Bankowość elektroniczna – korzyści i zagrożenia

Tendencje
IT Security Review
Bankowość elektroniczna – korzyści
i zagrożenia
Banki w wyobrażeniu większości z nas stanowią twierdze XXI wieku. Skarbce, alarmy, kamery,
ochrona to elementy, które budują wizerunek banków jako miejsc solidnych i bezpiecznych –
idealnych do przechowywania naszych oszczędności.
O
d kilku lat na rynku oferowane są usługi bankowości elektronicznej, których popularność
w ostatnich latach wzrosła znacząco. Wśród
głównych korzyści, związanych z korzystaniem z tych
usług, wymienić należy wygodę oraz mniejsze koszty
prowadzenia konta i wykonywania operacji finansowych.
W pierwszej kolejności usługi bankowości elektronicznej skierowane były do firm. Banki określiły dla
tych usług formalne zasady zakładania kont i nadawania uprawnień w systemach (od strony klienta), wy-
Krzysztof Maćkowiak
www.Centrum.Bezpieczenstwa.pl
Od prawie 3 lat współpracuje z firmą Doradztwo
Gospodarcze DGA S.A. w zakresie przeprowadzania audytów bezpieczeństwa teleinformatycznego oraz wdrażania Systemów Zarządzania Bezpieczeństwem Informacji zgodnych z normą ISO/IEC
27001:2005 (wcześniej BS 7799-2). Uczestniczył w
kilkunastu projektach w firmach branży energetycznej, finansowej, informatycznej oraz administracyjnej. Jest członkiem Polskiego Towarzystwa Informatycznego PTI, MENSA Polska oraz ISACA International. Uzyskał następujące certyfikaty: CISA, Lead Auditor ISO/IEC 27001:2005, CompTIA Security +. Prezentował tematy związane z kryptografią kwantową
i molekularną oraz bezpieczeństwem informacji na
konferencjach: Enigma, Secure oraz Confidence.
14
muszania haseł o odpowiedniej złożoności oraz korzystania z drugiego elementu uwierzytelniającego, jakim są tokeny, dyskietki czy też karty elektroniczne.
Następnym krokiem było skierowanie usług bankowości elektronicznej do indywidualnych użytkowników.
Często nie mając wiedzy na temat technicznych
rozwiązań wykorzystywanych w bankowości elektronicznej, pokładamy nadzieję, że poziom bezpieczeństwa zapewniany przez te systemy jest zbliżony do
bezpieczeństwa tradycyjnych skarbców. Czy rzeczywiście możemy spać spokojnie?
Banki w obszarze zarządzania bezpieczeństwem informacji kierują się m.in. rekomendacjami Generalnego Inspektoratu Nadzoru Bankowego (GINB). Główną regulacją w tym zakresie jest Rekomendacja D, która dotyczy zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym, używanym
przez banki. Rekomendacja zawiera w swojej treści również zalecenia Bazylejskiego Komitetu ds. Nadzoru Bankowego, dotyczące zasad zarządzania ryzykiem w bankowości elektronicznej. Rekomendacja wymaga, by władze banku ustanowiły kontrolę zarządczą ryzyk, związanych z systemami informatycznymi, w tym ustanowiły
polityki i inne, bardziej szczegółowe regulacje, służące
zarządzaniu tymi ryzykami. Kierownictwo banku odpowiada za opracowanie i realizację polityki bezpieczeństwa. Zgodnie z zapisami, zawartymi w rekomendacji,
bank powinien stosować zabezpieczenia systemów informatycznych, wykorzystując w tym celu narzędzia,
zawarte w systemach operacyjnych, wyspecjalizowane
oprogramowanie, rozwiązania sprzętowe, audyty, zarządzanie konfiguracją, a także działania organizacyjne, podejmowane profilaktycznie na wypadek naruszenia zabezpieczeń oraz w sytuacjach awaryjnych i katastrofalnych. Należy zadbać również o aktualność i bezpieczeństwo dokumentacji systemowej dla wszystkich
systemów informatycznych, używanych przez bank. Kierownictwo banku jest odpowiedzialne za techniczne zabezpieczenie prawidłowego funkcjonowania systemów
informatycznych i sieci oraz stworzenie właściwej polityki bezpieczeństwa, redukującej ryzyko błędu ludzkiego i niewłaściwego wykorzystania sprzętu i informacji.
Zgodnie z wymaganiami zapewnione musi zostać bezpieczeństwo fizyczne i środowiskowe systemów. W rekomendacji poruszono również kwestie bankowości elektronicznej, w tym określono, iż należy podjąć odpowiednie kroki w celu potwierdzenia tożsamości i upoważwww.boston-review.com
nień klientów, korzystających z usług banku przez Internet lub z wykorzystaniem innych elektronicznych kanałów dystrybucji. Banki powinny stosować takie metody potwierdzania transakcji, które uniemożliwiają negowanie dokonanych transakcji i wprowadzają odpowiedzialność za wykonane transakcje bankowości elektronicznej. Dodatkowo powinny one posiadać odpowiednie środki służące ochronie integralności transakcji, zapisów i informacji bankowości elektronicznej. Wymagane jest również posiadanie odpowiednich środków służących promowaniu adekwatnego podziału obowiązków w zakresie systemów, baz danych i aplikacji bankowości elektronicznej. Banki powinny podejmować odpowiednie kroki w celu zachowania poufności podstawowych informacji bankowości elektronicznej. Środki, podejmowane w celu zachowania poufności, powinny odpowiadać wrażliwości przekazywanych informacji i/lub
informacji przechowywanych w bazach danych. Zwrócono również uwagę, że bank powinien opracować odpowiednie plany reagowania na incydenty służące zarządzaniu, przeciwdziałaniu i minimalizacji problemów,
wynikających z nieoczekiwanych zdarzeń, w tym ataków wewnętrznych i zewnętrznych, które mogą szkodzić funkcjonowaniu systemów i świadczeniu usług bankowości elektronicznej.
Warto zadać pytanie, czy bezpieczeństwo usług
bankowości elektronicznej zależy tylko od przestrzegania zasad bezpieczeństwa przez banki? Otóż dużą rolę w zapewnieniu bezpieczeństwa tych usług odgrywają użytkownicy.
Podstawą funkcjonowania usług w sektorze bankowym jest zapewnienie, że tylko właściciel lub jego pełnomocnik może mieć dostęp do konta i wykonywać z jego poziomu operacje finansowe, np. przelewy.
W tym celu system dokonać musi operacji uwierzytelnienia, czyli weryfikacji tożsamości. Przy tradycyjnej obsłudze bankowej uwierzytelnienie następuje najczęściej na podstawie dowodu tożsamości i odręcznego podpisu, zapewniającego również niezaprzeczalność wykonanej operacji. Należy zauważyć, że te metody nie gwarantują 100% gwarancji bezpieczeństwa,
a jednak zyskały szeroką akceptację społeczeństwa.
W przypadku bankowości elektronicznej tradycyjne metody uwierzytelniania są trudne do zastosowania, dlatego
też wprowadzono inne metody, mające zagwarantować
wiarygodne uwierzytelnienie podmiotu oraz zapewnienie
niezaprzeczalności przeprowadzenia operacji bankowej.
Nr 4/2007 (5)
Tendencje
IT Security Review
Większość systemów bankowości elektronicznej wykorzystuje dwupoziomowy system uwierzytelniania.
W pierwszej kolejności logujemy się na stronie WWW,
korzystając z identyfikatora oraz hasła. Hasło najczęściej otrzymujemy od banku i zgodnie z zaleceniami
powinniśmy dokonać jego zmiany, tak, abyśmy tylko
my je znali. Z tego też powodu nie zaleca się zapisywania hasła ani też przekazywania go innym osobom, nawet pracownikom banku. Jest to bardzo ważna zasada,
gdyż jedną z najbardziej popularnych metod łamania
zabezpieczeń bankowości elektronicznej, są ataki socjotechniczne. Najprostsze z nich polegają na zatelefonowaniu do użytkownika lub wysłaniu do niego maila,
w którym to włamywacz podając się za pracownika
banku lub administratora systemu bankowego, prosi
o przekazanie hasła do systemu, tłumacząc, że jest to
wymagane w celu zapewnienia możliwości dalszego korzystania z usługi lub uniknięcia jakiegoś zagrożenia.
Pamiętajmy zatem, aby nikomu nie przekazywać naszego hasła. Nie powinniśmy również odpowiadać na
maile, w których nadawca prosi nas w imieniu banku
o zweryfikowanie i potwierdzenie danych osobowych
czy też informacji dotyczących numeru konta lub karty kredytowej.
Należy również pamiętać, aby wybrane przez nas
hasło było trudne do odgadnięcia. W wielu przypadkach banki określają minimalną wymaganą długość hasła i nie umożliwiają ustawienia hasła prostego, np. takiego samego jak imię czy nazwisko właściciela rachunku. Jeżeli bank, z którego usług korzystamy, tego nie wymusza, powinniśmy sami zadbać o to by korzystać z hasła o długości minimum 8 znaków, które składa się z liter oraz cyfr. Oczywiście, jeżeli mamy taką możliwość,
gdyż część banków umożliwia wybór hasła składającego się jedynie z samych cyfr – musimy wtedy zadbać
o odpowiednią jego długość. Hasło to powinno być również zmieniane regularnie. Najprostszym atakiem na
hasło, jest próba jego odgadnięcia. Jak wynika ze statystyk użytkownicy najczęściej wybierają na swoje hasło: imiona dzieci, rodziców, partnerów, bohaterów filmowych, zwierząt, daty urodzin, imienin, ślubu, numery
telefonów, tytuły filmów, itp. Dobór taki ułatwia znacząco złamanie takich haseł, dlatego też chcąc tego uniknąć, nie powinniśmy tworzyć tego typu haseł. W celu
zabezpieczenia przed tym atakiem, w większości banków wdrożono mechanizm blokowania konta przy kilkukrotnych – najczęściej trzech – nieudanych próbach logowania. Dodatkowo większość systemów zrywa sesję
podczas bezczynności użytkownika trwającej kilkanaście minut. Zaleca się również, aby wybrane przez nas
hasło było inne od haseł wykorzystywanych w innych
usługach, z których korzystamy w Internecie.
Drugi poziom zabezpieczeń wymagany jest do
przeprowadzenia operacji bankowych, w tym przede
wszystkim przelewów na rachunki, które nie zostały
wcześniej zdefiniowane. Na tym poziomie banki korzystają najczęściej z dodatkowych mechanizmów zabezpieczających, wśród których wymienić można:
• listy haseł jednorazowych/zdrapki;
• hasła jednorazowe wysyłane przez SMS;
• klucze elektroniczne zapisywane na nośnikach zewnętrznych;
• tokeny, czyli urządzenia kryptograficzne, służące do generowanie haseł jednorazowych.
Nr 4/2007 (5)
Podwójny poziom uwierzytelniania wydaje się być wystarczający z punktu widzenia bezpieczeństwa, pod
warunkiem jednak, że właściwie go stosujemy i zachowujemy podstawowe zasady bezpieczeństwa.
Korzystając z bankowości elektronicznej, pomiędzy
naszym komputerem a serwerem w banku przesyłane są wrażliwe dla nas dane. W celu zapewnienia ich
poufności stosuje się mechanizmy kryptograficzne. Do
szyfrowania transmisji wykorzystuje się najczęściej protokół SSL (ang. Secure Sockets Layer) z certyfikatami.
SSL jest protokołem hybrydowym, który wykorzystuje zarówno algorytmy szyfrowania symetrycznego, jak
i szyfrowania asymetrycznego. Protokół, oprócz poufności informacji, zapewnia, że dane podczas przesyłania
nie zostaną w sposób nieautoryzowany zmienione (integralność przesyłanych danych) oraz umożliwia uwierzytelnienie serwera (opcjonalnie również klienta). Protokół SSL jest standardowo wbudowany w najpopularniejsze przeglądarki i nie wymaga instalowania żadnego dodatkowego oprogramowania. Użytkownik, logując się do systemu bankowego oraz korzystając z niego, powinien zwrócić uwagę, czy połączenie, z którego
korzysta jest szyfrowane. W tym celu należy zweryfikować czy adres strony jest poprawny i rozpoczyna się od
https:// oraz czy w pasku przeglądarki internetowej
widnieje symbol zamkniętej kłódki. Klikając dwukrotnie
na tę kłódkę, możemy wyświetlić informacje o certyfikacie wydanym dla banku. Banki na swoich stronach
informują o prawidłowych wartościach pól certyfikatu,
które powinniśmy w certyfikacie zweryfikować. Aktualnie większość banków korzysta z protokołu SSL w wersji 3.0, choć do niedawna część z nich korzystała z wersji SSL 2.0, która posiada wiele słabości i nie zapewnia
odpowiednio wysokiego poziomu bezpieczeństwa.
Należy zwrócić uwagę, aby – chcąc wejść na stronę WWW banku – nie korzystać z linków znajdujących się na stronach internetowych lub też linków zawartych w e-mailach. Link taki może wskazywać na
stronę stworzoną przez włamywacza, która jedynie
imituje stronę banku. Nieświadomy użytkownik może
podać na tej stronie wszystkie informacje uwierzytelniające, które mogą zostać następnie wykorzystane
przez włamywacza. Atak ten popularny w ostatnim
czasie określany jest mianem phishingu.
Aktualnie część banków zdecydowała się na wprowadzenie nowych certyfikatów uwierzytelniających
Extended Validation SSL (EV SSL). Rozwiązanie to
ma zapewnić większy poziom ochrony w porównaniu
ze standardowymi certyfikatami SSL. W celu uzyskania tego certyfikatu trzeba przejść bardziej dokładną weryfikację, mającą na celu potwierdzenie tożsamości podmiotu. Dodatkowo, w celu lepszej ochrony przed atakami typu phishing, wprowadzono nowy mechanizm wizualny, powodujący, że po wejściu
na stronę z certyfikatem cały pasek adresu w przeglądarce podświetla się na kolor zielony i dodatkowo
oprócz zamkniętej kłódki na pasku, wyświetlana jest
nazwa właściciela witryny. Pełna obsługa certyfikatów EV SSL zapewniona jest w przeglądarce Internet
Explorer 7, lecz z pewnością wkrótce obsługiwana będzie w innych popularnych przeglądarkach.
Należy zwrócić uwagę, iż poziom bezpieczeństwa
usług bankowości elektronicznej, oprócz zabezpieczenia serwera po stronie banku i szyfrowanego połączenia, zależy również od właściwego zabezpieczewww.boston-review.com
nia stacji roboczej, z której korzysta użytkownik. Dlatego też przestrzega się przed korzystaniem z usług
bankowych na komputerach ogólnodostępnych, np.
w kafejkach internetowych. Wiąże się to z zagrożeniem, że na takim komputerze może być zainstalowane oprogramowanie typu keylogger, które zapisuje
wszystkie znaki wpisane na klawiaturze, w tym również identyfikatory i hasła wykorzystywane do logowania. W celu zabezpieczenia przed przejęciem hasła podczas jego wprowadzania, część banków przy
logowaniu wykorzystuje tzw. maskowanie hasła, czyli
wymaga podania jedynie wybranych znaków z hasła,
zamiast całego hasła. Dodatkowo, zamiast wpisywać
hasło z klawiatury możemy skorzystać z wirtualnej
klawiatury ekranowej, standardowo dostępnej również w systemach operacyjnych MS Windows.
Korzystając z usług bankowości elektronicznej ze
swojego komputera, należy pamiętać o jego właściwym zabezpieczeniu:
• dostęp do komputera powinien być chroniony hasłem;
• zaleca się instalację oprogramowania typu
firewall;
• zaleca się instalację oprogramowania antywirusowego;
• zaleca się aktualizację systemu operacyjnego, oprogramowania oraz bazy wirusów dla
oprogramowania antywirusowego;
• zaleca się blokowanie komputera, gdy oddalamy się od niego, a w pobliżu są osoby trzecie.
Nie należy zapominać o dostępie do usług bankowości poprzez telefon. W tym przypadku należy również
zadbać o odpowiednio złożone hasło. Część banków
zamiast telekodu używa prostego systemu typu wezwanie-odpowiedź, które w najprostszej postaci polega na zadaniu pytania przez operatora banku oraz
odpowiedzi, udzielonej przez właściciela konta. Proponując wcześniej takie pytanie i odpowiedź, nie powinniśmy pytać o rzeczy, które można łatwo uzyskać,
np. numer telefonu, imię matki, ojca, wiek, adres,
PESEL, itp., jak również tworzyć pytań, dla których istnieje tylko kilka możliwych odpowiedzi. Weźmy np. ulubiony kolor – w większości przypadków wymieniając
5-10 kolorów, uda nam się odgadnąć właściwy kolor.
W tym przypadku wykonanie kilku prób telefonicznych
nie stanowi dla atakującego większego problemu.
Ilość incydentów naruszenia bezpieczeństwa, związanych z bankowością elektroniczną, wzrasta wraz
z rozwojem tych usług. Wiele z tych incydentów nie
jest ujawnianych publicznie, aby nie wpływać negatywnie na wizerunek banków, oferujących te usługi.
Należy zwrócić uwagę, że przeważająca większość
tych incydentów związana jest z błędami popełnianymi przez użytkowników tych systemów, którzy często
nie są świadomi istniejących zagrożeń i nie posiadają wystarczającej wiedzy w zakresie bezpiecznego korzystania z tych usług. Wystarczy się przez chwilę zastanowić, kiedy zmienialiśmy ostatnio hasło do systemu bankowości elektronicznej, z jakiego długiego hasła korzystamy, czy weryfikujemy za każdym razem
adres strony banku w wyszukiwarce, czy kiedykolwiek
sprawdzaliśmy certyfikat banku albo też, czy w odpowiedni sposób zabezpieczyliśmy nasz komputer?
15