A címben szereplő ügymenetet ismerhetjük a biztosítók gyakorlatából. Nos ilyen aláírást Photoshopban bárki sokszorosít, hamisít. A megoldás biztonság szempontjából szinte semmit sem ér. A minap a Facebook programozó csoportjában volt egy érdekes vita, 8 számjegyű, fél percig használható ideiglenes jelszavakról. Szakmai fórum, de mégis mentek az igazi marhaságok. A jelenlévő programozók közül akadt aki "csak" azt felejtette el, hogy egy próbálgatásos támadásnál (brute force) nem csak az számít, hogy a másik hányszor tudna megpróbálkozni belépni, hanem az is, hogy a te rendszered adott idő alatt hány ilyen kérést tud kiszolgálni.
Mondanom sem kell az életben az utóbbi a fontosabb korlát, és többnyire több nagyságrenddel kevesebbet tud a saját rendszered kiszolgálni, mint ahányszor egy nagyobb botnet támadna. A résztvevő emberek arról is vitatkoztak, hogy a 8 számjegyű generált jelszónál mennyit javít vagy ront a helyzeten, ha kizárjuk az olyan jelszavakat, mint 11111111, vagy egy 12121212. Nos, ha a támadó tudja, hogy generált a jelszó, akkor nem fogja előre venni a támadásnál a hasonló jelszavakat. Mert semmivel sem valószínűbbek, mint bármi más, viszont a rendszer a gyanús próbálkozásokat (jellemző minta van benne) detektálhatja.
Kizárni valamit, amit a támadó régi, már nem használt jelszavak, saját generált jelszavai, stb. megismerésével felismerhet, hogy kizárt mindig gyorsítja a támadó dolgát. Pont. Aki ezt nem ismeri fel, nem látja át a rendszert, ilyen szinten sem tudja a megoldandó problémát megfogalmazni annak a kompetenciájára bízni magunkat nem mindig a jó döntés. Pedig többnyire ők a leghangosabbak.
Láttam magam is olyan "programozót", "webfejlesztőt" aki hangosan igyekezett mindenki tudtára írni, hogy az általa megcsinált weboldal azért jó, mert egyedi fejlesztés. Majd az biztonságos lesz. Majd valaki megmutatta, hogy az egyedi fejlesztésű oldalon mennyi volt összehozni egy SQL Injection-t. Sok feltörési módszer esetében nem véd az egyediség. Bezzeg egy tesztet, ismert megoldás, ami biztonságát egyre több minden óvja sokszor nehezebben feltörhető. És míg egy Joomla kezelésében jártas munkaerőt lehet találni, így a céges oldalra könnyen kerülnek ki a hírek, a BerheltCMS by Tákoló Pistike aktuális verziójával már nehezebb a helyzet.
És azt más külső fejlesztő nehezen is fogja továbbfejleszteni. Egy-egy ilyen hiba felismerése triviális, automatizált rendszerek gyorsan végzik. A szakértelem nem ehhez kell. De bizonyára emlékszünk arra a friss történetre, amikor az UPC által használt WiFis eszközök generált jelszavai voltak megfejthetőek. Ha valaki tudja, hogy az a generált 8 számjegy milyen adatoktól függhet, akkor lehet arra is esélye, hogy ő bármikor megmondja az aktuális számot. Azt, hogy mit és hogyan lehet kitalálni, nem a "valahogy beletanult" PHP fejlesztő fogja tudni, hanem az akinek az egyetemen jól ment pl. az Analízis.
Igen: Sok fejlesztő mondja azt, hogy ő nem használja az egyetemi matekot, az ott tanultakat, stb. aztán sokszor ír meg olyat, ami pont ezért sebezhető. És igen, a matek nem használatára büszke fejlesztő megoldása nagyobb eséllyel és sokkal gyorsabban lesz fejleszthető, mint a profi mérnökök megoldása a WiFi routerek esetén. Az azok hibáját azonosító profi csapat még ott is gyorsan eljutott megfejtésekig.
Rogán úr titkosítási találmányával kapcsolatban is van aki politizál, hogy van köze olyannak aki valamint pont olyan feltételekkel vehetett meg, ahogy más is... És az ennek előfeltételéül szabott bérleti szerződés még Rogán érkezése előtt született. De az adott kérdésben nem annyira politizálni kell, hanem egy kicsit átgondolni a szakmai részét is a kérdésnek.
A gyenge pont pedig az, hogy hiába próbálják a hagyományos aláírást ők pluszban hitelesíteni, az már az ő plusz hitelesítésük előtt is lehet hamisítható. Innen pedig a gyenge pont éppen az általuk választott hitelesítés előtti időszak, ami gyengeségére sokan felhívták a figyelmet. És tök jó, alá lehet most írni a tableten. De Rogán úr amikor szabadult a cégtől, aminek termékével kapcsolatban joggal merülnek fel kétségek, egy dolgot jó eséllyel tudott...
Az új személyi igazolvány esetében elérhető hiteles digitális aláírást. Ami valóban végig védett, hiteles lehet, nem olyan könnyen hamisítható. Azaz a szolgáltatás ami feltalálásánál bábáskodott nem csak, hogy nem feltétlenül eredeti... Nem csak, hogy kevesen nézték át a megalapozottságát, és hasonló eljárásoknál ez brutális kockázat... Nem csak, hogy a sima aláírás még így is gyenge pont és oka lehet a hamisításnak... De itthon ahol ez fontos lenne éppen úgy igyekszik az állam jobbat adni, mint pl. akár a balti államokban ahol ugyanúgy megjelenik a hiteles elektronikus aláírás.
Ugyanakkor a hasonló kétes öszvérmegoldások nélkül sokkal nehezebben terjedne a papírmentes ügyintézés sok helyen. A megoldásnak tehát van némi haszna. Csak nem biztos, hogy mindenkinek engednék az ilyen félmegoldás bevezetését. Sokan viszont arra is rámutatnak, hogy a hasonló unortodox kiskapuk feltalálása nem idegen az érintett politikustól.
Az pedig, hogy akik az eljáráson dolgoztak azok egykor más cégeknek is dolgoztak, és ezt a viszonyt sikerült feltüntetni a partnerek közül, mielőtt onnan törölték... Nos: A mi cégünk, ha nem is munkaerőt, de áramot például ugyanattól a cégtől veszi, akitől a Magyar Nemzeti Bank. Ettől ők most partnereink? Várjunk, az általunk használt készpénzt is ők bocsájtják ki...
Az igazi innováció nem itt van, hanem egy kicsit érdekesebb kérdés merült fel: Ismerjük, hogy az Apple nem segített az FBI-nak feltörni a rendszert, és elutasítja az aranykulcsot. Abból baj lehet (Microsoftnál éppen van is belőle éppen némi gond) így jobb a biztonság. Az eszközt végül feltörték. Ahogy a szakértők mondták nem szabad, hogy ez nehéz legyen. Igaz: Így nehezebb bizonyítékként használni. Elhangzott, hogy az új iPhone az ujjlenyomatos azonosítással, a jobb hardwares védelemmel már más téma...
De azt sem szabad elfelednünk, hogy ezeknek az ujjlenyomat olvasóknak a korlátait is demonstrálták többen, sokszorosított ujjlenyomattal. Adatbázisból is kiszedhető. Szóval az pont kevesebbet érne. A biometrikus azonosítás és ennek hitelesítése kapcsán az újdonság az, hogy a bevált ujjlenyomat helyett jöhet a retina, az írisz, stb. ami nehezebben lenne átverhető. Csak ugye a fő gond, hogy hordozhatóra, napfényben is jól működőre korábban nem nagyon csináltak ilyesmit.
Az innováció ilyen. Az, hogy egy olyan adatot aminek a hitelessége kérdéses (kézi aláírás) egy software anélkül hitelesít, hogy meg tudna győződni annak valódiságáról nem jelent sok plusz biztonságot. Nem is annyira innováció, mint kiskapu gyártás. Ráadásul a szerződés elfogadásáról készített hang- és videofelvétel akár jobb azonosítást is tartalmazhatna, mint a Rogán féle találmány. A digitálisan aláírt folyamatos videofelvételen elegendő lehetne, ha a szerződés elfogadásához vissza kellene olvasni egy pár számból és szóból álló kódot.
Ha ez minden aláírásnál egyedileg generálódik, az időbélyegzés mellett ezt is hitelesítenék, akkor lehetne tudni, hogy a kérés megadása, a video hitelesítése között mennyi idő telik el. A rendszer közben egy hitelesített hardware eszközre küldött kódolt (más számára nem megfejthető) adat alapján a video megfelelő részére mintát is vetíthet. Ezzel a valós idejű renderelést is el lehetne lehetetleníteni. Innen az arcfelismerés, a hang azonosítás együtt már jó alap lenne.
Sok felé lenne helye az innovációnak. Így viszont mindenki eldöntheti, szerinte mennyit ér a Rogán úrhöz köthető találmány.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.