banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi về Java Decompile với công nghệ MOBILE TOKEN  XML
  [Question]   Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 01:59:06 (+0700) | #1 | 139065
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]
Thưa các bác, chả là hôm qua em vừa đi nghe present của mấy bọn OCBC Bank, DBS Bank.

Em thấy internet banking của bọn nó có sử dụng MOBILE TOKEN có nghĩa là thế này:

0. Người dùng đăng nhập vào sử dụng username và pass.
1. Người dùng nhấn chuyển khoản
2. Trên màn hình hiện lên : Mã giao dịch : 12345
3. Người dùng chạy chương trình Java đã cài trên máy, nhập vào 12345, nó sẽ cho ra 1 cái gọi là OTP : G6E4E3
4. Người dùng nhập cái OTP này lên 1 textbox trên web, khi đó GD mới xong.

Cái này gọi là xác thực 2 yếu tố, yếu tố 1 là pass, yếu tố 2 là OTP. Vậy giả sử hacker decompile cái ctrinh java trên ĐT thì nó có thể biết được các để tạo ra OTP từ mã giao dịch, vậy thì đâu có an toàn nhỉ???
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 02:01:23 (+0700) | #2 | 139067
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]
Ối, em test rồi, tháo SIM ra, nó vẫn generate ra OTP từ Mã giao dịch bình thường các bác ah!

Thế thì em mới nói nó ko hề kết nối đến server gì cả? Hay như cái cục thiết bị token đó, khi các bác bấm nút thì nó sẽ sinh ra mã --> cái mã đấy sinh bằng thuật toán, tuy nhiên cái cục đấy thì ko ai decompile ra mà xem thuật toán đc, còn ctrinh cài trển MOBILE thì dễ bị decompile lắm, bác nào biết nó làm thế nào không?

Các bác chú ý cái ảnh của em bên dưới nhé, giữa token theo kiểu SMS và HardToken/Mobile Token nó khác nhau ở chỗ Oversea kìa, nghĩa là khi các bác đi du lịch thì chỉ có token Hard và Mobile là chắc chắn dùng được ( vì không phụ thuộc vào mạng ĐT --> ko có kết nối đến server) còn lại SMS Token thì phải tùy xem có ROAMING hay không?


[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 03:32:31 (+0700) | #3 | 139082
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Cái này xem ra bị configuration problem chớ trên nguyên tắc, khi OTP được generate trên máy con (dựa vào một số điều kiện nào đó) mà không match với giá trị trên server thì cũng vô giá trị. Điều này có nghĩa là algorithm dùng trên server và dùng trên Java client phải như nhau.

Nếu OTP đã được generate trên client mà không cần gởi đến server vẫn ok thì... chuối rồi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 03:42:13 (+0700) | #4 | 139086
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]
Úi, thế nhưng mà cái token đâu có link đến server đâu mà vẫn gen đc OTP mà bác COMALE?

Thế này, em ví dụ, KH A sẽ có mã KH là KH123 chẳng hạn.

Thế thì trên server dựa vào mã KH đó theo 1 thuật toán nào đó cứ 1 phút SINH OTP 1 lần.

Tương tự, client ( ctrinh JAVA trên mobile ) cũng sinh 1 phút 1 lần bằng đúng thuật toán của server và cũng dựa vào Mã KH, như vậy là nếu KH cầm ĐT thì sẽ có mật khẩu OTP giống với trên server còn ko cầm ĐT thì không có được.

OTP từ client không cần gửi lên server làm gì cả, KH sẽ nhập cái OTP hiện trong client vào trang web, submit lên, server sẽ kiểm tra OTP do người dùng nhập với OTP sinh ra trên máy chủ ứng với KH đó, nếu giống thì okie, khác thì từ chối giao dịch.

Em nghĩ thế, sai thì các bác góp ý ah!
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 04:32:54 (+0700) | #5 | 139094
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoisanhdieu wrote:
Úi, thế nhưng mà cái token đâu có link đến server đâu mà vẫn gen đc OTP mà bác COMALE?

Thế này, em ví dụ, KH A sẽ có mã KH là KH123 chẳng hạn.

Thế thì trên server dựa vào mã KH đó theo 1 thuật toán nào đó cứ 1 phút SINH OTP 1 lần.

