Kontrowersje wokół zabezpieczeń ING Banku Śląskiego (aktualizacja)

14-01-2009, 14:53

Mimo upływu czasu algorytm autoryzacji przelewów w systemie ING BankOnline budzi wciąż wątpliwości Czytelników Dziennika Internautów. Czy jest się czego obawiać? Wyjaśnień w tej sprawie udzielili zarówno przedstawicielka banku, jak też dwóch ekspertów ds. bezpieczeństwa komputerowego.

W marcu ubiegłego roku Dziennik Internautów informował o udostępnieniu przez ING Bank Śląski nowej metody autoryzacji przeprowadzanych transakcji, która wywołała sporo kontrowersji. W minionym tygodniu do redakcji DI dotarł kolejny głos w tej sprawie. Czytelnik opisał, jak taka autoryzacja wygląda w praktyce:

w okresie przedświątecznym wykonałem kilka przelewów (ponad 10) o różnych kwotach, kilka podobnych na niską wartość (jakieś śmieci z allegro) i kilka sporych (bilety na koncert). Zdziwił mnie fakt , że przy większych przelewach system nie wysłał SMS, a przy tych niskich w końcu poszła dodatkowa autoryzacja... jakież było zaskoczenie, gdy się łaskawie odezwała sztuczna inteligencja banku ING, gdy chciałem wykonać przelew na kwotę 10 zł, a przy 200 poszło aż miło :-) W dodatku na ponad 10 przelewów tylko 1 zapytanie o dodatkowy kod...

Czytelnik miał zastrzeżenia również do procesu logowania w systemie ING BankOnline. Jego zdaniem "przy 5 próbach z użyciem keyloggera można praktycznie zgadnąć hasło. Głównie z tego powodu, iż (...) czasami system żąda wpisania 3-4 liter w pola obok siebie". Autor listu znalazł też metodę na stosowaną przez bank wirtualną klawiaturę - przy użyciu Delphi Turbo Explorera powstał program rozpoznający wciskane na tej klawiaturze klawisze. Do redakcji Dziennika Internautów został przesłany film prezentujący możliwości programu.

Podejście zgodne ze światowymi trendami w dziedzinie bezpieczeństwa?

Na zarzuty Czytelnika odpowiedziała Joanna Majer-Skorupa z biura prasowego ING Banku Śląskiego. Wyjaśniła ona, że mechanizm autoryzacji transakcji uzupełniony został o moduł oceny poziomu ryzyka składanej dyspozycji. Działa on "na podobnej zasadzie, jak programy monitorujące transakcje kartowe, oceniając dyspozycje na podstawie typowego profilu zachowań użytkownika". Algorytm oceny nie jest udostępniany klientom, by przy tej okazji nie przekazywać wiedzy przestępcom internetowym. W wyjaśnieniu czytamy:

Bank profiluje zachowanie klienta i bazując na kluczowych parametrach transakcji takich jak: konto beneficjenta, kwota, rodzaj dyspozycji, historia transakcji, suma kwot itd. ustala, czy realizowana transakcja należy do grupy transakcji małego ryzyka (nosi znamiona typowej dyspozycji klienta), które to nie wymagają autoryzacji za pomocą kodu jednorazowego.

Przedstawicielka ING Banku Śląskiego zapewniła, że metoda ta jest stale rozwijana: "Bank na bieżąco śledzi trendy zagrożeń dla usług bankowości internetowej i bazując na tej wiedzy okresowo dostosowuje reguły oceny poziomu ryzyka. Przyjęte podejście (...) jest zgodne z najnowszymi światowymi trendami w dziedzinie bezpieczeństwa transakcji internetowych". Odnosząc się do zastrzeżeń związanych z logowaniem do systemu, Joanna Majer-Skorupa napisała:

zastosowanie keyloggera może stanowić problem dla wszystkich danych wprowadzanych za pomocą klawiatury. Dlatego Bank wprowadził maskowanie hasła, co znacznie utrudnia jego odgadniecie, gdyż nawet rejestrując wprowadzane znaki przestępca nie zna pozycji znaku w haśle. Zastosowanie keyloggera graficznego jest zdecydowanie trudniejsze. Wymaga przesyłania dużych plików graficznych, zastosowanie dobrego programu rozpoznawania obrazów OCR i ręcznego scalania zebranych danych uwierzytelniających.

