Pora przedstawić wyniki eksperymentu dotyczącego skuteczności różnych metod autoryzacji transakcji, konkretnie SMS i tokenów C/R. Na początek opiszę wyniki dla kodów SMS. A jak przedstawiają się rezultaty? Na początek może napiszę, że w 45% przypadków atak kończył się sukcesem. To chyba całkiem niezły wynik w sytuacji, kiedy osoby uczestniczące w eksperymencie spodziewają się podstępu, prawda?
Ciąg dalszy "Jak i z jakim skutkiem atakowałem kody SMS" »Monday, March 14. 2011
Wednesday, March 9. 2011
Pudelek postępujący
Jakieś 10-12 lat temu znacząco zmniejszyłem "konsumpcję" tradycyjnych nośników słowa pisanego (książki, gazety, czasopisma) na rzecz tego, co można było znaleźć w Internecie. Po prostu w sieci było więcej, bardziej konkretnych i aktualnych informacji. Oczywiście już wówczas pojawiał się problem z ich wiarygodnością, choć "bariera wejścia" dość skutecznie odsiewała kompletne bzdury.
Niestety, wszystko co dobre, szybko się kończy. W rezultacie ponownie udział wspomnianych tradycyjnych nośników w tym, co czytam, jest coraz większy. Dzięki temu coraz rzadziej mogę oglądać główne strony "najważniejszych portali", które nadzorują specjaliści od wciskania tej samej informacji wiele razy, bo przecież liczy się klik i wyświetlenie reklamy.
Trzeba pogodzić się z tym, że chodzi o pieniądze. Często nie warto (w sensie - zysk nie uzasadnia poniesionych kosztów) tworzyć serwisów na wysokim merytorycznie poziomie, jeśli korzystać będzie z tego 0.1% społeczeństwa. W efekcie to, co jest oferowane, odpowiada temu, na co jest zapotrzebowanie. Na wyjściu jest "informacyjna" papka oparta na sensacji, plotce i cudzym niepowodzeniu (przecież nic tak nie dowartościowuje frustrata).
Można biadolić nad tym, że wszystko "schodzi na pudelka". Można próbować apelować o "utrzymanie poziomu", choć akurat ja nie widzę tutaj szans powodzenia. Co więcej nie widzę uzasadnienia, dlaczego miałbym komuś mówić jak ma prowadzić jego własny biznes. Za jego własne pieniądze. Mogę po prostu nie korzystać z jego usług, lub stworzyć coś alternatywnego, jeśli uważam, że zrobię to lepiej (i mam na to środki).
Coraz bardziej utwierdzam się w przekonaniu, że byłbym gotowy zapłacić za usługę, która polegałaby na otrzymywaniu w pewnym stopniu merytorycznie zweryfikowanych aktualności z wybranych przeze mnie dziedzin. Taki agregator treści z sitem na wejściu i oceną wartościowości poszczególnych informacji (nie, crowdsourcing nie działa, daje dyktaturę przeciętności). A i za samą treść też byłbym w stanie zapłacić.
Monday, March 7. 2011
Cryptographic Storage - jak to robić poprawnie
Jeśli ktoś ma trochę wolnego czasu i zastanawia się jak go wykorzystać, polecam zapoznanie się z Cryptographic Storage Cheat Sheet i przy okazji z podcastem związanym z tym właśnie tematem. A sprawa jest istotna, wystarczy przypomnieć OWASP Top10 2010: A7 - Insecure Cryptographic Storage oraz CWE-311: Missing Encryption of Sensitive Data i CWE-327: Use of a Broken or Risky Cryptographic Algorithm. By całość była bardziej na czasie, zwracam uwagę na punkt Rule - Store the hashed and salted value of passwords.
Thursday, March 3. 2011
Zrób kilka przelewów i nie daj się okraść
Pora na kolejny eksperyment. Tym razem jest on związany z bankowością internetową i tematem autoryzacji transakcji. Eksperyment jest podwójny ponieważ symuluję w nim dwie metody autoryzacji transakcji. Pierwsza jego część związana jest z autoryzacją transakcji przy użyciu kodów jednorazowych dostarczanych poprzez SMS. W drugiej części w ograniczonym stopniu symuluję autoryzację transakcji przy użyciu tokena challenge/response. Zadanie polega na wykonaniu przelewu tak, jak w normalnym banku, który korzysta z tych metod autoryzacji transakcji. Po prostu zrób kilka przelewów i nie daj się okraść.
Ciąg dalszy "Zrób kilka przelewów i nie daj się okraść" »