Tương tự, client ( ctrinh JAVA trên mobile ) cũng sinh 1 phút 1 lần bằng đúng thuật toán của server và cũng dựa vào Mã KH, như vậy là nếu KH cầm ĐT thì sẽ có mật khẩu OTP giống với trên server còn ko cầm ĐT thì không có được.

OTP từ client không cần gửi lên server làm gì cả, KH sẽ nhập cái OTP hiện trong client vào trang web, submit lên, server sẽ kiểm tra OTP do người dùng nhập với OTP sinh ra trên máy chủ ứng với KH đó, nếu giống thì okie, khác thì từ chối giao dịch.

Em nghĩ thế, sai thì các bác góp ý ah! 


Nếu thế thì không thể gọi là 2-factors auth được.

Đây chỉ là một dạng key generation 2 phía client / server như nhau. Nếu chỉ trông cậy vào Java program trên client để generate key nào đó mà server không verify thì hỏng bét.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 04:53:13 (+0700) | #6 | 139103
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]
Hix, nhưng cái cục TOKEN cũng là "key generation 2 phía client / server như nhau" mà. Nhưng sao cả thế giới họ gọi TOKEN này là 2FA hả bác COMALE? bác giải thích giúp em với!
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 04:55:57 (+0700) | #7 | 139105
[Avatar]
4hfoo
Elite Member

[Minus]    0    [Plus]
Joined: 29/01/2007 01:50:20
Messages: 115
Offline
[Profile] [PM]
Khi bạn cài chương trình java lên ĐT di động, có cần phải nhập thông tin như password hay thông tin đặc biệt nào khác không?
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 05:04:33 (+0700) | #8 | 139107
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]

4hfoo wrote:
Khi bạn cài chương trình java lên ĐT di động, có cần phải nhập thông tin như password hay thông tin đặc biệt nào khác không?
 


À,khi mình cài lên trên máy mình, mình chọn chức năng kích hoạt MOBILE TOKEN, sau đó nhập Username và Pass được cấp vào bạn ah! bạn giúp mình với!
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 05:20:09 (+0700) | #9 | 139115
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoisanhdieu wrote:
Hix, nhưng cái cục TOKEN cũng là "key generation 2 phía client / server như nhau" mà. Nhưng sao cả thế giới họ gọi TOKEN này là 2FA hả bác COMALE? bác giải thích giúp em với! 


2FA là:

1) Username + password (cái người dùng biết).
2) Một cái gì khác (cái người dùng có).

Trong trường hợp này, cái người dùng có là cái SIM.

Nếu nhà băng tin tưởng cái SIM đó... bất tử, không mất, không bị giả mạo --> 2FA đã có.

Tuy nhiên, 2FA kiểu này yếu vì nó không cần verification gì cả. TOKEN tạo ra ở phía client (mobile) là xong.

2FA vững hơn là cần xác định một cái gì người dùng có (SIM) và nó phải generate 1 cái gì đó để server xác thực xem đó là đồ xịn hay đồ giả mạo.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 05:26:10 (+0700) | #10 | 139119
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]

conmale wrote:

nguoisanhdieu wrote:
Hix, nhưng cái cục TOKEN cũng là "key generation 2 phía client / server như nhau" mà. Nhưng sao cả thế giới họ gọi TOKEN này là 2FA hả bác COMALE? bác giải thích giúp em với! 


2FA là:

1) Username + password (cái người dùng biết).
2) Một cái gì khác (cái người dùng có).

Trong trường hợp này, cái người dùng có là cái SIM.

Nếu nhà băng tin tưởng cái SIM đó... bất tử, không mất, không bị giả mạo --> 2FA đã có.

Tuy nhiên, 2FA kiểu này yếu vì nó không cần verification gì cả. TOKEN tạo ra ở phía client (mobile) là xong.

2FA vững hơn là cần xác định một cái gì người dùng có (SIM) và nó phải generate 1 cái gì đó để server xác thực xem đó là đồ xịn hay đồ giả mạo. 


