1. Stau de câteva minute să sap ca să îmi dau seama dacă parola de administrare a domeniului se trimite în clar sau nu. Până la urmă se pare că e HTTPS, dar nu e tocmai frumos să deschizi un link https într-un frame. Nu de alta, dar utilizatorul nu are nici o modalitate de a verifica certificatul primit.

Se pare că băieții care au făcut implementarea au fost colegi de clasă cu cei care au făcut implementarea 3DSecure (care e fix la fel de inspirată )

2. Nu pot să nu menționez modalitatea de plată cu cardul. Care presupune completarea unui formular cu toate datele cardului, și trimiterea lui prin fax împreună cu copie față-verso după card (adică număr card, nume deținător, CVV, absolut tot ce este necesar ca să îți dispară toți banii din cont). Și da, trebuie să ai o naivi^H^H^H^H^H încredere nemărginită că hârțoaga respectivă este procesată și stocată în mod sigur. Nu de alta, dar eu personal sunt foarte greu de convins că ea nu rămâne aruncată pe un birou, unde numai cine nu vrea nu poate înhăța datele respective.

Ambele mi se par niște lucruri cumva… neașteptate. Mai ales venind de la cei care se ocupă de aproape tot ce înseamnă Internetul din .ro.

1. Algoritmul de criptare folosit pentru protocolul GSM a fost spart. O dată. Și a doua oară. Complexitate – suficient de mică pentru a rula programul în 2 ore pe un singur PC.
2. Protocolul de comunicație folosit pentru comunicația cu un card cu chip (știți voi care – alea cu „e mai secure, că are chip!”) are o vulnerabilitate majoră – nu autentifică verificarea PIN-ului. Ca urmare, este foarte ușor de creat un device care să spună „PIN corect” la orice PIN introdus. Mai multe detalii aici (și dacă tot sunteți acolo, puteți citi încă o serie luuuungă de vulnerabilități ale cardurilor / terminalelor POS).
3. Protocolul de autentificare 3DSecure (sau MasterCard SecureCode, sau VerifiedByVisa…) are și el o serie de vulnerabilități importante.

Nu vi se pare prea grav? Hai să vedem ce pot însemna cele de mai sus:

1. Orice conversație GSM, ascultată de oricine, oricând. Costuri? Minime.
2. În cazul pierderii/furtului unui card, faptul că doar tu știi PIN-ul nu te mai protejează. Mai mult – ținând cont că log-urile tranzacției arată „PIN corect introdus”, ai toate șansele ca banca să nu îți dea nici un ban înapoi. Pe motiv că „nu ai ținut PIN-ul secret”.
3. Iei card cu 3DSecure, că „e mai sigur” (sigur ați văzut și voi diversele reclame…). Și de fapt constați că singurul „avantaj” al 3DSecure este… pentru bancă. De fapt, dacă vă uitați pe diversele vulnerabilități de pe site, veți constata un lucru foarte interesant (pe care îl menționam și eu acum ceva timp). Practic toate tehnologiile noi au introdus (și chiar au fost promovate prin) „liability shift”. În cazul unei tranzacții frauduloase, banca/procesatorul de plăți/vânzătorul aruncă pisica decedată în spinarea clientului. Și le iese din ce în ce mai bine!

Pasul 1 – cauți doi notari ( startssl.com / WoT / notary finder / Bucharest ).

Pasul 2 – ceri validare de la cei doi notari aleși. (request validation)

Pasul 3 – te întâlnești cu ei, și le arăți 2 documente de identitate (cu poză/semnătură). Nu ai nevoie de copii, doar de originale. De asemenea, semnezi și formularul de validare.

Pasul 4 – după 2 validări, ai un certificat digital (Class-1 validated), cu numele tău în el, valabil timp de 1 an.

Pasul 5 – după un an, sari din nou la pasul 1

Din păcate, la StartSSL este un pic mai dificil să devii notar. Pentru că trebuie să plătești o validare de identitate Class-2 (40 USD în momentul actual). Dar odată ce ai devenit notar, îți menții statusul pe termen nelimitat, cât timp ești validat periodic (la intervale de 1 an) de alt notar.

