On Fri, 30 Jun 2006 11:47:34 +0200, Krzysztof Halasa wrote:

> Michal <s...@j...be> writes:
>
>> Akurat przechwycenie SMS-a nie stanowi żadnego zagrożenia. Jedyne, co ktoś
>> może z takim SMS-em zrobić to zatwierdzenie tej jednej operacji, którą sam
>> przed chwilą zleciłeś i dla której kod został wygenerowany.
>
> Problem w tym, ze nie wiadomo kto ta operacje zlecil. Jesli mam liste
> hasel jednorazowych albo inny token, to pracownikowi operatora GSM
> moze byc trudno wymyslic kod.
>
> Sensem istnienia dodatkowych potwierdzen (poza haslem sluzacym do
> logowania) jest to, by nikt poza wlascicielem konta nie mogl ich
> wykonac. W przypadku SMS to dziala dosc slabo.

Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").
Jeżeli zaszłaby podmiana kodu i w okienko logowania wpiszę kod innej
operacji (cudzej), to co najwyżej dostanę komunikat "błędny kod" i nic się
nie stanie.
Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
+ PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.
Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
algorytm, jakim generowane są kody przez token, albo pracownik drukarni ma
na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).

Michał

do góry

Michal <s...@j...be> writes:

> Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
> to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
> konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
> zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
> sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").

Stary, zrozum w koncu ze kody jednorazowe (jakie by one nie byly)
nie sa tylko po to by utrudniac uczciwym ludziom zycie, a po to,
by ktos znajacy tylko haslo "wejsciowe" nie mogl zrobic przelewu.

> Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
> + PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
> wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.

Tak, wlasnie o taki przypadek chodzi. Co wiecej, kody jednorazowe
z definicji maja wlasnie przed takim "przypadkiem" zabezpieczac.
Jesli atakujacy nie zna "PINu", to jakie znaczenie ma to, czy te kody
SMSowe sa, czy tez ich nie ma?

> Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
> algorytm, jakim generowane są kody przez token,

Co tu jest do rozwazania, te algorytmy sa publicznie znane (np. SecurID).

> albo pracownik drukarni ma
> na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).

Kody jednorazowe nie sa drukowane w drukarni. Spreparowanie wlasnej
listy nie da dokladnie nic - nie da sie jej nawet aktywowac.

Jest bardzo istotna roznica pomiedzy kodami SMS i normalnymi (a takze
tokenami). Kazde z tych rozwiazan przestaje dzialac jesli pracownik
banku z odpowiednimi uprawnieniami dokonuje manipulacji (np. jesli
drukuje druga kopie listy hasel, wysyla SMS na swoj telefon, albo
uzywa "programowego" tokena korzystajac z bazy "seedow" banku).
Jednakze listy hasel i tokeny sa dosc dobrze zabezpieczone przed
ingerencja niezaleznej od banku i klienta osoby trzeciej. W przypadku
telefonu wystarczy po prostu ukrasc telefon - listy hasel ani tokena
nie musimy wszedzie nosic ze soba.
--
Krzysztof Halasa

do góry

Dnia Sat, 01 Jul 2006 13:17:35 +0200, Krzysztof Halasa napisal/a:
> W przypadku telefonu wystarczy po prostu ukrasc
> telefon - listy hasel ani tokena nie musimy wszedzie nosic ze soba.
Jesli wczesniej ukradliśmy/podejrzelismy/zdobyliśmy w inny sposób kody
do logowania się w banku.

ale tak to, ze "wystarczy ukraść telefon" a "tokena nie trzeba
nosić wszedzie" nic nie zmienia. Telefonu tez nie trzeba nosić z sobą -
a w każdym razie tej karty SIM która jest wykorzystywana do
kodów sms, co więcej może być ona zabezpieczona hasłem i uruchamiana
tylko wtedy gdy ma być wykorzystana do autoryzacji. (pomijam kwestię
wygody i kosztów)

--
Krzysztof Lerski

do góry

Krzysztof <k...@w...pl> writes:

> Jesli wczesniej ukradliśmy/podejrzelismy/zdobyliśmy w inny sposób kody
> do logowania się w banku.

Oczywiscie. Jesli nie, to po co dodatkowe kody?

> ale tak to, ze "wystarczy ukraść telefon" a "tokena nie trzeba
> nosić wszedzie" nic nie zmienia. Telefonu tez nie trzeba nosić z sobą -
> a w każdym razie tej karty SIM która jest wykorzystywana do
> kodów sms, co więcej może być ona zabezpieczona hasłem i uruchamiana
> tylko wtedy gdy ma być wykorzystana do autoryzacji. (pomijam kwestię
> wygody i kosztów)

Uwazasz to moze za realistyczne?

I nawet wtedy pozostaje przynajmniej jedna osoba trzecia (operator GSM),
niezalezna od banku i klienta, ktora moze zrobic przekret (i to bez
pozostawiania jakichkolwiek sladow).

Dodatkowo - o ile zasady dzialania kodow jednorazowych przesylanych
poczta i tokenow sa bardzo dobrze znane, a zagrozenia mozna latwo
oszacowac, o tyle dokladnie nie wiadomo jakie jeszcze inne zagrozenia
moga wiazac sie z kodami przesylanymi SMSem.
--
Krzysztof Halasa

do góry