Na stronach internetowych banku można znaleźć wytyczne w zakresie ustalania silnego hasła logowania, jego długości i częstotliwości zmiany. Joanna Majer-Skorupa zwróciła też uwagę na konieczność zabezpieczenia komputera, z którego wykonywane są przelewy, programem antywirusowym i firewallem: "Antywirus wykrywa szkodliwe oprogramowanie między innymi keyloggery, a firewall ogranicza niebezpieczny ruch sieciowy na przykład wysłanie pozyskanych danych klienta na serwer intruza".

Okiem eksperta: rozwiązanie odważne i nowatorskie

Dziennik Internautów poprosił o komentarz Michała Piszczka, Kierownika Działu Programistów w firmie ESC S.A. Jego zdaniem metoda weryfikacji przelewów z pomocą SMS-ów jest obecnie jedną z najbezpieczniejszych. Jej siła polega na tym, że w przeciwieństwie do np. "zdrapek" zawsze wiemy, co potwierdzamy. SMS-y zawierają bowiem podstawowe dane transakcji.

Algorytmy decydujące, kiedy wysłać SMS-a, nie są nam znane. Wbrew pozorom to również zwiększa bezpieczeństwo, choć utrudnia jego ocenę z zewnątrz. Najprawdopodobniej przydziela on na podstawie szeregu kryteriów znormalizowane punkty każdemu przelewowi. Takimi kryteriami mogłyby być: powtarzalność konta docelowego, zgodność czasu dyspozycji z profilem logowania użytkownika, cykliczność przelewu, powtarzalność kwoty, proporcja dyspozycji do średniego salda, fingerprint komputera (system operacyjny, przeglądarka, wersje pluginów) i wiele, wiele innych. Następnie ilość zgromadzonych punktów poddawana jest ocenie ryzyka w zależności od kwoty dyspozycji. W przypadku przekroczenia zakładanych progów ryzyka system wysyła SMS-a.

Odnosząc się do opisanej wyżej sytuacji, Michał Piszczek stwierdził, że nie przekonuje go argumentacja Czytelnika: "System nie popełnił błędu, to użytkownik zlecił obydwa przelewy. Obydwie kwoty są bardzo małe, a co za tym idzie, ryzyko banku również". Warto wiedzieć, że zgodnie z regulaminem kont ING (§ 69 p.1. pp.4) to bank ponosi odpowiedzialność za błędy swojego systemu. Jeżeli użytkownik dopełnił wszystkich wymogów bezpieczeństwa, jego reklamacja zgodnie z zapewnieniami infolinii będzie rozpatrzona do 30 dni.

Współpracujący z Dziennikiem Internautów ekspert ds. bezpieczeństwa obejrzał również film prezentujący możliwości programu do rozpoznawania klawiszy wciskanych na wirtualnej klawiaturze. Zaprezentowana przez Czytelnika koncepcja zakłada, o czym w e-mailu nie było mowy, posiadanie dostępu do komputera potencjalnej ofiary.

Dołączony do zgłoszenia screencast prezentuje działanie prostego programu, który lokalnie wykonuje zrzuty ekranu, a następnie najprawdopodobniej je analizuje. Normalną rzeczą jest, że na własnym komputerze można wykonać zrzut ekrany czy też odczytać urządzenia wejścia typu klawiatura, mysz. Posiadając dostęp z prawami administratora, można przechwycić dowolne składowane/wprowadzane przez użytkownika dane. Nie można więc mówić tu o naruszeniu bezpieczeństwa systemu bankowego. W zaprezentowanym środowisku taki atak można przeprowadzić na dowolny portal internetowy.

AKTUALIZACJA

Spostrzeżenia Michała Piszczka potwierdził inny współpracujący z Dziennikiem Internautów specjalista ds. bezpieczeństwa - Piotr Konieczny. Większość banków w Polsce używa jednowarstwowego uwierzytelniania klienta podczas logowania: z reguły jest to "coś-co-znasz", czyli login i hasło.

