Odpowiedź na artykuł Tomasza Zielińskiego

Kopiuj tekst

9 stycznia 2017 r.

Odpowiedź na artykuł Tomasza Zielińskiego

Opublikowany

Poniższa odpowiedź została wysłana Tomaszowi Zielińskiego w odpowiedzi na artykuł "Billon, albo bardzo wysoki koszt shackowania", opublikowany na jego stronie internetowej.

Billon traktuje poważnie bezpieczeństwo użytkowników i ich środków. Niezależnie od artykułów zleciliśmy przeprowadzenie wspomnianego audytu bezpieczeństwa, którego autorem była firma SecuRing. Raport z audytu opisuje błędy wpływające na bezpieczeństwo systemu, także te wymienione w Pańskich tekstach. Byliśmy więc świadomi tych luk i pracowaliśmy nad ich likwidacją jeszcze przed publikacją artykułów.

Zgodnie z zaleceniami raportu bezpieczeństwa, w aktualnej wersji aplikacji (nr 3.7.16) wprowadziliśmy następujące poprawki zwiększające bezpieczeństwo i poprawiające działanie aplikacji:
  • Wprowadziliśmy szyfrowanie SSL danych przesyłanych przez aplikację, eliminując przez to możliwość ich “podejrzenia”
  • Zmodyfikowaliśmy politykę szyfrowania informacji zapisywanych w katalogu aplikacji, eliminując możliwość przechowywania nieszyfrowanych kopii
  • Wprowadziliśmy protokół HTTPS do łączenia z aktywnymi domenami, pobierania regulaminów i umów do akceptacji oraz łączenia z frameworkiem Sails
  • Usunęliśmy z aplikacji funkcje testowe i debugowe, nieobsługiwane waluty oraz nieaktualne ikony
  • Usunęliśmy komunikaty deweloperskie z logów
  • Rozwiązaliśmy problem zawieszania się aplikacji przy odmowie przyznania jej uprawnień (choć ich akceptacja jest niezbędna do prawidłowego działania aplikacji)
  • Usunęliśmy korzystanie z Crashalytics
Inne działania, które przeprowadziliśmy w rezultacie audytu bezpieczeństwa, to:
  • W serwisie Billon.io usunęliśmy łączenie z analityką ptengine.jp i uspójniliśmy linki
  • Wprowadziliśmy nowe, zabezpieczone narzędzia deweloperskie.
  • Czasowo wycofaliśmy wsparcie dla systemu Windows. Aplikacja dla tego środowiska zostanie przywrócona po zagwarantowaniu odpowiedniego poziomu stabilności.
Pracujemy obecnie nad mechanizmem potwierdzenia poprawności adresu e-mail przy rejestracji użytkownika i przeniesieniem architektury Billon.me na CloudFlare w celu wyeliminowania ryzyka ataku DDoS. Kontynuujemy też prace nad wzmocnieniem szyfrowania plików w katalogu roboczym. Do czasu ich zakończenia baza SQLite pozostanie niezaszyfrowana, chcemy jednak podkreślić, że zawarte w niej dane dotyczą wyłącznie aktywności użytkownika urządzenia, na którym została zainstalowana aplikacja. Ewentualny atak na urządzenie, na którym znajduje się aplikacja może skutkować najwyżej dostępem do danych pojedynczego użytkownika – dostęp do informacji pozostałych uczestników sieci jest w ten sposób niemożliwy.

Część z punktów zawartych w Pana „Podsumowaniu” wynika natomiast z założeń naszej architektury:
  • Transfer danych w protokole UDP. Ponieważ architektura systemu Billon wymaga intensywnej komunikacji między węzłami w blockchainie, korzystamy z UDP jako wysokowydajnego protokołu komunikacyjnego. Jesteśmy świadomi, że może to sprawiać problemy w odizolowanych sieciach korporacyjnych, natomiast ich użytkownicy nie stanowią teraz dużej części osób korzystających z aplikacji (pilotaż jest skierowany do młodych osób – youtuberów, streamerów, itp.). Jeśli w przyszłości zaistnieje taka potrzeba biznesowa, będziemy mogli wprowadzić tryb ograniczonego działania dla wybranej grupy użytkowników.
  • Automatyczne przenoszenie do sejfu kwot z dokładnością do trzech miejsc do przecinku. Obecnie kwota zostaje zaokrąglona automatycznie do pełnego grosza, natomiast technologicznie ta możliwość została utrzymana z uwagi na ewentualne późniejsze wspieranie mikrotransakcji.
  • Zaokrąglanie kwot przenoszonych z/do sejfu. Nie jest to błąd interfejsu, tylko skutek zapisywania środków w aplikacji w postaci konkretnych nominałów pieniądza cyfrowego. Jeśli użytkownik nie posiada pieniędzy o określonym nominale, może nastąpić sytuacja że do sejfu nie zostanie przekazana odpowiednio równa kwota. Użytkownik nie traci pieniędzy – ich suma na urządzeniu i w sejfie się nie zmienia. Dla zapewnienia pewności transakcji z innymi użytkownikami wprowadziliśmy tzw. „rozmieniarki”, które w takich sytuacjach dostarczają odpowiednich nominałów. Planujemy ich wdrożenie również do obsługi transakcji z sejfem. Wcześniej poprawimy działanie aplikacji, żeby w takich sytuacjach wyświetlała odpowiedni komunikat dla użytkownika w celu uniknięcia nieporozumień.
 Będziemy wdzięczni o uaktualnienie tekstu o powyższe informacje. W razie znalezienia innych podatności bezpieczeństwa prosimy w pierwszej kolejności o kontakt pod adresem security@billongroup.com. Nowa wersja aplikacji publikowana jest raz na 2 miesiące, natomiast luki bezpieczeństwa są łatane na bieżąco.

Kopiuj tekst

Udostępnij

Powiązane artykuły
Odpowiedź na artykuł w portalu Zaufana Trzecia Strona

temu

11 grudnia portal Zaufana Trzecia Strona opublikował informację o testach aplikacji Billon, przeprowadzonych przez Tomasza Zielińskiego. Poniżej znajduje się oświadczenie w tej sprawie.
Polski Billon z licencją brytyjskiej FCA

temu

Spółka Billon Financial Ltd, będąca spółką zależną brytyjskiej Billon Group Ltd, ponownie została zarejestrowana jako Small Electronic Money Institution (Mała Instytucja Pieniądza Elektronicznego) przez brytyjskie Financial Conduct Authority. Konieczność re-rejestracji związana była z wdrożeniem Dyrektywy Europejskiej tzw. PSD2 (Payment Services Directive 2), która miała na celu dostosowanie usług płatniczych do zmieniających się warunków zewnętrznych, szczególnie nowych technologii.
Billon podpisuje list intencyjny z Igoria Trade

temu

Spółka Igoria Trade S.A. poinformowała w komunikacie giełdowym z 14 marca 2018 r. o podpisaniu listu intencyjnego z Billon Group Ltd.
Możliwe zastosowanie technologii blockchain w branży energetycznej

temu

Polska firma technologiczna Billon we współpracy z Microsoft rozpoczęła pracę nad możliwością wykorzystania technologii blockchain w PGNiG. Zakres współpracy może objąć zarówno stworzenie platformy obsługi klienta indywidualnego, platformy do handlu gazem i energią, jak również płatności w systemach elektromobilności.

Billon i Mitsui Knowledge Industry podpisują porozumienie o współpracy

Japońska firma Mitsui Knowledge Industry ma wyłączne prawo do promowania technologii blockchain Billon w Japonii i na innych rynkach azjatyckich.