Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava facebook_connect.gif



  • A- A+

23.05.2013      1:32
|

Zaupanje v računalniško okolje uporabnika

  • A- A+

Piše: Tadej Vodopivec, Vodja informacijske varnosti, ComTrade .... sicer pa tudi univ. dipl. ing. rač., CISSP, CISA, CBCP.Piše: Tadej Vodopivec, Vodja informacijske varnosti, ComTrade .... sicer pa tudi univ. dipl. ing. rač., CISSP, CISA, CBCP.

Vsebina je nadaljevanje rubrike Varno e-bančništvo iz aktualne revije Računalniške novice 10/XVIII, ki je že na voljo tukaj in v trafikah po Sloveniji.

Zadnjič sem pisal o verifikaciji transakcij in utrjevanju platforme, danes pa bom nekoliko podrobneje predstavil srž problema, ki ga s tem rešujemo.

 

Računalniško okolje (ang. platform) uporabnika je pogost cilj praktičnega napada na e-bančništvo. Zaradi hitrega razvoja, velikega obsega kode in bogate funkcionalnosti operacijskih sistemov,  brskalnikov  ter aplikacij, ki jih brskalnik neposredno »angažira« (npr. PDF bralnik) je praktično nemogoče pričakovati varno spletno okolje pri uporabniku.

 

Digitalno podpisovanje s pametno kartico

Pametna kartica (ang. smart card) je preprost specializiran računalnik na enem čipu, npr. s 64 Kb hrambe, zasnovan s ciljem varnosti (http://goo.gl/S1E2m). Pri takem obsegu je še možno zagotoviti praktično varnost. Pametna kartica z računalnikom komunicira prek USB čitalnika, ali pa je čip namesto na kartici kar na USB ključku in čitalnik ni potreben.

 

Pametne kartice lahko uporabimo za digitalno podpisovanje. Ko v e-banki pošljemo plačilo, strežnik zahteva digitalni podpis – brskalnik podatke o plačilu prikaže uporabniku in jih pošlje v podpis na pametno kartico. Na kartici je shranjen podpisni ključ uporabnika in programska logika, ki podpis izvede. Uporabnik mora za potrditev vnesti PIN. Nato kartica brskalniku vrne kodo, ki predstavlja digitalni podpis podatkov, in brskalnik jo pošlje strežniku, ki jo preveri in izvede plačilo.

 

Tudi če kriptografski algoritmi za podpis in njihova izvedba nimajo pomanjkljivosti in kartica nima varnostnih lukenj kot OS, brskalnik ali PDF bralnik,  še vedno ostajata dve luknji v konceptu: prikaz podatkov in vnos PINa potekata na računalniku, ki je potencialno kompromitiran. Bančni trojanec bi npr. lahko prikaz računa v dobro priredil tako, da bi uporabnik videl račun, ki ga je sam vnesel, in ne računa, ki mu ga je podtaknil napadalec. Prav tako bi  lahko s pomočjo keyloggerja prestregel PIN.

 

Neodvisnost od računalnika

Zato se odpira vprašanje, ali lahko ključne varnostne elemente napravimo povsem neodvisne od (potencialno kompromitiranega) računalnika. Korak v tej smeri so čitalnik pametne kartice z vgrajeno tipkovnico, prikaz podpisanih podatkov na čitalniku ter načini utrjevanja platforme in verifikacije transakcij, kot sem jih opisal prejšnjič. 

Za radovedne: Digitalni podpis

Digitalni podpis (http://goo.gl/xtLrn, shema: http://goo.gl/WC0Uz) predstavlja na prvi pogled idealno zaščito transakcij pri e-poslovanju, v praksi pa njegovo uporabo spremljajo številne težave: certifikati brez pametnih kartic so ranljivi, pametne kartice višajo stroške in omejujejo podporo na določene platforme, spletni brskalnik ne more dostopati do kriptografskih funkcij in podpisnega ključa certifikata brez dodatne (ActiveX, Java, XPCOM) programske opreme, ki je zopet platformsko odvisna. V pripravi je sicer specifikacija Web Crypto API, ki naj bi slednjo težavo odpravila (http://goo.gl/Xhwqp).

 

Primeri opreme

Opomba: obe napravi podpirata tudi uporabo biometrije (prstni odtis) namesto PIN. Za zakonito uporabo biometričnih ukrepov v okoljih, za katera velja Zakon o varstvu osebnih podatkov (gospodarske družbe, javni sektor) v Sloveniji, morajo biti izpolnjeni posebni pogoji (http://goo.gl/w5iks).

 

Čitalniki z možnostjo vnosa PIN:  http://goo.gl/5Z6jg










KOMENTIRAJ

X


ANKETA
Arhiv anket

Za kateri telefon boste pisali Božičku?










ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Kaj menite o Applovem izgovoru za napake na i... 1
FerdoPiš  |  Vsaj niso eksplodirale, kot pri kopipejs...
Superzmogljivi OnePlus 5 s keramičnim ohišjem... 1
FerdoPiš  |  Pa Delimano ga bo prodajal v tv šopu! In...
Desetkrat hitrejše letalo od legendarnega Con... 6
zgubar  |  Za RN že vem, ampak a ta stric zna račun...
Desetkrat hitrejše letalo od legendarnega Con... 6
skeptik  |  To bolj sodi v revijo RADAR kot na RN, k...
Neuničljivi ovitek za vaš telefon 1
samos  |  Skoraj štiri metre višine, ... to ni rav...
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK