Vlákno názorů k článku Bezpečnost mobilního eKonta Raiffeisenbank podrobně od n000 - Zadna aplikace v mobilu nemuze z principu byt...
-
n000 (neregistrovaný)
Zadna aplikace v mobilu nemuze z principu byt 100% bezpecna, alespon ne tak, jako napr. internetove bankovnictvi vyuzivajici alternativni komunikacni kanal (jako autorizacni sms pripadne fyzicky autentizacni kalkulator).
Problem je, ze pokud utocnik ziska kontrolu nad mobilem, muze zjistit jakekoliv informace, at uz odposlouchavanim stisku klavesnice nebo touch displaye nebo primo z bezicich procesu.
Ano, aplikace RB asi stezuje ziskani potrebnych informaci ruznymi obezlickami, ale pokud neni k dispozici alternativni komunikacni kanal, tak i slavnou "dvoufaktorovou" autentizaci v mobilu lze obejit.
Mimochodem - ten druhy faktor je vlastne co, kdyz prvni je pin?
Vlastnictvi te aplikace, tedy nejakeho klice vytvoreneho pri aktivaci a ulozeneho pote v mobilu?Bohuzel vyuziti autorizacnich sms v mobilni aplikaci by i tak bezpecnost nezvysilo, prave proto, ze je vse v jednom zarizeni, ktere pri kompromitaci muze poskytnout vsechny informace nutne pro autorizaci.
Tyto tvrzeni o super bezpecnosti jsou proto pomerne liche a ucelem je pouze vyvolani pocitu vetsiho bezpeci.
Samozrejme nezapomeli zminit, ze neni vhodne "rootnout" telefon, protoze prave v tomto pripade je sance na obejiti techto obezlicek pomerne znacna.
Prakticky to znamena, ze bezpecnost je prave tak velka, jak snadne je "rootnout" telefon, protoze pak uz lze zjistit cokoliv.
-
matfyzak (neregistrovaný)
Nikoliv.
Stoji a pada to s S-PIN a (patrne) nejakym tajnym klicem v mobilnim zarizeni. Pokud dokazete prolomit to zarizeni, tak si jiste umite precist i SMS. Takze timto zpusobem hrave prekonate i jednorazove kody pro web (az na ten druhy faktor, jeho detailni diskusi ovsem nechme stranou - stejne jako S-PIN).
Pokud uz tedy pristoupime na Vasi predstavu totalne nebezpecneho telefonu, pak snadno nahledneme, ze Vase finalni tvrzeni plati stejne tak pro web + SMS.
-
n000 (neregistrovaný)
Ano, presne jak pisete uz jsem to zminoval v mem prvnim prispevku - autorizace pres sms nema pro aplikaci v mobilu vyznam prave proto, ze utocnik muze mit kontrolu nad mobilem a prakticky sms v tomto pripade neni zadny dalsi komunikacni kanal...
Pro bankovni aplikaci v mobilu se stejnou urovni bezpecnosti jako ma internetove bankovnictvi vyuzivajici autorizacni sms by mobil musel byt doplnen jeste autentizacnim kalkulatorem (dalsim fyzickym zarizenim), protoze sms do stejneho mobilu nemaji smysl.
Jinymi slovy, zadna aplikace v mobilu nemuze byt nikdy alespon tak bezpecna jako je internetove bankovnictvi s autorizacnimi sms.
-
matfyzak (neregistrovaný)
Bohuzel opet nesouhlasim. Degradace druheho autentizacniho faktoru pri kompromitaci mobilniho zarizeni, kterou jsem adresoval v predchozi reakci, se tyka stejne tak mobilni aplikace jako int. bankovnictvi s autorizacni SMS. Zamerne jsem napsal web + SMS, a to bez (!) ohledu na to, kde si ten web prohlizime. Dale se pro jednoduchost drzme toho, ze web prohlizime na pracovni stanici.
V obou pripadech nam jeden faktor odpadne a zbyva pouze to, co uzivatel zna. Moznosti prekonani tohoto faktoru se lisi podle konkretni implementace. Pokud se budeme odvolavat na proste uhadnuti, pak jsme na tom v obou pripadech prakticky stejne (pravdepodobnost uhodnuti mozna kratsiho PIN muzeme vuci heslu kompenzovat nizsim poctem pokusu).
Pokud budeme uvazovat o zachyceni druheho faktoru skodlivym kodem (coz je samozrejme narocnejsi uloha nez "jen" vytahnout persistentne ulozeny klic), mame opet k dispozici urcite moznosti v obou pripadech.
Vase teze o nemoznosti pruniku utocnika z pracovni stanice na pridruzeny mobil, zminena vedle, neplati. Nejak jste vynechal utoky typu cross-platform.
