Tartu Ülikooli IT ala tudeng Arnis Paršovs on toksinud väikese mõra meie infotehnoloogilisse taristusse. Nimelt näitab ta oma magistritöös ära, et väga paljude teenuste puhul kasutatav panga kaudu autentimine on pehmelt öeldes hõredavõitu. Näiteks Swedbanki autentimise kaudu on võimalik sessiooni maha mängides saavutada ligipääs mitmetele teenustele, mille kasutaja sessiooni õnnestub salvestada. Näiteks teenuse parkimine.ee turva osutus veelgi nigelamaks ning vaid isikukoodi teades võis ligi saada suvalise isiku andmetele. Paršovsi magistritöö & klipp demonstratsiooniga. Lisada tuleks, et antud turvaprobleem ei puuduta ID kaarti.
Panga kaudu autentimist sai viimati kasutatud, kui ID-kaarti ei eksisteerinud veel
kui videot vaatasid, siis said ka aru et ta muudab oma isikukoodi kellegi teise omaks ja ongi Sinu andmetel ligi ja teeb parkimisega igasuguseid lolluseid ja avaldusi mida vaja on. Pärast tõesta et Sina pole kaamel.
Panga kaudu autentimist sai viimati kasutatud, kui ID-kaarti ei eksisteerinud veel
kui videot vaatasid, siis said ka aru et ta muudab oma isikukoodi kellegi teise omaks ja ongi Sinu andmetel ligi ja teeb parkimisega igasuguseid lolluseid ja avaldusi mida vaja on. Pärast tõesta et Sina pole kaamel.
Point ongi selles, et kui sul ID-kaart on juba olemas, siis pole mõtet end läbi panga autentida, vaid lähed otse teenusepakkuja lehele.
See panga kaudu autentimine on moes neil, kel pole ID-kaarti või ei taha/viitsi seda kasutada. _________________ Hinnavaatlus.ee - leia parim hind! HV valuutakalkulaator
Panga kaudu autentimist sai viimati kasutatud, kui ID-kaarti ei eksisteerinud veel
kui videot vaatasid, siis said ka aru et ta muudab oma isikukoodi kellegi teise omaks ja ongi Sinu andmetel ligi ja teeb parkimisega igasuguseid lolluseid ja avaldusi mida vaja on. Pärast tõesta et Sina pole kaamel.
Point ongi selles, et kui sul ID-kaart on juba olemas, siis pole mõtet end läbi panga autentida, vaid lähed otse teenusepakkuja lehele.
See panga kaudu autentimine on moes neil, kel pole ID-kaarti või ei taha/viitsi seda kasutada.
Kas ma saan õigesti aru, et kogu kammajaa peab toimuma ühes arvutis?
Panga kaudu autentimist sai viimati kasutatud, kui ID-kaarti ei eksisteerinud veel
kui videot vaatasid, siis said ka aru et ta muudab oma isikukoodi kellegi teise omaks ja ongi Sinu andmetel ligi ja teeb parkimisega igasuguseid lolluseid ja avaldusi mida vaja on. Pärast tõesta et Sina pole kaamel.
Point ongi selles, et kui sul ID-kaart on juba olemas, siis pole mõtet end läbi panga autentida, vaid lähed otse teenusepakkuja lehele.
See panga kaudu autentimine on moes neil, kel pole ID-kaarti või ei taha/viitsi seda kasutada.
Kas ma saan õigesti aru, et kogu kammajaa peab toimuma ühes arvutis?
Niipalju kui ise mõistan, siis ei, ei pea samas arvutis toimuma. Seda demonstreeris ta ju sellega, et kustutas kogu brauseri ajaloo, kaasa arvatud kõik cookied, ära.
