marketingu Fido ključev tipa zgoraj omenjenega Yubico članka me moti še ena stvar: Uporabo ključka skušajo opravičiti z prihrankom časa zaradi nepotrebnih password reset-ov

Torej je defacto namen ključke uporabljati kot 'komplicirano' 1-faktorsko avtentikacijo. Pri tem pa zavestno negirajo potencialne težave zaradi ključev, ki jih uporabniki pozabijo doma. Če bo uporabnik šel nazaj domov po ključek, bo zagotovo izgubil več časa, kakor pri običajnem password reset-u.
Poleg tega danes obstajajo tudi 'self-service' password reset procedure, ki ne 'požrejo' ure in ure.

Toda Yubico že cilja na tiste sekunde, ki jih potrebuješ, da odtipkaš geslo. Te sekunde potem sešteva čez celo leto in evo, imamo razlog za nakup ključka, ki se bo sam od sebe odplačal.
Hudič, ko so pozabili v kalkulacijo všteti veliko verjetnost, da bo uporabnik vsaj 1x/leto pozabil ključek doma in s tem izničil ves silni 'dobiček', ker ni treba tipkati gesel.

Res ne vem, zakaj se Yubico kot ponudnik 'varnostne rešitve' raje ne fokusira na promoviranje višje varnosti z uporabo njihovih ključev kot dodatni faktor, ne pa da slabšajo zadeve in se preambiciozno promovirajo kot edini faktor.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

techfreak :) je izjavil:

YubiKey podpira x.509 certifikate, podobno kot Gemalto in podobni USB kljuci. Mogoce se tudi to spreminja, ampak poslovni uporabniki so vcasih dobivali pametno kartico in bralnik, oz. USB kljucek s certifikatom.

Ne govorim o tem. Ampak o tem, da Francelj dobi YubiKey od NLB. Potem dobi YubiKey od FURS. Potem odpre še en bančni račun na NKBM in ima zdaj 3 YubiKey-e (in poln kufr...).

Razen, če je prenos ključev med YubiKey-i preprost, da bi potem imel vse v enem. Kar pa dvomim.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

MrStein je izjavil:


Razen, če je prenos ključev med YubiKey-i preprost, da bi potem imel vse v enem. Kar pa dvomim.

Sploh bi bilo zanimivo, ko bi mu zaračunali ključek z 50€, na Ebay pa bi ga lahko dobil za 30€...?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jlpktnst ::

Veliko telefonov ima NFC. Vse naše kartice imajo NFC. Zakaj hudiča se ne da porabit bančne kartice za en faktor avtentikacije? (+ seveda še nekaj)

borko ::

MrStein je izjavil:

Ne govorim o tem. Ampak o tem, da Francelj dobi YubiKey od NLB. Potem dobi YubiKey od FURS. Potem odpre še en bančni račun na NKBM in ima zdaj 3 YubiKey-e (in poln kufr...).


Ne, katerikoli Yubikey lahko registriraš kot 2FA. Podobno, kot se je dalo v preteklosti "registrirati" sigenca cert.

WhiteAngel ::

SeMiNeSanja je izjavil:


Mathai predlaga Ubikey. Meni ta metoda ni všeč, ker bi se jo z 99,9% verjetnostjo uporabilo kot enofaktorsko avtentikacijo - ukradeš ključ in lahko neovirano dostopaš do accounta, ne rabiš več ne userja, niti geslo, saj imaš ključek.


Če želiš dostopat do certifikata na Yubikey, ga moraš odklenit s PIN-om (geslo, sestavljeno iz poljubnih znakov, ki si si ga nastavil na začetku). Če se nekajkrat zmotiš, moraš vnesti PUK, ki si si ga nastavil na začetku. Če se še tu nekajkrat zmotiš, se vsebina ključa uniči.

jlpktnst je izjavil:

Veliko telefonov ima NFC. Vse naše kartice imajo NFC. Zakaj hudiča se ne da porabit bančne kartice za en faktor avtentikacije? (+ seveda še nekaj)


Tudi Yubikey ima NFC. Ga še nisem uporabljal, ampak precej uporabna zadeva, če želiš s telefonom kaj plačati in imaš certifikat na Yubikeyju. To bo seveda enkrat uporabno, ko bodo bankirji prerasli 4-mestni PIN iz številk za dostop do mobilne bančne aplikacije. 8-O

Zgodovina sprememb…

SeMiNeSanja ::

WhiteAngel je izjavil:


Če želiš dostopat do certifikata na Yubikey, ga moraš odklenit s PIN-om (geslo, sestavljeno iz poljubnih znakov, ki si si ga nastavil na začetku). Če se nekajkrat zmotiš, moraš vnesti PUK, ki si si ga nastavil na začetku. Če se še tu nekajkrat zmotiš, se vsebina ključa uniči.