Astăzi am primit scrisoarea, și sunt oficial validat în sistemul lor. Cireașa de pe tort? Prin aceasta am devenit și notar în sistemul lor WoT. Vrea cineva validări?

Acum caut încă un om care să devină notar. Pentru că:

• oricine altcineva are nevoie de 2 validări de la 2 notari diferiți
• noi doi ne putem valida între noi pentru a ne menține validarea de identitate activă pe termen nelimitat.

Doritori?

E vorba de StartSSL. Care până acum văd că oferă:

• Certificate SSL (recunoscute de ffox/IE). Gratuit!
• Certificate e-mail (gratuite pentru CN=„free user”, pe bani dacă se cere validarea persoanei)
• OpenID provider (de forma http://choose_your_username.startssl.com)

Îmi place mult și modelul de business – nu plătești pentru certificate, ci pentru validare. Adică plătești o dată pentru validarea domeniului, după care poți emite oricâte certificate pentru domeniul respectiv (sau subdomenii). La fel și pentru persoane – plătești validarea identității personale, după care poți emite oricâte certificate de mail.

Cireașa de pe tort? Mai nou există și un sistem de tip „Web of Trust”. Care este doar la început, dar… eu unul sper că va deveni o alternativă viabilă la (fostul) Thawte WoT.

Dacă sunteți curioși cum arată un astfel de certificat, ubergeek.ro folosește un certificat de la ei.

Sistemul pare chiar interesant (citiți pagina oficială a lui pentru detalii – practic cheia de criptare este sparta in multe bucati, si trimisă într-un sistem P2P. Unde… dispare în timp ). Sau, pentru și mai multe detalii, citiți direct documentul tehnic [PDF] . Și da, autorul principal este o româncă.

Revenind totuși la articolul din Cotidianul, nu pot să nu comentez – parcă unele cuvinte ar fi fost bine să rămână în engleză…

• “În plus, conceptul de “cloud computing” (informatică în nori) lua avânt semnificativ”
  
• “ păstrarea confidenţialităţii datelor stocate în norii informatici”
• “utilizatorii nu pot să spună unde, cum şi pentru cât timp datele lor sunt stocate în aceşti nori.”
• “încercăm să le oferim utilizatorilor control asupra unui anumit aspect al datelor lor stocate în nori sau în web”
• “am început să lucrez la probleme legate de migrarea către norii informatici.”

Practic este suficient un HTTP request care să treacă prin router pentru a permite… remote command execution pe echipament. Ca root (!).

Detalii despre vulnerabilitate aici și aici .

Nu de alta, dar nu sunt decât câteva luni de când citeam un thread pe un forum românesc în care o altă serie de bizoni indivizi se plângeau că ei nu vor Internet Banking cu token, că le e greu să care tokenul după ei (un dispozitiv de mărimea a 2 cărți de credit, și de câteva zeci de grame – asta în condițiile în care par să nu aibă nici o problemă în a căra un laptop de 2 kile, ca să „intre pe internet banking doar de pe laptop-ul propriu”).

OK, recunosc că sunt somewhat of a „security geek”. Și că mă deranjează până și faptul că pe telefonul meu mobil apare în clar ultimul caracter al parolei (deși trebuie să recunosc că soluția respectivă e un compromis destul de bun între „steluțe” și „toată parola în clar”). Mă uimește totuși că inclusiv Bruce Schneier (unul din oamenii pe care chiar îi consider experți în securitate) pare să fie de acord cu soluția.

