Niepewne jak w banku

Internetowe konta bankowe od początku istnienia były obiektem zainteresowań cyberwłamywaczy. Przyglądając się obecnym w Polsce systemom bankowości elektronicznej, przekonałem się, że niektóre z nich są nadal, niestety, niewystarczająco zabezpieczone, a “hakerzy” mają naprawdę spore pole do popisu. Kiedy zaczęły pojawiać się pierwsze polskie e-banki (patrz: $(LC11553:Kasa w Sieci)$), dało się zauważyć rywalizację okupioną rezygnacją z bezpieczeństwa. Do dziś sytuacja ta nieco się zmieniła, ale niektórym placówkom nadal można sporo zarzucić.

Radosna twórczość

Po trzech tygodniach zmagań z regulaminami i procedurami zakładania kont mogłem wreszcie poświęcić uwagę bankowym systemom internetowym. Niestety, wykorzystują one różne metody uwierzytelniania i dlatego trudno je porównywać bezpośrednio. Niemniej jednak, biorąc pod uwagę takie czynniki, jak liczba i długość haseł, rodzaj użytych technik kryptograficznych lub programistycznych, odporność na oprogramowanie szpiegujące, przechwytywanie haseł itp., można wykazać, które rachunki są mniej, a które bardziej bezpieczne.

Wśród opisywanych systemów znajdują się bardzo słabo zabezpieczone (Citibank) lub nawet podatne na prymitywne próby przejęcia sesji. Udało mi się to w przypadku serwisów Pekao SA oraz Integrum BGŻ – zwykłe skopiowanie zawartości paska adresu z przeglądarki pozwoliło na otwarcie strony z aktywną sesją na innym komputerze znajdującym się w tej samej sieci lokalnej… bez podawania haseł czy identyfikatorów. Są też takie systemy, przy których należy zachować jedynie odrobinę uwagi (konto BGŻ z tokenem czy Nordea z listą), a także jedno konto, na które włamanie jest prawie niemożliwe (BZ WBK z wykorzystaniem smsKodów).

Złudne bezpieczeństwo

Każdy e-bank zapewnia, że dzięki zastosowaniu najnowocześniejszych technik kryptograficznych pieniądze klientów są całkowicie bezpieczne. Stwierdzenie to jest prawdziwe jedynie przy założeniu, że nikt nie będzie próbował obejść stosowanych zabezpieczeń. Można to porównać do zamykania drzwi jedynie na zwyczajny zamek. Owszem – człowiek z ulicy nie włamie się, ale złodziej z wytrychem sforsuje takie zabezpieczenie bez żadnego problemu.

Współczesne systemy operacyjne są tak złożone, że nigdy nie ma pewności co do ich bezpieczeństwa. Zawierają one wciąż odkrywane błędy i pozwalają na instalowanie oprogramowania szpiegującego. Nie mamy więc pewności, czy wiemy o wszystkich “tylnych wejściach” do naszego systemu. Plagi robaków internetowych i trojanów rozsyłanych e-mailami oraz częste krytyczne poprawki do systemów są tego dowodem. Rodzi się też pytanie: czy możemy ufać naszemu operatorowi lub dostawcy Internetu oraz pozostałym użytkownikom naszej sieci? Odpowiedź brzmi: nie – szczególnie w sieciach osiedlowych, gdzie mamy bezpośrednie połączenie z wieloma potencjalnymi przestępcami.

Wnioski z tego są niepokojące. A przecież nie wszyscy mamy czas i ochotę na zgłębianie tajników kryptografii i pilnowanie się za każdym razem, gdy chcemy zarządzać swoimi pieniędzmi. Powinniśmy jednak być świadomi, na co jesteśmy narażeni, abyśmy mogli skutecznie chronić się przed zagrożeniami.

Dni otwartych drzwi

Najlepszym przykładem na potwierdzenie powyższych wątpliwości jest wiele ataków na system Citibank Online. Nawet osoba mało obeznana w tematyce zabezpieczeń komputerowych z łatwością zauważy, że metody uwierzytelniania użytkowników i dokonywanych przez nich operacji stosowane w Citibanku nie są bezpieczne. Aby na przykład przelać pieniądze, wystarczy poznać numer karty i tzw. i-PIN. Stąd ogromna liczba prób ataków mierzona w setkach – system Citibank Online to świetny punkt wyjścia dla osób stawiających pierwsze kroki w świecie cyberprzestępczości.

Najczęstszym sposobem na przejęcie haseł jest rozsyłanie do klientów banku fałszywego listu z prośbą o zalogowanie się do systemu za pomocą podanego w mailu odnośnika, prowadzącego do fałszywej witryny banku (patrz: $(LC106297:Dzień dobry, jestem z banku)$). Gdyby tylko operacje w Citibanku były lepiej zabezpieczone, prawdopodobnie takie próby nie pojawiłyby się w ogóle.

Zdani sami na siebie

Czy nawet jeśli nie damy się nabrać na prymitywny podstęp, możemy zaufać tak prostej (i słabej) metodzie uwierzytelniania? Zdecydowanie nie – wobec przytłaczającej liczby doniesień o “dziurach” umożliwiających atakującemu przejęcie całkowitej kontroli nad systemem. Nie przemawiają za tym także setki tysięcy robaków sieciowych i koni trojańskich rozsyłanych w każdej sekundzie w Internecie. Symantec ostrzegał niedawno przed kolejnym tego typu programem o nazwie Backdoor.Nibu.H. Stworzono go specjalnie do przechwytywania danych wprowadzanych podczas korzystania z kont internetowych. Błędy znajduje się także na serwerach. Usterka w ISS-ie została wykorzystana przez rosyjskich hakerów do przechwycenia danych z 50 witryn bankowości internetowej.

Widać jasno, że identyfikator i hasło to zdecydowanie za słabe zabezpieczenie. Korzystanie z systemu Citibank Online wymaga więc nie tylko olbrzymiej ostrożności, ale i rygorystycznego stosowania wszelkich zabezpieczeń – począwszy od pracy jedynie na zaufanym komputerze, poprzez wykorzystanie programów antywirusowych i firewalli osobistych uzbrojonych w funkcję blokowania ruchu wychodzącego, a skończywszy na monitorowaniu uruchamianych aplikacji i wykrywaniu zmian w ich kodzie.

Zabezpieczenia polskich banków internetowych*
Bank WWW [http://] Bezpieczeństwo1) (ocena CHIP-a)Odporność na ataki: przechwycenie hasła/zaawansow. trojanem/atak na SSL/fałszywą przeglądarkęZabezpieczenie logowaniaZabezpieczenie transakcjiDozwolona liczba prób logowania lub operacjiWylogowanie po czasie bezczynnościUwagi
Bank Zachodni WBK
www.bzwbk.pl/
S 100
T 85
S: +/+/+/+
T: +/+/+/-
login i hasłoodpowiedź tokena lub smsKod35 min+ W wersji z smsKodem system nie podatny na atak z wykorzystaniem fałszywej przeglądarki.
– Możliwość łatwego podsłuchania loginu i hasła.
– Autoryzacja smsKodem kosztuje 20 gr (pierwsze 5 za darmo).
Nordea
www.nordeabank.pl/
L 85
T 65
L: +/+/+/-
T: +/-/+/-
login i hasło z tokena lub listywskazanie generatora lub losowe hasło z listy37 min+ W wersji z listą system pyta o losowo wybrane hasło tylko raz, po czym uznaje je za wykorzystane, nawet jeśli nie dotarło do banku.
– Logowanie także zabezpieczone generatorem.
– Kod z generatora nie jest powiązany z operacją, a więc po przechwyceniu można go wykorzystać.
BGŻ
www.integrum.pl/
T 85
L 50
T: +/+/+/-
L: +/-/-/-
login, hasło i odpowiedź tokena (w wersji z tokenem)odpowiedź tokena lub kolejne hasło z listy420 min+ System podatny jedynie na atak z wykorzystaniem fałszywej przeglądarki.
– Istnieje możliwość otwarcia drugiej sesji bez podawania hasła i kodu z tokena poprzez skopiowanie zawartości paska adresu przeglądarki.
– W wersji z listą możliwość wykorzystania przechwyconego hasła z listy (opis patrz: Inteligo).
Raiffeisen Bank
www.raiffeisen.pl/
85+/+/+/-login i hasłohasła z listy (kolejne pary)310 min+ Przy operacji system pyta o kolejne hasło z listy tylko raz, po czym uznaje je za wykorzystane niezależnie czy dotarło do banku czy nie.
+ Blokowanie listy po trzykrotnym błędnym podaniu kodu.
-Przeglądarka pyta o zapamiętanie loginu i hasła na stronie logowania.
Lukas Bank
www.lukasbank.com.pl/
65+/-/+/-login i hasło, wskazanie tokenahasło i wskazanie generatora315 minPrzeglądarka pyta o zapamiętania hasła na stronie logowania, ale nie ma to znaczenia, bo + logowanie wymaga tokena.
– Kod z generatora nie jest powiązany z operacją, a więc po przechwyceniu można go wykorzystać.
Volkswagen Bank direct
www.vwbankdirect.pl/
65+/-/+/-login i hasło, wskazanie tokenahasło i wskazanie generatora410 minPrzeglądarka pyta o zapamiętania hasła na stronie logowania, ale nie ma to znaczenia, bo + logowanie wymaga tokena.
– Kod z generatora nie jest powiązany z operacją, a więc po przechwyceniu można go wykorzystać.
Fortis Bank***
www.fortisbank.com.pl/
65+/-/+/-login i hasłozabezpieczony hasłem klucz prywatny u użytkownika320 min+ Aby skorzystać z systemu, trzeba zaimportować do przeglądarki certyfikat osobisty wydany przez bank.
+ Klucz może być przychowywany na dyskietce, dysku, pamięci USB oraz na karcie czipowej.
– Błędne hasło do klucza można wpisywać dowolną liczbę razy.
Invest-Bank
www.investbank24.pl/
65+/-/+/-login i hasłozabezpieczony hasłem klucz prywatny u użytkownika320 min– Przeglądarka pyta o zapamiętanie loginu i hasła na stronie logowania.
– Błędne hasło do klucza można wpisywać dowolną liczbę razy.
– Wymiana klucza płatna (5 zł). Wymaga środowiska Sun Java 2 Runtime Environment.
ING Bank Śląski
www.ing.pl/
U 65
B 20
U: +/-/+/-
B: -/-/+/-
login i hasło maskowanezabezpieczony hasłem klucz prywatny na dysku lub w banku510 min– Błędne hasło do klucza można wpisywać dowolną liczbę razy.
– W przypadku przechowywania klucza prywatnego na serwerze banku, złodziejowi wystarczy przechwycenie hasła trojanem.
– Wymiana klucza kosztuje 15 zł.
Bank BPH
www.bph.pl/
U 65
B 20
U: +/-/+/-
B: -/-/+/-
login i hasłozabezpieczony hasłem klucz prywatny na dysku lub w banku310-15** min+ Możliwość wprowadzania hasła za pomocą myszki.
+ Wymiana klucza bezpłatna.
– Błędne hasło do klucza można wpisywać dowolną ilość razy.
– W przypadku przechowywania klucza prywatnego na serwerze banku, złodziejowi wystarczy przechwycenie hasła trojanem.
Deutsche Bank PBC
www.db-24.pl/
50+/-/-/-login i hasłohasła z listy (losowe pary)310 min– Do autoryzacji każdej operacji losowane są dwie pary liczb spośród 100 par z karty kodów ważnej przez rok, a więc złodziej może z czasem zgromadzić wszystkie pary kodów.
Pekao SA
www.pekao24.pl/
50+/-/-/-łogin i hasłohasła z listy (losowe)320 min+ Blokowanie listy po trzykrotnym błędnym podaniu kodu.
– Możliwość wykorzystania przechwyconego hasła (wraca do puli niewykorzystanych).
– Możliwość otwarcia drugiej sesji przez skopiowanie adresu do przeglądarki.
Inteligo
www.inteligo.pl/
50+/-/-/-login i hasłohasła z listy (kolejne, lista ze zdrapką) 310 min+ Blokowanie listy po trzykrotnym błędnym podaniu kodu.
-Przeglądarka pyta o zapamiętanie loginu i hasła na stronie logowania.
-Możliwość wykorzystania przechwyconego hasła, bo system prosi o to samo kolejne hasło, nawet gdy wykonuje się dwie różne operacje z różnych komputerów.
mBank
www.mbank.pl/
50+/-/-/-łogin i hasłohasła z listy (kolejne)320 min+ Blokowanie listy po pięciokrotnym błędnym podaniu kodu.
– System umożliwia wykorzystanie przechwyconego hasła jednorazowego.
MultiBank
www.multibank.pl/
50+/-/-/-login i hasłohasła z listy (kolejne)320 min+ Blokowanie listy po pięciokrotnym błędnym podaniu kodu.
– System umożliwia wykorzystanie przechwyconego hasła jednorazowego.
Kredyt Bank
www.kb24.pl/
50+/-/-/-łogin i hasłohasło maskowane31-10** min– Brak możliwości zmiany hasła maskowanego. Zamaskowanie hasła nieznacznie wydłuża czas potrzebny na podsłuchanie go np. trojanem.
Bank Millennium
www.millenet.pl/
50+/-/-/-login i hasłohasło maskowane33-15** min+ Zabezpieczenie H@sła 2 przed prostym trojanem (wybór cyfr z listy).
– Możliwość ustawienia limitu dla operacji bez hasła maskowanego.
Citibank
www.online.citibank.pl/
50-/-/-/-łogin i hasłobrak!35 min– Login to numer karty. Można też określić inną nazwę użytkownika (do 25 znaków), ale działa ona tylko na komputerze, na którym się to zrobiło. Zaszyfrowany numer przechowywany jest w pliku cookies.
– System podatny na atak najprostszym trojanem, a operacje nie są zabezpieczone w żaden sposób.
+ – odporne; – – podatne; *) – stan z 1.10.2004; **) – użytkownik może wybrać; ***) – stan z 28.10.2004; S – z smsKodem; T – z tokenem; L – z listą; B – klucz w banku; U – klucz u użytkownika; 1) – Ocenę CHIP-a: 50 punktów za odporność na przechwycenie haseł, 20 punktów za odporność na atak zaawansowanym trojanem, po 15 za odporność konta na ataki na SSL oraz fałszywą przeglądarką WWW i 5 punktów za ochronę konta hasłem
Więcej:bezcatnews