Isti šmoren kot moj Gemalto - pa vseeno nočem, da se ga kjerkoli uporablja brez dodatnega user&pass!

Tako NLB Klik, kot tudi PRO SKBnet, poleg cert-a na ključu (z pinom) uporabljata še username&password - ob tem, da ti NLB pošlje še SMS, da si se prijavil.
Torej isti šmoren kot Yubikey in prav nič novega in "bolj varnega". Tudi Gemalto se zaklene in rabiš PUK, da ga odkleneš.

Kar pa dejansko skrbi je način oglaševanja, ki oglašuje Yubikey kot nadomestilo za user&pass in to ne utemeljuje z dodatno varnostjo, temveč s silnimi prihranki časa (in posledično denarja), ki ga zapravimo z vnašanjem gesla. V tem kontekstu oglaševanja in 'silnih prihrankov', boš na koncu iskal metode kako izklopiti še tisti PIN na ključku...

Torej namesto da s ključkom uvedeš dvofaktorsko avtentikacijo, se ga oglašuje kot zamenjavo za prvi faktor (tisti pin je bolj tako-tako - ga lahko ujameš s skrito kamero).

Kot sem že zapisal, so vsi oglaševani argumenti za ključke cool, če ga najde nek neznanec, ki ne ve niti čemu je služil. Če ga pa ukrade sodelavec v podjetju nadrejeni osebi, da bi avtoriziral neko zlonamerno transakcijo, pa se že nahajamo na presneto tankem ledu. Sploh če je kdo nasedel in je z njim v celoti zamenjal user&pass.

Širši kontekst ni ravno nepomemben.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

borko je izjavil:

MrStein je izjavil:

Ne govorim o tem. Ampak o tem, da Francelj dobi YubiKey od NLB. Potem dobi YubiKey od FURS. Potem odpre še en bančni račun na NKBM in ima zdaj 3 YubiKey-e (in poln kufr...).


Ne, katerikoli Yubikey lahko registriraš kot 2FA. Podobno, kot se je dalo v preteklosti "registrirati" sigenca cert.

Saj to pravim, v teoriji mogoče gre, v praksi pa SIGEN-CA nisi mogel "registrirati" za Klik.NLB. (in niti danes ne moreš)

Enako se lahko odločijo, da podprejo samo "svoj" YubiKey in nič drugega.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BlaY0 ::

poweroff je izjavil:

A je res tako težko komitentom dati Yubikey in se s tem reši večina teh problemov?

Jap. V tem primeru rabiš nov oddelek ki se bo ukvarjal samo s temi key-i... folku se bodo kvarili, padali v vodo, polivali jih bodo s kavo. Potem bodo tu še razne "ghost" težave stila PEBKAC - folk jih bo vtikal v DisplayPort, ne bo jim jasno kako ga vtaknit v telefon in podobno...

poweroff ::

SKB ima RSA "kalkulatorček"... pa uporabnikom kar funkcionira.

Če je pa tak problem naj se pa ukine vsa gesla... jih uporabniki vsaj pozabiti ne bodo mogli... pa ne bo treba nobenega oddelka.
sudo poweroff

BlaY0 ::

Saj nihče ni rekel da ne funkcionira. Veš morda koliko komitentov ima recimo težave z njim?

Napisal sem samo zakaj je to težko. Za nov oddelek rabiš pa verjetno celo še kaj več kot podporo pri upravi. Sam pa tudi veš, da je varnost ICT sistemov tazadnja stvar s katero bi se uprava rada ukvarjala. OK, ker je ravno banka so zavezani precej striktni EU regulativi kar se varnosti tiče.

Ampak da ne boš mislil... precej tujih bank ima podobne password "politike". Sicer pa ni panike imajo itak 2-factor + dodatno potrjevanje transakcij s 2-factor, to je "a must" kar se EU regulative tiče, sam password ti v večini primorev dovoli samo dostop do GUI-ja ali pa še to ne.

SeMiNeSanja ::

poweroff je izjavil:

SKB ima RSA "kalkulatorček"... pa uporabnikom kar funkcionira.

Imel in sovražil!

Ko se je nekje tiščal ob nekaj, se je še zaklenil, pa je bilo treba z njim na podružnico, da so ga odklenili.

Pa ne vem, če ni bila še neka težava, ko se je izpraznila baterija.

Najbolj pa sem sovražil pretipkavanje tistih challenge&response kod.

Skratka, nikar si ne želi kalkulatorčka!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

BlaY0 ::

SeMiNeSanja je izjavil:


Ko se je nekje tiščal ob nekaj, se je še zaklenil, pa je bilo treba z njim na podružnico, da so ga odklenili.

Teh primerov je čuda. Treba je razumet da 99% folka ni tech-savvy... eni tlačijo te kalkulatorčke v reže od bankomatov (če so tisti v velikosti bančne kartice)...

techfreak :) ::

Najbolj pa sem sovražil pretipkavanje tistih challenge&response kod.
Alternativa je aplikacija, kjer dobis potisno sporocilo s podatki o placilu, ob kliku na gumb pa potrdis transakcijo (v ozadju pa se seveda naredi challenge & response glede na zasebni kljuc shranjen v telefonu.) Podobno kot imajo "mobilne" banke urejeno za 3D Secure.

SeMiNeSanja ::

techfreak :) je izjavil:

Najbolj pa sem sovražil pretipkavanje tistih challenge&response kod.
Alternativa je aplikacija, kjer dobis potisno sporocilo s podatki o placilu, ob kliku na gumb pa potrdis transakcijo (v ozadju pa se seveda naredi challenge & response glede na zasebni kljuc shranjen v telefonu.) Podobno kot imajo "mobilne" banke urejeno za 3D Secure.

Glej video par postov višje....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

borko ::

MrStein je izjavil:

Saj to pravim, v teoriji mogoče gre, v praksi pa SIGEN-CA nisi mogel "registrirati" za Klik.NLB. (in niti danes ne moreš)


Aha, NLB ima kot kaže drugačna pravila. Pri Abanki se je dalo "registrirati" sigenca cert.

ender ::

A to je tista Abanka, ki je lani pošiljala komitentom, ki pri njih nimajo računa že več kot 10 let, sporočilo, ki je izgledalo kot klasični phishing?
 Obvestilo Abanke

Obvestilo Abanke

There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

tony1 ::

OMG, v tem sporočilu je narobe tako veliko stvari, da bi skoraj mislil, da je tole fejk :D Oh, ja...:|

Qushaak ::

Jaz bi takoj dal, da gredo banke na Web Authn standard pa da lahko svoj ključek prijaviš. Pa recimo kot majo "veliki", da maš nek self-service portal da registriraš nov (backup) ključ oz več njih pa stare skenslaš.

YubiKey pa bo kmalu očitno dal ven zanimiv ključ: https://www.yubico.com/blog/yubico-reve...

Še vedno pa jasno (vsaj zame) passwordless ni dovolj dober da bi se odreklo MFA. Sam se najbolj nagibam k mobile app + ključ.

SeMiNeSanja ::

Qushaak je izjavil:

Jaz bi takoj dal, da gredo banke na Web Authn standard pa da lahko svoj ključek prijaviš. Pa recimo kot majo "veliki", da maš nek self-service portal da registriraš nov (backup) ključ oz več njih pa stare skenslaš.

YubiKey pa bo kmalu očitno dal ven zanimiv ključ: https://www.yubico.com/blog/yubico-reve...

Še vedno pa jasno (vsaj zame) passwordless ni dovolj dober da bi se odreklo MFA. Sam se najbolj nagibam k mobile app + ključ.

Glavni problem je podpora na strani banke. Kot prvo, ni tam zunaj le yubico, ampak imaš še kopico drugih ponudnikov ključkov. Večinoma so se naše banke nekako 'priučile' na uporabo in podporo Gemalto ključkov. Vsak dodatni proizvajalec pa s seboj prinaša svoje muhe, finte in fore. Potem pa imaš še uporabnike, s katerimi do včeraj nisi imel težav, ker je SMS 'deloval', zdaj pa nenadoma ne vedo kam vtakniti ključek, ki so ga dobili ne vem kje...

Nekako je to tako, kot če odpreš pandorino skrinjico...

Že res, da naj bi bile stvari načeloma kompatibilne.
Problem je vedno v drobnem tisku...

