Hlavní navigace

Vladimír Kajš: Potenciál SIM karet není ještě zdaleka vyčerpán

 Autor: 29
Karel Wolf 13. 10. 2009

"SIM karta je jedno z nejbezpečnějších digitálních médií vůbec," prohlašuje Vladimír Kajš, produktový manažer SIM karet ve společnosti O2. S ním jsme si povídali o novém systému pro zabezpečení náročných aplikací O2 Enterprise Security který Telefónica O2 uvádí na trh, ale také o bezpečnosti dnešních SIM karet.

Hlavním trhem na který cílíte, je u produktu O2 Enterprise Security bankovní sektor. Jinými slovy oblast velmi citlivá na bezpečnost. Jak je u SIM karet, které dnes vydává Telefonica O2, vyřešeno zabezpečení proti čtení citlivých informací z karty a svého času populárnímu klonování? Narážím teď na pana Šamira, Davida Wagnera a další populární kryptology, kterým toto téma stále nedovolí spát.

Máte pravdu v tom, že klonování SIM karet je v komunitě lidí zajímajících se o telekomunikační security poměrně populární a kdysi hodně propírané téma. Bez obav ovšem mohu potvrdit, že se SIM karta coby čipová karta, klonovat nedá. Pokud je karta již navržená a jsou v ní data, které ji nemají opustit, není cesty ven. Každá karta obsahuje nějaký tajný klíč (Ki), který je jedinečný a kartu nikdy neopustí. Ten primárně slouží k jednoznačné identifikaci karty v síti operátora.

Nicméně je pravda, že u starých karet, které jsme vydávali do roku 2002, byl implementován algoritmus, jenž byl prolomen. Šlo o známou COMP1 (A38). U takových karet skutečně bylo možné za určitých okolností hodnotu Ki uhodnout. Docházelo u nich k útokům, při kterých karta po určitém množství dotazů prostě řekla „Ok“, čímž útočník získal identitu dané SIM karty do GSM sítě. Je ale třeba současně podotknout jednu podstatnou věc, že k vlastnímu útoku potřebuji vědomou spolupráci držitele karty. Ten mi ji musí fyzicky dát a prozradit PIN ke kartě. Dnes je počet našich zákazníků se SIM kartami s implementovaným algoritmem COMP1 už zcela minoritní.

My jsme každopádně spustili po oznámení těchto útoků jiný algoritmus (COMP2), který do dnešního dne prolomen nebyl. Mohu tedy v klidu prohlásit, že dnešní SIM karty opravdu klonovat nelze. Co se ovšem týká zabezpečení GSM bankingu či dalších aplikací v chráněné části SIM karty, tak tady může být vlastník karty zcela klidný. Správně implementovaná symetrická kryptografie (3DES), kterou GSM banking využívá podobně jako například karetní asociace EMV (Europay, Mastercards, Visa), prolomena nebyla.

Jde o to, že operátor pochopitelně klíče Ki zná a může v případě potřeby klon karty vytvořit. Takovým je třeba náš produkt Duo karta. Nicméně v tomto případě jde stále pouze o klon GSM identity, ne dat ze sekce GSM bankingu, to již operátor opravdu neumí.

Jinak mohu dodat, že například Česká spořitelna věří službám GSM bankingu natolik, že u něho nemá limit na převod peněz, kvalitu ověření staví na úroveň certifikátu.


vlada kajs

Vladimír Kajš (42 let)

Produkt manažer SIM karet ve společnosti Telefónica O2 od roku 2002
Absolvent Západočeské univerzity, Fakulta aplikovaných věd, obor aplikovaná kybernetika(1993)
Bydlí ve Zlíně, ženatý, dcera Michaela 13 let
Koníčky: cestování, tenis, lyže, dobré jídlo

Vraťme se zpět na začátek, tedy k představení samotné služby O2 Enterprise Security. Tvrdíte, že váš produkt představuje revoluci v jednoznačné identifikaci. Nápady na využití SIM karet jako unikátních identifikátorů v různých systémech zde již bylo více, v čem je váš produkt jedinečný a kdo všechno by ho mohl využít?

