Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
THE RELATIONSHIP BETWEEN SECURITY AND USER
EXPERIENCE
DEFINISANJE ODNOSA SIGURNOSTI I KORISNIČKOG ISKUSTVA
Jovan Šikanja, ...
Kada razmatramo odnos sigurnosti i UX-a moramo da pomenemo još dva važna faktora koja
neće direktno uticati na odnos sigur...
Iako je ova odluka izazvala negodovanje korisnika potreba za dvofaktorskom autentifikacijom
pri korišćenju e-banking siste...
Uzmimo sada za primer dve banke koje posluju na teritoriji Srbije koje imaju
različite druge faktore u dvofaktorskoj auten...
Ukoliko sigurnost token sistema Banke 3 uporedimo sa sistemima koje koriste Banka 1 (CD
sertifikat) i Banka 2 (SMS verifik...
Potrebno je da uvek imamo u vidu šta je to što štitimo i koji su rizici kompromitacije. Biznis
nalog velike kompanije svak...
Uticaj na UX: Negativan
Sam uređaj blokira lagan pristup tastaturi a gornja maska iako providna previše je tamna da bi
se ...
sigurnosti čiji je efekat čisto psihološki ali je važan jer utiče na kompletnu sliku o proizvodu.
Kao što se može videti i...
Upcoming SlideShare
Loading in …5
×

THE RELATIONSHIP BETWEEN SECURITY AND USER EXPERIENCE

3,875 views

Published on

The main goal of this paper is to analyze the complex relationship of security and user experience with a focus on banking software and hardware. Instead of conventional research approaches this paper goes towards the establishment of a specific framework for reflection and decision-making when creating a banking software and hardware.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

THE RELATIONSHIP BETWEEN SECURITY AND USER EXPERIENCE

  1. 1. THE RELATIONSHIP BETWEEN SECURITY AND USER EXPERIENCE DEFINISANJE ODNOSA SIGURNOSTI I KORISNIČKOG ISKUSTVA Jovan Šikanja, online fraud and security analyst1 Abstract: The main goal of this paper is to analyze the complex relationship of security and user experience with a focus on banking software and hardware. Instead of conventional research approaches this paper goes towards the establishment of a specific framework for reflection and decision-making when creating a banking software and hardware. Key words: security, user experience, banking software, banking hardware Sadržaj: Cilj rada je analiza kompleksnog odnosa sigurnosti i korisničkog iskustva sa akcentom na bankarskom softveru i hardveru. Poznata je činjenica da sigurnosne mere mogu negativno uticati na korisničko iskustvo. Ipak, važna stavka, koja se često izostavlja, je to da softver neprilagođen krajnjem korisniku, nezavisno od postojanja/nepostojanja sigurnosnih mera, može negativno uticati na sigurnost. Rad je, umesto klasičnog istraživačkog pristupa, okrenut ka uspostavljanju specifičnog okvira za razmišljanje i donošenje odluka pri kreiranju bankarskog softvera i hardvera Ključne reči: sigurnost, korisničko iskustvo, bankarski hardware, bankarski software 1. UVOD U ovom radu analiziraćemo front-end delove bankarskih elektronskih sistema. Pre svega, bavićemo se analizom e-bankinga ali delom i ATM i POS softvera. Tema koju ćemo obraditi je odnos sigurnosnih mera na bankarskim sistemima sa jedne strane i njihov , kako će se ispostaviti, dvojak uticaj na korisničko iskustvo (u daljem tekstu UX) sa druge strane. Svesni smo potpuno opravdanog zahteva da sistemi koji se koriste u bilo kom obliku elektronskog bankarstva moraju da zadovolje adekvatne sigurnosne zahteve, bilo da su oni propisani određenim standardom ili predstavljaju primer dobre prakse. Ipak, zadovoljavanje sigurnosnih zahteva može se postići na različite načine. Najjednostavnije rečeno – na dobar i na loš način. Rad je, umesto klasičnog istraživačkog pristupa, okrenut ka uspostavljanju specifičnog okvira za razmišljanje i donošenje odluka pri kreiranju bankarskog softvera i hardvera. Akcenat je na najboljem mogućem odnosu sigurnosti i korisničkog iskustva i približavanju proizvoda i usluge win-win situaciji. Kao takav, može se shvatiti kao pilot rad na osnovu kojega se mogu vršiti detaljnije u dublje analize. 2. ZNAČAJNI SPOREDNI FAKTORI U ODNOSU UX- a SIGURNOSTI 1 E-sigurnost.net, Limundo.com - jovan@e-sigurnost.net
