Odpowiedź na artykuł Tomasza Zielińskiego

Kopiuj tekst

9 stycznia 2017 r.

Odpowiedź na artykuł Tomasza Zielińskiego

Opublikowany

Poniższa odpowiedź została wysłana Tomaszowi Zielińskiego w odpowiedzi na artykuł "Billon, albo bardzo wysoki koszt shackowania", opublikowany na jego stronie internetowej.

Billon traktuje poważnie bezpieczeństwo użytkowników i ich środków. Niezależnie od artykułów zleciliśmy przeprowadzenie wspomnianego audytu bezpieczeństwa, którego autorem była firma SecuRing. Raport z audytu opisuje błędy wpływające na bezpieczeństwo systemu, także te wymienione w Pańskich tekstach. Byliśmy więc świadomi tych luk i pracowaliśmy nad ich likwidacją jeszcze przed publikacją artykułów.

Zgodnie z zaleceniami raportu bezpieczeństwa, w aktualnej wersji aplikacji (nr 3.7.16) wprowadziliśmy następujące poprawki zwiększające bezpieczeństwo i poprawiające działanie aplikacji:
  • Wprowadziliśmy szyfrowanie SSL danych przesyłanych przez aplikację, eliminując przez to możliwość ich “podejrzenia”
  • Zmodyfikowaliśmy politykę szyfrowania informacji zapisywanych w katalogu aplikacji, eliminując możliwość przechowywania nieszyfrowanych kopii
  • Wprowadziliśmy protokół HTTPS do łączenia z aktywnymi domenami, pobierania regulaminów i umów do akceptacji oraz łączenia z frameworkiem Sails
  • Usunęliśmy z aplikacji funkcje testowe i debugowe, nieobsługiwane waluty oraz nieaktualne ikony
  • Usunęliśmy komunikaty deweloperskie z logów
  • Rozwiązaliśmy problem zawieszania się aplikacji przy odmowie przyznania jej uprawnień (choć ich akceptacja jest niezbędna do prawidłowego działania aplikacji)
  • Usunęliśmy korzystanie z Crashalytics
Inne działania, które przeprowadziliśmy w rezultacie audytu bezpieczeństwa, to:
  • W serwisie Billon.io usunęliśmy łączenie z analityką ptengine.jp i uspójniliśmy linki
  • Wprowadziliśmy nowe, zabezpieczone narzędzia deweloperskie.
  • Czasowo wycofaliśmy wsparcie dla systemu Windows. Aplikacja dla tego środowiska zostanie przywrócona po zagwarantowaniu odpowiedniego poziomu stabilności.
Pracujemy obecnie nad mechanizmem potwierdzenia poprawności adresu e-mail przy rejestracji użytkownika i przeniesieniem architektury Billon.me na CloudFlare w celu wyeliminowania ryzyka ataku DDoS. Kontynuujemy też prace nad wzmocnieniem szyfrowania plików w katalogu roboczym. Do czasu ich zakończenia baza SQLite pozostanie niezaszyfrowana, chcemy jednak podkreślić, że zawarte w niej dane dotyczą wyłącznie aktywności użytkownika urządzenia, na którym została zainstalowana aplikacja. Ewentualny atak na urządzenie, na którym znajduje się aplikacja może skutkować najwyżej dostępem do danych pojedynczego użytkownika – dostęp do informacji pozostałych uczestników sieci jest w ten sposób niemożliwy.

Część z punktów zawartych w Pana „Podsumowaniu” wynika natomiast z założeń naszej architektury:
  • Transfer danych w protokole UDP. Ponieważ architektura systemu Billon wymaga intensywnej komunikacji między węzłami w blockchainie, korzystamy z UDP jako wysokowydajnego protokołu komunikacyjnego. Jesteśmy świadomi, że może to sprawiać problemy w odizolowanych sieciach korporacyjnych, natomiast ich użytkownicy nie stanowią teraz dużej części osób korzystających z aplikacji (pilotaż jest skierowany do młodych osób – youtuberów, streamerów, itp.). Jeśli w przyszłości zaistnieje taka potrzeba biznesowa, będziemy mogli wprowadzić tryb ograniczonego działania dla wybranej grupy użytkowników.
  • Automatyczne przenoszenie do sejfu kwot z dokładnością do trzech miejsc do przecinku. Obecnie kwota zostaje zaokrąglona automatycznie do pełnego grosza, natomiast technologicznie ta możliwość została utrzymana z uwagi na ewentualne późniejsze wspieranie mikrotransakcji.
  • Zaokrąglanie kwot przenoszonych z/do sejfu. Nie jest to błąd interfejsu, tylko skutek zapisywania środków w aplikacji w postaci konkretnych nominałów pieniądza cyfrowego. Jeśli użytkownik nie posiada pieniędzy o określonym nominale, może nastąpić sytuacja że do sejfu nie zostanie przekazana odpowiednio równa kwota. Użytkownik nie traci pieniędzy – ich suma na urządzeniu i w sejfie się nie zmienia. Dla zapewnienia pewności transakcji z innymi użytkownikami wprowadziliśmy tzw. „rozmieniarki”, które w takich sytuacjach dostarczają odpowiednich nominałów. Planujemy ich wdrożenie również do obsługi transakcji z sejfem. Wcześniej poprawimy działanie aplikacji, żeby w takich sytuacjach wyświetlała odpowiedni komunikat dla użytkownika w celu uniknięcia nieporozumień.
 Będziemy wdzięczni o uaktualnienie tekstu o powyższe informacje. W razie znalezienia innych podatności bezpieczeństwa prosimy w pierwszej kolejności o kontakt pod adresem security@billongroup.com. Nowa wersja aplikacji publikowana jest raz na 2 miesiące, natomiast luki bezpieczeństwa są łatane na bieżąco.

Kopiuj tekst

Udostępnij

Billon i Mitsui Knowledge Industry podpisują porozumienie o współpracy

Japońska firma Mitsui Knowledge Industry ma wyłączne prawo do promowania technologii blockchain Billon w Japonii i na innych rynkach azjatyckich.