Ergo, z diskutovanych aplikaci (mobil vs. web+SMS) nelze zadnou OBECNE povazovat za a-priori horsi.
-
n000 (neregistrovaný)
Uff, tak to jsme se dostali tedy do hoodne teoreticke roviny - tvrzeni, ze potreba ovladnout pouze mobil v pripade mobilni aplikace je obecne stejne narocna/pravdepodobna jako potreba ovladnout pracovni stanici SOUCASNE s mobilem pouzivanym pro autorizacni sms, tak to je podle meho nazoru hodne odvazne a ja rozhodne nesouhlasim ani teoreticky.
V pripade internetoveho bankovnictvi je krome hesla/pinu dalsim faktorem prave autorizacni sms, ktery rozhodne neodpadne (jak chybne tvrdite), pri ovladnuti pracovni stanice utocnikem.
Utoky typu cross-platform?
Zajimavy pojem, rad se necham poucit.OBECNE lze naopak tvrdit, ze v pripade mobilni aplikace je pravdepodobnost kompromitace dana jednim clankem, tj. mobilem.
V pripade internetoveho bankovnictvi na PC s autorizaci sms je pravdepodobnost kompromitace soucasne PC a pridruzeneho mobilu radove nizsi uz jen proto, ze kompromitace mobilu je potreba v obou pripadech.
Abych to shrnul, utocnik muze napsat software, s pomoci ktereho bude schopen plne automatizovane v napadenem mobilu provest jakoukoliv bankovni transakci.
Toto se mu ale nepovede s nicim, co by dostal do PC pouzivaneho k IB s sms, protoze nema jak by se obecne dostal z PC navic k pridruzenemu mobilu, ktery muze byt uplne jakykoliv, klidne bez OS, oproti bankovni aplikaci, kde je podporovane prostredi dane. -
matfyzak (neregistrovaný)
Nebojte, na teorii nedojde - nedavate mi moc sanci vest teoretickou diskusi, nebot ponekud zkreslujete uvedena tvrzeni.
"Obecne" vyroky uvadite prosim zejmena Vy, a to prakticky bez solidnich argumentu (nerku-li dukazu). Ja zde naopak tyto obecne teze v potu tvare vyvracim. Nahlednete k tomu prosim, ze "...obecne plati, ze..." ma zasadne jiny vyznam nez "...neplati obecne, ze...". Druha formulace poukazuje na skutecnost, ze nejaky vyrok neplati v danem kontextu vzdy, ale (mozna) jen v nejakych pripadech.
To je vse, co se Vam celou dobu snazim sdelit - NELZE a-priori, tj. bez uvazeni detailu pouzitych protokolu a implementace, rict, ze web+SMS je nutne bezpecnejsi nez mobilni aplikace. Tecka.
Ano, nekdy muze byt jednodussi napadnout mobilni aplikaci, ale nekdy je to obracene. Vase vyroky o obecnem usporadani sily techto metod jsou zjevne podlozene jen dojmy. V realite zalezi na detailech.
Skutecnost, ze jste vynechal cross-platform utoky trochu vysvetluje, proc jste tak presvedceny o "obecne" sile web+SMS. Vami uplatnena argumentace je tim ovsem vyznamne oslabena. Zkuste se podivat treba sem: http://www.blackhat.com/ad-12/briefings.html#Dmitrienko . Jinak take pomuze strycek Google...
Musim dodat, ze nejsem vubec presvedceny, ze jste kdy skutecne sam napsal nejaky vlastni exploit nebo rovnou kompletni proof-of-concept utok, at uz pro jedno nebo druhe prostredi. Jinak bych napriklad alespon "na pozadi" Vasich tvrzeni videl ponekud peclivejsi reflexi jednotlivych OS, HW platforem, verzi, konfiguraci... Bohorovne odepsani mobilu a protezovani web+SMS un bloc se s hlubsi zkusenosti v tomto oboru neslucuje. Ja tu ovsem nejsem, abych se Vas snazil nejak dotknout, to rozhodne ne (a omlouvam se, pokud se tak nahodou stalo).
Zaverem moc dekuji za diskusi. Po suche skolni teorii je poucne videt nazory uzivatelu :-)
-
n000 (neregistrovaný)
Prosim vysvetlete, co jste myslel vetou "V obou pripadech nam jeden faktor odpadne a zbyva pouze to, co uzivatel zna."
To je podle me hola nepravda, resp. zobecneni velice okrajove situace, kdy by mohl byt proveditelny cross-platform utok na pc a autentizacni mobil.Uvadeny cross platform utok predpoklada, ze na PC pobezi Windows a autentizacni mobil bude mit Android. Pritom mobil nemusi mit vubec zadny OS a na autentizaci sms bude krasne stacit, takze prakticky nebude napadnutelny. PC take nemusi mit Windows, ze.
