(Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
di Anssaif. Buona lettura)
Durante il convegno ANSSAIF tenutosi a Vallombrosa lo scorso settembre
2006 ho presentato gli attuali limiti, rischi e i metodi di attacco che
possono minare la fiducia del consumatore nel sistema di autenticazione a
due fattori (two-factor authentication). A luglio 2006 l'americana
CityBank è stata vittima di un attacco di quello che definisco come il
nuovo phishing (per maggiori informazioni potete leggere qui: http://blog.washingtonpost.com/secur...2factor_1.html
... Se quello di CityBank poteva essere una novità nel panorama delle frodi
via Internet, con le ultime notizie provenienti dall'Olanda dobbiamo
oramai accettare il fatto che il panorama dei metodi sta cambiando. I
clienti della ABM-Amro hanno subito un attacco in aprile 2007 e alcuni
conti correnti derubati dei loro soldi (la notizia è riportata qui: http://www.out-law.com/page-7967 ).
Gli attacchi non hanno presentato novità di esecuzione diverse da quelle
descritte al convegno: l'utente è attirato su un sito web che opera come
proxy del cliente verso la banca. Un perfetto attacco Man-in-the-middle da
manuale. Questo dimostra come è oramai poco costoso scrivere codice che
possa fare da "corriere" per le credenziali del cliente, aprendo la strada
a tutti gli altri gruppi criminali. Il fattore di interesse è che il
concetto del "Man-in-the-middle" non è verticale alla tecnologia delle
autenticazioni/autorizzazioni a 2 fattori, ma può essere applicato
indiscriminatamente a qualunque tipo di trasmissione non istituita in
forma esclusiva tra le parti. Prepariamoci quindi a veder sempre di più
attacchi in "real-time".
Certamente se i Clienti non cadessero nei trabocchetti delle email
"invitanti", evitando quindi di accedere a siti ove i criminali possono
inviare ed attivare sul computer della vittima i trojan responsabili dei
"dirottamenti" ai siti fasulli, non sarebbero accaduti i casi citati dalla
stampa. Ma il Cliente è sempre "padrone", dice il noto adagio, ed allora
le aziende di servizio devono affrontare nuovi rischi, nuovi investimenti,
se vogliono che il Cliente sia protetto.
Queste le brutte notizie, passiamo ora alle buone.
Abbiamo un immenso vantaggio competitivo sui gruppi criminali: conosciamo
i nostri clienti. So che molti di voi, come il sottoscritto, alla menzione
del "Behavioral Profiling" si trovano a disagio, ma è anche una delle armi
più interessanti contro questi attacchi.
Behavioral Profiling è oggi utilizzato negli aeroporti, soprattutto
americani, con risultati molto alterni, così come dai grandi gruppi di
carte di credito. Cosa potrebbe fare una banca che non ha mai applicato
questa metodologia? Si può cominciare, ad esempio, con operazioni a basso
costo, come il controllo della provenienza delle connessioni. Alcune ditte
offrono database costantemente aggiornati sulla posizione geografica degli
IP. Un investimento di pochi euro, tra database ed implementazione dei
controlli, permette di avere il polso della situazione sulla provenienza
dei nostri clienti. Se proprio vogliamo essere più sofisticati potremmo
legare insieme le posizioni geografiche dei nostri clienti con le
operazioni da loro fatte. Questi accorgimenti, con il tempo, ci danno il
prezioso vantaggio di poter creare un cruscotto di pre-allarme. Ma i
nostri clienti non si contano nelle unità, ma nelle decine di migliaia, a
volte nei milioni.
Ecco come il Behavioral Profiling può diventare veramente interessante:
osservare un numero rilevante di connessioni originanti dallo stesso IP
sito presso uno stato estero, che guarda caso risulta in una lista nera,
diventa un ottimo indicatore di un attacco verso i nostri clienti in atto.
Un altro uso degli indicatori geografici è quello relativo alle distanze:
è possibile per un cliente collegarsi dall'Italia e, 2 ore dopo,
collegarsi dalla Korea? Un certo sospetto diventa legittimo. Interessante
l'articolo di Mr. Richard Baker, Chief Identity Architect della BT (potete
leggerlo qui: http://www.out-law.com/page-7927 ) dove ci informa come sta
cominciando a profilare i propri clienti proprio in base alle loro
abitudini, aggiungendo così un ulteriore tassello nella maglia della
sicurezza contro le frodi telefoniche.
Ma cosa succederà quando tutti faranno Behavioral Profiling? Tra 2 o 3
anni circa cominceremo a vedere collegamenti provenienti dall'interno
della nostra nazione, magari sfruttando siti precedentemente hackerati. E
allora a cosa sarebbe servito tutto questo sforzo? A guadagnare quei 2
anni che ci servono per implementare una soluzione a lungo termine:
estendere le nostre maglie di difesa alla clientela.
Come ho già avuto modo di proporre, perché non estendere il concetto del
perimetro di sicurezza anche al cliente? E' oramai indubbio che la
soluzione perfetta è parte di un futuro lontano, una firma digitale è ben
poca cosa senza un adeguato sistema sicuro. Dobbiamo quindi sempre più
investire sul fattore umano, formare i nostri clienti e lavorare insieme
ai produttori di browsers, sistemi operativi e gli enti di certificazione
(IETF fra tutti) per fornire un adeguato "kit del piccolo meccanico" che
non sia invasivo ma al tempo stesso altamente efficace. Un modo per
"abbracciare" i nostri clienti, rassicurandoli del fatto che li
riconosciamo mantenendoli protetti.
E il "Man-in-the-middle"? Lo ritroveremo di nuovo: cercheranno di inserire
programmi nei computer degli utenti allo scopo di manipolare gli stati di
memoria, ma converrete anche voi che tra scrivere un programmino in PHP
e/o ASP e scrivere un codice Assembler per la manipolazione della memoria
esiste una differenza d'investimento elevata, oltre a dover accedere ad un
know-how che ad oggi non è particolarmente diffuso. Ed ecco che abbiamo
guadagnato altri 3 anni di difesa. Complessivamente questi investimenti
porteranno l'aspettativa di vita delle protezioni a 5/6 anni. E fra 6 anni
avremo sistemi che potranno degnamente lavorare a stati di memoria stagni
per così implementare le vere firme digitali.
> Come ho già avuto modo di proporre, perché non estendere il concetto del
> perimetro di sicurezza anche al cliente?
Fornendo un terminale dedicato?
Perché se il cliente è libero di usare qualsiasi terminale, non potrà
essere un sistema fidato, e quindi a rigore non potrà partecipare al
perimetro di sicurezza.
> gli enti di
> certificazione (IETF fra tutti)
C'è un ente di certificazione che si chiama IETF?
> E fra 6 anni avremo sistemi che
> potranno degnamente lavorare a stati di memoria stagni per così
> implementare le vere firme digitali.
>
> Forse.
Forse. Ma potremo costringere gli utenti a usarli?
> Come ho già avuto modo di proporre, perché non estendere il concetto del
> perimetro di sicurezza anche al cliente?
Fornendo un terminale dedicato?
Perché se il cliente è libero di usare qualsiasi terminale, non potrà
essere un sistema fidato, e quindi a rigore non potrà partecipare al
perimetro di sicurezza.
> gli enti di
> certificazione (IETF fra tutti)
C'è un ente di certificazione che si chiama IETF?
> E fra 6 anni avremo sistemi che
> potranno degnamente lavorare a stati di memoria stagni per così
> implementare le vere firme digitali.
>
> Forse.
Forse. Ma potremo costringere gli utenti a usarli?
Anacronistico. Non tanto per una questione di costi (un PC oggi costa
veramente due soldi, e anzi potrebbe essere un'incentivo di marketing
"fatti il conto ti facciamo il pc") quanto per il fatto che chi usa i
servizi on-line ha già un PC.
> Perché se il cliente è libero di usare qualsiasi terminale, non potrà essere
> un sistema fidato, e quindi a rigore non potrà partecipare al perimetro di
> sicurezza.
C'è una cosa (odiosa, lo so) che si chiama Trusted Computing. In pratica
il PC lavora a stati di memoria stagni e i processi sono
compartimentalizzati. Idealmente si potrebbe creare un ambiente esclusivo
per le transazioni bancarie. Ambiente che, grazie al Trusted Computing,
impedisce l'uso di trojan o di semplici "collegamenti" a siti non
approvati.
> C'è un ente di certificazione che si chiama IETF?
Mmm tu pensi a chi certifica i certificati digitali, vero? Forse avrei
dovuto spiegare meglio. Per ente certificatore lo intendo in senso lato.
l'IETF approva e certifica standards. Certificatore in quel senso.
> Forse. Ma potremo costringere gli utenti a usarli?
O certo. Le banche che hanno abbriacciato i certificati si sono ritrovati
costretti ad usare windows e l'infrastruttura scelta dalla banca.
Obbligare non è un problema. Rendere il servizio fruibile è quello che
tutti cercano di fare, però.
> Molto interessante, grazie.
Più che altro sono idee, e come tali sono sempre fonte di altre idee.
Anacronistico. Non tanto per una questione di costi (un PC oggi costa
veramente due soldi, e anzi potrebbe essere un'incentivo di marketing
"fatti il conto ti facciamo il pc") quanto per il fatto che chi usa i
servizi on-line ha già un PC.
> Perché se il cliente è libero di usare qualsiasi terminale, non potrà essere
> un sistema fidato, e quindi a rigore non potrà partecipare al perimetro di
> sicurezza.
C'è una cosa (odiosa, lo so) che si chiama Trusted Computing. In pratica
il PC lavora a stati di memoria stagni e i processi sono
compartimentalizzati. Idealmente si potrebbe creare un ambiente esclusivo
per le transazioni bancarie. Ambiente che, grazie al Trusted Computing,
impedisce l'uso di trojan o di semplici "collegamenti" a siti non
approvati.
> C'è un ente di certificazione che si chiama IETF?
Mmm tu pensi a chi certifica i certificati digitali, vero? Forse avrei
dovuto spiegare meglio. Per ente certificatore lo intendo in senso lato.
l'IETF approva e certifica standards. Certificatore in quel senso.
> Forse. Ma potremo costringere gli utenti a usarli?
O certo. Le banche che hanno abbriacciato i certificati si sono ritrovati
costretti ad usare windows e l'infrastruttura scelta dalla banca.
Obbligare non è un problema. Rendere il servizio fruibile è quello che
tutti cercano di fare, però.
> Molto interessante, grazie.
Più che altro sono idee, e come tali sono sempre fonte di altre idee.
"Ivan Pintori" <ivan@pintori.it> ha scritto nel messaggio
news:Pine.LNX.4.64.0705042036520.12545@hoshimaru.l ocal...
L'articolo è molto interessante.
> C'è una cosa (odiosa, lo so) che si chiama Trusted Computing.
Appunto, odiosa. Non so, in un'ottica di costi / benefici (anche per la
libertà in senso lato) quanto ciò possa essere utilizzabile per l'home
banking lato cliente, specie quando il problema è proteggere i "fessi"
(Vigilantibus non dormientibus iura succurrunt).
> Idealmente si potrebbe creare un ambiente esclusivo per le transazioni
> bancarie.
In ogni pc e solo per le transazioni bancarie intendi ?
"Ivan Pintori" <ivan@pintori.it> ha scritto nel messaggio
news:Pine.LNX.4.64.0705042036520.12545@hoshimaru.l ocal...
L'articolo è molto interessante.
> C'è una cosa (odiosa, lo so) che si chiama Trusted Computing.
Appunto, odiosa. Non so, in un'ottica di costi / benefici (anche per la
libertà in senso lato) quanto ciò possa essere utilizzabile per l'home
banking lato cliente, specie quando il problema è proteggere i "fessi"
(Vigilantibus non dormientibus iura succurrunt).
> Idealmente si potrebbe creare un ambiente esclusivo per le transazioni
> bancarie.
In ogni pc e solo per le transazioni bancarie intendi ?
> Appunto, odiosa. Non so, in un'ottica di costi / benefici (anche per la
> libertà in senso lato)
Però quando hai tutti i sistemi operativi che supportano il TC (Linux e
Mac lo fanno già oggi. Microsoft Vista sarà attivo dal SP2) la cosa
diventa certamente più "mainstream". Il problema sono gli abusi. Apple ha
la fama di essere libertaria (su quali basi non si sa). Linux ha il codice
aperto. Microsoft invece, quando attiverà il TC, scatenerà il panico.
Io, Ivan Pintori, non mi fido del TC implementato da codice chiuso, perà è
facilmente abusabile. Ma tant'è che quella sarà la via.
> In ogni pc e solo per le transazioni bancarie intendi ?
Si. Se hai ambienti stagni lo puoi fare (un po' come una virtual machine).
Ma sono cose che devono passare tra le mani degli standard bodies ed
essere accettate a livello globale, altrimenti non funzionano.
> Appunto, odiosa. Non so, in un'ottica di costi / benefici (anche per la
> libertà in senso lato)
Però quando hai tutti i sistemi operativi che supportano il TC (Linux e
Mac lo fanno già oggi. Microsoft Vista sarà attivo dal SP2) la cosa
diventa certamente più "mainstream". Il problema sono gli abusi. Apple ha
la fama di essere libertaria (su quali basi non si sa). Linux ha il codice
aperto. Microsoft invece, quando attiverà il TC, scatenerà il panico.
Io, Ivan Pintori, non mi fido del TC implementato da codice chiuso, perà è
facilmente abusabile. Ma tant'è che quella sarà la via.
> In ogni pc e solo per le transazioni bancarie intendi ?
Si. Se hai ambienti stagni lo puoi fare (un po' come una virtual machine).
Ma sono cose che devono passare tra le mani degli standard bodies ed
essere accettate a livello globale, altrimenti non funzionano.
>> Fornendo un terminale dedicato?
>
> Anacronistico. Non tanto per una questione di costi (un PC oggi costa
> veramente due soldi, e anzi potrebbe essere un'incentivo di marketing
> "fatti il conto ti facciamo il pc") quanto per il fatto che chi usa i
> servizi on-line ha già un PC.
Non è detto che il terminale debba essere un PC. Potrebbe essere un
set-top box, un telefono con lettore di smartcard, o che so io.
Ah, a proposito, dai per scontato che il terminale sia un PC, il che è
certamente realistico oggi, ma fra 5 anni?
>> Perché se il cliente è libero di usare qualsiasi terminale, non potrà
>> essere un sistema fidato, e quindi a rigore non potrà partecipare al
>> perimetro di sicurezza.
>
> C'è una cosa (odiosa, lo so) che si chiama Trusted Computing.
Sì, lo avevo intuito fra le righe.
In pratica un terminale dedicato virtuale, che è tanto di moda :-)
Al di là delle considerazioni etiche sul TC, sono moderatamente scettico
che quello che attualmente viene proposto come tale sia veramente in
grado di fornire un sistema fidato.
Ammetto però di non aver mai approfondito adeguatamente l'argomento.
> Mmm tu pensi a chi certifica i certificati digitali, vero? Forse avrei
> dovuto spiegare meglio. Per ente certificatore lo intendo in senso lato.
> l'IETF approva e certifica standards. Certificatore in quel senso.
Ok solo un problema di termini.
Però, avendo una certa esperienza di come nascono gli standard, in
generale e nell'IETF in particolare, dubito che agire sull'ente sia di
qualche utilità.
Bisogna interagire con gli attori del mercato, perché sono loro stessi
che scrivono le "draft", destinate nel tempo a diventare RFC e poi,
chissà, standard.
Quindi, ok per sistemi operativi e browser (e middleware e runtime e
firewall eccetera), il resto è di conseguenza.
>> Forse. Ma potremo costringere gli utenti a usarli?
>
> O certo. Le banche che hanno abbriacciato i certificati si sono
> ritrovati costretti ad usare windows e l'infrastruttura scelta dalla
> banca. Obbligare non è un problema. Rendere il servizio fruibile è
> quello che tutti cercano di fare, però.
Sì, ho esperienza di remote banking che obbligano a determinati software
e hardware, ma solo in ambito business.
Nel mondo retail potrebbe essere più difficile. L'home banking deve
funzionare dal PC con o senza Windows, dal Mac, dal palmare, dal
cellulare, dall'Internet-TV.
Altrimenti non ha senso aver abbracciato l'interfaccia web: tanto valeva
mantenere le applicazioni client-server proprietarie, se si voleva
costringere a una certa piattaforma.
>> Fornendo un terminale dedicato?
>
> Anacronistico. Non tanto per una questione di costi (un PC oggi costa
> veramente due soldi, e anzi potrebbe essere un'incentivo di marketing
> "fatti il conto ti facciamo il pc") quanto per il fatto che chi usa i
> servizi on-line ha già un PC.
Non è detto che il terminale debba essere un PC. Potrebbe essere un
set-top box, un telefono con lettore di smartcard, o che so io.
Ah, a proposito, dai per scontato che il terminale sia un PC, il che è
certamente realistico oggi, ma fra 5 anni?
>> Perché se il cliente è libero di usare qualsiasi terminale, non potrà
>> essere un sistema fidato, e quindi a rigore non potrà partecipare al
>> perimetro di sicurezza.
>
> C'è una cosa (odiosa, lo so) che si chiama Trusted Computing.
Sì, lo avevo intuito fra le righe.
In pratica un terminale dedicato virtuale, che è tanto di moda :-)
Al di là delle considerazioni etiche sul TC, sono moderatamente scettico
che quello che attualmente viene proposto come tale sia veramente in
grado di fornire un sistema fidato.
Ammetto però di non aver mai approfondito adeguatamente l'argomento.
> Mmm tu pensi a chi certifica i certificati digitali, vero? Forse avrei
> dovuto spiegare meglio. Per ente certificatore lo intendo in senso lato.
> l'IETF approva e certifica standards. Certificatore in quel senso.
Ok solo un problema di termini.
Però, avendo una certa esperienza di come nascono gli standard, in
generale e nell'IETF in particolare, dubito che agire sull'ente sia di
qualche utilità.
Bisogna interagire con gli attori del mercato, perché sono loro stessi
che scrivono le "draft", destinate nel tempo a diventare RFC e poi,
chissà, standard.
Quindi, ok per sistemi operativi e browser (e middleware e runtime e
firewall eccetera), il resto è di conseguenza.
>> Forse. Ma potremo costringere gli utenti a usarli?
>
> O certo. Le banche che hanno abbriacciato i certificati si sono
> ritrovati costretti ad usare windows e l'infrastruttura scelta dalla
> banca. Obbligare non è un problema. Rendere il servizio fruibile è
> quello che tutti cercano di fare, però.
Sì, ho esperienza di remote banking che obbligano a determinati software
e hardware, ma solo in ambito business.
Nel mondo retail potrebbe essere più difficile. L'home banking deve
funzionare dal PC con o senza Windows, dal Mac, dal palmare, dal
cellulare, dall'Internet-TV.
Altrimenti non ha senso aver abbracciato l'interfaccia web: tanto valeva
mantenere le applicazioni client-server proprietarie, se si voleva
costringere a una certa piattaforma.
> (Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
> di Anssaif. Buona lettura)
> Come ho già avuto modo di proporre, perché non estendere il concetto del
> perimetro di sicurezza anche al cliente? E' oramai indubbio che la
> soluzione perfetta è parte di un futuro lontano, una firma digitale è ben
> poca cosa senza un adeguato sistema sicuro. Dobbiamo quindi sempre più
> investire sul fattore umano, formare i nostri clienti e lavorare insieme
> ai produttori di browsers, sistemi operativi e gli enti di certificazione
> (IETF fra tutti) per fornire un adeguato "kit del piccolo meccanico" che
> non sia invasivo ma al tempo stesso altamente efficace. Un modo per
> "abbracciare" i nostri clienti, rassicurandoli del fatto che li
> riconosciamo mantenendoli protetti.
Spero di aver capito a grandi linee.
Hai ragione sul fatto che la tecnologia dev'essere efficace ma
anche poco macchinosa.
Cmq credo che x quanto ci siano sistemi protetti potremmo parlare
sempre di sicurezza RELATIVA. E' 1 discorso poi probabilistico:
+ contromisure uso e + probabile esser protetto.
Se infine affianchiamo alla tecnologia i comportamenti e le
abitudini utili x utente, potremmo star abbastanza tranquilli.
Anni fa proposi tante cose ma non le trovo.;(
Vado a memoria. Te ne scrivo 1 alla volta.
1) autenticare l'utente con Identificativo Chiamante telefonico
Esempio
se mi collego dal mio numero di casa 06-8455XXX al sito bancario è
già + sicuro di una password digitata.
Poi metto anche le altre misure di sicurezza.
La maggior parte degli utenti si collega dalla stessa postazione
(casa). Chi ha necessità di altre postazioni non usa questa sicurezza.
O si fa mandare la password temporanea.
2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
eventuali anomalie sul conto.
3) se posso bloccare il conto con 1 telefonata o SMS posso
fermare bonifici che ci mettono circa 3 gg.
4) se utilizzo + piattaforme allo stesso tempo (telefonino, pc, telefono,
sportello ecc.) è improbabile che 1 malintenzionato possa
conoscerne tutti gli accessi.
5) i bonifici sono il punto critico.
limitare il plafond giornaliero dei bonifici o (chi vuole) togliere
la possibilità di bonifici o usare 1 altro conto a zero spese solo x
i bonifici.
6) disattivare alla filiale i servizi critici che non si usano
bonifici
ricariche telefonini
7) conosco molti che non fanno alcuna operazione su home banking
ma magari vogliono solo consultare. Basta bloccare la password
dispositiva.
8) se si usa il Phone banking la sicurezza è + alta,
ma anche le spese.
9) altre ed eventuali integrate e/o discutiamone
--
Le cose non accadono finchè non
succedono a noi stessi.
> (Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
> di Anssaif. Buona lettura)
> Come ho già avuto modo di proporre, perché non estendere il concetto del
> perimetro di sicurezza anche al cliente? E' oramai indubbio che la
> soluzione perfetta è parte di un futuro lontano, una firma digitale è ben
> poca cosa senza un adeguato sistema sicuro. Dobbiamo quindi sempre più
> investire sul fattore umano, formare i nostri clienti e lavorare insieme
> ai produttori di browsers, sistemi operativi e gli enti di certificazione
> (IETF fra tutti) per fornire un adeguato "kit del piccolo meccanico" che
> non sia invasivo ma al tempo stesso altamente efficace. Un modo per
> "abbracciare" i nostri clienti, rassicurandoli del fatto che li
> riconosciamo mantenendoli protetti.
Spero di aver capito a grandi linee.
Hai ragione sul fatto che la tecnologia dev'essere efficace ma
anche poco macchinosa.
Cmq credo che x quanto ci siano sistemi protetti potremmo parlare
sempre di sicurezza RELATIVA. E' 1 discorso poi probabilistico:
+ contromisure uso e + probabile esser protetto.
Se infine affianchiamo alla tecnologia i comportamenti e le
abitudini utili x utente, potremmo star abbastanza tranquilli.
Anni fa proposi tante cose ma non le trovo.;(
Vado a memoria. Te ne scrivo 1 alla volta.
1) autenticare l'utente con Identificativo Chiamante telefonico
Esempio
se mi collego dal mio numero di casa 06-8455XXX al sito bancario è
già + sicuro di una password digitata.
Poi metto anche le altre misure di sicurezza.
La maggior parte degli utenti si collega dalla stessa postazione
(casa). Chi ha necessità di altre postazioni non usa questa sicurezza.
O si fa mandare la password temporanea.
2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
eventuali anomalie sul conto.
3) se posso bloccare il conto con 1 telefonata o SMS posso
fermare bonifici che ci mettono circa 3 gg.
4) se utilizzo + piattaforme allo stesso tempo (telefonino, pc, telefono,
sportello ecc.) è improbabile che 1 malintenzionato possa
conoscerne tutti gli accessi.
5) i bonifici sono il punto critico.
limitare il plafond giornaliero dei bonifici o (chi vuole) togliere
la possibilità di bonifici o usare 1 altro conto a zero spese solo x
i bonifici.
6) disattivare alla filiale i servizi critici che non si usano
bonifici
ricariche telefonini
7) conosco molti che non fanno alcuna operazione su home banking
ma magari vogliono solo consultare. Basta bloccare la password
dispositiva.
8) se si usa il Phone banking la sicurezza è + alta,
ma anche le spese.
9) altre ed eventuali integrate e/o discutiamone
--
Le cose non accadono finchè non
succedono a noi stessi.
capo ha scritto:
> Nel mondo retail potrebbe essere più difficile. L'home banking deve
> funzionare dal PC con o senza Windows, dal Mac, dal palmare, dal
> cellulare, dall'Internet-TV.
> Altrimenti non ha senso aver abbracciato l'interfaccia web: tanto valeva
> mantenere le applicazioni client-server proprietarie, se si voleva
> costringere a una certa piattaforma.
Sono dell'idea che 1 elevatissima sicurezza si raggiunge
usando + piattaforme allo stesso tempo.
Esempi:
Pc x operate e cellulare x attivare o ricevere alert.
pc e Phone banking con operatore che ti avverte.
cellulare x operare e pc solo x consultare.
password su card fisica con token
Pc consulto password dispositiva tramite telefonino
O tante altre combinazioni.
Come potrebbe il phisher scavalcare contemporaneamente tutto?
Poi 1 ladro va a colpire dove è + facile,
non perde tempo con tanti ostacoli su molte piattaforme
quando ci sono tante banche con scarsa sicurezza monopiattaforma.
--
Le cose non accadono finchè non
succedono a noi stessi.
capo ha scritto:
> Nel mondo retail potrebbe essere più difficile. L'home banking deve
> funzionare dal PC con o senza Windows, dal Mac, dal palmare, dal
> cellulare, dall'Internet-TV.
> Altrimenti non ha senso aver abbracciato l'interfaccia web: tanto valeva
> mantenere le applicazioni client-server proprietarie, se si voleva
> costringere a una certa piattaforma.
Sono dell'idea che 1 elevatissima sicurezza si raggiunge
usando + piattaforme allo stesso tempo.
Esempi:
Pc x operate e cellulare x attivare o ricevere alert.
pc e Phone banking con operatore che ti avverte.
cellulare x operare e pc solo x consultare.
password su card fisica con token
Pc consulto password dispositiva tramite telefonino
O tante altre combinazioni.