  2. 2. Kada razmatramo odnos sigurnosti i UX-a moramo da pomenemo još dva važna faktora koja neće direktno uticati na odnos sigurnosti i UX-a, ali će značajno uticati na finalni proizvod u procesu konstrukcije jednog bankarskog sistema. U pitanju su utisak korisnika o sigurnosti i cena samog proizvoda. Utisak o sigurnosti sistema od strane korisnika je važan posredni faktor koji ima čisto psihološki uticaj na korisnika. Jednostavno rečeno, sa strane korisnika koji nije ekspert jako je važno da sam sistem izgleda sigurno i da se korisnik oseća sigurno dok ga koristi. Stavimo se u poziciju nenaprednog korisnika koji je svoja primanja poverio banci. U ovom slučaju postoji potreba da sistem spolja deluje kao sigurno rešenje. Sa druge strane, faktička sigurnost u ovom slučaju igra sporednu ulogu, što će biti demonstrirano u primerima u ovom radu. Drugačije rečeno, mi možemo korisniku obezbediti sistem neverovatno lak za korišćenje, perfektno osiguran sa logovanjem bez lozinke i bez komplikovanih zaštita, međutim, ako sistem spolja ne deluje korisniku kao nešto što je sigurno, to se može negativno odraziti na prihvatanje proizvoda od strane korisnika. Sličan koncept, koji nije vezan direktno za bankarski softver, izneo je Brus Šnajer u eseju "The Psyshology Of Security"[1] 3. KAKVIM SISTEMIMA TEŽIMO? Imajući u vidu faktore objašnjene u prethodnom odeljku, možemo reći da težimo sigurnim sistemima, koji korisniku izgledaju sigurno, laki su za korišćenje a ne koštaju mnogo. Za postizanje rezultata imamo široku paletu sigurnosnih proizvoda, međutim zadovoljavanje svakog faktora u optimalnoj meri može biti vrlo izazovno. Na primer, ukoliko zadovoljimo potrebu korisnika da sistem koji koristi izlega sigurno, a pritom zanemarimo pravu sigurnost dovešćemo korisnika u zabludu i izložiti ga riziku. Iako možda deluje jednostavno, i ovaj odnos je višeslojan i komplikovan. Pokušaćemo da produbimo priču jednim praktičnim primerom. Dva e-banking sistema koje koriste banke u Srbiji na login stranama, kao zaštitu od keylogger-a imaju implementirane virutelne "in browser" tastature koje pozitivno utiču na utisak korisnika o sigurnosti. Virtuelne tastature pružaju relativno dobru zaštitu od osnovnih verzija keylogger programa. Međutim, suštinski, ukoliko je računar korisnika već zaražen malverom doprinos sigurnosti virtuelne tastature može se dovesti u pitanje ili čak potupuno anulirati. 4. UX I SIGURNOST: E-BANKING SISTEMI BANAKA U SRBIJI Većina banaka koje posluju na teritoriji Srbije svojim klijentima pružaju e-banking usluge. Rešenja koja se koriste na tim sistemima dosta su različita pa samim pregledom ovih sistema možemo videti dosta različitih primena sigurnosnih mera. Takođe sami sistemi zasnovani su na različitim tehnologijama od kojih svaka ima svoje prednosti i mane. Za potrebe ovog rada analiziraćemo načine na koje su na e-banking sistemima rešene dvofaktorska autentifikacija. 4.1 UX i sigurnost na primeru dvofaktorske autentifikacije 1.1.2014. na snagu je stupila Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije[2] koju je donela NBS.
