poniedziałek, 22 sierpnia 2011

Wyzwania współczesnej bankowości elektronicznej

Ten króciutki raport poświęciłem zagadnieniu zabezpieczeń bankowości elektronicznej a także ludziom korzystającej z bankowości internetowej.Zapraszam.


Wielu z nas korzysta z usług bankowości elektronicznej.Zwykle bankowość internetowa jest dodatkiem do standardowego rachunku bankowego.Aby z niej skorzystać, potrzebujemy podpisać w oddziale banku aneks do umowy o prowadzenie rachunku.W aneksie takim określony jest numer identyfikacyjny klienta (NIK), który służy nam do logowania w bankowości elektronicznej.Numer taki w większości polskich banków składa się z 9 cyfr.Zatrzymajmy się na chwilę w tym momencie i zastanówmy się, jakiego pokroju ludzie korzystają z bankowości elektronicznej.Czy są to profesorzy? Czy są to guru informatyki? Czy może hakerzy? Czy pracownicy banków? Czy specjaliści z dziedziny kryptologii? Czy są to osoby obeznane z nowinkami komputerowymi? Niewątpliwie tak, ale procent tej grupy użytkowników bankowości internetowej jest znikomy.Kto więc z zdecydowanej części korzysta z bankowości elektronicznej.Zwykli pracownicy, którzy w domu sprawdzają, czy wpłynęła ich wypłata; fani zakupów internetowych, którzy płacą za nie w sieci; emeryci, którzy regulują swoje rachunki przez internet; klienci zakładów energetycznych, którzy podają wskazania licznika przez internet; krewni którzy przelewają pieniądze z zagranicy swojej rodzinie; pracownicy zagraniczni, którzy sprawdzają stan konta w walucie; zwykły szarzy ludzie, którzy sprawdzają, czy z konta zeszła im kwota za zakupy w markecie.Jak więc widać, bankowość elektroniczną wykorzystujemy głównie do załatwiania codziennych spraw.Przelew internetowy ułatwia nam życie, bo nie musimy stać w kolejce, możemy wykonać go w domu, często przelewy internetowe są darmowe.Tak więc oszczędność czasu, pieniędzy i zachodu.

Ale jest też druga strona bankowości internetowej.Choćby nie wiadomo jak były mocne zabezpieczenia banków, zwykły szary obywatel bez wiedzy informatycznej i komputerowej musi umieć je obsługiwać.A jak już udowodniliśmy wcześniej, nie możemy wymagać od użytkowników bankowości elektronicznej super wiedzy o zabezpieczeniach, komputerach i szyfrach.Obsługa konta internetowego ma być prosta jak but, bo inaczej infolinia banku będzie ciągle zajęta, a bank musiałby zatrudnić 100 konsultantów.Mało tego, powiem dobitniej.Czy podczas rejestracji na forum czy innej stronie zdarzyło się Wam źle przepisać kod captcha z obrazka? Bo projektant skryptu był za bardzo przeczulony na punkcie bezpieczeństwa i uznał, że roboty mogą odczytywać napis z obrazka i przez to masowo rejestrować się na forum.Aby to utrudnić, projektant skryptu losowy napis umieścił na liniach poprzecinanych pod różnymi kątami, każda litera jest innej wielkości, nierzadko obrócona, jakość liter przypomina czasami 100 letnią książkę znalezioną w szafie (np. w projekcie Re-captcha).To wszystko sprawia, że zwykły user przepisuje poprawnie taki kod nie za pierwszym razem, ale za drugim czy trzecim.Strach pomyśleć co się dzieje w przypadku niedowidzących :>

Tak więc doszliśmy do wniosku, że obsługa konta internetowego ma być banalnie prosta, żeby bank nie był zadręczany setkami telefonów na godzinę, że użytkownicy nie mogą się zalogować.To jeszcze nic.Jak taki użytkownik zacznie wylewać swoje żale albo co gorsze zrobi awanturę w oddziale banku, to ... nie chciałbym być w tej chwili na miejscu pracownika banku.Użytkownik powinien więc pamiętać (mieć zapisane?) NIP oraz pin.Pin powinien mieć co najmniej 8 znaków i składac się z liter i cyfr, choć niektóre banki mają mniej restrykcyjną politykę w tej kwestii.Dobrze jest zmieniać pin co pół roku.To bardzo prosta metoda uwierzytelniania użytkownika (poświadczania jego tożsamości), bo polegająca na tym co użytkownik ma (NIK i pin).Aby nieco utrudnić włamywaczowi życie, na standardzie są pola służące do wpisania niektórych tylko cyfr pinu.Oznacza to, że aby atakujący dostał się do bankowości internetowej, musi znać NIK klienta i pełny pin.Dlaczego pełny? Dlatego, że nie wiadomo które cyfry trzeba będzie podać przy logowaniu (przykładowo, cyfra druga, siódma, dziewiąta i jedenasta).Tak więc nawet jak atakujący przechwyci ostatnio wprowadzony częściowy pin wprowadzony przez prawowitego użytkownika, to i tak ten pin częściowy już mu się do niczego nie przyda.Chyba, że atakujący przechwyci kilka takich prób logowania i dla każdej z nich ustali, jaką kolejność w ciągu zajmują przechwycone cyfry.Bardziej silne zabezpieczenie opiera się na dwóch rzeczach: na tym co użytkownik zna (nik, pełny pin) oraz na tym co użytkownik ma (np. telefon komórkowy lub token).W przypadku telefonu komórkowego użytkownik wpierw musi podać właściwy NIK i pin, i dopiero jeśli te będą się zgadzać, to system wyśle jednorazowy kod sms na komórkę właściciela konta.Dopiero wprowadzenie kodu z smsa kończy proces uwierzytelniania.Co jeszcze użytkownik może mieć? Np. kartę TAN.Karta TAN to karta-zdrapka z kodami jednorazowymi.Przykładowo, system bankowy poprosi o wprowadzenie kodu spod pól f1 i b9.Wtedy użytkownik bierze kartę TAN do ręki (musi ją fizycznie posiadać), zdrapuje pola f1 i b9, a następnie przepisuje do bankowości internetowej kody spod tych pól.Zastanówmy się, czy to rozwiązanie jest w 100 % bezpieczne.
Włamywacz zakrada się do domu użytkownika i w szufladzie znajduje jego teczkę z umową o prowadzenie bankowości internetowej.Użytkownik był tak niefrasobliwy, że zapisał sobie na karteczce pin do bankowości internetowej i karteczkę z tym pinem włożył również do szuflady.Złodziej splądrował dom ofiary i znalazł kartę TAN, która również znajdowała się w tej samej teczce ;-) Niemożliwe? Możliwe jak najbardziej.Nie pytajcie skąd wiem ;-) Tak więc złodziej wiedząc, że ofiara jest do 16 w pracy, uruchomił komputer ofiary, zalogował się do bankowości internetowej przy pomocy znalezionego numeru NIK i pinu oraz karty TAN, a następnie wyczyścił jej konto wyprowadzając pieniądze na zagranicznego konto zarejestrowane na słupa.Określenie wyczyścił może nie jest adekwatne do sytuacji.Na umowach o świadczenie usług bankowości elektronicznej banki wprowadzają dzienne i jednorazowe limity przelewów.Oznacza to, że z konta można wykonać dziennie maksymalnie 15 przelewów, a łączna kwota przelewów nie może przekroczyć np. 5000 zł.Podobnie jest z kartą bankomatową.Większość banków wprowadza limit wypłaty gotówki z karty na poziomie 5000 zł dziennie.To pewne utrudnienie dla włamywacza, ale i tak może on uszczuplić konto właściciela o te kilka tys. zł.O ile właściciel konta zauważy obcą aktywność na koncie, powinien natychmiast skontaktować się z dowolnym oddziałem banku w którym ma konto i poprosić o zablokowanie bankowości internetowej.

Konkludując.System bankowości internetowej musi sam zadbać o swoje bezpieczeństwo, bo na użytkownikach (ludziach) nie można w tej kwestii polegać.Człowiek był, jest i będzie najsłabszym ogniwem zabezpieczeń.

0 komentarzy:

Prześlij komentarz