Postopek pranja denarja, ki je nujen, saj gre za prikrivanje sledi, zaradi česar so kriminalci dokaj varni, smo podrobno opisali v zadnji številki Mojega mikra, zato se bomo to pot dotaknili metod napada. Te postajajo vedno bolj sofisticirane in manj opazne.

Kar vzbuja določen strah (morda pa je to sreča), je dejstvo, da v Sloveniji še niso zasledili najnaprednejših metod napadov. Kot je omenil Tadej Vodopivec, svetovalec za varnost pri podjetju Hermes Softlab, morda zato ne, ker so še vedno učinkovite starejše metode. Prvo, na kar pomislimo, je, da naše storitve e-banke niso tako varne, kot so storitve v tujini, kjer imajo neprimerno več izkušenj tako z vdori kot tudi z bojem proti njim. Dejstvo je, da naše banke še vedno mešajo strani, narejene v http in https, česar v tujini ne delajo več, saj to zmede uporabnike, prav tako pa večina naših bank še nima dodatnih mehanizmov varovanja izvajanja transakcij (plačevanja). Nič namreč ne pomaga še tako močan mehanizem prepoznavanja uporabnika pri vstopu v storitev, če je te sisteme mogoče zaobiti.

»Poleg vseh prednosti, ki jih prinaša elektronsko bančništvo, je z vse večjo uporabo prišlo tudi do porasta zlorab. Gre za novejšo obliko organiziranega kriminala, proti kateri nismo nemočni. Če želimo povečati zanesljivost preprečevanja zlorab, se moramo osredotočiti na varovanje transakcij, in ne zgolj na varovanje uporabnikove prijave v storitev. Pri tem pa se ne smemo zanašati na varnost uporabnikovega računalnika,« je povedal Tadej Vodopivec.

Vsaka banka ima svojo storitev spletnega bančništva, razlike pa so tudi pri načinih identifikacije. Te najpogosteje delimo v dve skupini. Najprej so tu generatorji naključnih in časovno omejenih gesel, ki varujejo pred nekaterimi metodami napada. Ti so sicer dokaj varni, ne pa popolnoma, saj so občutljivi na napad tipa »mož v sredini« ali »mož v brskalniku«. O tem malce pozneje. Nato so tu digitalna potrdila. Ta so lahko nameščena na pametni kartici ali pa na trdem disku. Načeloma gre za isto stvar, razlika pa je v tem, kje potrdilo (certifikat, v razumljivejši dnevni govorici) hranimo. Kartica je majhen računalnik, ki pa je varnostno veliko bolj obvladljiv kot računalnik. Dostop do potrdila v računalniku nadzira operacijski sistem. Kako varni so ti, pa vemo. Če imate nameščene vse popravke, ustrezen varnostni program in skrbite za to, da se ne okužite s trojanci, potem se lahko zazibate v spanec načelne varnosti. Pa ste prepričani, da nimate morda trojanca, ki ga protivirusni program še ne pozna, oziroma ali ni v sistemu ali v brskalniku še neodkrita in nezakrpana varnostna luknja? Ne morete biti. Tako spolzka je namreč ta stvar!

Kot zanimivost pa še tole. Hekerska orodja (kit), kot je na primer Zeus, lahko kupite za okoli 500 evrov. Potrebujete pa še veliko znanja in spretnosti pranja denarja, da boste lahko izvedli napad, ker to, kljub našemu lahkotnemu pisanju, ni tako preprosto. Kaže pa, da obstaja organiziran sistem zagotavljanja vsega potrebnega za kraje in tudi sistem prenosa in pranja ukradenega denarja.

Zdaj pa o napadih. Najobičajnejša metoda je »ribarjenje« gesel z lažnim predstavljanjem (phishing). O tem je bilo že veliko zapisanega, spomnimo se, kako je naša največja banka obveščala o pojavu lažnih strani. Metoda napada je proces identifikacije uporabnika – pridobivanje gesel in digitalnih potrdil. Podobno delujejo tudi programi za beleženje tipk (keylogger), ki pridobljene podatke takoj pošiljajo v sistem neposrednega sporočanja. Hekerska infrastruktura je močno razvita, tako da kriminalec pravočasno pridobi potrebne podatke. Nato se prijavi kot uporabnik, in če ni dodatnih varnostnih mehanizmov pri potrjevanju transakcije, lahko počne, kar se mu zljubi. Pozoren uporabnik bo prepoznal lažno stran, ne bo brez razmišljanja kliknil vsako zahtevo, ki se prikaže na zaslonu, in če bo njegov računalnik dovolj varovan pred okužbami, lahko sam največ stori za svojo varnost.