  3. 3. Iako je ova odluka izazvala negodovanje korisnika potreba za dvofaktorskom autentifikacijom pri korišćenju e-banking sistema je potpuno opravdana i neophodna. Dvofaktorska autentifikacija zbog svoje prirode pokazala se kao idealan poligon za razmatranje odnosa korisničkog iskustva i sigurnosti kao i rasplitanje njihovog dvojakog odnosa. Sigurna dvofaktorska autentificakcija treba da podrazumeva suštinsku odvojenost dva faktora autentifikacije [3]. Jedino na taj način donosi adekvatnu zaštitu. Takav sistem omogućen vam je na Twitter-u, Facebook-u i Google-u ali ne i uvek i online bankarstvu. Pojasniću primerima šta želim da kažem. Da bi se neko ulogovao na vaš Google nalog koji je zaštićen dvofaktorskom autentifikacijom mora da poseduje vaše korisničko ime i lozinku (faktor 1), mora da ima pristup vašem telefonu na koji je Google poslao jednokratni kod za logovanje (faktor 2). Ako ste bili meta phishing napada i ukradena vam je lozinka vaš nalog i dalje ostaje siguran i nekompromitovan. Vratimo se sada na online bankarstvo i eksperimentalnu situaciju gde haker kontroliše računar korisnika pomoću nekog malicioznog RAT softvera. Namerno spominjem RAT jer ga za napade mogu koristiti i tehnički nenapredna lica. Na primer, DarkComet RAT (slika 1) ima vrlo jednostavan interfejs i vrlo lako se podešava. Potrebno je samo uz malo društvenog inženjeringa naterati žrtvu da instalira softver. Tada napadač ima potpunu kontrolu nad vašim računarom. Situacija je slična i kada napadač koristi sofisticiraniji malver. slika 1: DarkComet RAT - izgled interfejsa
  4. 4. Uzmimo sada za primer dve banke koje posluju na teritoriji Srbije koje imaju različite druge faktore u dvofaktorskoj autentifikaciji. Banka 1 kao drugi faktor koristi sertifikat snimljen na mini CD-u. Sertifikat je vezan za korisnikov nalog i nije moguće izvršiti plaćanje bez njegovog prisustva. Banka 2 kao drugi faktor koristi običan SMS kod koji se šalje na mobilni telefon korisnika koji je potreban da bi se izvršilo plaćanje. SMS kod je vezan za jedno specifično plaćanje. Kako bi RAT napad koji smo osmislili uticao na korisnike Banke 1 i Banke 2? Na prvi pogled možemo pomisliti se elektronski sertifikat odnosi pobedu nad SMS-om, međutim ipak nije tako. Zbog činjenice da sve više računara ne koristi CD rom u Banci 1 su dozvolili kopiranje sertifikata na USB ili hard disk. Samim tim drugi faktor autentifikacije gotovo da gubi smisao u ovakvim vrstama napada. Napadač bi vas posmatrao i gledao kako vršite prvo plaćanje (ili bi pustio keylogger da odradi taj deo posla). Pošto vam se drugi autentifikacioni faktor nalazi na samom računaru napadač ne bi imao prepreku da sam obavi transfer novca na bilo koji račun. Suštinska odvojenost dva faktora autentifikacije u ovom slučaju ne postoji i to je još jedan ispit na kome pada ovo rešenje. U identičnoj situaciji napadač bi samo mogao da posmatra korisnika Banke 2 kako vrši novčane transakcije. Napadač sam ne bi mogao da izvrši nijednu transakciju jer nema u posedu korisnikov telefon i ne može da dođe do SMS koda koji je potreban da bi se potvrdilo plaćanje. U ovom primeru vidljiva je razlika u sigurnosti. Uporedimo sada ova dva sistema sa stanovišta korisničkog iskustva. Ovde lepo možemo videti kako komplikovaniji sistem (sertifikat vezan sa vaš nalog vs. SMS kod) ne znači uvek više sigurnosti. Zašto dolazi od ove razlike? Jednostavno, suštinska odvojenost dva faktora autentifikacije, u najvećem broju situacija, zahtevaće od potencijalnog napadača da kompromituje dva sistema što je moguće, ali mnogo manje verovatno i znatno teže. Uvedimo sada u našu eksperimentalnu situaciju i Banku 3 koja kao drugi faktor koristi token. Ovde značajnu ulogu igraju i dva sporedna faktora koja smo pomenuli u tački 2 – utisak korisnika o sigurnosti i cena. Tokeni su skupo rešenje međutim snažno pozitivno utiču na utisak korisnika o sigurnosti. Posedovanje “magičnog” uređaja za koji korisnik obično ne zna na koji način funkcioniše pozitivno doprinosi generalnom utisku o sigurnosti. Što se tiče suštinske sigurnosti i otpornosti ovakvog sistema na napade to zavisi od načina na koji je implementiran. Da li se token koristi samo jednom prilikom prijave ili ističe za 30 ili 60 sekundi pa je za plaćanje potrebno generisati novi. Ipak, ranjivost token sistema na Man In The Middle napade demonstrirana je više puta. U lošijoj implementaciji token sistema ponovo nam nedostaje suštinska odvojenost dva faktora u dfovaktorskoj autentifikaciji.
  5. 5. Ukoliko sigurnost token sistema Banke 3 uporedimo sa sistemima koje koriste Banka 1 (CD sertifikat) i Banka 2 (SMS verifikacija), grafički on će stajati negde između. U dobroj implementaciji biće blizak sistemu koji koristi Banka 2). Kako se token sistem odražava na UX? Ukoliko izjednačimo sigurnost SMS-a i tokena postavlja se pitanje da li je opravdano da korisnik bude opterećen posedovanjem i nošenjem još jednog uređaja? Čak i ukoliko token sistem shvatimo kao sigurniji sistem on sa sobom vuče dosta troškova i administracije pa se postavlja pitanje finansijske opravdanosti za korišćenje ovakvog sistema. Ovde uvodimo pojam optimalne sigurnosti. 4.2 Optimalna sigurnost Ponovo se vraćamo na Odluku o minimalnim standardima upravljanja informacionim sistemom finansijske institucije. O ovoj odluci definisan je pojam autentifikacije (slika 2). Uspešnom dvofaktorskom autentifikacijom NBS smatra kombinovanje bilo koja dva faktora iz ove definicije. Neke od mogućih kombinacija su: Lozinka-Token, LIB – Otisak prsta, LIB – očna dužica, Lozinka – Rukopis i slično. Sada se stavimo u položaj prosečnog korisnika e-banking sistema sa prosečnim primanjima koji ovaj sistem koristi da bi plaćao račune i/ili kupovao online. Koji stepen zaštite bi bio optimalan za ovakvog korisnika? Da li je opravdano i potrebno koristiti biometrijske podatke u e-banking sistemu namenjenom fizičkim licima? Uzmimo u obzir samo moguću štetu koja može da nastane kompromitacijom korisničkog naloga sa jedne strance i troškova koje bi zahtevala implementacija jednog ovakvog sistema. Ovakav sistem možemo odbaciti čak i bez uplitanja dodatnih faktora kao što su izuzetno negativan uticaj na privatnost korisnika. Ugrožavanje privatnosti korisnika zarad sigurnosti može imati i negativne posledice[4]. Drugi primer koji spominjemo je situacija da određeni e-banking sistemi u Srbiji imaju ograničenja u smislu da korisnik nije u mogućnosti da izvrši isplatu na tekući račun koji se već ne nalazi u bazi proverenih računa koju kreira banka. Da bi novac bio isplaćen ka takvom računu potrebno je da korisnik ode lično u ekspozituru kako bi se račun pridodao bazi. Zarad sigurnosti koja možda i nije potrebna u ovom stepenu uništava se prednost koju e- banking ima nad klasičnim bankarstvom. Slika 2: Definicija autentifikacije po NBS
  6. 6. Potrebno je da uvek imamo u vidu šta je to što štitimo i koji su rizici kompromitacije. Biznis nalog velike kompanije svakako ne zahteva istu količinu zaštite kao nalog prosečnog korisnika. 5. ATM SOFTWARE I HARDWARE U svetlu prethodno iznesenih principa, vrlo kratko ćemo se pozabaviti sofverom i hardware- om koji se koristi na ATM-ovima banaka u Srbiji. Videćemo kako pojmovi optimalne sigurnosti, utiska korisnika o sigurnosti a i, naravno, odnosa UX-a i sigurnosti mogu da se primene i na ovaj bankarski proizvod. 5.1 Hardverska skimming i snooping zaštita Od nedavno se na bankomatima NCR-a pojavila hardveska zaštita od skimminga i snoopinga prikazana na slici dole (slika 3) Analizirajmo sada ovaj uređaj u svetlu prethodno iznetih principa: Utisak korisnika o sigurnosti: Pozitivan. Samo postojanje ovakvog uređaja kod korisnika budi pozitivan osećaj o sigurnosti samog uređaja. slika 3: Skimming zaštita
  7. 7. Uticaj na UX: Negativan Sam uređaj blokira lagan pristup tastaturi a gornja maska iako providna previše je tamna da bi se mogli lepo razaznati brojevi što sa sobom povlači potrebu za podizanjem poklopca. Takođe, kao što se vidi na fotografiji delimično je blokiran i otvor za novac što doprinosi negativnom UX-u. Uticaj na sigurnost: Negativan/Neutralan/Pozitivan. Što se tiče uticaja na suštinsku sigurnost doprinos ovog uređaja je nekonzistentan. Ova barijera pozitivno će uticati na zaštitu od libanske klopke i "radoznalih posmatrača". Sa druge strane njen pozitivan uticaj na zaštitu od skimminga može se dovesti u pitanje. Svakako, uređaj će pružiti zaštitu od kamere koja je instalirana negde na kućištu ATM-a, međutim sam uređaj i njegova konstrukcija olakšaće napadačima instalaciju kamere i/ili duple tastature na način na koji će korisniku biti još teže da posumnja da nešto nije u redu. 5.2 Redosled koraka u sistemu Pri samom procesu podizanja novca demonstriraćemo primer na koji način jedna mala UX odluka može negativno uticati na sigurnost. Redosled koraka pri podizanju novca sa ATM-a razlikuje se kod banaka u Srbiji. Nisu vršena detaljna ispitivanja ali su primećena dva različita pristupa koja se koriste: Banka 1: Ubaci karticu – Ukucaj PIN – Izaberi svotu i potvrdi – Uzmi karticu – Uzmi novac Banka 2: Ubaci karticu – Ukucaj PIN – Izaberi svotu i potvrdi – Uzmi novac – Uzmi karticu Kao što možemo videti razlikuju se dva poslednja koraka. U Banci 1 korisnik će prvo uzeti karticu a nakon toga će uzeti novac. U Banci 2 korisniku će prvo biti isplaćen novac, pa će mu biti vraćena kartica. Posmatrajmo sada ove događaje sa psihološke strane. Korisnik je došao na ATM da bi podigao novac. Njegova pažnja usmerena je novac. Kada dobije novac, u slučaju da mu je pažnja podeljena zbog razgovora telefonom ili umora normalna reakcija je da se nakon uzimanja novca okrene i ode. Hipoteza koju postavljam je da Banka 2, koja prvo isplaćuje novac pa zatim vraća karticu ima mnogo veći procenat zaboravljenih kartica na ATM-u od Banke 1. 6. ZAKLJUČAK U radu smo pokazali na koji način sigurnosne mere i sistemi mogu negativno uticati na korisničko iskustvo. Sa druge strane pokazali smo kako neadekvatno rešeni korisnički sistemi mogu negativno uticati na sigurnost. Time smo demonstrirali dvojak odnos sigurnosti i korisničkog iskustva što nam je bio primarni cilj. Kao značajan faktor, u kreiranju bankarskih sistema, uveli smo i objasnili utisak korisnika o
  8. 8. sigurnosti čiji je efekat čisto psihološki ali je važan jer utiče na kompletnu sliku o proizvodu. Kao što se može videti iz predhodnih pasusa ovaj rad predstavlja neku vrstu uvoda u razmatranje odnosa sigurnosti i korisničkog iskustva. Kao što je rečeno u uvodu ovaj rad ima za cilj da uspostavi specifičan framework za razmišljanje u konstrukciji i/ili izmeni bankarskih sistema. O konkretnim sigurnosnim merama i UX odlukama nije bilo mnogo reči. Ta razmatranja ostavljamo za naredne radove i eventualne on-demand analize konkretnih bankarskih sistema. Ad hoc analiza e-banking sistema koja je sprovedena u svrhu pisanja ovog rada govori da ima dosta mesta za napredak. Cilj profesionalaca koji se bave sigurnošću nije da naprave siguran sistem već da naprave siguran sistem koji može da se koristi. Sigurnost, sama po sebi nije cilj. Često na internetu nailazi na citat da je jedini 100% siguran sistem onaj koji ne funkcioniše. Zbog toga smo, na primeru e-banking sistema, uveli termin optimalne sigurnosti. Suština je da pre nego što krenemo da štitimo neki sistem vidimo čemu on služi i koji su rizici njegove kompromitacije. Takođe. sigurnost informacionih sistema treba da shvatimo mladu nauku čiji osnovni postulati još uvek nisu do kraja utvrđeni. Nećemo praviti greške naših prethodnika i implementirati sisteme koji su se pokazali nesigurnim. Sa druge strane, nikako ne smemo da napravimo grešku pa da sadašnje sisteme uzmemo zdravo za gotovo i da ih smatramo jedinim mogućim rešenjima. Na primer, većina sistema koje danas koristimo razvijeni su pre izlaska prvog pametnog telefona. Da li smo spremno dočekali tu revoluciju? Kao što je čuveni Brus Šnajer rekao “Sigurnost je proces, ne proizvod”. Jedino ukoliko sigurnost shvatimo na ovakav način možemo biti sigurni da ćemo uvek isporučivati kvalitetan proizvod koji je siguran i jednostavan za korišćenje. LITERATURA [1] Schneier, B. (2008) The Psychology of Security [2] http://bit.ly/1egQ2iz, 04.04.2014. [3] http://www.e-sigurnost.net/Blog/2013/ne-dozvolite-da-vam-sigurnost-bude-ubica- korisnickog-iskustva, 04.04.2014. [4] Šikanja, J. (2013) Defining the relations of security and privacy on the Internet, DIBS

×