On 02/16/2012 09:08 PM, Piero Cavina wrote: > Io lo trovo comodissimo perché lo smartphone sul quale gira l'app > produce il codice l'ho sempre con me, e per le poche volte che manca > c'è la possibilità di usare uno dei codici prestampati che tengo nel > portafogli. > Sulle effettive caratteristiche di sicurezza però mi piacerebbe saperne di > più.. >
Dunque. Quando parli di sicurezza parli di rischio e di scenari di minaccia. Senza chiarire questi punti possiamo discutere per dei giorni sui meriti tecnologici delle diverse soluzioni senza arrivare da nessuna parte. Bisogna anche distinguere quello che è sicuro per te personalmente e la sicurezza generale di un sistema/servizio. Per intenderci, tu hai una competenza tecnica che ti permette di cercare un frame https e le informazioni sul certificato, per dire. La sicurezza del sistema in sé deve andare bene per il cliente medio, che queste cose non le sa: per il cliente medio il frame https offre la stessa sicurezza del testo in chiaro (giusto per evitare di recuperare una vecchia discussione, il motivo è che in tutti i casi reali in cui è utile la cifratura offerta dal frame https, l'attaccante è in grado di modificare al volo la pagina per richiedere invece un frame http, senza che l'utente se ne accorga). Nel tuo caso, avere nel portafoglio un foglietto con le OTP offre più o meno la stessa sicurezza di un token (forse anche maggiore, dato che il token se te lo rubano lo riconoscono tutti, mentre il foglietto con le OTP no), nonostante da un punto di vista tecnologico sia un meccanismo più debole perché le OTP non sono legate al tempo e quindi certi attacchi sono più semplici. Questo a meno che non ti aspetti che il foglietto te lo sottragga tua moglie... e questo vuole dire ragionare sugli scenari. Viceversa, se ad esempio "le banche" seguendo questa logica usassero foglietti anziché token, la protezione da "security through obscurity" che ti offre la non riconoscibilità del foglietto si perderebbe, e il meccanismo nel suo complesso si mostrerebbe più debole del token, come tecnologicamente è. E questa è la differenza fra la sicurezza per te e la sicurezza del servizio in sé. Per aggiungere qualcosa a quanto ben detto da Stefano e Max, e sempre in un'ottica di rischio, credo che siamo tutti d'accordo sul fatto che i dati immessi nel pc, che siano una password, un OTP o altro, sono di principio vulnerabili quando il pc è compromesso. Lo stesso vale per il cellulare, dato che ormai non è più tale ma è "troianizzabile" quanto un pc. La differenza la fanno quindi il rischio e gli scenari. Per quanto riguarda il rischio, la vera domanda non è: "quanto è difficile che succeda?" ma "chi paga?". Da questo punto di vista banche e clienti sono su due posizioni diverse in un problema di sicurezza multilaterale. Per il cliente, al netto del "fastidio" di gestire una pratica, se a pagare fosse la banca della sicurezza del meccanismo non importerebbe niente. Alla banca, al netto dei problemi di immagine (si narra che sia successo che una volta un cliente, in seguito a un contenzioso per l'home banking, abbia cambiato banca, ma secondo me è una leggenda metropolitana ;) ) se paga il cliente il problema non c'è... e questo spiega perché a volte si possa avere la sensazione che per alcune banche la sicurezza sembri soprattutto in problema di immagine ;) Quindi alla fine, il problema non è se tecnologicamente funziona, le domande sono: - se non funziona, chi paga? Ovvero, la banca può dire che se c'è stato un problema la colpa è della negligenza del cliente, o il cliente può dire che la gestione della sicurezza da parte della banca non è allo stato dell'arte? - il meccanismo è tale per cui, nonostante sia violabile, i malintenzionati *adesso*, con le tecniche che usano abitualmente, lo troverebbero più fastidioso di quello di altre banche? Se sì, allora possiamo sperare (a ragione) che ci lasceranno in pace, per un po'. Le tecniche che i malintenzionati utilizzano al momento sono i trojan tipo Zeus e il phishing, sul quale cominciano ad utilizzare il MitM; non perché non si possano fare cose più sofisticate, ma perché per l'home banking non ne vale la pena. In tutto questo, la qualità dell'algoritmo di crittografia o la differenza fra il token elettronico o cartaceo non hanno nessuna rilevanza. Per il cliente medio, le discriminanti sono solo due: - c'è qualcosa fuori dal computer che il malintenzionato "informatico" non mi possa sottrarre? Il token, di qualsiasi tipo, mi protegge più di qualsiasi meccanismo che stia sul pc; - ho attivato gli sms che mi avvertono delle operazioni effettuate su quel conto, in modo che io possa eventualmente intervenire? In quel caso, anche se mi viene "rubata" una OTP, quando viene utilizzata me ne accorgo e posso intervenire in tempo; e questo è di gran lunga il meccanismo più importante. Anzi, da questo punto di vista io sono contrario ai meccanismi che utilizzano il cellulare come veicolo per le OTP, perché coinvolgendo il cellulare nel meccanismo di autenticazione finiscono per esporre il canale con cui io posso verificare le operazioni, e infatti Zeus ha già il componente installabile non solo per attaccare l'home banking da cellulare, ma anche per la 2-factor authentication: http://www.theregister.co.uk/2011/02/22/zeus_2_factor_authentication_attack/ E altra cosa: il fatto che le operazioni dispositive tipo bonifico richiedano un certo tempo per essere completate, dava alle banche, e indirettamente ai clienti, la possibilità di stornare le operazioni in caso di problemi. Questo, insieme agli sms, è un meccanismo importante che diventa meno efficace man mano che le operazioni vengono completate in tempi più brevi. Secondo me una protezione importante sarebbe per il cliente poter richiedere *allo sportello* che per operazioni richieste via Internet, o per quelle sopra un certo importo complessivo per giornata, l'operazione venga ritardata di una giornata. Per tante situazioni, la cosa non rappresenta un problema ma è una garanzia in più. Con la nuova normativa che impone alle banche di effettuare i bonifici in una giornata, effettivamente ne ho viste alcune che per avere questi tempi rapidi chiedono un'autenticazione aggiuntiva... sulla cui efficacia non ho ancora vuto modo di indagare ;) http://www.ilsole24ore.com/art/SoleOnLine4/Norme%20e%20Tributi/2010/01/giorno-attesa-bonifici.shtml ciao - Claudio -- Claudio Telmon clau...@telmon.org http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List