The Age of Insecurity

Nu, nu exagerez. Hai să vedem câteva din cele mai importante știri din ultimele câteva luni:

  1. Algoritmul de criptare folosit pentru protocolul GSM a fost spart. O dată. Și a doua oară. Complexitate – suficient de mică pentru a rula programul în 2 ore pe un singur PC.
  2. Protocolul de comunicație folosit pentru comunicația cu un card cu chip (știți voi care – alea cu „e mai secure, că are chip!”) are o vulnerabilitate majoră – nu autentifică verificarea PIN-ului. Ca urmare, este foarte ușor de creat un device care să spună „PIN corect” la orice PIN introdus. Mai multe detalii aici (și dacă tot sunteți acolo, puteți citi încă o serie luuuungă de vulnerabilități ale cardurilor / terminalelor POS).
  3. Protocolul de autentificare 3DSecure (sau MasterCard SecureCode, sau VerifiedByVisa…) are și el o serie de vulnerabilități importante.

Nu vi se pare prea grav? Hai să vedem ce pot însemna cele de mai sus:

  1. Orice conversație GSM, ascultată de oricine, oricând. Costuri? Minime.
  2. În cazul pierderii/furtului unui card, faptul că doar tu știi PIN-ul nu te mai protejează. Mai mult – ținând cont că log-urile tranzacției arată „PIN corect introdus”, ai toate șansele ca banca să nu îți dea nici un ban înapoi. Pe motiv că „nu ai ținut PIN-ul secret”.
  3. Iei card cu 3DSecure, că „e mai sigur” (sigur ați văzut și voi diversele reclame…). Și de fapt constați că singurul „avantaj” al 3DSecure este… pentru bancă. De fapt, dacă vă uitați pe diversele vulnerabilități de pe site, veți constata un lucru foarte interesant (pe care îl menționam și eu acum ceva timp). Practic toate tehnologiile noi au introdus (și chiar au fost promovate prin) „liability shift”. În cazul unei tranzacții frauduloase, banca/procesatorul de plăți/vânzătorul aruncă pisica decedată în spinarea clientului. Și le iese din ce în ce mai bine!

5 Comments »

  1. CristiG Said,

    February 18, 2010 @ 9:10

    Cel mai tare post din ultima vreme. M-ai facut sa privesc “bucuros” spre viitor :)

  2. bogd Said,

    February 18, 2010 @ 15:15

    Ehhh… ar fi funny dacă n-ar fi adevărat :|

    Din păcate, complexitatea tehnologică este în continuă creștere, și ca urmare securitatea devine din ce în ce mai greu de controlat. Îmi aduc aminte de o prezentare de acum câteva luni, în care se vorbea despre câte zeci de milioane de linii de cod există în spatele unui Windows, și cum nu mai există o singură ființă umană capabilă să urmărească și să înțeleagă tot ce se întâmplă acolo.

    Mai grav e însă altceva – presiunile economice enorme care există în spatele impunerii unei tehnologii. Singura șansă de protejare a consumatorilor (clienților) vine de la forumurile legislative – dar între 10 security researchers care zic „nu impuneți tehnologia aia, că e vulnerabilă!!” și 100 de bănci care pot oferi niște sute de milioane de dolari într-o campanie electorală, ghici cine va fi ascultat…

  3. adcaptcha | Big Lazy SysAdmin Said,

    February 19, 2010 @ 13:46

    […] în alte zone și încercăm să fim nițel mai serioși cu chestiile legate de securitate că nu sună bine viitorul, zău. Articole Similare :Logan KissFM (100%)BFilter (92.6%)Ads (92.6%)Tot eMag (84.1%)Șhe […]

  4. Tb Said,

    March 4, 2010 @ 23:37

    Tocmai am primit (acu vreo 2-3 zile) mail de spam de la bancă despre mirificele avanteje ale 3D secure.
    Tare aș vrea să revin la epoca cu primit banii din săculeț (cum primeau părinții noștrii cu ani în urmă).
    Băncile astea numai politici de liability și risc – șift înspre noi și profit – șift către ei au.

  5. UberGeek » The Age of Insecurity (part 2) Said,

    September 17, 2013 @ 20:41

    […] ceva ani vorbeam despre „the age of insecurity”. Spuneam în comentarii: „complexitatea tehnologică este în continuă creștere, și ca […]

RSS feed for comments on this post · TrackBack URI

Leave a Comment