Ơ bác COMALE ơi, theo em không phải MOBILE TOKEN là theo cái SIM vì theo em biết thì Java J2ME không được quyền truy xuất đến cái SIM ấy nên không thể có được thông tin của cái SIM để làm token. Mặt khác, khi kích hoạt MOBILE TOKEN thì kết nối từ client --> server là qua GPRS ( chỉ kết nối 1 lần duy nhất, sau đó thì tháo SIM ra thì cái ĐT đó vẫn dùng để làm TOKEN vô tư).
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 06:10:05 (+0700) | #11 | 139132
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoisanhdieu wrote:

conmale wrote:

nguoisanhdieu wrote:
Hix, nhưng cái cục TOKEN cũng là "key generation 2 phía client / server như nhau" mà. Nhưng sao cả thế giới họ gọi TOKEN này là 2FA hả bác COMALE? bác giải thích giúp em với! 


2FA là:

1) Username + password (cái người dùng biết).
2) Một cái gì khác (cái người dùng có).

Trong trường hợp này, cái người dùng có là cái SIM.

Nếu nhà băng tin tưởng cái SIM đó... bất tử, không mất, không bị giả mạo --> 2FA đã có.

Tuy nhiên, 2FA kiểu này yếu vì nó không cần verification gì cả. TOKEN tạo ra ở phía client (mobile) là xong.

2FA vững hơn là cần xác định một cái gì người dùng có (SIM) và nó phải generate 1 cái gì đó để server xác thực xem đó là đồ xịn hay đồ giả mạo. 


Ơ bác COMALE ơi, theo em không phải MOBILE TOKEN là theo cái SIM vì theo em biết thì Java J2ME không được quyền truy xuất đến cái SIM ấy nên không thể có được thông tin của cái SIM để làm token. Mặt khác, khi kích hoạt MOBILE TOKEN thì kết nối từ client --> server là qua GPRS ( chỉ kết nối 1 lần duy nhất, sau đó thì tháo SIM ra thì cái ĐT đó vẫn dùng để làm TOKEN vô tư). 


Càng chết.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 10:11:26 (+0700) | #12 | 139160
[Avatar]
4hfoo
Elite Member

[Minus]    0    [Plus]
Joined: 29/01/2007 01:50:20
Messages: 115
Offline
[Profile] [PM]
Hiện tại, có nhiều cách để tạo giá trị token bằng application trên điện thoại, có cả open-source làm cái này nữa...

Mình xin đưa ra một trong các thuật toán phổ biến HOTP để giải thích cho cách hoạt động của chương trình.

HOTP = HMAC-Based One-Time Password
Bạn tham khảo trang RFC của HOTP:
http://www.rfc-editor.org/rfc/rfc4226.txt

1/ Bạn kéo xuống [Page 4], sẽ thấy phần HOTP Algorithm.
Kéo xuống xíu nữa sẽ thấy có 3 symbol tham gia vào quá trình tạo giá trị token - C, K và T.
Trong đó K là shared secret giữa server và client. K này có thể xem là password giữa server và client.
Các giá trị khác bạn có thể đọc để tham khảo thêm.


Symbol Represents
-------------------------------------------------------------------
C 8-byte counter value, the moving factor. This counter
MUST be synchronized between the HOTP generator (client)
and the HOTP validator (server).

K shared secret between client and server; each HOTP
generator has a different and unique secret K.

T throttling parameter: the server will refuse connections
from a user after T unsuccessful authentication attempts.
 


2/ Thuật toán tạo giá trị token được tóm tắt trong phần
5.3. Generating an HOTP Value

3/ Bạn kéo tiếp xuống dưới đến [Page 13]
8. Composite Shared Secrets
Tại đây, bạn sẽ biết cái shared secret được tạo ra như thế nào.
Shared secret sẽ được tạo từ nhũng thông tin liên quan đển ĐT của bạn (ví dụ số IMEI, số di động - trong trường hợp theo bạn nói thì SIM không cần, nên có thể OCBC không dùng số ĐT, số PIN ...)


In this scenario, the composite shared secret K is constructed during
the provisioning process from a random seed value combined with one
or more additional authentication factors. The server could either
build on-demand or store composite secrets -- in any case, depending
on implementation choice, the token only stores the seed value. When
the token performs the HOTP calculation, it computes K from the seed
value and the locally derived or input values of the other
authentication factors.