Napad »mož v sredini« (MITM) je metoda, kjer se napadalec vrine v komunikacijski kanal na sredini, in ne le nadzira komunikacijo, jo tudi prilagaja. Na primer: Pošiljatelj pošlje črko A, sprejme jo napadalec, doda črko B in niz AB pošlje naprej. Ne uporabnik ne prejemnik ne vesta, da je bilo sporočilo spremenjeno. Pošiljatelj misli, da je prejemnik dobil črko A, prejemnik pa, da mu je pošiljatelj poslal niz AB. S spreminjanjem podatkov transakcije lahko napadalec poviša znesek in spremeni račun, na katerega želi uporabnik nakazati denar. Gre za manj verjeten scenarij napada, saj se je težje vključiti na sredini komunikacije, čeprav varnostna luknja protokola TLS, ki je bila odkrita lanskega novembra, to omogoča. Veliko varnostno grožnjo za ta tip napada pomenijo tudi poceni domači usmerjevalniki s prenizko stopnjo zaščite.

Podoben, a veliko nevarnejši je napad »mož v brskalniku« (MITB), kjer trojanski konj okuži brskalnik, tako da je ta pod njegovim nadzorom. Ko uporabnik vstopi v sistem spletnega bančništva, napadalec v obliki samodejne nevarne kode čaka, da ta začne izvajati transakcijo plačevanja. Na primer, vpiše znesek in račun, na katerega bi rad nakazal denar. Takrat lahko program poveča znesek in spremeni račun, a na zaslonu brskalnika je vse videti kot prej. Uporabnik potrdi plačilo, misli, da je poslal banki podatke, ki jih vidi na zaslonu, čeprav je banka dobila popolnoma drugačna navodila. Ker program »sedi« v brskalniku, je zmožen sproti prilagajati vse izpise, tako da uporabnik še dolgo ne ve, da je prišlo do zlorabe.

Proti napadom MITM in MITB se lahko bojujemo tako, da storitev poleg sistema identifikacije uporabnika pri vstopu uvede tudi mehanizem preverjanja pri izvrševanju transakcije (plačila) na način, da je zagotovljeno, da je »navodila«, ki jih vidi uporabnik na zaslonu, prejela tudi banka. Nespremenjena. Predvsem je to pomembno pri izvajanju novih transakcij (plačevanje na nov račun).

V Evropski uniji je dolgo veljalo priporočilo, kako naj se banka vede do uporabnika, pri katerem je prišlo do vdora. Pozneje je priporočilo postalo direktiva, zdaj pa je ta vključena tudi v ustrezno zakonodajo. Zakonodaja bolje varuje uporabnika, saj ta ni odgovoren, če mu ne dokažejo, da je do vdora prišlo zaradi njegove hude malomarnosti ali pa da je sam poskušal zlorabiti banko. O tem, kaj je huda malomarnost, odloča sodišče, ki pa mora upoštevati, da uporabnik povprečno obvlada informacijsko tehnologije, ne pa da banka od njega pričakuje znanje informacijskega strokovnjaka. To bo spodbudilo banke, da bodo varnostne mehanizme oblikovale s predpostavko, da sistem na strani uporabnika ni nujno popolnoma varen in da so okužbe s te strani možne. Banke se po kraji morajo prepričati, da uporabnik ni poskušal zlorabiti banko. Ali pa se je dogovoril in dal potrebne podatke za vdor nekomu, ki je potem krajo izvedel in del denarja recimo vrnil uporabniku, ki mu je celoten znesek povrnila tudi banka. Ne smemo si zatiskati oči − ljudje smo različni in tudi do takih zlorab prihaja!

4/5

Moj mikro, Februar 2010 | Marjan Kodelja |