Security v slovenskom elektronickom bankovnictve?

09.04.2002 18:16 | blackhole

Nebudem vypustat ziadne nezname terminy, ani neposkytnem navod na preburanie sa niekam. Neviem to totiz.

Trosku som sa zamyslel nad stavom povedomia zodpovednych ludi o bezpecnosti internetu pri svojej poslednej navsteve webovych luk a hajov na Slovensku.

Navstivil som stranku novopremenovanej banky so zahranicnou spoluucastou, aby som si ju prezrel a ohodnotil. Vpravo hore ma lakal odkaz na vstup do internetbankingu.

Kliknem a s potesenim konstatujem, ze stranka funguje a nacital sa formular na prihlasenie. Zamestnanci banky ma informovali, ze vylepsili system prihlasovania do ich systemu a odstranili zastaraly system zalozeny na starsej sifre (ktora vraj podla renomovanych odbornikov na zabezpecovanie a sifrovanie nema v dnesnej dobe prilis vela kvalit v tejto oblasti). Ocakaval som teda, ze tato aplikacia bude zabezpecena momentalnym \"ludovym\" hitom SSL.

Pozeram na formular, v ktorom sa skvie niekolko kolonie vratane kolonky na moje pomyselne supertajne heslo na vstup do internetbankingu. Zamestnanci ma este raz upozornuju, ze hesla boli prevedene do noveho systemu a mam to naozaj vsetko lahke a bezproblemove. Este jeden pohlad na formular a moje ocko sa zahladelo na kolonku adresa.

Co to tam je? http:// stop! Co to je? Hm... zamyslim sa, ako to urobili? V com je problem? Preboha.. snad len nie!!

Startujem wget a stahujem si indexovy subor internetbankingu. Ano je to frameset. Ako mohli urobit jednu cast framesetu zabezpecenu cez SSL? Listujem, prehliadam. Nie nijako. Je tu niekde aspon skryty frameset so starym sposobom sifrovania? Ha.. dobra ruka zamestnanca urobila Ctrl-Y (nie najskor nie, podla vsetkeho to bol klik na zaciatok a pridrzanie Delete). Po poslednej sanci na trosku bezpecne prihlasenie dochadza moje vytriezvenie. Nie je to tu.

Co sa stalo?

Internetbanking zrejme po prihlaseni komunikoval po kanaloch SSL, avsak velmi podstatna vec - prihlasenie, ktore odosiela citlive udaje ostala na strankach ako na beznej webstranke s webovym diskusnym forom. Znaci to len tolko, ze ja pouzivatel uspokojeny hviezdickami v kolonke heslo vobec netusim, ze stranky zacinajuce na http:// a vyzadujuce odomna posielanie dat cez formular (ooo ano, upozornenie, ze posielam nesifrovane data som zrusil uz pred rokom po nainstalovani pocitaca, kto si to ma pamatat, ked aj heslo natukam az na treti pokus uspesne)... ze tieto stranky vsetky tieto data prijimaju cez cely celucky internet pekne citatelne, staci uz len bajtik po bajtiku citat.

Vzdychol som si, to snad nie je pravda, ja som sa urcite dostal v nestrazenej chvili spravcu internetbankingu na skusobne stranky. To nie je pravda.

Tak znovu nacitam hlavnu stranku banky a hladam odkaz na internetbanking, naozaj stale je vpravo hore, pozeram na status ano adresa ibankingu je ta ista. Klikam a znovu ten isty formular. Ja to snad skusim o hodinu. Nebudem natahovat, prihlasovacie okno svietilo bezozmeny viac ako 24 hodin (to som sledoval iba ja, nemam potuchy ale urcite bolo v takomto stave dlhsie).

Znovu a znovu sa zamyslam, ako uvazoval clovek, ktory toto spachal? Zeby v honbe za novymi technologiami a moznostami a po precitani clanku v nejakom popularnom casopise zistil, ze nainstalovat SSL dokaze aj jeho sekretarka? Tak ho proste nainstaloval a stare zabezpecenie proste hodil do kosa? To nema banka v tejto oblasti ziadny mechanizmus, aby prave taketo nieco nebolo len take jednoduche?
Nema zmena systemu zabezpecenia prejst viacerymi stupnami rozhodovania? Nie je ani jeden jediny clovek, ktory
by mal minimalne vedomosti o internetovych protokoloch?

Priemerny az podpriemerny programator aplikacii pre web totiz nejasne musi tusit, ze s tymi formularmi to naozaj
nie je v poriadku.

Na zaver by to chcelo namietnut, ze sa nic zvlastne nestalo, ze malokto si to vsimol, ani internetbanking nikto nehackol. Veru nie. To je velmi slaba vyhovorka, pretoze taketo \"uvolnenie\" hesiel znamena len tolko, ze vsetci klienti ibankingu ci sa uz v danej dobe pokusali alebo nepokusali prihlasovat su ohrozeni. Bezprostredne vsetci ti, ktori sa prihlasovali uz nemozu nikdy mat istotu, ze po ceste internetovymi kablami niekto cirou nahodou nepocuval ich hesla.

Co to znamena pre spolocnost, u ktorej doslo k takejto samovrazednej kompromitacii systemu? Odstavka systemu,
kompletna vymena hesiel a pristupovych opravneni u vsetkych pouzivatelov? Snad, to je len zaklad, ktory narusi chod aplikacie a bezprostredne u klientov sposobi istu mieru chaosu a otazok. Nehovorim o tom, ci sa da predstavit
dosledok tychto zmien, realne doslo hned po tom, ako niekto poucil spravcov systemu o ich samovrazednej kompromitacii, k vypnutiu celeho systemu na niekolko hodin a dnes nas uz vita rovno stranka https cize SSL.

Bohuzial tu je markatny priklad bezhlaveho nasadzovania skvelych technologii do zivota. SSL je moderna vec, avsak kupit si mercedes a nechat ho na namesti s otvorenymi dverami je uz o niecom inom. Takto maju klienti ibankingu momentalne plny pristup cez SSL s pouzitim kluca od neznamej certifikacnej autority a vita ich skareda hlaska prehliadaca, ktorej sa zrejme vsetci zlaknu. Kazdy rozumny programmer by totiz najprv zobrazil privitaciu stranku v http bez sifrovania, s par informaciami. Zrejme by si vsak kupil sifrovacie kluce u renomovanej spolocnosti aby majitelia prehliadacov mohli overit platnost certifikatu u znamej spolocnosti.

Vysledok? Nenasadzujte nove technologie bez premyslania, skodite sami sebe. Ostatne radsej pri starom a vsetko
nove si overte nielen citanim popularnych casopisov, neverte komercnym hlaskam predajcov softwaru a obcas
dajte na zdravy a podozrievavy rozum niekoho ineho ako ste vy.

Poucte sa.haf