 



Kết luận:
Theo ý mình, khi bạn kích hoạt cái ứng dụng bằng cách nhập username và password, một quá trình trao đổi thông tin để tạo ra shared secret sẽ diễn ra giữa client (ĐT) và server.
Tất nhiên nếu bạn reverse cái application thì có thể biết rõ về thuật toán sinh ra giá trị token.
Nhưng bạn cần clone thông số hardware nữa thì bạn mới hoàn toàn duplicate thành công.

Như vậy, sau khi activate cái application, application của bạn đã có đầy đủ thông tin để tạo ra shared secret, và không cần kết nối đến server nữa.

Thân

[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 11:31:36 (+0700) | #13 | 139169
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]

4hfoo wrote:
Hiện tại, có nhiều cách để tạo giá trị token bằng application trên điện thoại, có cả open-source làm cái này nữa...

Mình xin đưa ra một trong các thuật toán phổ biến HOTP để giải thích cho cách hoạt động của chương trình.

HOTP = HMAC-Based One-Time Password
Bạn tham khảo trang RFC của HOTP:
http://www.rfc-editor.org/rfc/rfc4226.txt

1/ Bạn kéo xuống [Page 4], sẽ thấy phần HOTP Algorithm.
Kéo xuống xíu nữa sẽ thấy có 3 symbol tham gia vào quá trình tạo giá trị token - C, K và T.
Trong đó K là shared secret giữa server và client. K này có thể xem là password giữa server và client.
Các giá trị khác bạn có thể đọc để tham khảo thêm.


Symbol Represents
-------------------------------------------------------------------
C 8-byte counter value, the moving factor. This counter
MUST be synchronized between the HOTP generator (client)
and the HOTP validator (server).

K shared secret between client and server; each HOTP
generator has a different and unique secret K.

T throttling parameter: the server will refuse connections
from a user after T unsuccessful authentication attempts.
 


2/ Thuật toán tạo giá trị token được tóm tắt trong phần
5.3. Generating an HOTP Value

3/ Bạn kéo tiếp xuống dưới đến [Page 13]
8. Composite Shared Secrets
Tại đây, bạn sẽ biết cái shared secret được tạo ra như thế nào.
Shared secret sẽ được tạo từ nhũng thông tin liên quan đển ĐT của bạn (ví dụ số IMEI, số di động - trong trường hợp theo bạn nói thì SIM không cần, nên có thể OCBC không dùng số ĐT, số PIN ...)


In this scenario, the composite shared secret K is constructed during
the provisioning process from a random seed value combined with one
or more additional authentication factors. The server could either
build on-demand or store composite secrets -- in any case, depending
on implementation choice, the token only stores the seed value. When
the token performs the HOTP calculation, it computes K from the seed
value and the locally derived or input values of the other
authentication factors.

 



Kết luận:
Theo ý mình, khi bạn kích hoạt cái ứng dụng bằng cách nhập username và password, một quá trình trao đổi thông tin để tạo ra shared secret sẽ diễn ra giữa client (ĐT) và server.
Tất nhiên nếu bạn reverse cái application thì có thể biết rõ về thuật toán sinh ra giá trị token.
Nhưng bạn cần clone thông số hardware nữa thì bạn mới hoàn toàn duplicate thành công.

Như vậy, sau khi activate cái application, application của bạn đã có đầy đủ thông tin để tạo ra shared secret, và không cần kết nối đến server nữa.

Thân

 


Trời, cao thủ là đây chứ đâu, bác thật là đại cao thủ, bác ứng ử làm MOD đi bác ah! thế này quá xứng đáng làm MOD, hihi!
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 19:16:48 (+0700) | #14 | 139203
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoisanhdieu wrote:

Trời, cao thủ là đây chứ đâu, bác thật là đại cao thủ, bác ứng ử làm MOD đi bác ah! thế này quá xứng đáng làm MOD, hihi! 


Tôi thấy bồ quá lạc đề. Bồ đưa ra một tình huống ứng dụng và muốn hỏi nó an toàn hay không. Đó là mục tiêu của vấn đề bồ đặt ra. Thế nhưng có ai đưa ra một giải pháp (không phải là ứng dụng bồ đang dùng) thì bồ lại cho đó là giải pháp giải quyết cho ứng dụng của bồ đang có. Lại còn chít chát, cảm thán trong chủ đề kỹ thuật nữa.

Đề nghị rút kinh nghiệm và tránh tạo những post như thế này.

Cám ơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 21:05:22 (+0700) | #15 | 139214
nguoisanhdieu
Member

[Minus]    0    [Plus]
Joined: 30/06/2008 13:45:32
Messages: 9
Offline
[Profile] [PM]

conmale wrote:

nguoisanhdieu wrote:

Trời, cao thủ là đây chứ đâu, bác thật là đại cao thủ, bác ứng ử làm MOD đi bác ah! thế này quá xứng đáng làm MOD, hihi! 


Tôi thấy bồ quá lạc đề. Bồ đưa ra một tình huống ứng dụng và muốn hỏi nó an toàn hay không. Đó là mục tiêu của vấn đề bồ đặt ra. Thế nhưng có ai đưa ra một giải pháp (không phải là ứng dụng bồ đang dùng) thì bồ lại cho đó là giải pháp giải quyết cho ứng dụng của bồ đang có. Lại còn chít chát, cảm thán trong chủ đề kỹ thuật nữa.

Đề nghị rút kinh nghiệm và tránh tạo những post như thế này.

Cám ơn. 


Okie, em sẽ rút kinh nghiệm vấn đề này.

Tuy nhiên em thấy có một số vấn đề sau:

1. Em chat chit, cảm thán --> em xin lỗi và hứa sẽ không tái phạm.

2. Cái câu này "Thế nhưng có ai đưa ra một giải pháp (không phải là ứng dụng bồ đang dùng) thì bồ lại cho đó là giải pháp giải quyết cho ứng dụng của bồ đang có" <--em nói là em có cái ứng dụng nào đâu nhỉ, em đang hỏi về ứng dụng của OCBC cơ mà.

3. Mục tiêu chính của em là tại sao OCBC lại tự tin khi đưa ra ứng dụng như thế, vì em nghĩ nó không an toàn, em mới hỏi các cao thủ trên này, và bác 4hfoo đã trả lời em , và em biết tại sao OCBC tự tin rồi.


Có thế thôi, em chẳng thấy lạc đề gì cả? Bác CONMALE nếu có lock hay ban nick em thì giải thích cho em ý 2 và 3, còn nếu lock vì ý 1 thì em xin chịu ah!

Cảm ơn!
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 01/07/2008 21:21:32 (+0700) | #16 | 139215
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoisanhdieu wrote:

conmale wrote:

nguoisanhdieu wrote:

Trời, cao thủ là đây chứ đâu, bác thật là đại cao thủ, bác ứng ử làm MOD đi bác ah! thế này quá xứng đáng làm MOD, hihi! 


Tôi thấy bồ quá lạc đề. Bồ đưa ra một tình huống ứng dụng và muốn hỏi nó an toàn hay không. Đó là mục tiêu của vấn đề bồ đặt ra. Thế nhưng có ai đưa ra một giải pháp (không phải là ứng dụng bồ đang dùng) thì bồ lại cho đó là giải pháp giải quyết cho ứng dụng của bồ đang có. Lại còn chít chát, cảm thán trong chủ đề kỹ thuật nữa.

Đề nghị rút kinh nghiệm và tránh tạo những post như thế này.

Cám ơn. 


Okie, em sẽ rút kinh nghiệm vấn đề này.

Tuy nhiên em thấy có một số vấn đề sau:

1. Em chat chit, cảm thán --> em xin lỗi và hứa sẽ không tái phạm.

2. Cái câu này "Thế nhưng có ai đưa ra một giải pháp (không phải là ứng dụng bồ đang dùng) thì bồ lại cho đó là giải pháp giải quyết cho ứng dụng của bồ đang có" <--em nói là em có cái ứng dụng nào đâu nhỉ, em đang hỏi về ứng dụng của OCBC cơ mà.

3. Mục tiêu chính của em là tại sao OCBC lại tự tin khi đưa ra ứng dụng như thế, vì em nghĩ nó không an toàn, em mới hỏi các cao thủ trên này, và bác 4hfoo đã trả lời em , và em biết tại sao OCBC tự tin rồi.


Có thế thôi, em chẳng thấy lạc đề gì cả? Bác CONMALE nếu có lock hay ban nick em thì giải thích cho em ý 2 và 3, còn nếu lock vì ý 1 thì em xin chịu ah!