Come potrebbe il phisher scavalcare contemporaneamente tutto?
Poi 1 ladro va a colpire dove è + facile,
non perde tempo con tanti ostacoli su molte piattaforme
quando ci sono tante banche con scarsa sicurezza monopiattaforma.
--
Le cose non accadono finchè non
succedono a noi stessi.
> Anni fa proposi tante cose ma non le trovo.;(
> Vado a memoria. Te ne scrivo 1 alla volta.
>
> 1) autenticare l'utente con Identificativo Chiamante telefonico
Come direbbe Ivan, anacronistico.
Non so dove sei stato negli ultimi 5 anni, ma non si usa più il modem
analogico, adesso c'è la banda larga.
> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
> eventuali anomalie sul conto.
> 5) i bonifici sono il punto critico.
> limitare il plafond giornaliero dei bonifici o (chi vuole) togliere
> 7) conosco molti che non fanno alcuna operazione su home banking
> ma magari vogliono solo consultare. Basta bloccare la password
> dispositiva.
Queste cose sono già ampiamente possibili, diciamo che si può pensare di
migliorarle ma non si tratta di niente di nuovo.
> 4) se utilizzo + piattaforme allo stesso tempo (telefonino, pc, telefono,
> sportello ecc.) è improbabile che 1 malintenzionato possa
> conoscerne tutti gli accessi.
> 8) se si usa il Phone banking la sicurezza è + alta,
> ma anche le spese.
Usare più canali contemporaneamente o usare un canale diverso da quello
preferito (es. telefono anziché internet) è "scomodo" e quindi
"inaccettabile" per il cliente.
W.
PS: potresti gentilmente evitare di usare abbreviazioni stile SMS? Dici
cose interessanti e non sembri avere 13 anni, ma è difficile leggerti.
> Anni fa proposi tante cose ma non le trovo.;(
> Vado a memoria. Te ne scrivo 1 alla volta.
>
> 1) autenticare l'utente con Identificativo Chiamante telefonico
Come direbbe Ivan, anacronistico.
Non so dove sei stato negli ultimi 5 anni, ma non si usa più il modem
analogico, adesso c'è la banda larga.
> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
> eventuali anomalie sul conto.
> 5) i bonifici sono il punto critico.
> limitare il plafond giornaliero dei bonifici o (chi vuole) togliere
> 7) conosco molti che non fanno alcuna operazione su home banking
> ma magari vogliono solo consultare. Basta bloccare la password
> dispositiva.
Queste cose sono già ampiamente possibili, diciamo che si può pensare di
migliorarle ma non si tratta di niente di nuovo.
> 4) se utilizzo + piattaforme allo stesso tempo (telefonino, pc, telefono,
> sportello ecc.) è improbabile che 1 malintenzionato possa
> conoscerne tutti gli accessi.
> 8) se si usa il Phone banking la sicurezza è + alta,
> ma anche le spese.
Usare più canali contemporaneamente o usare un canale diverso da quello
preferito (es. telefono anziché internet) è "scomodo" e quindi
"inaccettabile" per il cliente.
W.
PS: potresti gentilmente evitare di usare abbreviazioni stile SMS? Dici
cose interessanti e non sembri avere 13 anni, ma è difficile leggerti.
> digitus ha scritto:
> Come direbbe Ivan, anacronistico.
> Non so dove sei stato negli ultimi 5 anni, ma non si usa più il modem
> analogico, adesso c'è la banda larga.
Era infatti 1 idea di qualche anno fa come ho scritto.
Bisognerebbe vedere quanti ce l'hanno. Cmq potrebbe
esser possibile anche 1 soluzione simile x ADSL.
> Queste cose sono già ampiamente possibili, diciamo che si può pensare di
> migliorarle ma non si tratta di niente di nuovo.
Certo che sono possibili e migliorabili. Ma quanti lo fanno?
E quante banche lo suggeriscono?
> Usare più canali contemporaneamente o usare un canale diverso da quello
> preferito (es. telefono anziché internet) è "scomodo" e quindi
> "inaccettabile" per il cliente.
Se vogliamo la sicurezza è questa la strada."scomodo" e "inaccettabile"
x molti è anche il pc con tutti i problemi hardware, software, problemi di
linea, guasti, accesso non disponibile ecc.
Chi sceglie home banking ha 1 minimo di propensione alla tecnologia.
Non vedo la difficoltà ad usare un home banking dando comando dispositivo
tramite telefonino. Inoltre la banca può proporre soluzioni che
semplificano l'accesso. Attualmente token, certificati, card con codici mi
sembrano
troppo macchinosi e non sempre molto affidabili.
Poi stiamo discutendo: non sono esperto di sicurezza. Scrivo solo
ciò che percepisco da utente e che spesso le banche non vedono (o non
vogliono vedere x interessi vari).
> PS: potresti gentilmente evitare di usare abbreviazioni stile SMS? Dici
> cose interessanti e non sembri avere 13 anni, ma è difficile leggerti.
Non lo faccio apposta ho problemi di dolore ai tendini.
--
Le cose non accadono finchè non
succedono a noi stessi.
> digitus ha scritto:
> Come direbbe Ivan, anacronistico.
> Non so dove sei stato negli ultimi 5 anni, ma non si usa più il modem
> analogico, adesso c'è la banda larga.
Era infatti 1 idea di qualche anno fa come ho scritto.
Bisognerebbe vedere quanti ce l'hanno. Cmq potrebbe
esser possibile anche 1 soluzione simile x ADSL.
> Queste cose sono già ampiamente possibili, diciamo che si può pensare di
> migliorarle ma non si tratta di niente di nuovo.
Certo che sono possibili e migliorabili. Ma quanti lo fanno?
E quante banche lo suggeriscono?
> Usare più canali contemporaneamente o usare un canale diverso da quello
> preferito (es. telefono anziché internet) è "scomodo" e quindi
> "inaccettabile" per il cliente.
Se vogliamo la sicurezza è questa la strada."scomodo" e "inaccettabile"
x molti è anche il pc con tutti i problemi hardware, software, problemi di
linea, guasti, accesso non disponibile ecc.
Chi sceglie home banking ha 1 minimo di propensione alla tecnologia.
Non vedo la difficoltà ad usare un home banking dando comando dispositivo
tramite telefonino. Inoltre la banca può proporre soluzioni che
semplificano l'accesso. Attualmente token, certificati, card con codici mi
sembrano
troppo macchinosi e non sempre molto affidabili.
Poi stiamo discutendo: non sono esperto di sicurezza. Scrivo solo
ciò che percepisco da utente e che spesso le banche non vedono (o non
vogliono vedere x interessi vari).
> PS: potresti gentilmente evitare di usare abbreviazioni stile SMS? Dici
> cose interessanti e non sembri avere 13 anni, ma è difficile leggerti.
Non lo faccio apposta ho problemi di dolore ai tendini.
--
Le cose non accadono finchè non
succedono a noi stessi.
On Fri, 04 May 2007 19:44:43 +0200, Ivan Pintori wrote:
> Abbiamo un immenso vantaggio competitivo sui gruppi criminali: conosciamo
> i nostri clienti. So che molti di voi, come il sottoscritto, alla menzione
> del "Behavioral Profiling" si trovano a disagio, ma è anche una delle armi
> più interessanti contro questi attacchi.
il behavioral profiling è giÃ* una realtÃ* in molti contesti e le tue
considerazioni sono ovviamente vere.
quello che secondo me ti sfugge è che la sicurezza informatica non si
raggiunge con una singola metodologia/soluzione ma con un insieme di
contromisure che tutte insieme rendono sicuro un "servizio informatico".
in altre parole condivido quanto da te scritto sul profiling ma questo non
significa dire addio al token. il token one-time password è comunque un
importante fattore di sicurezza e non capisco perchè tu debba legare
l'adozione (che poi è giÃ* realtÃ*) del profiling alla dismissione del token.
sul tuo pc tanti anni fa avevi un antivirus.
quando poi sono arrivati i firewall personali hai rimosso l'antivirus?
no ovviamente. e perchè? perchè *entrambi* sono importanti per la
sicurezza del tuo pc. perchè affrontano e risolvono problematiche diverse.
On Fri, 04 May 2007 19:44:43 +0200, Ivan Pintori wrote:
> Abbiamo un immenso vantaggio competitivo sui gruppi criminali: conosciamo
> i nostri clienti. So che molti di voi, come il sottoscritto, alla menzione
> del "Behavioral Profiling" si trovano a disagio, ma è anche una delle armi
> più interessanti contro questi attacchi.
il behavioral profiling è giÃ* una realtÃ* in molti contesti e le tue
considerazioni sono ovviamente vere.
quello che secondo me ti sfugge è che la sicurezza informatica non si
raggiunge con una singola metodologia/soluzione ma con un insieme di
contromisure che tutte insieme rendono sicuro un "servizio informatico".
in altre parole condivido quanto da te scritto sul profiling ma questo non
significa dire addio al token. il token one-time password è comunque un
importante fattore di sicurezza e non capisco perchè tu debba legare
l'adozione (che poi è giÃ* realtÃ*) del profiling alla dismissione del token.
sul tuo pc tanti anni fa avevi un antivirus.
quando poi sono arrivati i firewall personali hai rimosso l'antivirus?
no ovviamente. e perchè? perchè *entrambi* sono importanti per la
sicurezza del tuo pc. perchè affrontano e risolvono problematiche diverse.
