Odpowiedź na artykuł Tomasza Zielińskiego

9 stycznia 2017 r.

Odpowiedź na artykuł Tomasza Zielińskiego

Opublikowany

Poniższa odpowiedź została wysłana Tomaszowi Zielińskiego w odpowiedzi na artykuł "Billon, albo bardzo wysoki koszt shackowania", opublikowany na jego stronie internetowej.

Billon traktuje poważnie bezpieczeństwo użytkowników i ich środków. Niezależnie od artykułów zleciliśmy przeprowadzenie wspomnianego audytu bezpieczeństwa, którego autorem była firma SecuRing. Raport z audytu opisuje błędy wpływające na bezpieczeństwo systemu, także te wymienione w Pańskich tekstach. Byliśmy więc świadomi tych luk i pracowaliśmy nad ich likwidacją jeszcze przed publikacją artykułów.

Zgodnie z zaleceniami raportu bezpieczeństwa, w aktualnej wersji aplikacji (nr 3.7.16) wprowadziliśmy następujące poprawki zwiększające bezpieczeństwo i poprawiające działanie aplikacji:
  • Wprowadziliśmy szyfrowanie SSL danych przesyłanych przez aplikację, eliminując przez to możliwość ich “podejrzenia”
  • Zmodyfikowaliśmy politykę szyfrowania informacji zapisywanych w katalogu aplikacji, eliminując możliwość przechowywania nieszyfrowanych kopii
  • Wprowadziliśmy protokół HTTPS do łączenia z aktywnymi domenami, pobierania regulaminów i umów do akceptacji oraz łączenia z frameworkiem Sails
  • Usunęliśmy z aplikacji funkcje testowe i debugowe, nieobsługiwane waluty oraz nieaktualne ikony
  • Usunęliśmy komunikaty deweloperskie z logów
  • Rozwiązaliśmy problem zawieszania się aplikacji przy odmowie przyznania jej uprawnień (choć ich akceptacja jest niezbędna do prawidłowego działania aplikacji)
  • Usunęliśmy korzystanie z Crashalytics
Inne działania, które przeprowadziliśmy w rezultacie audytu bezpieczeństwa, to:
  • W serwisie Billon.io usunęliśmy łączenie z analityką ptengine.jp i uspójniliśmy linki
  • Wprowadziliśmy nowe, zabezpieczone narzędzia deweloperskie.
  • Czasowo wycofaliśmy wsparcie dla systemu Windows. Aplikacja dla tego środowiska zostanie przywrócona po zagwarantowaniu odpowiedniego poziomu stabilności.
Pracujemy obecnie nad mechanizmem potwierdzenia poprawności adresu e-mail przy rejestracji użytkownika i przeniesieniem architektury Billon.me na CloudFlare w celu wyeliminowania ryzyka ataku DDoS. Kontynuujemy też prace nad wzmocnieniem szyfrowania plików w katalogu roboczym. Do czasu ich zakończenia baza SQLite pozostanie niezaszyfrowana, chcemy jednak podkreślić, że zawarte w niej dane dotyczą wyłącznie aktywności użytkownika urządzenia, na którym została zainstalowana aplikacja. Ewentualny atak na urządzenie, na którym znajduje się aplikacja może skutkować najwyżej dostępem do danych pojedynczego użytkownika – dostęp do informacji pozostałych uczestników sieci jest w ten sposób niemożliwy.

Część z punktów zawartych w Pana „Podsumowaniu” wynika natomiast z założeń naszej architektury:
  • Transfer danych w protokole UDP. Ponieważ architektura systemu Billon wymaga intensywnej komunikacji między węzłami w blockchainie, korzystamy z UDP jako wysokowydajnego protokołu komunikacyjnego. Jesteśmy świadomi, że może to sprawiać problemy w odizolowanych sieciach korporacyjnych, natomiast ich użytkownicy nie stanowią teraz dużej części osób korzystających z aplikacji (pilotaż jest skierowany do młodych osób – youtuberów, streamerów, itp.). Jeśli w przyszłości zaistnieje taka potrzeba biznesowa, będziemy mogli wprowadzić tryb ograniczonego działania dla wybranej grupy użytkowników.
  • Automatyczne przenoszenie do sejfu kwot z dokładnością do trzech miejsc do przecinku. Obecnie kwota zostaje zaokrąglona automatycznie do pełnego grosza, natomiast technologicznie ta możliwość została utrzymana z uwagi na ewentualne późniejsze wspieranie mikrotransakcji.
  • Zaokrąglanie kwot przenoszonych z/do sejfu. Nie jest to błąd interfejsu, tylko skutek zapisywania środków w aplikacji w postaci konkretnych nominałów pieniądza cyfrowego. Jeśli użytkownik nie posiada pieniędzy o określonym nominale, może nastąpić sytuacja że do sejfu nie zostanie przekazana odpowiednio równa kwota. Użytkownik nie traci pieniędzy – ich suma na urządzeniu i w sejfie się nie zmienia. Dla zapewnienia pewności transakcji z innymi użytkownikami wprowadziliśmy tzw. „rozmieniarki”, które w takich sytuacjach dostarczają odpowiednich nominałów. Planujemy ich wdrożenie również do obsługi transakcji z sejfem. Wcześniej poprawimy działanie aplikacji, żeby w takich sytuacjach wyświetlała odpowiedni komunikat dla użytkownika w celu uniknięcia nieporozumień.
 Będziemy wdzięczni o uaktualnienie tekstu o powyższe informacje. W razie znalezienia innych podatności bezpieczeństwa prosimy w pierwszej kolejności o kontakt pod adresem security@billongroup.com. Nowa wersja aplikacji publikowana jest raz na 2 miesiące, natomiast luki bezpieczeństwa są łatane na bieżąco.

Kopiuj tekst

Udostępnij

Powiązane artykuły
Odpowiedź na artykuł w portalu Zaufana Trzecia Strona

temu

11 grudnia portal Zaufana Trzecia Strona opublikował informację o testach aplikacji Billon, przeprowadzonych przez Tomasza Zielińskiego. Poniżej znajduje się oświadczenie w tej sprawie.
Billon na konferencji "blockchain NeXt"

temu

Blockchain to już nie tylko bitcoin i inne kryptowaluty, ale przede wszystkim technologia, która uwiarygadnia każdą zapisaną w niej informację. Jej filary - bezpieczeństwo, niezmienność zapisów i demokratyzacja dostępu do danych - sprawiają, że wszystkie sektory gospodarki i administracji widzą w niej rozwiązanie swoich problemów. O tym, jak blockchain zmienia biznes, opowie konferencja „blockchain NeXt“, która odbędzie się już 21 czerwca w Warszawie.
NCBiR wyróżnił blockchainowy system wypłat motywacyjnych

temu

Polski blockchainowy start-up Billon, który stworzył na bazie swojej technologii blockchain pionierski system umożliwiający natychmiastową wypłatę nagród motywacyjnych, otrzymał prawie 4 mln zł dofinansowania z Narodowego Centrum Badań i Rozwoju w ramach programu Inteligentny Rozwój. Otrzymane pieniądze firma planuje przeznaczyć na badania przemysłowe i prace rozwojowe technologii permissioned blockchain.
BIK i Billon: Unikalna na światową skalę, pro-kliencka implementacja technologii blockchain w obszarze finansów

temu

Biuro Informacji Kredytowej (BIK) wraz z firmą technologiczną Billon wprowadzają na rynek unikalne na światową skalę rozwiązanie blockchainowe opracowane przez polskich inżynierów. Dzięki technologii stworzonej przez Billon dwie polskie firmy dokonują „kopernikańskiego przewrotu” w obrocie dokumentami. Na start klienci banków otrzymają gwarancję niezmienności dotyczących ich dokumentów oraz dostęp do nich nawet po ustaniu relacji z bankiem.

Billon i Mitsui Knowledge Industry podpisują porozumienie o współpracy

Japońska firma Mitsui Knowledge Industry ma wyłączne prawo do promowania technologii blockchain Billon w Japonii i na innych rynkach azjatyckich.