Cảm ơn! 


Tôi ít khi lock nick vì tôi không thích làm thế. Tôi chỉ lock những trường hợp quá quắc mà thôi.

Có lẽ tôi không hiểu ý định của bồ nên nhận định như thế. Lần sau bồ nên trình bày cụ thể và rõ ràng hơn ý định của mình để tránh hiểu lầm.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 28/08/2008 22:11:31 (+0700) | #17 | 148755
dongco
Member

[Minus]    0    [Plus]
Joined: 28/08/2008 09:58:22
Messages: 3
Offline
[Profile] [PM]

4hfoo wrote:

Theo ý mình, khi bạn kích hoạt cái ứng dụng bằng cách nhập username và password, một quá trình trao đổi thông tin để tạo ra shared secret sẽ diễn ra giữa client (ĐT) và server.
Tất nhiên nếu bạn reverse cái application thì có thể biết rõ về thuật toán sinh ra giá trị token.
Nhưng bạn cần clone thông số hardware nữa thì bạn mới hoàn toàn duplicate thành công.

Như vậy, sau khi activate cái application, application của bạn đã có đầy đủ thông tin để tạo ra shared secret, và không cần kết nối đến server nữa.

Thân

 


Sau khi tìm hiểu kỹ vấn đề 2-factor này,
hiện nay mình vẫn còn một thắc mắc về độ an toàn xin mọi người giải đáp dùm

nhân tố thứ nhất (cái bạn biết) thì không nói làm gì...

còn nhân tố thứ hai (cái bạn có) - chính là cái điện thoại và ứng dụng java cài trên nó.
Ta dễ dàng decomply cái ứng dụng này và biết rõ về thuật toán cũng như các tham số đầu vào đầu ra của nó.
Nếu thông số hardware trên điện thoại làm mã bí mật cho thuật toán thì, thông số này sẽ là gì ?
số emei của điện thoại ư ? dễ dàng có được khi nhấn *#06#
hoặc bất kỳ cái gì trong điện thoại nếu java đọc được thì dễ dàng decomply và chỉnh sửa cho nó show ra luôn.

Vậy là hacker sau khi mỗ cái ứng dụng java đó, cài lại trên PC, và nhập tất cả các tham số đầu vừa đọc được vào thuật toán và thế là "cái bạn có" trở thành "cái mà ai cũng có thể có". Vậy là OTP trên mobile trở thành 1-factor mất rồi.

Nếu OTP trên token - được niêm phong thật kỹ / thẻ smartcard có công nghê chống lục lọi cao nhúng ứng dụng bên trong thì chẳng ai làm gì được thì OK. Chứ điện thoại và ứng dụng java nằm tách biệt cài vào thì cái gì mà chẳng lấy được... Khó hiểu quá, bảo mật cho ứng dụng + tham số hardware để làm nhân tố thứ hai bằng cách nào đây.???

Xin mọi người tham vấn giúp.
Cám ơn tất cả mọi người.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 29/08/2008 03:07:41 (+0700) | #18 | 148794
tuandinh
HVA Friend

Joined: 05/09/2002 12:44:34
Messages: 210
Location: Thiên đường tình ái
Offline
[Profile] [PM]
Bọn Techcombank vừa rồi mới triển khai hard token đấy anh conmale. OTP đã được generate trên client ( nghe quảng cáo là cái phần cứng bé bé như cái chìa khóa)mà không cần gởi đến server ( làm sao nó gửi đến server được ?).

Có lẽ cái này không mới nhỉ ? Nhưng mà tìm hiểu chi tiết về nó thì cũng phải mất kha khá thời gian. Đ/c Thái xem bên DA có triển khai cái này không thì giới thiệu thêm tí nhỉ ?

[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 29/08/2008 03:27:43 (+0700) | #19 | 148798
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@tuandinh: xưa như trái đất. đâu cần phải kết nối được với nhau thì mới sync được dữ liệu với nhau đâu.

tui kô làm cái hardware token, hao tiền quá mà cũng chẳng an toàn hơn bao nhiêu. tui làm một cái khác đơn giản hơn, và rẻ hơn rất nhiều. sắp có rồi, đợi vài tuần nữa đi :-p.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 29/08/2008 04:48:54 (+0700) | #20 | 148813
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Cái token mà client phát sinh ra ,khi thực hiện giao dịch phải nhập vào ,server sẽ kiểm tra cái giá trị nhập vào này dựa trên thuật toán. Giá trị giao dịch mới sẽ đươc so sánh giá trị đã thực hiện giao dịch hoặc đươc khởi tạo lần đầu với những người lần đầu giao dich.

Server sẽ kiểm tra khi bác thực hiện giao dịch chứ ko phải kiểm tra vụ client phát sinh ra pass.

Đối với các OTP phần cứng thì số lần bấm có giới hạn. Bác nào bấm tùm lum sẽ không giao dịch đươc,admin phải đồng bộ cái token đó lại.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 29/08/2008 06:10:10 (+0700) | #21 | 148831
dongco
Member

[Minus]    0    [Plus]
Joined: 28/08/2008 09:58:22
Messages: 3
Offline
[Profile] [PM]

mrro wrote:
@tuandinh: xưa như trái đất. đâu cần phải kết nối được với nhau thì mới sync được dữ liệu với nhau đâu.

tui kô làm cái hardware token, hao tiền quá mà cũng chẳng an toàn hơn bao nhiêu. tui làm một cái khác đơn giản hơn, và rẻ hơn rất nhiều. sắp có rồi, đợi vài tuần nữa đi :-p.

--m 


Theo mình chỉ có hardware token (với niêm phong chắc chẻ - nội bất xuất ngoại bất nhập) thì mới có cái nhân tố thứ hai.
Còn vài tuần nữa bạn sắp ra là JAVA trên Điện thoại di động phải không?
Nếu phải có thể cho mình vài bí quyết để bảo mật cái nhân tố thứ hai này không?

Cám ơn nhiều.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 29/08/2008 06:21:30 (+0700) | #22 | 148835
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@dongco: không.

Thực tế 2FA chỉ là thứ *ai cũng làm thì ta phải làm* thôi, nếu dựa vào cái này để bảo vệ khách hàng thì sẽ sớm có ngày rước họa vào thân.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 29/08/2008 22:20:53 (+0700) | #23 | 148914
tuandinh
HVA Friend

Joined: 05/09/2002 12:44:34
Messages: 210
Location: Thiên đường tình ái
Offline
[Profile] [PM]
Lâu nay không cập nhật tin tức, ngồi xem sơ qua về vụ token này thì thấy có bài PR hoành tráng:

http://www.rsa.com/products/securid/success/TCB_CP_1007-lowres.pdf

Đang chờ vài tuần xem giải pháp của đ/c Thái như nào smilie
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 30/08/2008 01:17:41 (+0700) | #24 | 148928
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Mình nghĩ sắp tới bên Đông Á của mrro sẽ áp dụng công nghệ này VeriSign Identity Protection Fraud Detection Service

OTP và PKI ,nhất là PKI là yếu tố bắt buộc của ngân hàng nhà nước khi triển khai ebanking