On Sat, 05 May 2007 00:29:15 +0200, digitus wrote:
> Cmq credo che x quanto ci siano sistemi protetti potremmo parlare
> sempre di sicurezza RELATIVA. E' 1 discorso poi probabilistico:
> + contromisure uso e + probabile esser protetto.
confermo. ed è il motivo per cui il profiling dovrebbe essere
affiancato al token.
> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
> eventuali anomalie sul conto.
questa è veramente una misura sicura ed è incredibile che molte grandi
banche non l'abbiano ancora adottata
On Sat, 05 May 2007 00:29:15 +0200, digitus wrote:
> Cmq credo che x quanto ci siano sistemi protetti potremmo parlare
> sempre di sicurezza RELATIVA. E' 1 discorso poi probabilistico:
> + contromisure uso e + probabile esser protetto.
confermo. ed è il motivo per cui il profiling dovrebbe essere
affiancato al token.
> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
> eventuali anomalie sul conto.
questa è veramente una misura sicura ed è incredibile che molte grandi
banche non l'abbiano ancora adottata
> quello che secondo me ti sfugge è che la sicurezza informatica non si
> raggiunge con una singola metodologia/soluzione ma con un insieme di
> contromisure che tutte insieme rendono sicuro un "servizio informatico".
Ti sfugge il target dell'articolo: esperti di sicurezza informatica e
auditor delle banche.
E' lapalissiano che non puoi togliere la fase di autenticazione. Che poi
tu la faccia con i token, username e password, voli sulla luna, impronte
digitali, certificato o firme del notaio è una scelta dell'azienda avendo
valutato il rischio.
> in altre parole condivido quanto da te scritto sul profiling ma questo non
> significa dire addio al token.
Mettiamola così: senza un metodo di autenticazione non sai quale chiente
hai davanti a te.
> ben vengano tutti e due.
Mi chiedo dove ho mai scritto che i token devono essere smantellati. Beh
oddio, si lo dico ma alla fine. Fra 6 anni. Quando ci saranno gli stati di
memoria stagni e potremo efficacemente investire sui certificati digitali,
quelli veri.
> quello che secondo me ti sfugge è che la sicurezza informatica non si
> raggiunge con una singola metodologia/soluzione ma con un insieme di
> contromisure che tutte insieme rendono sicuro un "servizio informatico".
Ti sfugge il target dell'articolo: esperti di sicurezza informatica e
auditor delle banche.
E' lapalissiano che non puoi togliere la fase di autenticazione. Che poi
tu la faccia con i token, username e password, voli sulla luna, impronte
digitali, certificato o firme del notaio è una scelta dell'azienda avendo
valutato il rischio.
> in altre parole condivido quanto da te scritto sul profiling ma questo non
> significa dire addio al token.
Mettiamola così: senza un metodo di autenticazione non sai quale chiente
hai davanti a te.
> ben vengano tutti e due.
Mi chiedo dove ho mai scritto che i token devono essere smantellati. Beh
oddio, si lo dico ma alla fine. Fra 6 anni. Quando ci saranno gli stati di
memoria stagni e potremo efficacemente investire sui certificati digitali,
quelli veri.
> Esempi:
> Pc x operate e cellulare x attivare o ricevere alert
La banca di un mio parente utilizza questo sistema. Tutte le volte che
viene disposto un bonifico via web viene notificato via sms al suo
cellulare (di solito arriva in un paio di minuti) e inviata una email di
conferma (anche questa di solito arriva in due minuti). Se ben ricordo
dovrebbe essere obbligatorio lasciare un numero di cellulare per
ricevere gli sms per avere l'abilitazione al banking via internet.
Dato che un bonifico di solito non è immediato ma parte nella migliore
delle ipotesi dopo qualche ora, in caso di falso accesso ci sarebbe
comunque un margine di tempo per contattare anche per telefono la banca
e chiarire che cosa sia successo.
> Esempi:
> Pc x operate e cellulare x attivare o ricevere alert
La banca di un mio parente utilizza questo sistema. Tutte le volte che
viene disposto un bonifico via web viene notificato via sms al suo
cellulare (di solito arriva in un paio di minuti) e inviata una email di
conferma (anche questa di solito arriva in due minuti). Se ben ricordo
dovrebbe essere obbligatorio lasciare un numero di cellulare per
ricevere gli sms per avere l'abilitazione al banking via internet.
Dato che un bonifico di solito non è immediato ma parte nella migliore
delle ipotesi dopo qualche ora, in caso di falso accesso ci sarebbe
comunque un margine di tempo per contattare anche per telefono la banca
e chiarire che cosa sia successo.
"Negazione" <n3g4z|one@tuttipazzi.com> ha scritto nel messaggio
news:463cbded$0$36448$4fafbaef@reader5.news.tin.it ...
> questa è veramente una misura sicura ...
Più che il saldo giornaliero, direi la segnalazione di operazioni
dispositive con un minimo di x ore di stand by per l'esecuzione in maniera
da permetterne l'eventuale blocco.
"Negazione" <n3g4z|one@tuttipazzi.com> ha scritto nel messaggio
news:463cbded$0$36448$4fafbaef@reader5.news.tin.it ...
> questa è veramente una misura sicura ...
Più che il saldo giornaliero, direi la segnalazione di operazioni
dispositive con un minimo di x ore di stand by per l'esecuzione in maniera
da permetterne l'eventuale blocco.
On Fri, 04 May 2007 19:44:43 +0200, Ivan Pintori wrote:
> (Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
> di Anssaif. Buona lettura)
Ho un conto da ABN Amro e ti posso dire che loro non usano due fattori di
autenticazione (password+token). Infatti di password non ne ho manco una.
Uso solo un singolo token (nn a tempo) a forma di calcolatrice in cui si
inserisce una smartcard (il bancomat) e dotato di:
a) tastiera su cui inserisco volta per volta i codici che suppongo essere
OTP (challenge)
b) display su cui viene visualizzato la risposta calcolata dalla smartcard
e che poi devo reinserire nel form.
La procedura challenge/response va eseguita:
a) al login
b) per ciascun mvimento
c) per modificare l'addressbook (la lista di c/c che usi di frequente)
In pratica e' una evoluzione delle vecchie liste di OTP.
Ero conoscenza di attachi mezzo phishing ad aprile (da un mese c'e' un bel
banner rosso fuoco lampeggiante all'inizio!), ma la descrizione nel sito
di cui dai il link nn mi sembra possa essere corretta. Il criminale nn si
appropria delle credenziali del cliente e puo' compiere solo tante
operazioni quante ne compie il cliente in quella sessione. In altre
parole, il criminale puo' solo modificare i dati di una transazione
imposta dal cliente (es il c/c destinatario e l'importo). Che nn e' poco,
ma e' pur sempre diverso dal poter avere completo controllo delle
operazioni come nel caso di furto di password di accesso e dispositive
(banca intesa per dirne una).
La cosa che questo attacco evidenzia e' quanto limitato valore abbia
un'autenticazione effettuata su un sistema insicuro, ovvero solo
parzialmente all'interno del perimetro di sicurezza. L'autenticazione che
ho descritto sopra nn garantisce l'intera transazione ma solo IL FATTO CHE
UNA QUALCHE transazione sta avvenendo, perche' l'unica cosa di cui la
banca e' certa e' che il legittimo cliente sta effettivamente pigiando i
tasti in quel momento.
Questo perche' l'utente immette i dati e osserva la ricevuta su una
piattaforma insicura. Tecnicamente l'unica soluzione possibile consiste
nel TPM (che e' cosa buona in fondo, pur nn essendo cosi' sicura come si
pensa) oppure in un'evoluzione del token.
Un token USB con un display un poco piu' grande tale da poter visualizzare
importo e c/c destinatario di una transazione rendere un MitM
immediatamente impossibile poiche' cioe' che la smartcard autenticherebbe
sarebbe non gia' un numero senza significato come adesso, ma tutti i dati
vitali della transazione.
> Behavioral Profiling è oggi utilizzato negli aeroporti, soprattutto
> americani, con risultati molto alterni, così come dai grandi gruppi di
> carte di credito. Cosa potrebbe fare una banca che non ha mai applicato
> questa metodologia? Si può cominciare, ad esempio, con operazioni a basso
> costo, come il controllo della provenienza delle connessioni. Alcune ditte
> offrono database costantemente aggiornati sulla posizione geografica degli
> IP.