Pritom v pripade mobilni aplikace jsou cilove platformy pouze 2 a to Android a iOS bez potreby ziskat kontrolu nad vice zarizenimi soucasne.Vy tvrdite, ze ja zkresluji, pritom jste to Vy kdo zobecnuje okrajove situace.
-
matfyzak (neregistrovaný)
OK, nicmene timto svou diskusi opravdu ukoncim. Opakuji, ze ja konkretni priklady pouzivam k vyvraceni Vasich "obecnych" tezi. Mozna se neumim v tomto prostoru jednoduse a prehledne vyjadrit, i tak to muze byt.
K Vasi otazce: Predpokladejme, ze na mobilnim zarizeni je instalovan skodlivy kod. Necht se tam nejak dostal. Vy sam se zdate povazovat instalaci takoveho kodu malem za standardni vybaveni fw, tak at :-) O takovem kodu lze v prvni rade predpokladat (viz dosavadni ZitMo a diskuse kolem), ze bude zejmena umet krast zpravy SMS. Bez ohledu na puvodni zamer (treba chtel hacker jen lechtive zpravy) tak bude utocnik "spamovan" take autentizacnimi SMS obeti. V mnoha pripadech bude po chvili utocnik schopen zjistit, odkud tyto zpravy jsou a jak se pokusit prihlasit (prosim nepredstirejme, ze veci jako id klienta jsou solidni prekazkou). Kolik faktoru mu nyni zbyva k prekonani autentizace na web+SMS? Rekl bych, ze jeden...
Podotykam, ze toto jsem pouzil v konstrukci k vyvraceni platnosti Vasi teze, ze SMS+web je obecne (tj. v kazdem pripade) lepsi varianta nez mobilni aplikace. Podotykam take, ze nyni nechavam stranou i rozbor toho, kdy je na tom mobilni aplikace naopak (!) lepe.
Spokojim se s poukazem na neplatnost Vaseho bodreho vyroku, o obecne lepsi situaci pro web+SMS (a pisu to uz tolikrat, ze byste se nad tim opravdu mohl chtit zamyslet). Snad bych mel take pripomenout, ze negaci atakovaneho vyroku je, ze existuji situace, kdy je bezpecnost mobilni aplikace alespon tak dobra (spatna) jako web+SMS. To je jen jina forma meho drivejsiho tvrzeni.
Mozna chcete namitnout, ze uvazovany skodlivy kod na mobilnim zarizeni ma pri variante s mobilni aplikaci lepsi vyhlidky na prime ziskani prvniho (klic) i druheho (PIN) faktoru . Na to ja rikam: Nekdy ano, ale nikoliv (!) prosim obecne v kazdem jednom pripade (coz je Vase stanovisko). K tomu pripominam, ze je zahodno mnohem pecliveji rozlisoval, jake jsou rozdily mezi skodlivym kodem, ktery jen preposila SMS, kodem, ktery umi vykrast datovy kontejner aplikace (nebo rovnou keychain), a konecne kodem, ktery umi i zachytit text z virtualni klavesnice. Jsou tam vyznamne rozdily v narocnosti a schudnosti vubec.
Sam jste na uvedeny priklad cross-platform utoku reagoval tak, ze to je otazka konkretni situace. Souhlasim. A take ovsem obdivuji, jak jste uz podle abstraktu poznal vsechny okrajove podminky a mozne nuance utoku. Myslite, ze "referencni" implementace se ma chapat jako "jedina mozna"? Nakonec treba ano, ale z toho abstraktu to opravdu nevidim. Ale necht, to je jina vec. Proc ale neberete tak razantne v potaz vyznam konkretni implementace a konfigurace i v pripade mobilni aplikace?! Opakuji, nic nezobecnuji, vyvracim Vasi "obecnost", ze web+SMS je na tom vzdy lepe.
Tak, doufam, ze jsem Vas prilis nepohneval, a preji jen to dobre.
-
fermi (neregistrovaný)
technicka - je to jak, kde
Daji se videt sifrovane SMS chranene klicem na SIM, ale najde se i hodne - a snad i vic, bych rekl od boku - klasickych textovek.Jinak bych k te diskusi jako systemak jeste pripichnul, ze pohadka o oddeleni pracovni stanice a mobilu platila naposledy snad nekdy v dobe Widli 3.11 a Nokia NMT ;-) Zahy se objevilo pomerne dost mobilek s totalne nechranenym bootem. To, co se na nekterych iDevices dneska pracne exploituje, bylo tehdy casto snadno k dispozici. Je trochu zvlastni, ze malware tenhle kanal nezneuzil - driv nebo pozdejc vetsina uzivatelu svuj mobil k jejich kompu pripojila. Treba pro zalohovani kontaktu. I kdyz... kdo vi jiste, jestli to fakt nekdo nekde nepouzil?
