2022. október 2., vasárnap

Gyorskeresés

Titkosított SMS pedig nem létezik

Írta: | Kulcsszavak: biztonság . sms . otp . bank . internet

[ ÚJ BEJEGYZÉS ]

Most olvasom a portfolio cikkét, miszerint az OTP is átállította az összes ügyfelét a kötelező SMS-es azonosításra, azaz OTP-re (One-Time Password).

Az említett cikkben volt egy szösszenet azonban, ami nem hagyott nyugodni. Nem szeretek mindenhova regisztrálni, így úgy gondoltam, itt írom ki magamból a véleményeményemet a CIB "szakértőjének" alábbi nyilatkozatával (főkén az aláhúzott résszel) kapcsolatban:

"A technikai lehetősége megvan az SMS tartalmakhoz való hozzáférésnek, és illegális felhasználásának. Ez a banki oldalon rendelkezésre álló eszközökkel nem gátolható meg (az SMS szabványos volta miatt nem küldhető például speciálisan védett vagy titkosított SMS). Ez kifejezetten az az eset, amikor az ügyfelet támadják és emiatt már csak az ő gondosságán, és óvatosságán múlik a bankolás biztonságos volta. Ugyanazon elvek alapján kell eljárni a mobil eszköznél is, mint amik a hagyományos számítógépeknél is érvényesek: legális, folyamatosan frissített programokat kell használni és naprakész, kártékony szoftverektől védő programot kell folyamatosan futtatni az arra alkalmas mobil eszközön. A kártékony szoftverek elleni programok (vagy egyszerűbben mondva antivírus programok) képesek felismerni és megakadályozni a kémszoftverek működését és el tudják távolítani azokat a mobil eszközről "

A véleményem csak annyi, hogy bár az SMS szabványos forma miatt mégis pont ezért van lehetőség olyan formátumú üzenetet készíteni, melyhez a telefonon futó alkalmazás nem tud hozzáférni. Ugyanis az SMS - amit ilyen néven ismerünk - csupán csak egy a több felhasználható szabványos (és kevésbé szabványos) formából. Ott van a Nokia névjegyküldő módja, képet, sőt egyéb multimédiát is lehett küldeni nem szöveges üzenet formájában. Ugyanígy lehetőség van más - pl. bináris - SMS küldésére, amennyiben a méretkorlátot betartjuk és az sms fejléc a szabványnak megfelelően formázott.

Szóval 140 byte-ban bőséggel lehet titkosítottan is kommunikálni - ahogy teszi ezt már ~ 10 éve az egyik "független fejlesztő" gondozásában készült mobilbanki alkalmazás. Jelenleg a szolgáltatást az FHB promótálja - bár a feljesztést 2002-ben még más színekben kezdte el a csapat. Ahogy olvasom, most már éppen ki is vezetik - végül is nem is csodálkozom rajta... Az SMS felett eljárt az idő, az okostelefonok - és főleg a mobilinternet - korában az SMS őskövületnek tűnik. Mindenesetre a titkosított SMS rendszert kidobni dőreség, hiszen ez még mindig egy független csatorna tud lenni az egyre inkább komputerizálódó mobilok (okostelefonok) korában.

A Titkosított SMS témára visszatérve. A rendszer alapvetően PKI alapon működik. Az bank/szolgáltató aláírja az üzenetet a kliens publikus kulcsával (aminek a párja a kliens SIM kártyán van tárolva) és a saját privátjával, és így az csak a kliensen (telefonon) bontható ki a telefon használójának közreműködésével, a kulcshoz tartozó PIN beírásával.
Ez a megoldás még mindig csökkenteni tudná a telefonon futó rosszindulatú kód mozgásterét, hiszen a felhasználó beavatkozása nélkül nem tud a titkosított SMS tartalmához hozzáférni. Persze egy megfelelően mély szinten megvalósított mobil kártevő ezen az akadályon is képes átvergődni, de egy normál (nem rootolt) okostelefon esetén ez a veszély nem fenyeget.

Összegzésül: titkosított SMS küldésére igenis van lehetőség, csupán a pénzintézetek nem kívánnak plusz erőforrást befektetni a technológia használatába mivel az SMS már-már az elavult technológiák közé tartozik.