Nikakor pa si ne želi lock-in na Yubico. Potem raje vidim, da se nobene ključke ne podpira.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

V bistvu je vseeno ali je Yubikey ali kaj drugega. Pomembno je, da je v ozadju nek odprt standard in da so na voljo konkurenčne rešitve. Ki delajo na različnih platformah.

MJU uporablja Gemalto, včasih je zadeva delala samo na Windowsih, ampak mislim, da sedaj deluje tudi na ostalih sistemih (ki se v državni upravi tudi dejansko uporabljajo).

Poanta je tem, da bi morali izbrati neko standardizirano rešitev za šifriranje, digitalno podpisovanje in 2FA in potem zagotoviti podporo za čim več storitev znotraj državne uprave... ter potem to počasi pushati na druga področja (bančništvo,...). Mislim, da so nekaj takega delali Italijani s p7m digitalnim podpisovanjem...
sudo poweroff

MrStein ::

> Poanta je tem, da bi morali izbrati neko standardizirano rešitev

Kdo, banke?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

poweroff je izjavil:

V bistvu je vseeno ali je Yubikey ali kaj drugega. Pomembno je, da je v ozadju nek odprt standard in da so na voljo konkurenčne rešitve. Ki delajo na različnih platformah.

MJU uporablja Gemalto, včasih je zadeva delala samo na Windowsih, ampak mislim, da sedaj deluje tudi na ostalih sistemih (ki se v državni upravi tudi dejansko uporabljajo).

Poanta je tem, da bi morali izbrati neko standardizirano rešitev za šifriranje, digitalno podpisovanje in 2FA in potem zagotoviti podporo za čim več storitev znotraj državne uprave... ter potem to počasi pushati na druga področja (bančništvo,...). Mislim, da so nekaj takega delali Italijani s p7m digitalnim podpisovanjem...

Jaz se v Outlooku čisto enostavno podpisujem z mojimi certifikati na ključku.
Problem je bolj v tem, da imaš v vsakem certifikatu zapisan samo en mail naslov in točno tega lahko edino podpisuješ.
No, kar meni dela že od nekdaj, pa ni delovalo z ključkom/certifikatom od Halcoma, ko smo to pred nekaj leti skušali uporabiti. Ne vem, ali so težavo/hrošča že odpravili.

Čim hočeš še kakšne dodatne mail accounte podpisovati (ali kriptirati maile), moraš pridobiti dodatne certifikate, brezplačnih pa tu ni na voljo.

Posledično me ne čudi, da se marsikdo raje spogleduje/uporablja z PGP...
Ne vem pa, koliko je PGP danes še 'moderen'. Če ni integriran v mailerju, je za marsikoga že preveč štorast...
To pa potem tudi pomeni, da si bo le redko kdo nameščal PGP, samo da bo preverjal tvoj podpis, kar potem direktno ubija uporabnost PGP-ja.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

Od milijonov mailov, ki jih dobivam, so podpisani tam trije (mislim na pošiljatelja, taki vsak mail podpišejo). Ponavadi S/MIME.
Na mail listah pa se včasih kot oaza v puščavi najde kaki PGP podpis.

Tako da ja, podpisani emaili se niso prijeli. Niti za uradna sporočila, kaj šele druga. (v bistvu so bolj pogosto podpisana neuradna)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

Od milijonov mailov, ki jih dobivam, so podpisani tam trije (mislim na pošiljatelja, taki vsak mail podpišejo). Ponavadi S/MIME.
Na mail listah pa se včasih kot oaza v puščavi najde kaki PGP podpis.

Tako da ja, podpisani emaili se niso prijeli. Niti za uradna sporočila, kaj šele druga. (v bistvu so bolj pogosto podpisana neuradna)

Pa veš, koliko bi pomagalo v boju proti phishingu, če bi bili vsi 'uradni' maili podpisani?

Naši vrli državni uradniki imajo vsi od prvega do zadnjega svoj certifikat, ki jim ga je država nalepila na čelo.
In koliko jih zna ta certifikat tudi uporabljati, da bi podpisali mail in tako tudi uradno potrdili, da se gre za 'uradni dokument'?

Dobesedno z mikroskopom, ne le z lupo jih moraš iskati! In to ne onim navadnim, ampak elektronskim mikroskopom.