Mitte ma ei mõista... Internetipanga kaudu sisselogimine peaks ju toimuma sellisel põhimõttel:
1) Klient läheb teenusepakkuja lehele ning vajutab logi panga kaudu sisse
2) Siis suunatakse panga sisselogimise lehele
3) Klient logib sisse ja pank suunab teenusepakkuja lehele tagasi - samas salvestab kliendi arvutisse mingi identifikaatorstringi (võib-olla kaks)
4) Klient edastab teenusepakkujale selle/need koodi(d) (küpsised meibi või lihtsalt GET/POST) ning teenusepakkuja edastab koodi(d) omakorda pangale
5) Pank kontrollib koodide vastavust ning ainult pank edastab teenusepakkujale kas isikukoodi või nime või misiganes, kui koodide vastavus osutus õigeks
6) Teenusepakkuja sai pangalt vastuse - sisselogimine õnnestus
Robustselt peaks ju selline ülesehitus olema, et klient ei puutu absoluutselt kokku mingite isikukoodidega vms. Identifikaatorstringi "äraarvamine" on peaaegu võimatu, sest tolle sessiooniajaks võiks olla mingid mõned minutid.
Mitte ma ei mõista... Internetipanga kaudu sisselogimine peaks ju toimuma sellisel põhimõttel:
1) Klient läheb teenusepakkuja lehele ning vajutab logi panga kaudu sisse
2) Siis suunatakse panga sisselogimise lehele
3) Klient logib sisse ja pank suunab teenusepakkuja lehele tagasi - samas salvestab kliendi arvutisse mingi identifikaatorstringi (võib-olla kaks)
4) Klient edastab teenusepakkujale selle/need koodi(d) (küpsised meibi või lihtsalt GET/POST) ning teenusepakkuja edastab koodi(d) omakorda pangale
5) Pank kontrollib koodide vastavust ning ainult pank edastab teenusepakkujale kas isikukoodi või nime või misiganes, kui koodide vastavus osutus õigeks
6) Teenusepakkuja sai pangalt vastuse - sisselogimine õnnestus
Robustselt peaks ju selline ülesehitus olema, et klient ei puutu absoluutselt kokku mingite isikukoodidega vms. Identifikaatorstringi "äraarvamine" on peaaegu võimatu, sest tolle sessiooniajaks võiks olla mingid mõned minutid.
Võib-olla olen asjast veidi valesti aru saanud...
Tegelikult käib asi nii:
1) Vajutad logi sisse
2) Teenusepakkuja signeerib oma privaatse võtmega päringus olevad kokkulepitud parameetrid, paneb need VK_MAC väljale ja suunatakse sind koos nende parameetritega panka
3) Pank kontrollib teenuspakkuja avaliku võtmega kas signatuur vastab parameetritele
4) Pank autendib sind ära ning tekitab formi vastusparameetritega, mille submittimisel suunatakse sind tagasi teenuspakkujale
4) Formis on siis omakorda vastusparameetrid mille pank signeerib oma privaatse võtmega
5) Teenuspakkuja saab päringu kätte ning kontrollib panga avaliku võtmega kas signatuur on ok, lisaks veel oleks hea kontrollida päringu tegemise aega aga see on juba teenuspakkuja enda mure.
Kui nüüd võtta see panga vastus ja suunata teise serveri otsa siis...
Swedbanki pangalingi tehnilises spekis on uus pakett 4002, mis peaks antud probleemi kõrvaldama:
1) Kasutatakse VK_NONCE parameetrit (suvaline tekst mida teenuspakkuja hoiab meeles ja kontrollib kasutaja tagasitulekul, et kas on tegu ikka sama tegelasega kes panka suunati)
2) VK_REC_ID päringus ja VK_SND_ID vastuses. (Kontrollitakse kas vastus ikka tuleb sellest pangast kuhu kasutaja saadeti)
viimati muutis Vermon 25.09.2012 15:36:50, muudetud 1 kord
LKits, üks ja ainus POST päring saadetakse kliendi poolt teenusepakkujale, kus autentida on soov. Mingit otsesuhtlust panga ja teenusepakkuja vahel ei toimu. Kõik vajalik info on kirjas vastavas POST päringus. VK_MAC arvutust saab teenusepakkuja serveris üle kontrollida pangalt saadud avaliku võtme abil.
Antud juhtumid on ehtsad näited sellest, et VK_MAC kontrolli ei tehtud ja usaldati etteantud infot kontrollimatult.
Ehm - veidi ebaturvaline siis jah... Sama hea on anda mingile kullerile riigisaladused lootes, et too neid ei loeks või ei prooviks lahti murda... idiootsus.
EDIT: Ise olen katsetanud taolist sisselogimise süsteemi, kus ühes serveris toimus siis läbi teise serveri sisselogimine. Näiteks:
1) Vajutan S1 kodulehel "Logi S2 kaudu sisse"
2) Suunatakse lehele "http://s2.ee/login?id=mingikarmnumbrijadavms" ja samas S1 saadab S2 päringu sellesama numbrijadaga
3) S2 võtab kliendi "id" vastu ning kontrollib, kas S1 on sellist "id" saatnud. Kui vastab tõele, siis suunab edasi sisselogimislehele.
4) S2 sisselogimine õnnestus, suunatakse "http://s1.ee/login?id2=mingikarmnumbrijadavms" ning samas S2 saadab S1 päringu sellesama "id" ja siis mingi identifikaatori - S2 kasutajanimi/isikukood - login õnnestus
5) S1 võtab kliendi "id2" vastu ning kontrollib õigsust ehk kas S2 saatis S1 päringu või mitte. Kui S2 "id2" on kohale jõudnud, siis võetakse vastu ka see identifikaator ja login S1 leheküljele õnnestus
LKits, kõik oleks ok, kui kontrollitaks, et andmed vastavad kontrollkoodile, mis on krüpteeritud panga poolt RSA algoritmiga oma privaatse võtmega. Sinul jääb üle vaid see omapoolselt üle kontrollida panga poolt antud avaliku võtmega.
Kui klient soovib teenusepakkuja juures läbi panga sisse logida, siis teenusepakkuja edastab kliendile krüpteerituna info, klient edastab info pangale, pank võtab vastu.
25.09.2012 17:08:03
Re: Kas Eesti netipankade kaudu autentimine on turvaline?
Tanel kirjutas:
Tallinna Ülikooli IT ala tudeng Arnis Paršovs...
minut.ee ütleb Tartu ja link tööle on ka Tartu Ülikooli veebis.
edit:
tsitaat:
Thesis was defended for the degree of Master of Science in Cyber Security (M.Sc.) in Tallinn University of Technology on June 11, 2012.
Here are the slides from the defense.
25.09.2012 19:13:45
Re: Kas Eesti netipankade kaudu autentimine on turvaline?
allu22 kirjutas:
Tanel kirjutas:
Tallinna Ülikooli IT ala tudeng Arnis Paršovs...
minut.ee ütleb Tartu ja link tööle on ka Tartu Ülikooli veebis.
edit:
tsitaat:
Thesis was defended for the degree of Master of Science in Cyber Security (M.Sc.) in Tallinn University of Technology on June 11, 2012.
Here are the slides from the defense.
TTÜ tudeng hoopis?
Ühine õppekava TTÜ-l ja UT-l - "Küberkaitse (ühisõppekava, ingl.k.)" arvatavasti.
Kui klient soovib teenusepakkuja juures läbi panga sisse logida, siis teenusepakkuja edastab kliendile krüpteerituna info, klient edastab info pangale, pank võtab vastu.
EDIT: Milleks klienti kasutada kullerina, kui saab vajaliku info otse saata...
Kuidas siis nii?
Igal juhul - kui teenusepakkuja ja panga vaheline suhtlus katkeb või ei eksisteeri, siis on suur tõenäosus, et klient ei saa ka emma kummagi poolega suhelda. Veidi loogikavaba ju...
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
