Contro il mobile banking - un RANTolo
Published on
Da tanto rugno sul tema e finalmente mi son deciso a scrivere un pubblico RANTolo. IL BANKING DA DISPOSITIVI MOBILI DEVE ESSERE CANCELLATO.
Facciamo un passo indietro, quali misure di sicurezza usano le banche per l'operatività a distanza per l'internet banking? Vi sono in UE alcune mode:
- OPT/token RSA fisici
- un portachiavi/chiavetta con piccolo display LCD che mostra un tot di numeri. Soluzione classica, costosa per la banca in effetti non molto costosa, assolutamente sicura1 e semplice;
- smart card
- semplicemente un lettore desktop, la carta bancaria usata per pagare, usata anche per autenticare, il funzionamento e livello di sicurezza è analogo a quello della CIE, ovvero è ottimo e anche se rubata serve pure rubare il di lei PIN non solo le credenziali;
- carte matriciali
- un OTP prestampato su un oggetto fisico, si chiede "un indice" (es. dimmi il codice n. 4) che corrisponde ad una stringa tipicamente numerica, per l'uso anche telefonico, ma può benissimo includere altri caratteri. Scomodo, problematico, ma praticamente valido2 pur se formalmente meno sicuro;
- tastierino random
- una moda presso alcune banche che la sicurezza non curano, chiedono solo nome utente e password ma questa la fan scrivere con un tastierino a schermo che sparge randomicamente i caratteri, non sicuro, basta poter legger lo schermo, un computer compromesso permette il furto e l'operatività;
- certificato SSL personale
- è una misura di sicurezza aleatoria, perché è molto valida sinché il sistema dell'utente non è compromesso, ma diventa inutile se questo è compromesso;
- app mobile
- IL MENO SICURO spacciato e spinto come più sicuro e motivo di questo RANTolo.
perché il III fattore, perché DEVE esser offline
Il III fattore è l'unione di qualcosa che si conosce, es. utente e password, che non dovrebbero esser scritti se non in luoghi sicuri, se al computer cifrati, altrimenti su carta in cassaforte, dissimulati ecc, e qualcosa che si possiede, es. il token fisico, la smart card. Lo scopo è far si che un sistema compromesso comunque impedisca un'operatività remota efficacie: il ladro che ha bucato un computer può copiarsi nome utente e password, anche l'OTP, che non è più valido, ma se non ha accesso FISICO al mezzo che l'OTP genera non ha modo di far nulla.
L'app ovvero il soft-token o altre varianti sul tema è un mezzo PESSIMO perché le piattaforme mobile sono PATTUME PROPRIETARIO vulnerabile ancora prima di uscir dalla fabbrica, fuori dal controllo dell'utente e sono connesse quindi se sono bucate l'OTP l'attaccante remoto se lo legge bello comodo. Ancora più comodo se la crapplicazione non è solo un soft-token ma permette pure l'operatività bancaria sullo stesso dispositivo, cosa che il 100% delle crapplicazioni bancarie in effetti fa. Far questo significa ANNULLARE il III fattore. Significa pure violare la DSP/PSD2 millandando il contrario3 ma alle banche piace spiare i clienti, tramite l'app lo fan bene, han la rubrica "ma solo per poter integrare i contatti", han pure le foto "ma solo per poter leggere i Qr di vari moduli di pagamento", la posizione "ma solo per cercar di capire se c'è un attore malevolo in mezzo" (ah, questa è il massimo, perché si, se il telefono si teletrasporta in Kazakistan per magia è chiaro che qualcosa non va, ma se è bucato e telecontrollato dal Kazakistan per la banca è a casa vostra, quindi tutto normale) e via dicendo. La banca così sa come il suo cliente guida, sa se frequenta prostitute, … conosce i suoi messaggi "solo per gli OTP SMS" e via dicendo, quindi ficcanasa bene.
perché questa scelta è folle ed ILLEGALE
La DSP/PSD2 chiede esplicitamente un III fattore, se l'app bancaria fosse solo un soft-token sarebbe insicura, ma in punta di diritto ancora ammissibile, sarebbe illegale solo usare internet banking sullo stesso dispositivo. Siccome però le crapplicazioni bancarie permettono tutte la piena operatività queste violano di fatto la norma poiché sullo stesso dispositivo sta tutto, user e password scritti dall'utente, OTP generato in loco. Un attaccante che controlla il telefono può operare, il III fattore è di fatto annullato.
I clienti che l'accettano oltre ad accettare qualcosa di illecito, che formalmente li metterebbe pure a rischio di coperture assicurative (e qui e la litigi sul tema ne son spuntati, ovviamente spariti al volo immagino con accordi tra le parti per non far capire al popolino bove la cosa) di fatto dan informazioni personali extra alla banca.
conclusione
Io ho cambiato 2 banche per non subire questa imposizione, ho spiegato alle 2 il perché. Se lo facessimo in tanti, se fossimo in tanti col cervello acceso, beh, non ci sarebbe da cambiare banca, una pubblica denuncia della violazione della norma, analisi forensi che spunterebbero per ogni crapplicazione provando lo spionaggio della banca sarebbero sufficienti a rendere questa pratica un ricordo.
Il popolo invece è bove, gli sembra pure naturale evoluzione questa follia e intanto si moltiplicano i pirataggi bancari che erano essenzialmente scomparsi da tempo coi token RSA e le smart card.
Ecco, cari lettori, il mio RANTolo è semplice: SVEGLIATEVI prima che sia tardi anche per voi in persona.
esistono teorici attacchi di temporizzazione, ma sono inapplicabili in pratica, esiste la possibilità di furto E delle credenziali E del token fisico, ma è come dire… Remota.
sono un po' decadute perché formalmente passano in chiaro per posta, quindi possono essere intercettate e copiate, è una probabilità remota almeno quanto il furto dell'OTP RSA ma rispetto a questo sono comunque macchinose e non il massimo…
le banche in genere millantano che sia questa norma ad aver imposto le applicazioni "perché più sicure", per chi volesse la norma ovvero la Direttiva 2015/2366 del Parlamento Europeo e del Consiglio è breve e di scorrevole lettura, pur vaga, da unirsi anche al suo relativo Regolamento delegato 2018/389 della commissione usato come scusa per l'art. 5 che chiede di legare l'OTP alla transazione cosa non possibile con l'OTP RSA classico, ma possibile con la smart card e per la vaghezza della norma aggirato ad es. da Unicredit che chiede di trascrivere una sorta di CAPTCHA come OTP per soddisfare l'art. 5, comunque NON relativo all'autenticazione ma alle sole operazioni dispositive.