E se la catena invece di essere:
Client --- Trojan --- Proxy --- Banca
fosse invece (con piccolo sforzo)
Client --- Trojan --- Proxy --- Trojan --- Banca
nn si avrebbe forse il criminale operativo dall'IP del cliente? Altro che
di anni. Si avrebbe un vantaggio di una sola settimana! Non mi sembra
molto promettente come approccio...
On Fri, 04 May 2007 19:44:43 +0200, Ivan Pintori wrote:
> (Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
> di Anssaif. Buona lettura)
Ho un conto da ABN Amro e ti posso dire che loro non usano due fattori di
autenticazione (password+token). Infatti di password non ne ho manco una.
Uso solo un singolo token (nn a tempo) a forma di calcolatrice in cui si
inserisce una smartcard (il bancomat) e dotato di:
a) tastiera su cui inserisco volta per volta i codici che suppongo essere
OTP (challenge)
b) display su cui viene visualizzato la risposta calcolata dalla smartcard
e che poi devo reinserire nel form.
La procedura challenge/response va eseguita:
a) al login
b) per ciascun mvimento
c) per modificare l'addressbook (la lista di c/c che usi di frequente)
In pratica e' una evoluzione delle vecchie liste di OTP.
Ero conoscenza di attachi mezzo phishing ad aprile (da un mese c'e' un bel
banner rosso fuoco lampeggiante all'inizio!), ma la descrizione nel sito
di cui dai il link nn mi sembra possa essere corretta. Il criminale nn si
appropria delle credenziali del cliente e puo' compiere solo tante
operazioni quante ne compie il cliente in quella sessione. In altre
parole, il criminale puo' solo modificare i dati di una transazione
imposta dal cliente (es il c/c destinatario e l'importo). Che nn e' poco,
ma e' pur sempre diverso dal poter avere completo controllo delle
operazioni come nel caso di furto di password di accesso e dispositive
(banca intesa per dirne una).
La cosa che questo attacco evidenzia e' quanto limitato valore abbia
un'autenticazione effettuata su un sistema insicuro, ovvero solo
parzialmente all'interno del perimetro di sicurezza. L'autenticazione che
ho descritto sopra nn garantisce l'intera transazione ma solo IL FATTO CHE
UNA QUALCHE transazione sta avvenendo, perche' l'unica cosa di cui la
banca e' certa e' che il legittimo cliente sta effettivamente pigiando i
tasti in quel momento.
Questo perche' l'utente immette i dati e osserva la ricevuta su una
piattaforma insicura. Tecnicamente l'unica soluzione possibile consiste
nel TPM (che e' cosa buona in fondo, pur nn essendo cosi' sicura come si
pensa) oppure in un'evoluzione del token.
Un token USB con un display un poco piu' grande tale da poter visualizzare
importo e c/c destinatario di una transazione rendere un MitM
immediatamente impossibile poiche' cioe' che la smartcard autenticherebbe
sarebbe non gia' un numero senza significato come adesso, ma tutti i dati
vitali della transazione.
> Behavioral Profiling è oggi utilizzato negli aeroporti, soprattutto
> americani, con risultati molto alterni, così come dai grandi gruppi di
> carte di credito. Cosa potrebbe fare una banca che non ha mai applicato
> questa metodologia? Si può cominciare, ad esempio, con operazioni a basso
> costo, come il controllo della provenienza delle connessioni. Alcune ditte
> offrono database costantemente aggiornati sulla posizione geografica degli
> IP.
E se la catena invece di essere:
Client --- Trojan --- Proxy --- Banca
fosse invece (con piccolo sforzo)
Client --- Trojan --- Proxy --- Trojan --- Banca
nn si avrebbe forse il criminale operativo dall'IP del cliente? Altro che
di anni. Si avrebbe un vantaggio di una sola settimana! Non mi sembra
molto promettente come approccio...
On 4 Mag, 19:44, Ivan Pintori <i...@pintori.it> wrote:
> (Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
> di Anssaif. Buona lettura)
Veramente molto, molto interessante.
Volevo dare anch'io il mio piccolo contributo in qualità di cliente
con qualche piccola esperienza poichè sono ingegnere e mi occupo tutto
il giorno di software anche se non per PC.
Mi pare che l'unico approccio attualmente possibile sia quello di
rendere la vita diffcile ai possibili hacker, al punto da rendere non
conveniente l'operazione. Ma che non sia ancora stato individuata una
soluzione intrinsecamente sicura; e credo che fintanto che si useranno
delle piattaforme su cui l'utente può installare software (più o meno
volontariamente), tale piattaforma non sarà mai sicura al 100%,
esisterà sempre la possibilità che involontariamente un utente
installi un'applicazione che alteri la sicurezza del sistema. Magari
adotteremo delle soluzioni per cui fare questo risulterà
economicamente non conveniente ma non impossibile.
E mi chiedo se non sia possibile adottare soluzioni diverse, con
software chiuso, senza arrivare a terminali proprietari, perchè
sarebbe "anacronistico" e non accettabile.
Per esempio, non si potrebbe sfruttare due tecnologie diverse ma già
ampiamente diffuse come i cellulari (come proposto da qualcuno), oltre
naturalmente al PC connesso ad internet per imporre una doppia
autenticazione ?
Per esempio, faccio il login con nome utente e password ed il codice
del token deve essere spedito via SMS. Il cliente avrebbe qualche
fastidio e qualche costo in più (l'SMS) ma non sarebbe una strada
praticamente inviolabile ?
Oppure per risolvere il problema dei bonifici in uscita (che di fatto
costituiscono l'unico vero rischio), si potrebbe usare il PC per
preparare l'ordine di bonifico, trasferirlo sul cellulare via
Bluetooth dove l'utente ha la possibilità di verificarne i dati e
spedirlo in banca via SMS a conferma di quanto spedito via PC.
On 4 Mag, 19:44, Ivan Pintori <i...@pintori.it> wrote:
> (Come promesso, ecco copia dell'articolo che ho scritto per la newsletter
> di Anssaif. Buona lettura)
Veramente molto, molto interessante.
Volevo dare anch'io il mio piccolo contributo in qualità di cliente
con qualche piccola esperienza poichè sono ingegnere e mi occupo tutto
il giorno di software anche se non per PC.
Mi pare che l'unico approccio attualmente possibile sia quello di
rendere la vita diffcile ai possibili hacker, al punto da rendere non
conveniente l'operazione. Ma che non sia ancora stato individuata una
soluzione intrinsecamente sicura; e credo che fintanto che si useranno
delle piattaforme su cui l'utente può installare software (più o meno
volontariamente), tale piattaforma non sarà mai sicura al 100%,
esisterà sempre la possibilità che involontariamente un utente
installi un'applicazione che alteri la sicurezza del sistema. Magari
adotteremo delle soluzioni per cui fare questo risulterà
economicamente non conveniente ma non impossibile.
E mi chiedo se non sia possibile adottare soluzioni diverse, con
software chiuso, senza arrivare a terminali proprietari, perchè
sarebbe "anacronistico" e non accettabile.
Per esempio, non si potrebbe sfruttare due tecnologie diverse ma già
ampiamente diffuse come i cellulari (come proposto da qualcuno), oltre
naturalmente al PC connesso ad internet per imporre una doppia
autenticazione ?
Per esempio, faccio il login con nome utente e password ed il codice
del token deve essere spedito via SMS. Il cliente avrebbe qualche
fastidio e qualche costo in più (l'SMS) ma non sarebbe una strada
praticamente inviolabile ?
Oppure per risolvere il problema dei bonifici in uscita (che di fatto
costituiscono l'unico vero rischio), si potrebbe usare il PC per
preparare l'ordine di bonifico, trasferirlo sul cellulare via
Bluetooth dove l'utente ha la possibilità di verificarne i dati e
spedirlo in banca via SMS a conferma di quanto spedito via PC.
> Sono dell'idea che 1 elevatissima sicurezza si raggiunge
> usando + piattaforme allo stesso tempo.
La teoria è corretta. Poi ci sono i problema della praticità.
La sicurezza assoluta non esiste, quindi bisogna trovare il "giusto
compromesso"
> Esempi:
> Pc x operate e cellulare x attivare o ricevere alert.
Che non funzionerebbe. Potrei avere il cellulare scarico, o sono in una
zona dove non prende segnale. Oppure semplicemente l'operatore si è perso
l'SMS per strada (gli sms non hanno qualità di servizio e non sono
assicurati in nessuna forma)
> Come potrebbe il phisher scavalcare contemporaneamente tutto?
Beh, basta non far "click" su email. Quella è la vera soluzione. Però
continuano a dire che la colpa sia delle banche.
> quando ci sono tante banche con scarsa sicurezza monopiattaforma.
Infatti di email di phishing standard (quelle classiche di username e
password) ce ne sono ancora a iosa.
> Sono dell'idea che 1 elevatissima sicurezza si raggiunge
> usando + piattaforme allo stesso tempo.