-
fermi (neregistrovaný)
Pardon, to jsem nechtel. Dobra zprava je, ze fakt nevim o tom, ze by to nejaky malware aktualne zneuzival. A nejspis by se o tom hodne vsude napsalo, kdyby to ted nekdo najednou vytahl... Inu, berte tu mou hlasku hlavne jako vsuvku do poucne diskuse o "obecne" (ne)porovnatelnosti urcitych metod. V praxi se banky - alespon doufam, smarjajosef - musi snazit adekvatne zabezpecit vsechny sve aplikace, takze by mely byt prvni, kdo by na uvedenou hrozbu nejak reagoval.
Ciste technicky vzato je maximalni ochranou nespojovat ten telefon vubec s pocitacem (ani pres BT). To je, chapu, pro uzivatele hooodne ujete. Chcete-li, tak se tedy alespon snazte ten telefon nerestartovat behem doby, kdy je fyzicky pripojen k pocitaci. Ani kdyby skemral a na kolenou Vas prosil! Tak by se presne mohl malware chovat. Vyjimkou muze byt jedine vedoma aktualizace FW, ale tu byste prave mel delat jedine na duveryhodnem pocitaci. Pokud nahodou uvidite, ze se pripojeny mobil presto sam restartuje, odpojte ho a zrestartujte rucne. Ja osobne bych na Vasem miste urcite vic nedelal. Jinak uz byste se musel zacit bat i utoku ze strany falesne BTS, atp.
Podstatne je byt mimo hlavni radar kriminalniku a doufat, ze si Vas nekdo nevezme jaksi do osobni pece. Pak je kazda rada draha :-)
Takze: "Klid, prosim, byla to jen turbulence. Posadka kpt. Bulika ma letadlo plne pod kontrolou..." ;-)
-
matfyzak (neregistrovaný)
Bohuzel pletete dohromady ruzne pojmy. Mozna byste se chtel podivat, jak je 2faktorova autentizace definovana. Je to snad v kazdem uvodu do bezpecnosti. Zkuste treba: http://en.wikipedia.org/wiki/Two_factor_authentication .
Ani slovo o nutnosti alternativniho kanalu! Muzete ho samozrejme pouzit, pokud je to mozne a vhodne. Jeho absence ovsem nijak neimplikuje, ze v principu nemuze jit o 2faktorovou autentizaci.
Lze tusit, ze druhym faktorem ve smyslu obecne def. je nejaky klic v kontejneru aplikace. V tom s Vami souhlasim, ale stale to JE druhy faktor.
O sile vysledne metody rozhoduje mnoho dalsich aspektu. Sam jste korektne zminil riziko rootovani. Tezko v praxi muzete mluvit o 100 % bezpecnosti cehokoliv. Lze pracovat jen s relativnimi pojmy. Pocit vetsiho bezpeci je tedy zcela OK, pokud je podlozeny. Rajfka se asi snazila o trochu vic nez ostatni. Je to lepsi, nez nedelat nic a vedoucne kyvat hlavou...
-
n000 (neregistrovaný)
Nikdo tady nezpochybnuje definici doufaktorove autentizace, ale spis tvrzeni, jak je to s jejim vyuzitim a implementaci od RB krasne bezpecne - neni a z principu jakakoliv aplikace v mobilu bez alternativniho komunikacniho kanalu nikdy 100% bezpecna nebude.
Urovne bezpecnosti internetovych bankovnictvi, ktere vyuzivaji alternativni komunikacni kanal proste nikdy samostatna aplikace v mobilu zdaleka nedosahne.
Jeste jinak:
- pokud utocnik bude mit plnou kontrolu nad mobilem v dobe, kdy uzivatel zadava pin v RB aplikaci, muze ziskat vse potrebne pro zadani jakekoliv transakce
- pokud utocnik bude mit plnou kontrol nad pocitacem s internetovym bankovnictvim, kde je alternativni komunikacni kanal (sms, kalkulator), zadnou dalsi transakci nema moznost provest, i kdyz bude znat heslo do IB -
fermi (neregistrovaný)
Jste se nam tady nejak rozjel, clovece, viz: "...neni a z principu jakakoliv aplikace v mobilu bez alternativniho komunikacniho kanalu nikdy 100% bezpecna nebude..."
Inu, v praxi abyste 100% bezpecnost cehokoliv pohledal. Ten "vas" internetbanking a SMS ji podle vas snad ma? To si nemyslite, ze ne... ;-)
Ovsem co byste rekl na takovy koncept TEE/TrustZone? OK, ono to zatim funguje lip na papire nez kde jinde, ale jednou to nejspis prijde. Takze s tou raznosti bych trochu ubral, nic ve zlym.
ČLÁNKY DO MAILU