Předně je dobré uvést, že se bavíme o takzvané 2-faktorové autentizaci. K tomu, abych něčeho dosáhl, musím fyzicky něco mít – SIM kartu a něco znát – speciální BPIN. Ten je jiný než PIN ke kartě a nedá se na rozdíl od něj vypnout.

Po roce 2006, zavedly české banky v reakci na jistý bezpečnostní precedent další zabezpečovací kanál. Jednalo se o takzvaná jednorázová hesla (OTP – One Time Password), která v i-bankingu autorizují přihlášení a transakce. Tyto kódy se zpravidla zasílají klientům prostřednictvím otevřených SMS. Vedle SMS existuje ještě dnes nepříliš rozšířená alternativa v podobě jednoúčelového offline generátoru (přístroj vizuálně podobný kalkulačce). My jsme v rámci sekce zabezpečené zóny na SIM kartě nabídli ekvivalentní řešení, které však zdaleka není tak jednoúčelové. SIM Karta je ve své podstatě počítač a to je také jediný limit jejích možností.

Jedná se o možnost jak zabezpečit elektronické transakce, která umožní zcela jednoznačné a bezpečné ověření uživatele pouze pomocí jeho mobilního telefonu. Služba cílí na firemní zákazníky, kteří pomocí ní mohou zabezpečit své produkty pro koncové uživatele a chránit jejich data před zneužitím a neoprávněnou manipulací. Jedním z typických potenciálních klientů jsou tak právě banky.

Uživatel může generovat a zobrazovat na displeji telefonu jedinečné jednorázové kódy pro internet banking, které banky používají pro přihlášení do portálu a pro potvrzování elektronických transakcí. Výhoda oproti zasílání SMS je zřejmá, je to zejména rychlost (až 5 % SMS klíčů není využito, protože dojde pozdě nebo je chybně zadáno) a také je to řešení pro případ, kdy se chcete přihlásit ze zahraničí a nemáte roaming. Protože kódy generuje samotná SIM karta, není zde potřeba žádné pokrytí GSM signálem. Samotná banka pak ušetří za zasílání potvrzovacích SMS.

Jednou z dalších možností využití je identifikace při volání na call centrum ze zabezpečené zóny. Výhoda je v tom, že operátor nemusí dále ověřovat totožnost uživatele a volání je autorizováno rovnou v CRM systému. Současný způsob ověřování volajícího formou dotazování je relativně pomalý. To je jedna velká nevýhoda, neboť čas operátora na call centru je poměrně drahý. Další nevýhoda je v tom, že ne zrovna zanedbatelné procento (kolem 4 %) zákazníků musí být odmítnuto, neboť nejsou v časové tísni s to nějakou z ověřovaných informací zodpovědět správně. Takže se tu vytváří zbytečný stres a plýtvá časem operátorů.

S automatickým ověřováním přímo ze SIM karty tento problém odpadá a právě toto jsme mimo jiné testovali. Telefónica je pokud vím prvním operátorem na světě, který podobnou službu na svých SIM kartách nabízí.

V praxi to vypadá tak, že se zákazník místo běžně vytáčeného hovoru zavolá prostřednictvím svého SIM toolkitového menu, zadá svůj bankovní PIN a o samotné jednorázové heslo při volání na Call centrum se již nestará, to se generuje automaticky.

Další možnost využití je například integrace SIM klienta do různých systémů mobilních mikroplateb.

Mohl byste uvést nějaký příklad mimo bankovní sektor? Dozvěděl jsem se, že Telefónica tuto technologii před uvedením na trh vedle běžného testování nasazuje i do rutinního interního provozu, mohl byste k tomu prozradit více?

Jistě. Připravujeme využití pro přihlašování našich interních i externích zaměstnanců do naší VPN, úspěšně jsme otestovali vzdálený přístup do různých interních portálových řešení nebo případně do systémů jako jsou SAP či Citrix.

