[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Κενό ασφαλείας από Εθνική Τράπεζα Ελλάδος για Android




On 10/03/2017 09:33 PM, Ioannis Proios wrote:
> Σε καμία περίπτωση δεν θέλω να προσβάλω κανένα ή να κρίνω την δουλειά του.
> Επειδή εδώ είναι μια λίστα συζήτησης που συχνάζω γι αυτό και έγινε το post.

Ούτε εγώ θέλω να προσβάλω κανένα λέγοντας *πριν κατηγορήσεις μία τράπεζα
ότι έχει κενό ασφαλείας πρέπει να είσαι σίγουρος ότι γνωρίζεις βασικά
στοιχεία ασφάλειας πληροφοριών*.

> 
> Αλλά αντί να συζητάμε και να προσπαθούμε να ανακαλύψουμε πάλι τον τροχό

Εννοείς να ανακαλύψεις πάλι τα keyboard; Νομίζω ότι αυτό είναι κάτι που
το προτείνεις εσύ...

> θα έπρεπε να πάρει θέση κάποιος υπεύθυνα και να κλείσει το θέμα.

Δεν υπάρχει θέμα για να το κλείσει κάποιος. Για παράδειγμα υπάρχει
γνωστή εφημερίδα που βγαίνει κάθε μέρα και λέει ότι ο Τσίπρας είναι
μασώνος, ο Μητσοτάκης κάνει θυσίες στον σατανά, και η Γεννηματά είναι
εξωγήινη. Πρέπει να βγαίνουν κάθε μέρα και να τα διαψεύδουν;

> Ελπίζω να το δω σύντομα και να μην το "θάψουν", και πραγματικά θα είναι
> τιμή τους να το τεκμηριώσουν κιόλας.

Γίνεσαι λίγο συνωμοσιολόγος. Δεν υπάρχει κανένα θέμα για να το "θάψουν".
Αν εσύ προσωπικά πιστεύεις ότι υπάρχει, δεν έχεις παρά να σταματήσεις να
χρησιμοποιείς το app. Για τον υπόλοιπο κόσμο του IT security είναι μια χαρά.
Επίσης σε παραπέμπω στο
https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf.

Φώτης

> 
> Αναμένουμε...
> 
> 
> Στις Τρί, 3 Οκτ 2017 στις 7:58 μ.μ., ο/η Fotis Loukos
> <fotisl@csd.auth.gr <mailto:fotisl@csd.auth.gr>> έγραψε:
> 
>     Θα συμφωνήσω απόλυτα μαζί σου. Είναι τεράστιο κενό ασφαλείας. Και
>     μάλιστα, με μία μικρή έρευνα μπόρεσα να ανακαλύψω ένα σύνολο από
>     διαφορετικά κενά, που προσωπικά θα με κάνουν να κλείσω τον
>     λογαριασμό μου:
>     1) Αφήνουν τον χρήστη να χρησιμοποιήσει λειτουργικό σύστημα τρίτου
>     (android) και δεν έχουν αναπτύξει δικό τους! Αν είναι δυνατόν! Ξέρεις
>     πόσο εύκολο είναι να βάλεις τον κώδικα που έδωσες στο λειτουργικό
>     σύστημα και να κλέψεις τα στοιχεία;
>     2) Αφήνουν τον χρήστη να χρησιμοποιήσει συσκευή τρίτου και δεν έχουν
>     κάνει δικό τους κινητό τηλέφωνο! Απίστευτο! Εξίσου εύκολο σε hardware να
>     καταφέρεις να καταγράψεις τα σημεία που έκανε touch ο χρήστης και να
>     εξάγεις τον κωδικό του από αυτά! Πρέπει άμεσα να ανοίξουν εργοστάσια και
>     να παράγουν τα πάντα μόνοι τους! Ούτε να ακούσω για αγορά επεξεργαστών
>     από την αγορά, ξέρεις τι προβλήματα μπορούν να δημιουργηθούν στο supply
>     chain; Δες για παράδειγμα στο παρελθόν την cisco και τα θέματα με
>     την NSA.
> 
>     Και τα προβλήματα δεν σταματάνε στο mobile app. Σκέψου το web banking
>     τους. Αφήνουν τον χρήστη να χρησιμοποιεί δικό του browser και δεν έχουν
>     γράψει οι ίδιοι έναν για να τον δίνουν στους πελάτες τους, αφήνουν τον
>     χρήστη να χρησιμοποιεί δικό του driver για keyboard, δικό του
>     λειτουργικό σύστημα, δικό του firmware (bios ή uefi), δικό του microcode
>     για τον επεξεργαστή, και στην τελική δικό του hardware. Στο phone
>     banking δεν θα πάω, δίκτυο τηλεφωνίας από την τράπεζα εδώ και τώρα!
> 
>     Πέρα από την πλάκα, πρωτού πεις ότι κάτι είναι κενό ασφαλείας, πρέπει να
>     εξετάσεις το threat model. Είναι απόλυτα αποδεκτό από την διεθνή
>     κοινότητα να εμπιστεύεσαι το third party application για το
>     πληκτρολόγιο. Αν κάποιος έχει την δυνατότητα να σου κάνει install ένα
>     'πειραγμένο' πληκτρολόγιο, και να έχει δικό της built-in πληκτρολόγιο η
>     εφαρμογή έχεις χάσει το παιχνίδι. Στην τελική, σου κάνει install ένα app
>     το οποίο έχει permissions να κάνει overlay (ίσως στέλνοντας τα κατάλληλα
>     keystrokes από το ήδη εγκατεστημένο πληκτρολόγιο), δημιουργεί το overlay
>     αυτό το οποίο είναι transparent και όταν βάζεις τον κωδικό στο
>     πληκτρολόγιο της εφαρμογής απλά μαζεύει ότι γράφεις. Αυτός είναι ένας
>     τρόπος που μου ήρθε στο μυαλό την ώρα που έγραφα το mail, μπορώ να σου
>     πετάξω μερικές δεκάδες ακόμη.
>     Επίσης μην νομίζεις ότι απλά έγραψαν ένα application και το δίνουν στον
>     κόσμο. Υπάρχουν ειδικά standard βάση των οποίων όλα αυτά γίνονται audit.
>     Δεν λέω ότι οι auditors θα βρουν τα πάντα, αλλά ένα τόσο χοντρό πρόβλημα
>     (χρήση third party keyboard ενώ απαγορεύεται) θα το ανακάλυπταν στο
>     λεπτό. Επίσης και τα standards μπορεί να μην είναι 100% σωστά, αλλά
>     είναι widely accepted και όλοι λειτουργούν βάση αυτών.
> 
>     Απλά λίγο προσοχή πριν γίνουν δηλώσεις της μορφής 'κενό ασφαλείας από
>     εθνική τράπεζα'. Για να αναφέρεις κάτι τόσο χοντρό και να επιμένεις τόσο
>     πολύ πρέπει να είσαι σίγουρος ότι γνωρίζεις καλά το αντικείμενο και δεν
>     σου έχει ξεφύγει τίποτε. Στην συγκεκριμένη περίπτωση νομίζω ότι σου
>     έχουν ξεφύγει μερικά πραγματάκια, γιατί με την λογική σου θα έπρεπε να
>     απαιτήσεις να γράψουν τουλάχιστον ένα λειτουργικό για το κινητό.
> 
>     My two cents,
>     Φώτης
> 


Reply to: