Novembra lanskega leta sta Steve Dispensa in Marsh Ray javnost obvestila o varnosti luknji v protokolu TLS (Transport Layer Security), ki je nasledil protokol SSL (Secure Socket Layer). Protokol je vgrajen v spletne brskalnike in spletne strežnike zato, da zaščiti komunikacijo med njimi. Najdena luknja omogoča napadalcu prestrezanje začetka šifrirane komunikacije med brskalnikom in strežnikom in dodajanje ukazov vanjo. Napadalec mora najprej uspešno izvesti napad »mož v sredini« (MITM), prestreči začetek varne komunikacije, nato pa lahko uporabi možnost protokola TLS, ki omogoča strežniku spreminjanje parametrov seje, medtem ko ta poteka. V demonstracijske namene so tako »prepričali« strežnik storitve Twitter, da je izdal geslo žrtve. Potencialno pa lahko z izkoriščanjem te luknje izvedejo tudi napade na račune spletne banke. Sta pa najditelja priznala, da napadalec za to potrebuje veliko tehničnega znanja. Popravek je že na voljo, bo pa preteklo veliko časa, saj je treba zakrpati obe strani. Tako vse spletne strežnike kot tudi brskalnike nekaj milijonov uporabnikov.

Slovenske banke so le solidno varne?

Tadeja Vodopiveca, svetovalca za informacijsko varnost Hermesa SoftLaba, smo vprašali, kako varne so po njegovem mnenju slovenske banke.

»Ko so slovenske banke začele z internetnim bančništvom, so ponujale za tiste čase zelo dobre mehanizme varovanja vstopa v sistem – generatorje enkratnih gesel, certifikate, nekatere celo pametne kartice. Nekaj let brez zlorab je banke, pa tudi dežurne varnostnike, kar nekoliko uspavalo. Potem se je začelo dogajati. Izkazalo se je, da je šibka točka v sistemu, ki jo napadalci izkoriščajo, varnost uporabnikovega računalnika. Včasih pa jim pomaga tudi naivnost uporabnika. Število uporabnikov elektronskega bančništva je preseglo kritično maso, postali so privlačni za kriminalce. Danes so na delu dobro organizirane kriminalne skupine, kjer ima vsak svojo vlogo: izdelovalci zlonamerne programske opreme, upravljavci omrežij t. i. botnetov, mule, ki za provizijo operejo denar … Bančni sistem se je odprl navzven, z drugimi evropskimi državami si delimo isto valuto, banke omogočajo mednarodna plačila SEPA po internetu. Tveganje se je bistveno povečalo, zato zaščitni ukrepi izpred več kot desetih let ne zadoščajo več. V tem pogledu so banke, ki so pozneje vstopile v igro, v prednosti, saj so zaščito že v začetku lahko zastavile razmeram primerno. Druge pa so bile obsojene na krpanje pomanjkljivosti in dograjevanje varnostnih mehanizmov. Pri tem pomembno vlogo igra cena varnostnega mehanizma. Če je banka utrpi 30.000 evrov škode letno zaradi zlorab, bo težko vložila 300.000 evrov letno, da bi zagotovila perfektno varnost.

Certifikati oz pripadajoči zasebni ključi, ki niso shranjeni na pametnih karticah ali podobnih napravah, so predmet kar precej zlorab. Breme njihovega varovanja nosi uporabnik, ki skrbi za varovanje svojega računalnika. Kar nekaj bank jih še uporablja, v glavnem pa so jih dogradile z nekaterimi dodatnimi varnostnimi mehanizmi.

Mnogi so prepričani, da so gesla za enkratno uporabo, ki jih lahko uporabljamo za vstop v storitev in potrditev posameznega plačila, popolnoma dovolj za praktično varnost. Podatki o zlorabah v tujini pa kažejo, da ni tako: sofisticirani napadi, tako imenovani man-in-the-browser (MITB), delujejo tudi v takih primerih (če je geslo neodvisno od vsebine transakcije). Napadalec nadzira uporabnikov brskalnik in zamenja le ciljni račun in znesek v uporabnikovi legitimni transakciji.

Nekatere banke nimajo sploh nobenega potrjevanja transakcij, varujejo zgolj vstop v storitev. To je tempirana bomba, ki čaka na svoj trenutek.

Elektronski podpisi transakcije z digitalnimi certifikati, ki jih nekatere banke uporabljajo, pomenijo dodatno oviro za napadalce. Vendar ne pomagajo pri kraji certifikata in pripadajočega zasebnega ključa, pri napadu MITB pa bi napadalec moral ponarediti še prikaz podatkov ob podpisu, kar nikakor ni nemogoče.

Rešitev je verifikacija transakcije, kjer uporabnik preveri in potrdi vsebino transakcije, in to na način, ki ni odvisen od varnosti računalnika, prek neodvisnega kanala. Primer je SMS- sporočilo z vsebino transakcije in potrditveno kodo. Uporabnik skrbno preveri vsebino transakcije v SMS-sporočilu in nato vtipka potrditveno kodo v računalnik. Drug primer je enkratna potrditvena koda transakcije, ki pa je izračunana iz podatkov transakcije. Za to potrebujemo poseben čitalnik in navadno bančno kartico. Nekaj bank ponuja take rešitve, vendar še premalo.

Zavedati pa se moramo, da so uporabniški certifikati, čeprav bi jih nekateri najraje izbrisali z zemljevida elektronskega bančništva, še vedno učinkovita zaščita pred t. i. napadi man-in-the-middle, kjer se napadalec postavi v omrežju med uporabnika in banko.

Potem pa je tu še možnost varovanja s spremljanjem tveganosti transakcij ter z zadrževanjem in telefonskim preverjanjem tveganih transakcij, ki pa je navzven manj opazna in poteka v zaledju banke. Banke je tudi ne oglašujejo.

Pri vsem pa je pomembno tudi ustrezno obveščanje uporabnika. Tu lahko skoraj vedno rečemo, da bi se dalo napraviti še več na strani banke, seveda pa tudi uporabniki ne bi smeli 'sedeti na ušesih'.

Čez palec lahko trenutno stanje varnosti ocenimo kot solidno, možnost za izboljšave pa vidim predvsem v premiku iz varovanja vstopa v storitev k varovanju samih transakcij.«

5/5

Moj mikro, Februar 2010 | Marjan Kodelja |