La teoria è corretta. Poi ci sono i problema della praticità.
La sicurezza assoluta non esiste, quindi bisogna trovare il "giusto
compromesso"
> Esempi:
> Pc x operate e cellulare x attivare o ricevere alert.
Che non funzionerebbe. Potrei avere il cellulare scarico, o sono in una
zona dove non prende segnale. Oppure semplicemente l'operatore si è perso
l'SMS per strada (gli sms non hanno qualità di servizio e non sono
assicurati in nessuna forma)
> Come potrebbe il phisher scavalcare contemporaneamente tutto?
Beh, basta non far "click" su email. Quella è la vera soluzione. Però
continuano a dire che la colpa sia delle banche.
> quando ci sono tante banche con scarsa sicurezza monopiattaforma.
Infatti di email di phishing standard (quelle classiche di username e
password) ce ne sono ancora a iosa.
> 1) autenticare l'utente con Identificativo Chiamante telefonico
Non più possibile (e comunque ci si rifà al behavioral profiling di cui
sopra)
> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
> eventuali anomalie sul conto.
Si, ma gli SMS costano. Tu sei disposto a pagare 10 centesimi al giorno
per ogni SMS che ti viene mandato e che potrebbe comunque non arrivarti?
(ricordati che gli SMS non hanno la consegna assicurata)
> 3) se posso bloccare il conto con 1 telefonata o SMS posso fermare
> bonifici che ci mettono circa 3 gg.
No, perchè oramai i bonifici sono automatici. I 3 giorni sono questioni di
valuta, non di trasferimento. E comunque i clienti vogliono sempre più
servizi veloci ed immediati.
> 4) se utilizzo + piattaforme allo stesso tempo (telefonino, pc,
> telefono, sportello ecc.) è improbabile che 1 malintenzionato possa
> conoscerne tutti gli accessi.
Improbabile. Semplicemente perchè così obbligherei il cliente a possedere
un attrezzo che non provvedo io a consegnare.
> 5) i bonifici sono il punto critico. limitare il plafond giornaliero dei
> bonifici o (chi vuole) togliere la possibilità di bonifici o usare 1
> altro conto a zero spese solo x i bonifici.
Si fa già. Da me il limite è di 3mila euro, per esempio.
> 6) disattivare alla filiale i servizi critici che non si usano bonifici
> ricariche telefonini
Ma questo non risolve il problema. Mica ti farai l'accesso via internet
solo per vedere i movimento, no? Lo fai per operare.
> 7) conosco molti che non fanno alcuna operazione su home banking ma
> magari vogliono solo consultare. Basta bloccare la password dispositiva.
Beh, c'è chi lo fa già. Ma questo impone l'uso di 2 sistemi di
autenticazione, raddoppiano di fatto le password da gestire.
> 8) se si usa il Phone banking la sicurezza è + alta, ma anche le spese.
Da noi ha lo stesso costo che dell'internet banking, ovvero nulla. Quindi
come vedi ce ne sono di alternative
> 1) autenticare l'utente con Identificativo Chiamante telefonico
Non più possibile (e comunque ci si rifà al behavioral profiling di cui
sopra)
> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
> eventuali anomalie sul conto.
Si, ma gli SMS costano. Tu sei disposto a pagare 10 centesimi al giorno
per ogni SMS che ti viene mandato e che potrebbe comunque non arrivarti?
(ricordati che gli SMS non hanno la consegna assicurata)
> 3) se posso bloccare il conto con 1 telefonata o SMS posso fermare
> bonifici che ci mettono circa 3 gg.
No, perchè oramai i bonifici sono automatici. I 3 giorni sono questioni di
valuta, non di trasferimento. E comunque i clienti vogliono sempre più
servizi veloci ed immediati.
> 4) se utilizzo + piattaforme allo stesso tempo (telefonino, pc,
> telefono, sportello ecc.) è improbabile che 1 malintenzionato possa
> conoscerne tutti gli accessi.
Improbabile. Semplicemente perchè così obbligherei il cliente a possedere
un attrezzo che non provvedo io a consegnare.
> 5) i bonifici sono il punto critico. limitare il plafond giornaliero dei
> bonifici o (chi vuole) togliere la possibilità di bonifici o usare 1
> altro conto a zero spese solo x i bonifici.
Si fa già. Da me il limite è di 3mila euro, per esempio.
> 6) disattivare alla filiale i servizi critici che non si usano bonifici
> ricariche telefonini
Ma questo non risolve il problema. Mica ti farai l'accesso via internet
solo per vedere i movimento, no? Lo fai per operare.
> 7) conosco molti che non fanno alcuna operazione su home banking ma
> magari vogliono solo consultare. Basta bloccare la password dispositiva.
Beh, c'è chi lo fa già. Ma questo impone l'uso di 2 sistemi di
autenticazione, raddoppiano di fatto le password da gestire.
> 8) se si usa il Phone banking la sicurezza è + alta, ma anche le spese.
Da noi ha lo stesso costo che dell'internet banking, ovvero nulla. Quindi
come vedi ce ne sono di alternative
>> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
>> eventuali anomalie sul conto.
>
> questa è veramente una misura sicura ed è incredibile che molte grandi
> banche non l'abbiano ancora adottata
No, spetta, gli SMS non sono una "misura sicura". Sono dei controlli, a
posteriori, che tu ti fai. Potresti far lo stesso loggandoti tutte le sere
sul conto e guardando i movimenti del giorno. E non devi aspettare un
SMS che potrebbe anche non arrivare perchè l'azienda telefonica se l'è
perso per strada.
ivan
--
By 1977 or so, PLATO was featuring real-time multiplayer dungeon games,
not to mention real-time spacewar, IM, chat, email, netnews, and a host of
other things we now take for granted. All this on high-resolution plasma
panel terminals connected at 1200 baud to twin Cyber 6600 supercomputer.
Now you understand why I was kicked out of Cornell for a year; PLATO was
crack for computer nerds. (Robert Woodhead, co-creator of Wizardry)
>> 2) se ho SMS quotidiani che mi mandano il saldo ho sotto controllo
>> eventuali anomalie sul conto.
>
> questa è veramente una misura sicura ed è incredibile che molte grandi
> banche non l'abbiano ancora adottata
No, spetta, gli SMS non sono una "misura sicura". Sono dei controlli, a
posteriori, che tu ti fai. Potresti far lo stesso loggandoti tutte le sere
sul conto e guardando i movimenti del giorno. E non devi aspettare un
SMS che potrebbe anche non arrivare perchè l'azienda telefonica se l'è
perso per strada.
ivan
--
By 1977 or so, PLATO was featuring real-time multiplayer dungeon games,
not to mention real-time spacewar, IM, chat, email, netnews, and a host of
other things we now take for granted. All this on high-resolution plasma
panel terminals connected at 1200 baud to twin Cyber 6600 supercomputer.
Now you understand why I was kicked out of Cornell for a year; PLATO was
crack for computer nerds. (Robert Woodhead, co-creator of Wizardry)
> La banca di un mio parente utilizza questo sistema. Tutte le volte che
> viene disposto un bonifico via web viene notificato via sms al suo
> cellulare (di solito arriva in un paio di minuti) e inviata una email di
> conferma (anche questa di solito arriva in due minuti).
Domande:
1) sei al corrente che l'SMS potrebbe anche non arrivare mai?
2) sei disposto a far sapere a chiunque può avere accesso all'email
(intercettazioni in mezzo, provider, ecc. ecc.) che hai trasferito tot
soldi da un conto ad un altro?
Se sei felice così, nessun problema
> Dato che un bonifico di solito non è immediato
Se andate a fare una ricerca di qualche giorno fa su questo gruppo
scoprite come questo è un non problema: i bonifici possono sempre (o
quasi) essere bloccati.
> La banca di un mio parente utilizza questo sistema. Tutte le volte che
> viene disposto un bonifico via web viene notificato via sms al suo
> cellulare (di solito arriva in un paio di minuti) e inviata una email di
> conferma (anche questa di solito arriva in due minuti).
Domande:
1) sei al corrente che l'SMS potrebbe anche non arrivare mai?
2) sei disposto a far sapere a chiunque può avere accesso all'email
(intercettazioni in mezzo, provider, ecc. ecc.) che hai trasferito tot
soldi da un conto ad un altro?
Se sei felice così, nessun problema
> Dato che un bonifico di solito non è immediato
Se andate a fare una ricerca di qualche giorno fa su questo gruppo
scoprite come questo è un non problema: i bonifici possono sempre (o
quasi) essere bloccati.
> a) tastiera su cui inserisco volta per volta i codici che suppongo essere
> OTP (challenge)
> b) display su cui viene visualizzato la risposta calcolata dalla smartcard
> e che poi devo reinserire nel form.
Urrrca! Questa non la sapevo. Usano un challenge-response. Quindi i
clienti "gabbati" erano proprio, ahem, tignosi!
> In pratica e' una evoluzione delle vecchie liste di OTP.
Beh, evoluzione... il challenge-response è più vecchio dei OTP con i token
e sono sempre stati usati in ambienti differenti. In pratica tu ricevi un
codice operazione che inserisce nell'apparecchio il quale usa il chip
sulla carta per far firma digitale e poi tu re-invii il tutto al mittente.
> Il criminale nn si
> appropria delle credenziali del cliente e puo' compiere solo tante
> operazioni quante ne compie il cliente in quella sessione.
Si, è il problema del "man in the middle". In pratica interroghi il
cliente banca per le credenziali e poi operi a tuo piacimento verso la
banca con le credenziali del momento.
> In altre parole, il criminale puo' solo modificare i dati di una
> transazione imposta dal cliente (es il c/c destinatario e l'importo).
No, può istituire anche una nuova transazione. Basta che ad in certo punto
di spara una maschera di "login" (del tipo, è passato troppo tempo e ti
dobbiamo re-loggare) mentre in realtà sta tentando di fare un bonifico. Tu
re-inserisci le credenziali credendo di re-loggarti, ma in realtà stai
approvando il bonifico.
> Che nn e' poco,
> ma e' pur sempre diverso dal poter avere completo controllo delle
> operazioni come nel caso di furto di password di accesso e dispositive
Basta 1, e dico un, bonifico: migliaia di euro andati in fumo.
> Questo perche' l'utente immette i dati e osserva la ricevuta su una
> piattaforma insicura.
Ohhhhhhh finalmente una parsona (beh, non sei proprio l'unico) che capisce
i reali problemi di oggi. Non si può pretendere sicurezza ma al tempo
stesso di usare il proprio computer per farci tutto quel che si vuole.
> Tecnicamente l'unica soluzione possibile consiste nel TPM (che e' cosa
> buona in fondo, pur nn essendo cosi' sicura come si pensa)
Diciamo che il TC io non l'ho nominato apposta. Ho descritto stati di
memoria (e quindi di processi) stagni. Poi come ci arrivano è un problema
dei produttori, non mio
> oppure in un'evoluzione del token.
Che oramai non ha altro da evolvere, a meno di non cambiarne le faccia e
la portabilità.
> sarebbe non gia' un numero senza significato come adesso, ma tutti i dati
> vitali della transazione.
Dati che passano su memoria insicura. Basta un trojan che modifichi i
giusti punti....
> nn si avrebbe forse il criminale operativo dall'IP del cliente?
Infatti ne ho parlato.
> Altro che di anni. Si avrebbe un vantaggio di una sola settimana! Non mi
> sembra molto promettente come approccio...
Ma il behevioral profiling va fatto. Più tardi cominci ad analizzare e
prima arrivano i criminali. L'IP lo usi oggi. Domani non più. Ma è anche
vero che ci sono altre cose che possono essere fatte. il BP è solo un
pezzo della torta.
ivan
--
By 1977 or so, PLATO was featuring real-time multiplayer dungeon games,
not to mention real-time spacewar, IM, chat, email, netnews, and a host of
other things we now take for granted. All this on high-resolution plasma
panel terminals connected at 1200 baud to twin Cyber 6600 supercomputer.
Now you understand why I was kicked out of Cornell for a year; PLATO was
crack for computer nerds. (Robert Woodhead, co-creator of Wizardry)
> a) tastiera su cui inserisco volta per volta i codici che suppongo essere
> OTP (challenge)
> b) display su cui viene visualizzato la risposta calcolata dalla smartcard
> e che poi devo reinserire nel form.
Urrrca! Questa non la sapevo. Usano un challenge-response. Quindi i
clienti "gabbati" erano proprio, ahem, tignosi!
> In pratica e' una evoluzione delle vecchie liste di OTP.
Beh, evoluzione... il challenge-response è più vecchio dei OTP con i token
e sono sempre stati usati in ambienti differenti. In pratica tu ricevi un
codice operazione che inserisce nell'apparecchio il quale usa il chip
sulla carta per far firma digitale e poi tu re-invii il tutto al mittente.
> Il criminale nn si
> appropria delle credenziali del cliente e puo' compiere solo tante
> operazioni quante ne compie il cliente in quella sessione.
Si, è il problema del "man in the middle". In pratica interroghi il
cliente banca per le credenziali e poi operi a tuo piacimento verso la
banca con le credenziali del momento.
> In altre parole, il criminale puo' solo modificare i dati di una
> transazione imposta dal cliente (es il c/c destinatario e l'importo).
No, può istituire anche una nuova transazione. Basta che ad in certo punto
di spara una maschera di "login" (del tipo, è passato troppo tempo e ti
dobbiamo re-loggare) mentre in realtà sta tentando di fare un bonifico. Tu
re-inserisci le credenziali credendo di re-loggarti, ma in realtà stai
approvando il bonifico.
> Che nn e' poco,
> ma e' pur sempre diverso dal poter avere completo controllo delle
> operazioni come nel caso di furto di password di accesso e dispositive
Basta 1, e dico un, bonifico: migliaia di euro andati in fumo.
> Questo perche' l'utente immette i dati e osserva la ricevuta su una
> piattaforma insicura.
Ohhhhhhh finalmente una parsona (beh, non sei proprio l'unico) che capisce
i reali problemi di oggi. Non si può pretendere sicurezza ma al tempo
stesso di usare il proprio computer per farci tutto quel che si vuole.
> Tecnicamente l'unica soluzione possibile consiste nel TPM (che e' cosa
> buona in fondo, pur nn essendo cosi' sicura come si pensa)
Diciamo che il TC io non l'ho nominato apposta. Ho descritto stati di
memoria (e quindi di processi) stagni. Poi come ci arrivano è un problema
dei produttori, non mio
> oppure in un'evoluzione del token.
Che oramai non ha altro da evolvere, a meno di non cambiarne le faccia e
la portabilità.
> sarebbe non gia' un numero senza significato come adesso, ma tutti i dati
> vitali della transazione.
Dati che passano su memoria insicura. Basta un trojan che modifichi i
giusti punti....
> nn si avrebbe forse il criminale operativo dall'IP del cliente?
Infatti ne ho parlato.
> Altro che di anni. Si avrebbe un vantaggio di una sola settimana! Non mi
> sembra molto promettente come approccio...
Ma il behevioral profiling va fatto. Più tardi cominci ad analizzare e
prima arrivano i criminali. L'IP lo usi oggi. Domani non più. Ma è anche
vero che ci sono altre cose che possono essere fatte. il BP è solo un
pezzo della torta.
ivan
--
By 1977 or so, PLATO was featuring real-time multiplayer dungeon games,
not to mention real-time spacewar, IM, chat, email, netnews, and a host of
other things we now take for granted. All this on high-resolution plasma
panel terminals connected at 1200 baud to twin Cyber 6600 supercomputer.
Now you understand why I was kicked out of Cornell for a year; PLATO was
crack for computer nerds. (Robert Woodhead, co-creator of Wizardry)
> E mi chiedo se non sia possibile adottare soluzioni diverse, con
> software chiuso, senza arrivare a terminali proprietari, perchè
> sarebbe "anacronistico" e non accettabile.
Impossibile. Hai bisogno di stati di memoria stagni, altrimenti il
giochetto non funziona.
> Per esempio, non si potrebbe sfruttare due tecnologie diverse ma già
> ampiamente diffuse come i cellulari (come proposto da qualcuno), oltre
> naturalmente al PC connesso ad internet per imporre una doppia
> autenticazione ?
C'hanno già pensato. Ci sono addirittura servizi di autenticazione dove ti
inviano un SMS con la OTP da usare in quel momento sul sito. Però gli SMS
possono sempre non arrivare, oltre ad aver un costi non indifferente.
> Oppure per risolvere il problema dei bonifici in uscita
> (che di fatto costituiscono l'unico vero rischio), si potrebbe usare il
> PC per preparare l'ordine di bonifico, trasferirlo sul cellulare via
> Bluetooth dove l'utente ha la possibilità di verificarne i dati e
> spedirlo in banca via SMS a conferma di quanto spedito via PC.
>
> Cosa ne pensi ?
Che abbiamo già perso il cliente, il quale sta parlando con la banca
concorrente la quale offre meno macchinosità
Token di Iwbank
GbMax78: Salve,
stando al sito della banca in oggetto per avere il token di firma
occorre cito testualmente "Puoi richiedere il Token solo se il tuo asset
supera i 25000 ¤"
Per asset immagino si...
Banche
4
02-03-2007 09.49.29
Servizio TOKEN IWbank
Cippo: In pratica cos'è ?? Un apparecchio da collegare al PC, un software ???
Rende sicuro l'accesso a una data banca online o anche ad altre connessioni
??
Grazie anticipate a chi risponderà .
Il token sta morendo? 
04-05-2007, 19.44.43
Sponsored links 
Modalità lineare