"Nie ma tu znaczenia, czy hasło wpisywane jest z prawdziwej klawiatury, czy «wyklikiwane» myszką na klawiaturze wirtualnej - obie metody są tak samo podatne na atak" - napisał Konieczny. W pierwszym przypadku wystarczy najprostszy keylogger, w drugim keylogger z funkcją przechwytywania ekranu przy naciśnięciu przycisku myszy. Malware tego typu nie jest żadnym wyzwaniem programistycznym i od kilku lat w wielu wersjach krąży po internecie.

Po zalogowaniu, aby klient mógł wykonać jakąś transakcję (np. przelew), musi jeszcze raz potwierdzić swoją tożsamość. Tutaj przeważnie stosuje się uwierzytelnienie typu "coś-co-masz", czyli listy haseł jednorazowych (jak np. w Inteligo) albo kody SMS (jak choćby w mBanku). ING zdecydował się na użycie kodów SMS, ale w połączeniu z systemem analizy ryzyka.

Problemem w tego typu "inteligentnych" algorytmach jest tzw. czas nauki, kiedy to następuje konfiguracja i dostosowanie systemu do zachowań klientów - jest to zajęcie zarówno czasochłonne, jak i ryzykowne - system podczas nauki albo nie działa w ogóle, albo działa w sposób ograniczony, podejmując przy tym zdecydowanie więcej błędnych decyzji (tzw. false-positive, kiedy to klient niepotrzebnie dostanie SMS-a z prośbą o uwierzytelnienie, albo false-negative, kiedy to kod SMS nie zostanie wysłany podczas próby kradzieży środków z konta).

Piotr Konieczny uważa, że na podstawie doniesień naszego Czytelnika nie można jednoznacznie stwierdzić, że poziom zabezpieczeń w ING jest gorszy niż w innych bankach. Stosowany system pozwala bankowi oszczędzić na SMS-ach, ma być także wygodniejszy dla użytkowników (mniej czynności spowalniających wykonywanie przelewu). Specjalista ds. bezpieczeństwa zauważa jednak, że ta wygoda jest "dość pozorna", ludziom brakuje świadomości, że ich oszczędności strzeżone przez coś namacalnego, solidnego.

Do ludzi bardziej przemawiają zabezpieczenia fizyczne (zdrapka, kod SMS) niż niewidoczny i sprawiający wrażenie losowego "inteligentny" algorytm stosowany przez ING. Mając na uwadze, że utrata zaufania to dla banku cios niemalże śmiertelny, ING powinien jak najszybciej zwiększyć poczucie bezpieczeństwa u swoich klientów. Straty spowodowane odpływem przestraszonych klientów mogą być bowiem większe niż opłaty za wysłanie dodatkowych SMS-ów.

Niestety obecnie w ING nie jest dostępna inna metoda autoryzacji przelewów. Potwierdza to list od kolejnego Czytelnika DI, który zauważa też, że strona ING Banku Śląskiego "wielokrotnie osiołkowała, tzn. widniała na liście osiołków internetu, nie spełniając standardów WWW". Użytkowanie e-konta stało się możliwe pod Linuksem, a nawet pod Windowsem z Firefoksem, dopiero kilka miesięcy temu. O wzbudzających kontrowersje zabezpieczeniach Czytelnik pisze następująco:

Od ich wprowadzenia, w okolicach czerwca 2008, byłem zapytany przez system o hasło dwukrotnie. Dodam, że miesięcznie robię kilka przelewów. Zazwyczaj są to przelewy na różne rachunki (różni odbiorcy), związane z zakupami na Allegro. Jak tu działa ów algorytm, skoro nie ma stałej grupy odbiorców? Przelewy opiewają na różne wielkości, od kilkunastu złotych do kilkunastu tysięcy. (...) Co ważne po zalogowaniu się do konta, ma się dostęp do wszystkich kont użytkownika (ROR, lokat, funduszy inwestycyjnych oraz kont rodziny i znajomych, którzy upoważnili nas do korzystania z nich). Tak więc można ogołocić komuś nie jedno konto, a nawet kilka.

Zachęcamy Czytelników do wyrażenia swego zdania w tej sprawie w komentarzach lub w listach do redakcji DI.


Następny artykuł » zamknij

UPC nakłada ograniczenia?

Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031