Bankowość elektroniczna – korzyści i zagrożenia
Transkrypt
Bankowość elektroniczna – korzyści i zagrożenia
Tendencje IT Security Review Bankowość elektroniczna – korzyści i zagrożenia Banki w wyobrażeniu większości z nas stanowią twierdze XXI wieku. Skarbce, alarmy, kamery, ochrona to elementy, które budują wizerunek banków jako miejsc solidnych i bezpiecznych – idealnych do przechowywania naszych oszczędności. O d kilku lat na rynku oferowane są usługi bankowości elektronicznej, których popularność w ostatnich latach wzrosła znacząco. Wśród głównych korzyści, związanych z korzystaniem z tych usług, wymienić należy wygodę oraz mniejsze koszty prowadzenia konta i wykonywania operacji finansowych. W pierwszej kolejności usługi bankowości elektronicznej skierowane były do firm. Banki określiły dla tych usług formalne zasady zakładania kont i nadawania uprawnień w systemach (od strony klienta), wy- Krzysztof Maćkowiak www.Centrum.Bezpieczenstwa.pl Od prawie 3 lat współpracuje z firmą Doradztwo Gospodarcze DGA S.A. w zakresie przeprowadzania audytów bezpieczeństwa teleinformatycznego oraz wdrażania Systemów Zarządzania Bezpieczeństwem Informacji zgodnych z normą ISO/IEC 27001:2005 (wcześniej BS 7799-2). Uczestniczył w kilkunastu projektach w firmach branży energetycznej, finansowej, informatycznej oraz administracyjnej. Jest członkiem Polskiego Towarzystwa Informatycznego PTI, MENSA Polska oraz ISACA International. Uzyskał następujące certyfikaty: CISA, Lead Auditor ISO/IEC 27001:2005, CompTIA Security +. Prezentował tematy związane z kryptografią kwantową i molekularną oraz bezpieczeństwem informacji na konferencjach: Enigma, Secure oraz Confidence. 14 muszania haseł o odpowiedniej złożoności oraz korzystania z drugiego elementu uwierzytelniającego, jakim są tokeny, dyskietki czy też karty elektroniczne. Następnym krokiem było skierowanie usług bankowości elektronicznej do indywidualnych użytkowników. Często nie mając wiedzy na temat technicznych rozwiązań wykorzystywanych w bankowości elektronicznej, pokładamy nadzieję, że poziom bezpieczeństwa zapewniany przez te systemy jest zbliżony do bezpieczeństwa tradycyjnych skarbców. Czy rzeczywiście możemy spać spokojnie? Banki w obszarze zarządzania bezpieczeństwem informacji kierują się m.in. rekomendacjami Generalnego Inspektoratu Nadzoru Bankowego (GINB). Główną regulacją w tym zakresie jest Rekomendacja D, która dotyczy zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym, używanym przez banki. Rekomendacja zawiera w swojej treści również zalecenia Bazylejskiego Komitetu ds. Nadzoru Bankowego, dotyczące zasad zarządzania ryzykiem w bankowości elektronicznej. Rekomendacja wymaga, by władze banku ustanowiły kontrolę zarządczą ryzyk, związanych z systemami informatycznymi, w tym ustanowiły polityki i inne, bardziej szczegółowe regulacje, służące zarządzaniu tymi ryzykami. Kierownictwo banku odpowiada za opracowanie i realizację polityki bezpieczeństwa. Zgodnie z zapisami, zawartymi w rekomendacji, bank powinien stosować zabezpieczenia systemów informatycznych, wykorzystując w tym celu narzędzia, zawarte w systemach operacyjnych, wyspecjalizowane oprogramowanie, rozwiązania sprzętowe, audyty, zarządzanie konfiguracją, a także działania organizacyjne, podejmowane profilaktycznie na wypadek naruszenia zabezpieczeń oraz w sytuacjach awaryjnych i katastrofalnych. Należy zadbać również o aktualność i bezpieczeństwo dokumentacji systemowej dla wszystkich systemów informatycznych, używanych przez bank. Kierownictwo banku jest odpowiedzialne za techniczne zabezpieczenie prawidłowego funkcjonowania systemów informatycznych i sieci oraz stworzenie właściwej polityki bezpieczeństwa, redukującej ryzyko błędu ludzkiego i niewłaściwego wykorzystania sprzętu i informacji. Zgodnie z wymaganiami zapewnione musi zostać bezpieczeństwo fizyczne i środowiskowe systemów. W rekomendacji poruszono również kwestie bankowości elektronicznej, w tym określono, iż