Hozzászólások

(#1) sztanozs


sztanozs
veterán

Titkosított SMS-t küldeni nem kell félnetek jó lesz... ;]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#2) lapa válasza sztanozs (#1) üzenetére


lapa
veterán

smart kártyát mindenkinek. nem lenne rossz a telefon simjével bejelentkezni a gépre mondjuk.

(#3) sztanozs válasza lapa (#2) üzenetére


sztanozs
veterán

a sim igazából smart kártya, tud mindent, amit egy smart kártya tud... csak - mivel benne van a mobilodban - nem tudod más eszközben használni: [wiki]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#4) dabadab


dabadab
titán

Abban igaza van, hogy titkositott SMS-t nem lehet kuldeni, abban nincs, hogy ez azert lenne, mert szabvanyositott (valojaban azert, mert szabvanyositott ES a szabvanyban nincs titkositas).
Abban persze igazad van, hogy lehet alkalmazast irni arra, hogy az SMS szovegebe valami titkositott holmit rakjon meg onnan kiolvasson, de ehhez kulon alkalmazas kell, ami vagy kompatibilis az adott telefonnal vagy nem, illetve a konkret esetben nem is nagyon old meg semmifele problemat.

DRM is theft

(#5) sztanozs válasza dabadab (#4) üzenetére


sztanozs
veterán

Az alkalmazott megoldásban maga a program a "SIMen fut", így a telefonnal szinte mindig kompatibilis.
2002-ben, amikor a fejlesztés elkezdődött még voltak olyan telefonok, amelyek nem támogatták a SIM-alkalmazásokat, mára már szerintem már nincs ilyen. Az egyetlen "gond" az, hogy data sim kell az alkalmazáshoz (amelyik rendelkezik "jelentősebb" - 64KB vagy 128KB - belső memóriával) - de mára már ezek ára sem olyen eget rengető, mint 10 éve volt.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#6) lapa válasza sztanozs (#3) üzenetére


lapa
veterán

ne már. komoly?

(#7) sztanozs válasza lapa (#6) üzenetére


sztanozs
veterán

Poénból kérdezed?
Van otthon egy repi smartcardos pendrive-om (Gemalto) - egyszer szédszedtem és egy sima SIM szabványosnak kinéző smart kártya volt benne - lábkiosztásra nem emlékszem, hogy azonos volt-e, de ha igen, akkor lehet, hogy akár a telefon SIM-jét is megenné. Este lefotózom szétpattintva, ha érdekel :D

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#8) lapa válasza sztanozs (#7) üzenetére


lapa
veterán

hát ja. nem véletlen írtam a két dolgot eredetileg is egymás mögötti mondatokba.

küzdöttem egy kört nemrég eap-sim wifi authentikációval, de nem sok sikerrel. azóta se tudom, hogy készülékfüggő-e, vagy csak a winmo hulladék.

meg ezek a kártyás szabványok is nagyon kuszák nekem, itthon is szenvedtem eleget mire összehoztam. fyi.

elég valószínűtlen, hogy simmel meg mondjuk androiddal meg lehet csinálni, de ez csak megérzés, amúgy fingom nincs a témáról.

(#9) sztanozs válasza lapa (#8) üzenetére


sztanozs
veterán

Lehet, hogy megnézem otthon, mit tud a gemalto repi pendrájvom :D

A telóval a gépre bejelentkezés azért necces, mert a telónak nincs "biztonságos" smartcard kivezetése. Illetve ha elterjedne a wireless megoldás, akkor meg kellene a gépekbe olvasó.

Terveztük amúgy egy darabig, hogy ilyen belépőkártyás rendszerünk lesz - de több lett volna vele a gond (operációs probléma), mint a biztonsági hozadék.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#10) lapa válasza sztanozs (#9) üzenetére


lapa
veterán

veszel bele sim méretű kártyát és tada hardverkulcs. meg teló simjét tudod korlátozottan macerálni vele. de azon manapság már nem sok minden van.

További hozzászólások megtekintése...
Copyright © 2000-2022 PROHARDVER Informatikai Kft.