Những yêu cầu theo luật Giao dịch Điện tử của Việt nam và nghị định của Ngân hàng nhà nước.
Trong mục này tôi chỉ nêu các yêu cầu cụ thể về giao dịch điện tử do Nghị định của Ngân hàng nhà nước. Lý do là nghị định này đã được xây dựng trên luật Giao dịch điện tử của Nhà nước, làm rõ cụ thể với giao dịch ngân hàng, là loại hình giao dịch mà Ngân hàng dự định triển khai với hệ thống E-Product.
- Các yêu cầu về giao dịch điện tử trong hoạt động ngân hàng bao gồm:
o Chứng từ điện tử:
o Điều kiện sử dụng chứng từ điện tử.
o Nội dung của chứng từ điện tử
o Chứng từ điện tử hợp lệ, hợp pháp.
o Quy định về định dạng
o Thời điểm hiệu lực
o Hủy chứng từ điện tử
o Nguyên tắc lập, kiểm soát chứng từ điện tử
o Lập, kiểm soát và ký chứng từ điện tử.
o Chuyển đổi chứng từ điện từ thành chứng từ giấy.
o Gửi, nhận lại chứng từ điện tử.
o Ghi nhật ký gửi, nhận chứng từ điện tử.
o Hình thức bảo quản, lưu trữ chứng từ điện tử.
o Yêu cầu về bảo quản, lưu trữ chứng từ điện tử.
o Phương án bảo quản, lưu trữ chứng từ điện tử.
o Trình tự và thủ tục bảo quản, lưu trữ chứng từ điện tử.
o Trách nhiệm của tổ chức, cá nhân được giao nhiệm vụ bảo quản, lưu trữ chứng từ điện tử.
- Các yêu cầu của ngân hàng nhà nước là khá nhiều (cụ thể nghị định được chia thành 5 chương, 28 điều). Đa phần các điều trong nghị định có thể thực hiện được bằng việc xây dựng chính sách (policy) làm việc với hệ thống E-Product cho đúng với các điều trong nghị định, xác lập các phương thức, quy trình thực hiện giao dịch điện tử phù hợp với luật, ngân hàng cung cấp các phương tiện lưu trữ, thiết bị truyền thông, thiết bị xử lý để đáp ứng đầy đủ yêu cầu khai thác, kiểm soát, xử lý, bảo quản chứng từ điện tử. Tuy nhiêu có một điểm bắt buộc để khách hàng thực hiện giao dịch điện tử là chữ ký số. Giao dịch hiện tại của E-Product không có chữ ký số, do đó mỗi giao dịch của khách hàng trên internet sẽ không có chữ ký của khách hàng. Do vậy để đáp ứng “Nghị định về Giao dịch điện tử trong hoạt động Ngân hàng” thì phía Core Banking phải xây dựng thêm việc khách hàng thực hiện ký lên giao dịch của mình bằng chữ ký số.

[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 30/08/2008 10:54:41 (+0700) | #25 | 148998
tuandinh
HVA Friend

Joined: 05/09/2002 12:44:34
Messages: 210
Location: Thiên đường tình ái
Offline
[Profile] [PM]
Tôi nhớ ko lầm thì hồi trước vikjava có post bài hỏi về chứng thực tại Verisign ? Vấn đề là why Verisign ? smilie

[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 30/08/2008 11:10:52 (+0700) | #26 | 149006
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

tuandinh wrote:
Vấn đề là why Verisign ? smilie

 

Không hiểu cho lắm, gì mà nửa thịt nửa mỡ thế.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 30/08/2008 13:09:27 (+0700) | #27 | 149030
tuandinh
HVA Friend

Joined: 05/09/2002 12:44:34
Messages: 210
Location: Thiên đường tình ái
Offline
[Profile] [PM]
Ý mình hỏi là tại sao lại đi dùng dịch vụ của Verisign cho ngân hàng của VN ?
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 30/08/2008 22:07:57 (+0700) | #28 | 149061
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
- Vì tại việt nam Verisign có tiếng và được xem là đáng tin cậy nhất
- Vì khi triển khai corebanking và ebanking thằng đầu tiên chọn verisign. Các ngân hàng tiếp theo chon để có tính kế thừa,rút kinh nghiệm đươc những thiếu soát của thằng trươc,dễ dàng triển khai.
- Các công ty tư vấn bảo mật ở việt nam thường chào hàng sản phẩm Verisign

Nếu tuandinh mở ngân hàng thích thì dùng thằng khác cũng đâu có sao smilie
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 31/08/2008 00:09:16 (+0700) | #29 | 149075
nguoididingoaipho
Member

[Minus]    0    [Plus]
Joined: 10/12/2007 00:44:11
Messages: 90
Offline
[Profile] [PM]
Ồi, sài thằng nào mà chả được. Mà ko biết có thằng nào giả được mấy cái chứng thực như của Verisign chưa nhẩy smilie?
Công Lý là diễn viên hài bỏ vợ
[Up] [Print Copy]
  [Question]   Re: Hỏi về Java Decompile với công nghệ MOBILE TOKEN 31/08/2008 02:19:15 (+0700) | #30 | 149087
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Hình như ngoài Verisign ra (và hình như có thêm Entrust nữa nhưng èo uột lắm), không có thằng CA quốc tế nào mở dịch vụ tại VN và đồng ý chứng thực cho tổ chức ở VN. Kiểu 1 mình một chợ thế thì chọn nó là phải rồi.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|