Stworzenie zabezpieczenia w 100% skutecznego jest niemożliwe. System nie musi (i nie może) być absolutnie bezpieczny, musi natomiast realizować swoje cele biznesowe z zachowaniem akceptowalnego poziomu ryzyka. Innymi słowy - system musi być wystarczająco bezpieczny. Ale jak stwierdzić, że coś jest wystarczająco bezpieczne?
Sąd sądem, ale racja musi być po naszej stronie
Jeśli ktoś jeszcze nie słyszał, polecam lekturę: Court: Passwords + Secret Questions = ‘Reasonable’ eBanking Security. Proponowana do przyjęcia przez sąd teza jest co najmniej zaskakująca. Od dłuższego czasu są znane i aktywnie wykorzystywane ataki, które bez problemu obchodzą zastosowane w opisanym przypadku zabezpieczenia. Co więcej do przeprowadzenia skutecznego ataku nie jest potrzebna wiedza tajemna, odpowiednie narzędzia można kupić za kwotę będącą ułamkiem zysku z przeprowadzonego ataku.
Na temat autoryzacji transakcji w bankowości elektronicznej pisałem już wielokrotnie. Według mojej wiedzy w żadnym polskim banku nie jest wykorzystywana taka metoda autoryzacji transakcji, która jest całkowicie odporna na atak z wykorzystaniem malware. Pokazałem to między innymi w ramach eksperymentu z symulacją kodów SMS i tokenu C/R, przypominam:
Poszczególne metody autoryzacji transakcji różnią się tym, jak trudno je zaatakować, jak wiele musi zainwestować atakujący w celu osiągnięcia zysku. Świat nie stoi w miejscu, metoda w miarę bezpieczna wczoraj staje się "osiągalna" dla atakujących dzisiaj, bo stosowna metoda ataku została zaimplementowana w wykorzystywanych przez ONYCH narzędziach. Aktualna jednak zawsze pozostanie kwestia low-hanging fruit. A w chwili ataku mechanizm zabezpieczeń stosowany w omawianym przypadku nie był nawet nisko wiszącym jabłuszkiem, był jabłuszkiem od dawna leżącym na ziemi i z lekka już nadgnitym. A sąd sądem...
A skoro już przy temacie decyzji sądów jestem, to proponuję zastanowić się nad absurdalnością (i szkodliwością) tej decyzji ETS: Koniec ubezpieczeniowej dyskryminacji mężczyzn. Tylko czekać aż jakiś kolejny mądry wyrok zakaże uzależniać ceny ubezpieczenia na życie od wieku i stanu zdrowia klienta...
