Dugo nisam imao post na blogu i obećavam da će se to promeniti u budućnosti. Nemam neki dobar izgovor. Očekujte aktivno proleće i leto na e-sigurnost.net. Ipak, radilo se u međuvremenu. Posećivao konferencije a u saradnji sa RNIDS-om i kolegama Boškom Radivojevićem i Lukom Gerzićem, održao nekoliko edukativnih predavanja studentima o važnosti sajber bezbednosti.
Kao najavu za aktivniji period na blogu – jedan kraći post, više onako za razmišljanje.
Kada je u pitanju e-sigurnost, nekako bi logično bilo za pretpostaviti da su najsigurniji i najzaštićeniji nalozi i servisi gde se vrše određene finansijske transakcije. Do tog zaključka možemo doći zdravorazumskim razmatranjem. Više se štiti onaj servis gde se nalazi novac, zar ne?
Ipak, u praksi nije uvek tako a banke su te koje bi mogle dosta toga da učine na pravilnoj edukaciji svojih korisnika. Videćemo i zbog čega. U ovom postu ću vam predstaviti jedno „sigurnosno“ rešenje koje koristi jedna banka koja posluje u Srbiji a koje, po mom mišljenju, stvara nikakav ili čak potpuno suprotan efekat od sigurnosti.
Evo šta je u pitanju:
Na fotografiji iznad vidite login stranicu za ulazak na e-banking jedne banke koja posluje u Srbiji.
Umesto da kucate lozinku koristeći tastaturu, defaultno je aktivirana virtuelna tastatura. Dok je virtuelna tastatura aktivna, ne možete kucati uz pomoć obične tastature.
Kada kliknete na polje da istu isključite, izlazi vam pop up prozor:
Sada sam vam dužan jedno malo pojašnjenje. Zašto virtuelna tastatura na prvom mestu? Virtuelne tastature su se pokazale kao vrlo otporne na neke verzije keylogger softvera(ili čak hardvera). Keyloggeri obično hvataju šta je to što pritiskate po tastaturi a nemoćni su kada koristite virtuelnu tastaturu kao što je ova.
Gledano samo sa te strane, ovo rešenje je u redu.
Pa zašto onda blogpost?
Iz prostog razloga zato što je ovo rešenje daleko od dovoljnog da bi se postigao bilo kakav minimalan stepen zaštite.
Ukoliko portalu pristupa neko ko na svom računaru ima keylogger koji ubacio napadač ova virtuelna tastarura će doprineti sigurnosti od 0 do 1%. Najveći previd ovakvog rešenja je pokušaj da se na ovakav način reši problem kada korisnik sa kompromitovanim računarom dolazi na portal. Gde je keylogger tu je i trojan, gde je trojan tu je i worm ili neka maliciozna browser ekstenzija. Pred tim izazovima jedna virtuelna tastatura je poptuno beskorisna. Da budemo pošteni, rešiti problem pristupa kompromitivanog računara nekom online servisu, jako je teško rešiti (ukoliko je uopšte i moguće) aplikativno ili serverski.
Ono što je meni najviše zasmetalo je poruka koju dobijemo kada isključimo virtuelnu tastaturu. Iz prethodnog pasusa vidi se da tako nešto jednostavno nije tačno.
Ovo je ono što je važno i što sam želeo ovim postom da vam prenesem. Sa psihološkog stanovišta (a nakon nastanka incidenta i sa svakog drugog), pogrešna, površna ili neadekvatna sigurnosna edukacija može biti mnogo opasnija od needukacije. Razlog za to je što korisnik u tom slučaju ima lažan osećaj sigurnosti pa mu je delovanje dosta opuštenije jer duboko veruje da zna šta radi. U praksi to može dovesti do raznih problema i incidenata. U perspektivi takav korisnik može da napravi sebi više štete od uplašenog korisnika koji nije siguran šta i kako radi.
Iz tog razloga, odgovornost je na vlasnicima servisa da pripaze koje su to poruke koje šalju korisnicima i da li su one adekvatne.
Što se tiče konkretnog ove virtuelne tastature, njen najveći doprinos nije u sigurnosti već u ubijanju UX-a za korisnike.
O odnosu UX-a i sigurnosti pisao sam prošle godine.
Zašto ne napišeš o kojoj je banci reč? Izminiraću pa ću reći ja – Socciete Generale 🙂
Jedna od stvari koja me izluđuje je i ta virtualna tastatura. Ako mi je kompjuter kompromitovan džaba im ova rabota, baš kao što si napisao
Nije ta banka 🙂
Mislim nije toliko bitno koja je.
Inače, iz iskustva, kada ih pominješ ovako „mentionless“ uvek se prepoznaju 🙂
Ovde čak imaju i sliku.
U pravu si, kod ovih je malo drugačiji interfejs http://i.imgur.com/WJtmBWH.png
Alpha Banka 🙂