Cum nu pot să nu mă amestec în discuție, încerc să explic de ce eu în continuare consider soluția respectivă una neinspirată:

1. Utilizatorii se împart în 2 categorii: tehnici, și non-tehnici. Soluția este destinată celor non-tehnici (tehnicii au parole lungi, complicate, și le ia mai puțin să scrie din nou parola decât să corecteze un typo în „MyV3ryC0mpl3xP@55w0rD” ). DAR! Persoanele non-tehnice în general nu sunt touch-typists, și cât scriu parola au ochii pe tastatură, nu pe ecran. Și atunci nu îi ajută foarte mult faptul că apare parola scrisă.
2. Autorul spune „steluțele nu ajută, că un individ care stă lângă tine poate vedea ce scrii”. Așa am crezut și eu, până când (acum mulți ani) am întâlnit un individ care mi-a explicat că nu e chiar așa. Și la ora actuală sunt dispus să provoc pe oricine să stea lângă mine cât timp eu îmi scriu parola. De zece ori. El stând cu ochii în tastatură, fix pe mâinile mele. Dacă la final el știe parola, dau o bere. Sau zece!
3. Continuând ideea de mai sus – dacă de citit pe tastatură e practic imposibil (cel puțin pentru un individ care scrie relativ repede), de citit (și reținut) ceva de pe ecran e incredibil de ușor. Acum câteva zile mă uitam la un CBTNugget. Și soft-ul demonstrat de individ era din categoria „parole în clar”. Deși parola respectivă a stat pe ecran sub o secundă (cât i-a luat lui să o scrie și să apese „enter”), am văzut-o, mi-a atras atenția, și ca urmare am reținut-o. Fără să dau filmul înapoi, și fără slow-motion. Era „Mtncl1mbr” (nu mai știu dacă era cu M mare sau mic, dar nu cred că asta e o problemă pentru cineva ). Ca urmare, mai fac un pariu – cine vrea, scrie parola lui cât de repede poate, în clar. Cu mine undeva în spatele lui. Sunt convins că din maxim 5 încercări știu destul din parolă cât să mă descurc la un login (un pic mai dificil cu parolele de tip „Tqbfj0tld!”, dar nu imposibil )
4. Majoritatea utilizatorilor au parole identice (sau foarte asemănătoare) pe mai multe servicii. Dacă una singură din parolele respective este compromisă, restul se duc prin efect de domino.

Și fix când voiam să spun „nu cred că a posibil ca o bancă având sistemul respectiv de <clear-text passwords> ar trece vreun audit de securitate, găsesc un comentariu interesant pe blog-ul lui Schneier: „I have worked as CISO in several banks and can confirm that shoulder surfing does take place. Consequently, I would ban any system that displays passwords in a shared office or in public.”

Înainte să îmi spuneți „dar noi nu vorbeam de bănci, ci doar de sisteme low-risk”, vă întreb – ce înseamnă „low-risk”? Parola de wireless (care se poate vedea în clar în Win7) înseamnă pentru mine ca administrator accesul unui atacator din parcare în rețeaua mea internă. Parola de login pe sistem este de multe ori parola de domeniu a utilizatorului, și permite un foarte frumos caz de identity-theft electronic între colegi (cu consecințe care pot fi din cele mai neplăcute – nu mai devreme de săptămânile trecute un coleg de facultate a ajuns aproape de exmatriculare printr-o astfel de situație). Adăugați ce spuneam mai sus despre parole similare pentru scopuri diferite, și veți înțelege de ce nu consider nici o parolă „neimportantă” (întrebați-l pe Meekuu ce-a pățit când a vrut parola de pe un sistem de-al meu )

Slightly OT: Autorul mai spune “Password masking has become common for no reasons other than (a) it’s easy to do, and (b) it was the default in the Web’s early days.”. O fi el expert în usability, dar aici e cam pe lângă. Mecanismele de „password hiding” există de pe vremea mainframe-urilor, fără nici o legătură cu „the Web’s early days”.

Așa că oameni buni, încetați cu argumente de genul „ăla chiar e expert, SIGUR are dreptate”!! Ați auzit de „argumentum ad verecundiam”? Dacă X e „expert”, nu înseamnă că nu poate da cu bâta-n baltă ocazional. Și experții sunt oameni, și orice om poate greși

So true… oh, so true…