Tu bi edino sprememba zakonodaje lahko kaj pripomogla. Če mail ni podpisan, ni uraden in ga lahko ignoriraš...pika. Pa naj potem pošiljajo neke opomine in grožnje, ki padejo takoj na prvi inštanci.
Presneto hitro bi se naučili, kako se v Group Policy nastavi, da se vsak mail samodejno podpisuje (pač nebi šel naprej, dokler uporabnik nebi vtaknil svojega ključka v mašino in odkucal pin).

Hja... sanja svinja kukuruz!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Qushaak ::

Web Authn pa ni "standard", ki bi rešil večino teh problemov?
WebAuthn @ Wikipedia

BlaY0 ::

SeMiNeSanja je izjavil:


Pa veš, koliko bi pomagalo v boju proti phishingu, če bi bili vsi 'uradni' maili podpisani?

Naši vrli državni uradniki imajo vsi od prvega do zadnjega svoj certifikat, ki jim ga je država nalepila na čelo.
In koliko jih zna ta certifikat tudi uporabljati, da bi podpisali mail in tako tudi uradno potrdili, da se gre za 'uradni dokument'?

Bolj malo bi vse skupaj pomagalo. Nič ne pomaga podpis pošiljatelja, če ga prejemnik ne zna preverit. Problem pri 99% prejemnikih je že, da jim ni jasno kaj je e-naslov in kaj display-name od tega e-naslova. Za 99% ljudi je podpisan mail od:
"joze.podbevsek@gov.si" <ef13a4bb@nospam.com>
...popolnoma legit, ker ima zeleno kljukico čez ikonco od kuverte.

SeMiNeSanja ::

BlaY0 je izjavil:


Bolj malo bi vse skupaj pomagalo. Nič ne pomaga podpis pošiljatelja, če ga prejemnik ne zna preverit. Problem pri 99% prejemnikih je že, da jim ni jasno kaj je e-naslov in kaj display-name od tega e-naslova. Za 99% ljudi je podpisan mail......

Kar si napisal že drži....

A ravno to je čar podpisa z certifikatom - Outlook te že ob odpiranju maila opozori, da je nekaj narobe z certifikatom!

Ravno tako nisem prepričan, če mi Outlook dovoljuje podpisovanje maila z drugim display name-om, kot je tisti mail naslov, ki je 'zapečen' v certifikatu (bi moral preizkusiti).

Ne morem pa zdaj reči, kako 'reagirajo' drugi mail programi. Lahko da so bolj 'popustljivi' in samodejno ne preverjajo certifikatov že ob samem odpiranju sporočila. Vsekakor pa ti bolj ali manj vsi mail programi ponujajo neko možnost klika za preverbo pristnosti certifikata.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

SeMiNeSanja je izjavil:


Ravno tako nisem prepričan, če mi Outlook dovoljuje podpisovanje maila z drugim display name-om, kot je tisti mail naslov, ki je 'zapečen' v certifikatu (bi moral preizkusiti).

Account email address in e-naslov v certifikatu se morata ujemati, vsaj v Outlook 2019.

Pred časom je Thunderbird dovolil podpis tudi če se ne ujemata. Kako je te dni, pa lahko kdo preveri.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BlaY0 ::

@SeMiNeSanja

Saj sem ti dal konkreten primer... mail bo podpisan s certifikatom od ef13a4bb@nospam.com in bo vsaj kar se samega certifikata tiče čisto legit. Prejemnik bo videl v From: polju joze.podbevsek@gov.si (v display name-u) in nobenega opozorila. Takšnih bo 99% prejemnikov. Od preostalega procenta jih bo pa polovica pogledalo certifikat in se jim bo še vedno vse zdelo OK (predpostavljajo, če tam piše nospam.com potem je sigurno varno), polovici pa recimo da ne bo všeč.

Kar se tiče subjectAltName pa je mail definiran kot rfc822Name ki pa je v bistvu mailbox name po rfc2821 in ne predvideva, da pred njim stoji še kaj, recimo CN.

Teh primerov bo čedalje več... vse kar rabiš je nek kompromitiran intermediate CA, ki je še valid, da si naštancaš certifikate in piči miško.

MrStein je izjavil:


Account email address in e-naslov v certifikatu se morata ujemati, vsaj v Outlook 2019.

V tem primeru se vse ujema. Display name pa ni del certifikata.

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

SeMiNeSanja ::

MrStein je izjavil:


Account email address in e-naslov v certifikatu se morata ujemati, vsaj v Outlook 2019.


Potrjujem:



Po drugi plati pa res ni tako hudo težko preveriti naslov v certifikatu in ga primerjati z naslovom, ki ga mail prikazuje - rabiš zgolj en klik na ikonco z certifikatom:


Prehuda znanost?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

BlaY0 ::

Da. Za 99% ljudi. Bistvo je zmesti ljudi, ki ne vedo za kaj gre. Kaj pa Average Joe ve kaj je recimo ef13a4bb@nospam.com. On samo vidi zeleno kljukico.

SeMiNeSanja ::

BlaY0 je izjavil:

Da. Za 99% ljudi. Bistvo je zmesti ljudi, ki ne vedo za kaj gre. Kaj pa Average Joe ve kaj je recimo ef13a4bb@nospam.com. On samo vidi zeleno kljukico.

Tistim ki 'vidijo samo zeleno' tako in tako ni pomoči.

Nas pa je vendarle dovolj, ki še nismo čisto slepi in približno razumemo za kaj se gre, pa bi nam z certifikatom podpisan mail precej skrajšal ugibanje, če je nek mail legitimen ali ne.

Poanta pa je bila, da naši 'uradniki' imajo službene certifikate, pa jih ne uporabljajo za podpisovanje maila.

Zakaj ne!?!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

Ker ni nihče od šefov udaril po mizi in rekel, da je to pa treba implementirati.

Mail serverje imajo kar dobro poštimane, manjka pa pika na i: DMARC policy: https://telefoncek.si/2020/08/28/varnos...

...ker noben šef ni zatežil, da je to pa treba urediti do konca.
sudo poweroff

BlaY0 ::

SeMiNeSanja je izjavil:


Zakaj ne!?!

Ker ne prispeva k večji varnosti, takoj ko eden od vpletenih nima pojma (zgornji primer to potrjuje). Ponavadi v uradnem odgovoru itak dobiš PDF, ki pa je podpisan, tvoj Acrobat (Reader) pa podpise preverja po EUTL, česar za enkrat ne počne noben mail klient (vsaj kolikor jih jaz poznam).

poweroff je izjavil:

Ker ni nihče od šefov udaril po mizi in rekel, da je to pa treba implementirati.

Beri zgoraj kako je s šefi in ICT varnostjo...

poweroff je izjavil:


Mail serverje imajo kar dobro poštimane, manjka pa pika na i: DMARC policy...

V zgornjem primeru ne pomaga, ker ne gre striktno za email spoofing oziroma pravo impersonacijo. Poleg tega se DMARC zanaša na to, da ga bodo receiving mail serverji preverjali in upoštevali. Kateri od njih pa to dejansko počne pa žal ne moreš vedeti...

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

SeMiNeSanja ::

BlaY0 je izjavil:

SeMiNeSanja je izjavil:


Zakaj ne!?!

Ker ne prispeva k večji varnosti, takoj ko eden od vpletenih nima pojma (zgornji primer to potrjuje). Ponavadi v uradnem odgovoru itak dobiš PDF, ki pa je podpisan, tvoj Acrobat (Reader) pa podpise preverja po EUTL, česar za enkrat ne počne noben mail klient (vsaj kolikor jih jaz poznam).

To, da je dokument podpisan, je druga zgodba. Tak podpis ti prav nič ne pomaga pri odločitvi, ali je varno ta dokument odpirati ali ne. Zato potrebuješ podpis (tudi) na mailu, da se tisti, ki mu je do tega, lahko prepriča, ali je vir sporočila pristen ali fake in se potem na osnovi tega odloči tvegati z klikom na priponko.

Seveda tudi to ni 100% zanesljiva zaščita. Teoretično bi lahko kakšen barabin okužil Outlook, ki bi pridno čakal, da podpišeš prvi mail. Takrat namreč vpišeš pin za podpis, pri naslednjih pa ne sprašuje več (pa še to samo, če imaš cert na ključku?).
Ko okužbi na tak način 'odpreš vrata', pa bi ta lahko pričela razpošiljati malware v mailih s popolnoma pristnim digitalnim podpisom.

A hudirja, ko je tako zoprno za vsak mail posebej klofat pin, pa je treba stvari čim bolj poenostaviti...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

BlaY0 ::

Zakaj ti ne pomaga? Za varno odpiranje dokumenta ti služi virus skener, ne pa podpis na mailu.