A mimo bankovní sektor? Ono těch možností využití této aplikace na SIM kartě je vedle OTP generátoru ve skutečnosti celá řada. Obrovský potenciál skrývá autorizace push SMS. Vyvinuli jsme řešení, které umožní jednoznačně ověřovat identitu zákazníků a autorizaci jejich požadavků pouze pomocí SIM karty a znalosti BPIN kódu. V autorizační SMS může být libovolný text o délce až 100 znaků. Teď již v podstatě záleží jen na tom, co si zadavatel vymyslí. Jednou může využívat službu pro autorizaci žádosti o navýšená kreditu na platební kartě, podruhé ke schvalování požadavků na service desk nebo například jako závazný souhlas k aktivaci/de­aktivaci nějaké služby. V podstatě k čemukoliv, kde je vyžadována tzv. neodmítnutelnost zodpovědnosti.

V budoucnu by mohla takováto SIM karta fungovat jako univerzální ‘digitální klíč‘ otevírající přístup do aplikací ovládajících internet banking, volání na zákaznickou linku, vzdálený přístup do firemní sítě (VPN) nebo portálu zdravotní pojišťovny, ověřování zákazníka poskytovatelem služeb na pobočkách, poskytnutí třetí osobě přístupu do interního systému společnosti až třeba po průkazné elektronické sázení.

Jak je to, pokud nejsem zákazníkem O2, není v tomto směru služba trochu limitující?

Není, funkci na naší SIM kartě mohou využít i zákazníci zbylých operátorů. Stačí k tomu vlastnit vedle SIM karty od O2 (klidně i předplatnou kartu nebo s tarifem Zero) ještě USB čtečku a počítač s připojením na Internet.

Dobře, vraťme se k technické stránce věci. Karta je fyzický nosič, jaký je limit na množství dat, které karta v zabezpečené zóně může uchovávat?

Na jedné SIM kartě je možné pomocí SMS aktivovat až 20 nezávislých poskytovatelů služeb vyžadujících vyšší bezpečnost pro komunikaci s koncovými uživateli.

Takto to zní všechno krásně, jak ale situace vypadá z pohledu uživatele? Jaké jsou vlastně nároky na znalosti zákazníka?

Našemu uživateli stačí znát BPIN, který dostane společně s hlavním PIN k SIM kartě. Služba je dostupná přes ikonu „O2 SIM“ v menu mobilního telefonu v sekci E-služby. Poté co zadáte svůj BPIN, se ocitáte v zabezpečené zóně, kde již čeká seznam aktivovaných služeb. Důležité je, že lze BPIN jednoduše v menu PIN manažer dodatečně kdykoliv měnit. Lidé, kteří jsou podobně jako já „postižení“ bezpečností, si můžou zadat až osmimístný kód a pravidelně si ho měnit. V tomhle mají zákazníci naprostou svobodu.

Osobně jsem zákazníkem O2, ale mám kartu ještě s logem Eurotelu, pokud bych chtěl aplikaci začít využívat, mohu si ji nechat na prodejně zdarma vyměnit, nebo je to složitější?

Funkci bezpečné zóny obsahují všechny SIM karty, které vydáváme od roku 2008. Na kterékoli značkové prodejně O2 vám ji bez problémů vymění, zdarma to ovšem pochopitelně nebude. Samotná karta i práce zaměstnance něco stojí… Je však možné, že bychom se mohli s budoucími partnery dohodnout na podobném modelu, jako svého času s bankami u služby GSM banking, kdy zákazník zaplatil nižší cenu za výměnu SIM karty a banka mu tuto částku převedla na jeho účet.

EBF16

A pokud už máte v ruce správnou SIM kartu (může být i předplatná), tak si můžete vyzkoušet, jak jednoduše funguje generátor jednorázových kódů, když si aktivujete službu na našich firemních stránkách.

Děkuji za rozhovor.

Anketa

Měníte pravidelně svá hesla k internetovému bankovnictví apod.?

Našli jste v článku chybu?
Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase