Názory k článku
Češi vydávají malé zařízení Talisman pro bezpečné přihlašování k bankovnictví a aplikacím
-
Jakmile nekdo tvrdi ze se jedna “v současnosti nejbezpečnější způsob přihlašování” tak jde o marketing a ne bezpecnost. Od tohodle zarizeni ocekavam primarne bezpecnost a jelikoz tam nevidim zadne certifikace typu FIPS tak je to budto startup produkt do ktereho investovat nebudu, nebo se jedna o produkt/firmu ktera z jakehokoliv duvodu certifikaci nema coz je zase duvod tohle nekupovat. Krome toho tam vidim pro me zasadni technicke omezeni - 9 aplikaci ktere se muzou pripojit k jednomu zarizeni. Pokud je to tak, ze to jedno zarizeni podporuje max 9 bank, nebo dokonce jenom 9 bankovnich uctu /nebo sluzeb tak bych tech zarizeni musel mit nekolik coz z pohledu uzivatele stoji za prd.
-
WULTRA? To je firma, která stojí za tím, že bankovní aplikace ČSOB v mobilu vyhodnocuje Facebook a Messenger jako potenciálně závadné a jako "řešení" nabízí odinstalování (když ve skutečnosti třeba u mobilů Samsung tyto aplikace odinstalovat vůbec nejdou). Potěš koště, jestli stejně bude fungovat i ten HW z článku...
-
Dobrý den, dovolím si malé technické doplnění...
Talisman je postavený nad stejným FIDO2 standardem, jako například Yubikey. FIDO2 pak definuje dva způsoby uložení credentials: "resident keys" a "non-resident keys" (v nové terminilogii discoverable/non-discoverable credentials, zde se mi sémanticky hodí spíše původní označení).
V případě použití "resident keys" jsou klíče uložené přímo v HW autentikátoru. Takto uložené klíče se používají přímo pro podpis autentizační challenge (a metadat požadavku). Talisman i Yubikey mají omezení na počet takových klíčů. My jsme konfiguračně zvolili číslo 9 (méně, než má Yubikey), přestože bychom jich asi mohli mít více. Částečně jsme to udělali kvůli různým omezením uživatelského rozhraní (např. rychlost volby služby na PIN klávesnici), částečně proto, že díky federované autentizaci může jeden ID provider zabezpečit desítky služeb, a hlavně proto, že našim klientem je primárně banka a vyšší počet služeb nebyl pro use-case banky potřeba.
V případě použití "non-resident keys" je pak na zařízení vyhrazený jeden statický klíčový pár, který se nepoužívá k podepisování, ale k šifrování. Při přidávání nové služby se generuje nový klíčový pár specifický pro danou službu, privátní klíč této služby se šifruje statickým public klíčem, a takto šifrovaná hodnota je uložená na serveru jako identifikace credentials. Při autentizaci následně služba do autentikátoru prezentuje šifrovaný privátní klíč, a autentikátor jej statickým privátním klíčem dešifruje, a spočítá podpis challenge. Tímto mechanismem je možné podporovat neomezené množství služeb.
V rámci Talismanu jsme se rozhodli podporovat pouze "resident keys", protože jsme chtěli preferovat ukládání privátních klíčů s ochranou PIN kódem přímo na zařízení. V obou případech je pak autentizační flow pevně spojené s doménou, díky čemuž dochází ke zvýšené ochraně proti phishingu.
-
Podobnou certifikaci fakt neziskate za par mesicu... to neni jak osvedceni douladu ala CE. Mimoto, kolik veci ve vasich rukach tu FIPS certifikaci opravdu ma? ;-) Co treba vas mobil a jeho TPM?
Treba i ve FIDO tokenech tech "klicu" zrovnatak nemuzete mit neomezene, stejne jako nemuzete mit neomezene certifikatu v obcance. Vetsina pouzivanych tokenu papirove FIPS taky nema, a nase obcanka...? :-)
A do ceho (ne)budete investovat ve finale stejne rozhodne nekdo jiny. Uzivani jinych vami pouzitych prostredku se zneprijemni, zpoplatni a nebo i znemozni a vy stahnete ocas...
-
Dobrý den, Robine, s Vaším názorem na certifikace se naprosto shodujeme.
V tvrzení o bezpečnosti se odkazujeme především na použitý standard FIDO2/WebAuthn realizovaný skrze samostatný bezpečnostní klíč, který v různých bezpečnostních modelech (např. CASMM) zaujímá nejvyšší pozici zejména díky vestavěné ochraně proti phishingu (spojení autentizačního procesu s doménou) a vyšší odolnosti proti útokům, které cíli na mobilní autentikátory (mobilní malware, remote desktops, atd.). Srovnáváme se s hesly, code-based autentikátory, či dnes nejvíce populární autentizací přes mobilní aplikaci.
Jelikož naše zařízení je postavené na standardu FIDO2, jsou pro nás relevantní především certifikace FIDO Aliance (které probíhají v součinnosti s akreditovanou bezpečností laboratoří). V tuto chvíli je výrobek v součinnosti s FIDO Aliancí testovaný na základní interoperabilitu, na cestě je základní certifikace, díky které budeme moci zařízení distribuovat jako "FIDO2 Certified", a naší ambicí je postupovat v certifikaci až na úroveň L3+, na kterou si věříme zejména díky použití dedikovaného chipu "secure element" od Infineon a celkové stavbě autentikátoru. Držte nám palce! :-)
Zařízení nyní opravdu podporuje pouze 9 služeb - je to omezení, které jsme zvolili v součinnosti s našimi klienty (banky) s ohledem na zamýšlené použití zařízení (primárně specializované cílovky, jako např. korporátní klienti, účetní, prémioví klienti, či klienti s averzí k využívání smartphone pro autentizaci).
-
Zajiste jste si vsimnul, ze ani ta certifikace u iPhone neni zarukou toho, ze tam nejsou skarede bezpecnostni chyby (v roce 2023 dvacet zero-day) :-) Aby to nakonec s FIPS u iPhone nebylo podobne jako je k videni u FAA... staci se podivat na Boeing, ze...? ;-) Tu a tam upadnou dvere, tu a tam to spadlo. Toliko k te slepe vire v certifikace. Ne, bezpecnost fakt neni o papirech (i kdyz jisty brnensky urad je jineho nazoru, podobne jak vy). S tim, jak se obcas "dela" i takove ISO jsem uz take obcas do styku prisel.
-
Dobrý den, Talisman je postavený nad stejným technologickým základem FIDO2, jako Yubikey (přestože Yubikey podporuje i starší standardy, např. HOTP/TOTP). Z tohoto pohledu je zajištěna podobná kompatibilita se službami. Jelikož ale Talisman zamýšlíme jako zařízení pro ochranu pouze těch nejvíce citlivých služeb (a typicky vám ho poskytne banka, pokud o to budete mít zájem, např. pro firemní účet), počet služeb jsme omezili.
Co se velikosti týče, rendery na našem webu bohužel ne zcela dobře ukazují, že zařízení je poměrně malé (menší už by vlastně být nemělo, špatně by se drželo). Rozměr zařízení je 78x47x9mm, zařízení váží 24g. https://www.wultra.com/manuals/hardware-authenticator
-
Dobrý den, samozřejmě respektujeme Váš názor a s empatií vnímáme Vaše rozhořčení, ale snažíme se nebýt úplně náhodnou firmou - jako společnost certifikace i garance samozřejmě máme, přestože neustále vnímáme potřebu se v těchto ohledech zlepšovat (a jako dodavatele pro bankovní sektor nás k tomu nutí i legislativa). Základní přehled firemních a produktových certifikací uvádíme například zde: https://www.wultra.com/compliance
-
taková cihla, lidi cestují a používají banku na mobilu, naprosto příšerné, když budu mít 10 bank tak budu muset cestovat s deseti krabičkami abych měl přístup ke svým penězům?
Důvod pro standardní yubikey je ten že jeden klíč a můžete ho použít na 100 různých účtů a tímpádem cena za 1 je nedůležitá, protože se to rozdělí a rád to zpalatím. Nevím o tom že by někdo vyhackoval yubikey a stejně je to jen 2 faktor tak je vždy třeba ještě heslo.
-
Dobrý den, ano - to jsme bohužel my. :-( Velice mě mrzí, že Vám naše služba pro in-app protection komplikuje přístup k bankovnictví. Věřte, že řešení neustále vylepšujeme a součástí našich úprav je i omezení false positive detekcí. Bohužel, aplikace "Facebook" a "Messenger" jsou (spolu s aplikacemi "Chrome", "Instagram", "DHL" a "UPS") nejčastější převleky bankovního malware. Ten v českých podmínkách během úspěšných podvodných kampaní pustoší účty klientů a Ti tak přichází o desítky milionů korun. Banky jsou v tomto navíc nevinně. Jelikož dle platné legislativy (PSD2) banka musí provádět kontrolu na přítomnost malware a je zodpovědná za škodu, musí používat řešení pro vestavěnou anti-malware ochranu.
-
Dobrý den, ano - děkuji, přesně tímto směrem míříme. Spekulujeme, že budoucnost bude autentizaci založenou na silném faktoru vlastnictví preferovat (aneb co dnes v online prostředí znamená moje heslo nebo obličej?). Přesto hlavní využití očekáváme v blízké době především u specifických cílových skupin bank (korporátní klienti, premium banking, atd.).
-
Danny, soucasny stav je, ze o bezpecnosti daneho zarizeni tvrdi jenom jeho vyrobce ze je nejbezpecnejsi. Zadny audit zarizeni neprobehl, zadnou certifikaci nema, takze jedna se jenom o marketingovy zvast vyrobce. Az bude mit nejake audity, certifikace, tak se muzeme bavit o tom jestli je nejbezpecnejsi nebo ne. Kdyz se chceme bavit o mobilech, tak treba ten muj ma certifikace pro OS https://support.apple.com/guide/certifications/ios-security-certifications-apc3fa917cb49/web . Jak je na tom android netusim.
Ceska obcanka me nezajima, je to tunel na ntou bez nejakeho vyznamneho prinosu obcanum.
Tokeny si vybiram tak aby nebyli od nahodne ceske firmy bez bezpecnostnich auditu a bez certifikaci a ano, vsechny tokeny ktere mam maji FIPS certifikaci (dle urceni ruzny level).
O investicich pro sebe a sve firmy rozhoduji sam a treba tohle by neproslo v zadne me firme z pohledu bezpecnosti (neresim ja). Jestli ty nakupujes random hw preprodavany ceskou firmou ktera si do nej nahraje neco svyho je na tobe, za me tohle nema s bezpecnosti nic spolecneho.9. 7. 2024, 20:49 editováno autorem komentáře
-
Možná bych ještě doplnil upřesňující komentář k úplně poslední větě Vašeho příspěvku: Talisman je náš výrobek - vyroben v Česku, dle našeho designu hardware, samozřejmě také s vlastním firmware a appletem pro Java Card. Jsme tedy opravdu kompletním výrobcem řešení (tedy "nenahráváme firmware na cizí random hardware", nic nepřeprodáváme)...
9. 7. 2024, 23:54 editováno autorem komentáře
-
Zajímavé je, že u jiných bank mimo ČSOB se tento problém nevyskytuje. Asi využívají jiná technologická řešení, než to od WULTRA.
Každopádně si WULTRA snad může před vydáním svého produktu zjistit, že aplikace Facebook a Messenger prostě není možné z určitých značek telefonů odinstalovat (což je právě případ Samsungu, který je mimochodem nejprodávanější značkou na trhu) a podle toho se i zařídit. Nikoliv vypustit něco s takovým bugem, to je prostě neomluvitelná věc.
-
Tak znovu - je to odpovednost banky, jak si rizika zhodnoti a jak se k nim postavi. Vy tu odpovednost nemate. Ale nic vam nebrani do te banky nastoupit a odpovednost prevzit... myslim ze byste stahnul ocas jako vystraseny mopsik ;-) Ono kdyz odpovednost sam nemate, tak se to zvani o tom, co maji druzi delat snadno, ze?
-
Tak konkrétně - telefon Samsung z CZ distribuce, Android 13, One UI 5.1, úroveň opravy zabezpečení 1. května 2024 (telefon pochopitelně bez jakýchkoliv SW úprav typu root). Jak Facebook, tak Messenger jsou oficiální aplikace, jenž byly součástí systému. Takže se nejedná o něco, co se jako Facebook nebo Messenger tváří, ale jde o skutečné a originální produkty. A to by si WULTRA měla nepochybně vždy předem ověřit, aby nedocházelo k již zmiňovaným hláškám (a které navíc u jiných bank, jak jsem již psal, nejsou). A rozhodně bych nepodezříval Samsung, že bude distribuovat nějaké problémové verze, jenž vykazují znaky bankovního malware.
-
Dobrý den, v ČR naše technologie pokrývá skrze různé bankovní aplikace přibližně 5 milionů zařízení. Problém (přestože se nejspíš s některými aplikacemi netrefíme) tedy není hromadný.
Naše technologie se nestará až tak o to, zda se nějaká aplikace jmenuje Facebook nebo Messenger - díváme se na problémové příznaky, např. sadu oprávnění, chování aplikace (např. "prezentuje overlay" nebo "zachycuje obsah obrazovky"), specifické markery bankovního malware (např. struktura APK) a samozřejmě vydavatele aplikace (signer certificate) a identifikátor balíčku aplikace (package name). Každé aplikaci přiřazujeme rizikové skóre. Jen pro představu, například aplikací s názvem "Facebook" v našem systému evidujeme něco 171 tis. (ne různých instalací, ale různých aplikačních balíčků s názvem "Facebook").
-
Zbavit banky se opravdu nemohu a důvodů je více.
A ano, zjevně jenom žvaníš, aby ses zase zviditelnil a vůbec nechápeš, že debata je o tom, že u jiných bank ten problém s FB a Mess není, takže to je čistě o tom, jak to WULTRA nastaví. Běž se radši věnovat své úchvatné IPv6 (nebo u čeho ses chvástal, jaký jsi guru) a nepleť se do problematiky, o který nic nevíš ani z doslechu.
ČLÁNKY DO MAILU