należy podjąć odpowiednie kroki w celu potwierdzenia tożsamości i upoważwww.boston-review.com nień klientów, korzystających z usług banku przez Internet lub z wykorzystaniem innych elektronicznych kanałów dystrybucji. Banki powinny stosować takie metody potwierdzania transakcji, które uniemożliwiają negowanie dokonanych transakcji i wprowadzają odpowiedzialność za wykonane transakcje bankowości elektronicznej. Dodatkowo powinny one posiadać odpowiednie środki służące ochronie integralności transakcji, zapisów i informacji bankowości elektronicznej. Wymagane jest również posiadanie odpowiednich środków służących promowaniu adekwatnego podziału obowiązków w zakresie systemów, baz danych i aplikacji bankowości elektronicznej. Banki powinny podejmować odpowiednie kroki w celu zachowania poufności podstawowych informacji bankowości elektronicznej. Środki, podejmowane w celu zachowania poufności, powinny odpowiadać wrażliwości przekazywanych informacji i/lub informacji przechowywanych w bazach danych. Zwrócono również uwagę, że bank powinien opracować odpowiednie plany reagowania na incydenty służące zarządzaniu, przeciwdziałaniu i minimalizacji problemów, wynikających z nieoczekiwanych zdarzeń, w tym ataków wewnętrznych i zewnętrznych, które mogą szkodzić funkcjonowaniu systemów i świadczeniu usług bankowości elektronicznej. Warto zadać pytanie, czy bezpieczeństwo usług bankowości elektronicznej zależy tylko od przestrzegania zasad bezpieczeństwa przez banki? Otóż dużą rolę w zapewnieniu bezpieczeństwa tych usług odgrywają użytkownicy. Podstawą funkcjonowania usług w sektorze bankowym jest zapewnienie, że tylko właściciel lub jego pełnomocnik może mieć dostęp do konta i wykonywać z jego poziomu operacje finansowe, np. przelewy. W tym celu system dokonać musi operacji uwierzytelnienia, czyli weryfikacji tożsamości. Przy tradycyjnej obsłudze bankowej uwierzytelnienie następuje najczęściej na podstawie dowodu tożsamości i odręcznego podpisu, zapewniającego również niezaprzeczalność wykonanej operacji. Należy zauważyć, że te metody nie gwarantują 100% gwarancji bezpieczeństwa, a jednak zyskały szeroką akceptację społeczeństwa. W przypadku bankowości elektronicznej tradycyjne metody uwierzytelniania są trudne do zastosowania, dlatego też wprowadzono inne metody, mające zagwarantować wiarygodne uwierzytelnienie podmiotu oraz zapewnienie niezaprzeczalności przeprowadzenia operacji bankowej. Nr 4/2007 (5) Tendencje IT Security Review Większość systemów bankowości elektronicznej wykorzystuje dwupoziomowy system uwierzytelniania. W pierwszej kolejności logujemy się na stronie WWW, korzystając z identyfikatora oraz hasła. Hasło najczęściej otrzymujemy od banku i zgodnie z zaleceniami powinniśmy dokonać jego zmiany, tak, abyśmy tylko my je znali. Z tego też powodu nie zaleca się zapisywania hasła ani też przekazywania go innym osobom, nawet pracownikom banku. Jest to bardzo ważna zasada, gdyż jedną z najbardziej popularnych metod łamania zabezpieczeń bankowości elektronicznej, są ataki socjotechniczne. Najprostsze z nich polegają na zatelefonowaniu do użytkownika lub wysłaniu do niego maila, w którym to włamywacz podając się za pracownika banku lub administratora systemu bankowego, prosi o przekazanie hasła do systemu, tłumacząc, że jest to wymagane w celu zapewnienia możliwości dalszego korzystania z usługi lub uniknięcia jakiegoś zagrożenia. Pamiętajmy zatem, aby nikomu nie przekazywać naszego hasła. Nie powinniśmy również odpowiadać na maile, w których nadawca prosi nas w imieniu banku o zweryfikowanie i potwierdzenie danych osobowych czy też informacji dotyczących numeru konta lub karty kredytowej. Należy również pamiętać, aby wybrane przez nas hasło było trudne do odgadnięcia. W wielu przypadkach banki określają minimalną wymaganą długość hasła i nie umożliwiają ustawienia hasła prostego, np. takiego samego jak imię czy nazwisko właściciela rachunku. Jeżeli bank, z którego usług korzystamy, tego nie wymusza, powinniśmy sami zadbać o to by korzystać z hasła o długości minimum 8 znaków, które składa się z liter oraz cyfr. Oczywiście, jeżeli mamy taką możliwość, gdyż część banków umożliwia wybór hasła składającego się jedynie z samych cyfr – musimy wtedy zadbać o odpowiednią jego długość. Hasło to powinno być również zmieniane regularnie. Najprostszym atakiem na hasło, jest próba jego odgadnięcia. Jak wynika ze statystyk użytkownicy najczęściej wybierają na swoje hasło: imiona dzieci, rodziców, partnerów, bohaterów filmowych, zwierząt, daty urodzin, imienin, ślubu, numery telefonów, tytuły filmów, itp. Dobór taki ułatwia znacząco złamanie takich haseł, dlatego też chcąc tego uniknąć, nie powinniśmy tworzyć tego typu haseł. W celu zabezpieczenia przed tym atakiem, w większości banków wdrożono mechanizm blokowania konta przy kilkukrotnych – najczęściej trzech – nieudanych próbach logowania. Dodatkowo większość systemów zrywa sesję podczas bezczynności użytkownika trwającej kilkanaście minut. Zaleca się również, aby wybrane przez nas hasło było inne od haseł wykorzystywanych w innych usługach, z których korzystamy w Internecie. Drugi poziom zabezpieczeń wymagany jest do przeprowadzenia operacji bankowych, w tym przede wszystkim przelewów na rachunki, które nie zostały wcześniej zdefiniowane. Na tym poziomie banki korzystają najczęściej z dodatkowych mechanizmów zabezpieczających, wśród których wymienić można: • listy haseł jednorazowych/zdrapki; • hasła jednorazowe wysyłane przez SMS; • klucze elektroniczne zapisywane na nośnikach zewnętrznych; • tokeny, czyli urządzenia kryptograficzne, służące do generowanie haseł jednorazowych. Nr 4/2007 (5) Podwójny poziom uwierzytelniania wydaje się być wystarczający z punktu widzenia bezpieczeństwa, pod warunkiem jednak, że właściwie go stosujemy i zachowujemy podstawowe zasady bezpieczeństwa. Korzystając z bankowości elektronicznej, pomiędzy naszym komputerem a serwerem w banku przesyłane są wrażliwe dla nas dane. W celu zapewnienia ich poufności stosuje się mechanizmy kryptograficzne. Do szyfrowania transmisji wykorzystuje się najczęściej protokół SSL (ang. Secure Sockets Layer) z certyfikatami. SSL jest protokołem hybrydowym, który wykorzystuje zarówno algorytmy szyfrowania symetrycznego, jak i szyfrowania asymetrycznego. Protokół, oprócz poufności informacji, zapewnia, że dane podczas przesyłania nie zostaną w sposób nieautoryzowany zmienione (integralność przesyłanych danych) oraz umożliwia uwierzytelnienie serwera (opcjonalnie również klienta). Protokół SSL jest standardowo wbudowany w najpopularniejsze przeglądarki i nie wymaga instalowania żadnego dodatkowego oprogramowania. Użytkownik, logując się do systemu bankowego oraz korzystając z niego, powinien zwrócić uwagę, czy połączenie, z którego korzysta jest szyfrowane. W tym celu należy zweryfikować czy adres strony jest poprawny i rozpoczyna się od https:// oraz czy w pasku przeglądarki internetowej widnieje symbol zamkniętej kłódki. Klikając dwukrotnie na tę kłódkę, możemy wyświetlić informacje o certyfikacie wydanym dla banku. Banki na swoich stronach informują o prawidłowych wartościach pól certyfikatu, które powinniśmy w certyfikacie zweryfikować. Aktualnie większość banków korzysta z protokołu SSL w wersji 3.0, choć do niedawna część z nich korzystała z wersji SSL 2.0, która posiada wiele słabości i nie zapewnia odpowiednio wysokiego poziomu bezpieczeństwa. Należy zwrócić uwagę, aby – chcąc wejść na stronę WWW banku – nie korzystać z linków znajdujących się na stronach internetowych lub też linków zawartych w e-mailach. Link taki może wskazywać na stronę stworzoną przez włamywacza, która jedynie imituje stronę banku. Nieświadomy użytkownik może podać na tej stronie wszystkie informacje uwierzytelniające, które mogą zostać następnie wykorzystane przez włamywacza. Atak ten popularny w ostatnim czasie określany jest mianem phishingu. Aktualnie część banków zdecydowała się na wprowadzenie nowych certyfikatów uwierzytelniających Extended Validation SSL (EV SSL). Rozwiązanie to ma zapewnić większy poziom ochrony w porównaniu ze standardowymi certyfikatami SSL. W celu uzyskania tego certyfikatu trzeba przejść bardziej dokładną weryfikację, mającą na celu potwierdzenie tożsamości podmiotu. Dodatkowo, w celu lepszej ochrony przed atakami typu phishing, wprowadzono nowy mechanizm wizualny, powodujący, że po wejściu na stronę z certyfikatem cały pasek adresu w przeglądarce podświetla się na kolor zielony i dodatkowo oprócz zamkniętej kłódki na pasku, wyświetlana jest nazwa właściciela witryny. Pełna obsługa certyfikatów EV SSL zapewniona jest w przeglądarce Internet Explorer 7, lecz z pewnością wkrótce obsługiwana będzie w innych popularnych przeglądarkach. Należy zwrócić uwagę, iż poziom bezpieczeństwa usług bankowości elektronicznej, oprócz zabezpieczenia serwera po stronie banku i szyfrowanego połączenia, zależy również od właściwego zabezpieczewww.boston-review.com nia stacji roboczej, z której korzysta użytkownik. Dlatego też przestrzega się przed korzystaniem z usług bankowych na komputerach ogólnodostępnych, np. w kafejkach internetowych. Wiąże się to z zagrożeniem, że na takim komputerze może być zainstalowane oprogramowanie typu keylogger, które zapisuje wszystkie znaki wpisane na klawiaturze, w tym również identyfikatory i hasła wykorzystywane do logowania. W celu zabezpieczenia przed przejęciem hasła podczas jego wprowadzania, część banków przy logowaniu wykorzystuje tzw. maskowanie hasła, czyli wymaga podania jedynie wybranych znaków z hasła, zamiast całego hasła. Dodatkowo, zamiast wpisywać hasło z klawiatury możemy skorzystać z wirtualnej klawiatury ekranowej, standardowo dostępnej również w systemach operacyjnych MS Windows. Korzystając z usług bankowości elektronicznej ze swojego komputera, należy pamiętać o jego właściwym zabezpieczeniu: • dostęp do komputera powinien być chroniony hasłem; • zaleca się instalację oprogramowania typu firewall; • zaleca się instalację oprogramowania antywirusowego; • zaleca się aktualizację systemu operacyjnego, oprogramowania oraz bazy wirusów dla oprogramowania antywirusowego; • zaleca się blokowanie komputera, gdy oddalamy się od niego, a w pobliżu są osoby trzecie. Nie należy zapominać o dostępie do usług bankowości poprzez telefon. W tym przypadku należy również zadbać o odpowiednio złożone hasło. Część banków zamiast telekodu używa prostego systemu typu wezwanie-odpowiedź, które w najprostszej postaci polega na zadaniu pytania przez operatora banku oraz odpowiedzi, udzielonej przez właściciela konta. Proponując wcześniej takie pytanie i odpowiedź, nie powinniśmy pytać o rzeczy, które można łatwo uzyskać, np. numer telefonu, imię matki, ojca, wiek, adres, PESEL, itp., jak również tworzyć pytań, dla których istnieje tylko kilka możliwych odpowiedzi. Weźmy np. ulubiony kolor – w większości przypadków wymieniając 5-10 kolorów, uda nam się odgadnąć właściwy kolor. W tym przypadku wykonanie kilku prób telefonicznych nie stanowi dla atakującego większego problemu. Ilość incydentów naruszenia bezpieczeństwa, związanych z bankowością elektroniczną, wzrasta wraz z rozwojem tych usług. Wiele z tych incydentów nie jest ujawnianych publicznie, aby nie wpływać negatywnie na wizerunek banków, oferujących te usługi. Należy zwrócić uwagę, że przeważająca większość tych incydentów związana jest z błędami popełnianymi przez użytkowników tych systemów, którzy często nie są świadomi istniejących zagrożeń i nie posiadają wystarczającej wiedzy w zakresie bezpiecznego korzystania z tych usług. Wystarczy się przez chwilę zastanowić, kiedy zmienialiśmy ostatnio hasło do systemu bankowości elektronicznej, z jakiego długiego hasła korzystamy, czy weryfikujemy za każdym razem adres strony banku w wyszukiwarce, czy kiedykolwiek sprawdzaliśmy certyfikat banku albo też, czy w odpowiedni sposób zabezpieczyliśmy nasz komputer? 15