Ti dam primer... v kaslc dobiš listek, da te na pošti čaka priporočeno pismo. Prideš tja, podpišeš in v roke dobiš kuverto z glavo Bele Hiše. Najprej si rečeš hmm, kaj pa če je bomba notri. Verjetno ni, ker je priporočeno pa še od Bele Hiše, to vsi poznajo pa nekdo je moral podpisat da je kuverto oddal. Prideš domov, odpreš in te raznese. Kaj je šlo narobe? Ajd, pa recimo da ni bilo notri bombe... odpreš in notri je pismo z glavo ter žigom Bele Hiše in podpisom Donalda Trumpa. Zgleda pristno. Kako boš zdaj preveril, ali je pismo zares prišlo od Donnyja?

Tehnično gledano koncept podpisovanja je OK. Problem tiči točno v tem kar si v zadnjem stavku omenil, da se je z raznimi kvazi user-friendly rešitvami in poenostavitvami na strani končnih uporabnikov, varnost bistveno poslabšala, saj je korakov v procesu vedno več in vsak od njih je lahko kompromitiran. Zadeva zgleda nekako tako, banaliziram... v bajti brez alarmne naprave v sefu naprintanim z domačim 3D printerjem hraniš ful hude ključe ki odpirajo JP Morganov trezor. Poleg tega ti na predpražniku pred bajto piše kje se nahaja ta sef, ključ od bajte je pa verjetno pod tem istim predpražnikom.

SeMiNeSanja ::

BlaY0 je izjavil:

Zakaj ti ne pomaga? Za varno odpiranje dokumenta ti služi virus skener, ne pa podpis na mailu.

Ti dam primer... v kaslc dobiš listek, da te na pošti čaka priporočeno pismo. Prideš tja, podpišeš in v roke dobiš kuverto z glavo Bele Hiše. Najprej si rečeš hmm, kaj pa če je bomba notri. Verjetno ni, ker je priporočeno pa še od Bele Hiše, to vsi poznajo pa nekdo je moral podpisat da je kuverto oddal. Prideš domov, odpreš in te raznese. Kaj je šlo narobe? Ajd, pa recimo da ni bilo notri bombe... odpreš in notri je pismo z glavo ter žigom Bele Hiše in podpisom Donalda Trumpa. Zgleda pristno. Kako boš zdaj preveril, ali je pismo zares prišlo od Donnyja?

Tehnično gledano koncept podpisovanja je OK. Problem tiči točno v tem kar si v zadnjem stavku omenil, da se je z raznimi kvazi user-friendly rešitvami in poenostavitvami na strani končnih uporabnikov, varnost bistveno poslabšala, saj je korakov v procesu vedno več in vsak od njih je lahko kompromitiran. Zadeva zgleda nekako tako, banaliziram... v bajti brez alarmne naprave v sefu naprintanim z domačim 3D printerjem hraniš ful hude ključe ki odpirajo JP Morganov trezor. Poleg tega ti na predpražniku pred bajto piše kje se nahaja ta sef, ključ od bajte je pa verjetno pod tem istim predpražnikom.

Na, zdaj si pa v celoti izničil vrednost digitalnega podpisa.
Isto, kar trdiš za ovitek (mail) namreč lahko trdiš za podpisan dokument.

Bistveno pa je, da pozabljaš, da digitalno podpisovanje že v sami osnovi temelji na zaupanju. Torej posledično tudi podpis ni nič drugega, kot sredstvo, s katerim ustvariš višji nivo zaupanja v izvor neke vsebine. Na koncu ti še tako tehnično dovršene rešitve ne morejo pomagati, če npr. ne moreš zaupati izdajatelju certifikata.

Kljub temu, pa je razlika nekako taka, kot če imaš ovojnico, ki ima v tiskarni natisnjen naslov pošiljatelja in na roke napisanega. Kateremu lahko BOLJ ZAUPAŠ, da je pristen? Lahko sta oba, lahko ni nobeden, a nekako ti vendarle logika pravi, da je originalno natisnjeni nekako bolj verodostojen.

Kot že rečeno, pa ovojnica ne more pričati o vsebini. O tem sploh nismo razglabljali. Šlo se je zgolj za to, ali mi bo digitalni podpis dal toliko gotovosti, da mi je mail dejansko poslala oseba, katera je navedena kot pošiljatelj. Da ne rabim dvigniti telefonske slušalke za vsak mail s priponko in pred odpiranjem te vprašati pošiljatelja "ali si mi res ti poslal sporočilo z priponko?"

Drugače povedano: Vsak avto ima zavore - čeprav vsi vemo, da zavore ne morejo preprečiti vseh nesreč. Kljub temu, pa nihče noče avtomobila brez zavor. Pardon - niti NE SME voziti avta, na katerem zavore nebi delovale!

Digitalni podpis na elektronskem sporočilu tudi ne more preprečiti vseh zlorab - pa je to potem že dovoljšni razlog, da se ne teži k splošnemu podpisovanju elektronski sporočil (vsaj ko se gre za državno upravo in podobne ustanove/organizacije) ?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

BlaY0 ::

Ja, noben noče avta brez zavor, čeprav ni nujno da sploh ve kje je zavorno pedalo oziroma kako se uporablja. Ampak tu obstaja varovalka, izpit je obvezen.

Skratka "rabimo" nekaj, česar sploh ne znamo uporabljati. 99% ljudi, ki uporablja mail ne ve kaj je to digitalni podpis oziroma kako se ga uporablja. Mogoče bi bilo pa treba uvesti obvezen izpit ;)

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

SeMiNeSanja ::

BlaY0 je izjavil:

Ja, noben noče avta brez zavor, čeprav ni nujno da sploh ve kje je zavorno pedalo oziroma kako se uporablja. Ampak tu obstaja varovalka, izpit je obvezen.

Skratka "rabimo" nekaj, česar sploh ne znamo uporabljati. 99% ljudi, ki uporablja mail ne ve kaj je to digitalni podpis oziroma kako se ga uporablja. Mogoče bi bilo pa treba uvesti obvezen izpit ;)

No, ne samo to - tudi izdajatelji digitalnih certifikatov bi se lahko potrudili in preverili, da njihovi certifikati dejansko delujejo v najbolj uporabljenih mail programih.

Sem že enkrat opisoval primer, ko sem hotel naučiti mojo računovodkinjo, da mi dokumente pošlje kriptirane z certifikatom - pa ji zadeva nikakor ni delovala. Sprva sem mislil, da sem kaj narobe narekoval po telefonu, na koncu pa se je izkazalo, da Halcom-ov certifikat nekako ni bil 'dovolj kompatibilen' z Outlook-om. to je bilo kakšne dve - tri leta nazaj in ne vem, če je stvar danes kaj bolj 'kompatibilna'.

Skratka ne moreš verjet, da izdajatelju ne pride na misel, da bi preveril, če mu certifikat deluje kot bi pričakoval.... (še vedno mi sicer ni jasno, kako nek cert 'ni kompatibilen', a dejstvo je, da ji šlo...kvazi nek bug...)

.. Če ima kdo Halcom-ov cert in Outlook, bi bilo zanimivo slišati, če mu stvar danes deluje.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

MrStein ::

SeMiNeSanja je izjavil:


Skratka ne moreš verjet, da izdajatelju ne pride na misel, da bi preveril, če mu certifikat deluje kot bi pričakoval.... (še vedno mi sicer ni jasno, kako nek cert 'ni kompatibilen', a dejstvo je, da ji šlo...kvazi nek bug...)

O kompatibilnosti certifikatov je en profesor (mislim da iz NZ, sem ga že enkrat linkal) napisal cel esej.

Bistvo: x.509 se je "rodil" 1988 in od takrat je "vsakdo" zraven dodajal ideje, pa jih kdo drug popravljal, in je danes čudež, da sploh deluje. Deluje samo en lowest common denominator. Poznam nekaj implementacij, kjer se ignorira 90% standarda in se uporabi nekaj podrobnosti (ključ, podpis, serijska številka in počasi je konec, DN že zgolj informativno).


PS : Peter Gutmann https://www.cs.auckland.ac.nz/~pgut001/...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NLB ukinitev certifikatov ? (strani: 1 2 3 411 12 13 14 )

Oddelek: Loža
697121793 (28802) WizzardOfOZ
»

Visa Electron (strani: 1 2 3 4 5 6 7 )

Oddelek: Loža
330106732 (25582) Vetrpiha
»

Abanka-Katastrofa (strani: 1 2 3 )

Oddelek: Loža
10118381 (10228) w0mbat
»

Novi standardi informacijske varnosti v bančništvu (strani: 1 2 )

Oddelek: Novice / Varnost
9719617 (12532) MrStein
»

Banka - prijava z digitalni potrdilom

Oddelek: Loža
223386 (2721) krucymucy

Več podobnih tem