Michał Macierzyński
-
29.01.2007 (10:17) Na całym świecie rośnie zagrożenie bezpieczeństwa transakcji internetowych. Jeśli problem z zapewnieniem bezpieczeństwa ma skandynawska Nordea, to coś już oznacza. Do tej pory mówiło się o “niefrasobliwych” Anglosasach, przeciwstawiając im technicznie zaawansowanych Skandynawów, gdzie penetracja bankowości internetowej wśród internautów sięga 80 procent.Jak widać żaden bank nie powinien czuć się bezpieczny. Coraz więcej również wskazuje, że nawet hasła jednorazowe, tak rozpowszechnione w polskiej e-bankowości, przestają powoli wystarczać. Wszystko ze względu na słabe zabezpieczenia sprzętu klientów. Jeśli jedna czwarta komputerów podłączonych do internetu została przyłączona do botnetów służących do rozsiewania spamu, to znaczy, że bankowcy mają realny problem. Bo to są komputery, z których ich klienci nieświadomie łączą się z systemem transakcyjnym!
Problem staje się poważny, bo klienci mogą odwrócić się od bankowości internetowej. Co w zamian? Miejmy nadzieję, że bankowość mobilna, gdzie znacznie łatwiej zachować bezpieczeństwo nad samą siecią. Z drugiej strony, jeśli już teraz działają wirusy na komórki, to i również ten sposób nie jest do końca bezpieczny. Jeśli zatem pominiemy różnego rodzaju luki w oprogramowaniu, przyszłością jest niewątpliwie biometria. Obecne problemy powinny też w końcu przyspieszyć masowe wdrożenie podpisu elektronicznego. Naszym zdaniem wcześniej warto też zastanowić się nad globalnym zastosowaniem pewnych rozwiązań postulowanych od dawna przez A. Hanusika z ING BSK.
Odwrót od bankowości internetowej to realny scenariusz – oczywiście o ile wcześniej banki nie zaczną lepiej komunikować tego problemu swoim klientom i nie zaczną ich w jakiś sposób edukować. Może być z tym problem, bo w sumie kto ma to robić? Trudno oczekiwać takich działań od jednego czy dwóch graczy na tak konkurencyjnym rynku.
W tym momencie nasze polskie banki czują się stosunkowo bezpieczne. I mają rację. Jeszcze im nic nie grozi. Jednak może to być złudne poczucie bezpieczeństwa – czego przykładem jest właśnie Nordea. Jeśli bowiem już nawet PayPal wprowadza tokeny, jeśli można kupić oprogramowanie, które pozwala przygotowywać strony transakcyjne, do wykradania już nie tylko danych służących do logowania, ale również do autoryzowania operacji, to znaczy, że włącza się dzwonek alarmowy. Dzwoni tym głośniej, że rośnie liczba klientów, a co więcej możliwe są ataki już nie na wszystkich internautów jak leci, ale na przykład tylko i wyłącznie mieszkańców danej dzielnicy miasta. Kwoty, o których mówimy są coraz wyższe, dlatego może się opłacać tworzyć oprogramowanie przeznaczone tylko i wyłącznie na jeden atak. W takim przypadku może już nie wystarczyć nawet antywirus. Jednym rozwiązaniem to edukacja i jeszcze raz edukacja, w połączeniu z dobrym systemem zabezpieczeń. Idea haseł jednorazowych pozostaje słuszna – musi się tylko zmienić sposób ich przechowywania i dostarczania. SMSy wydają się być chyba w tym momencie najlepsze.
Samemu poczuciu bezpieczeństwa klientów nie sprzyjają też doniesienia medialne. Co bowiem ma pomyśleć zwykły użytkownik czytający na iHack.pl zdanie: „Do czasu załatania opisanych przez nas luk ostrzegamy przed klikaniem na jakiekolwiek linki wskazujące na strony pkointeligo.pl oraz pkob.pl oraz wykonywaniem transakcji elektronicznych za pomocą Inteligo”?
PKO BP i ogólnie banki wyraźnie nie mają szczęścia do serwisu iHack.pl, który najwyraźniej rzuca rękawicę Hacking.pl. W efekcie można założyć, że sprawdzane są zabezpieczenia wszystkich banków w Polsce. Na pierwszy ogień poszły oczywiście największe. Tylko czekać, kiedy dojdziemy do tych mniejszych. Na całe szczęście wszystkie scenariusze kreślone do tej pory nie stanowią realnej groźby. Zawsze klient musiał w jakiś sposób „współpracować”, a groźba wygląda na bardziej medialną, niż rzeczywisty problem z zabezpieczeniem. Znamy bowiem kilka lepszych „teoretycznych sposobów” na zdobycie wrażliwych informacji i to bez potrzeby znajomości luk w systemie. O ile te ostatnie można szybko załatać, to na socjotechnikę nie ma łatwych rozwiązań (pomijając, że nawet obecne luki wymagają swoistej współpracy ze strony użytkownika). Jednym słowem skóra nie warta wyprawki. Co nie powinno uśpić czujności, o czym przekonuje nas przykład skandynawskiego Nordea Bank.
O aktualnych problemach z zabezpieczeniem systemu transakcyjnego PKO BP można przeczytać w serwisie iHack.pl: http://ihack.pl/bezpieczenstwo-pko-bp-inteligo_xss-sql-phishing-najwiekszy-bank-w-polsce
Od razu należy stwierdzić, że media powinny zawsze tonować wydźwięk tego rodzaju doniesień. Tutaj rola samych banków i ich działów PR. Luki w zabezpieczeniu zdarzają się wszędzie i nie ma co nad tym panikować – w końcu znacznie gorsze jest na przykład przejęcie kontroli nad komputerem. A łat w Windowsach, Office, IE, Firefox, czy innych popularnych programach jest bez liku i co chwila słychać o teoretycznej możliwości przejęcia komputera. W takim przypadku nie pomogą nawet najlepsze zabezpieczenia, a opisywane przez iHack.pl trzy potencjalne scenariusze ataku na PKO BP, jawią się jako wyjątkowo teoretyczne. I za takie należy je naszym zdaniem traktować. Oczywiście same banki nie powinny przechodzić nad tym do porządku dziennego. Wydaje się przy okazji, że sami internauci wciąż podchodzą do problemu bezpieczeństwa bankowości internetowej dość racjonalnie. I bardzo dobrze. Cały problem wciąż nie stanowi też większego ryzyka finansowego dla banków. Znacznie gorsze jest ryzyko utracenia wizerunku. Tutaj koszty mogą być niepowetowane i długofalowe.
Przy okazji dość ciekawa dyskusja na temat nagłaśniania tego rodzaju luk pomiędzy GW a Hacking.pl:
http://gospodarka.gazeta.pl/gospodarka/1,68367,3865936.html – tekst w Gazecie Wyborczej
http://hacking.pl/pl/news-6365-Gazeta_Wyborcza_o_Hackingpl.html – odpowiedź Hacking.pl.
Wzorem innych serwisów zapraszamy do wyrażania swojego zdania na ten temat…
