K poskytování služeb, analýze návštěvnosti a personalizaci reklamy se využívají soubory cookie. Informace o použití webu mohou být sdíleny s dalšími partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním tohoto webu s tím souhlasíte. Další informace
Soutěž Chytrá města pro budoucnost

Elektronické bankovnictví – pohodlné, ale zranitelné

Datum: 12. 8. 2016, zdroj: VSOL 3/2016, rubrika: Veřejná správa online

Od chození na pobočku se snaží samotné banky klienty odradit. Většině jejich zákazníků to ale nijak nevadí – elektronické bankovnictví je přece tak pohodlné a ušetří spoustu starostí. A není vyloučeno, že jednoznačná elektronická identifikace klienta například právě z bankovního systému časem umožní přístup i k některým méně zabezpečeným mobilním aplikacím ve veřejné správě. S ušetřením starostí to ale může být komplikovanější. Jako veškerá komunikace na internetu, i spojení mezi bankou či úřadem a klientem může být napadeno. Paradoxně dokonce i samotné banky občas používají přístupy, které pirátům situaci usnadňují.

Internetové či mobilní bankovnictví je z uživatelského hlediska nesmírně pohodlné a rychlé. Žijeme ale v době, kdy počet kybernetických útoků neustále stoupá a metody kyberpirátů jsou stále dokonalejší. A uživatelé, místo aby byli ostražitější, se přes neustálá varování odborníků chovají stále lehkomyslněji. Přitom platí jednoduchá zásada – na počítači vše souvisí se vším, a pokud někdo ze stejného počítače navštěvuje rizikové stránky i své internetové bankovnictví, může vlastně peníze zlodějům rovnou poslat.

Jednou ohrožený znamená nedůvěryhodný

Řada uživatelů si někdy internet představuje jako soustavu potrubí, kdy má každé spojení či akce svou vlastní „trubku“ vedoucí od něj k cílovému serveru. Jenže tak to není, internet je podobný spíše tahu lososů, všichni plují stejnou řekou v obrovském množství, a jen čas od času se někteří oddělí nebo je vytáhnou rybáři. Stejně tak jsou všechna data přenášena v jednom balíku a příslušné dva body si musí vybrat tu svou komunikaci. Takže, i když je komunikace s bankou šifrovaná, data prostě putují internetem a pokud je někdo zachytí a dokáže projít šifrou, může si je přečíst.

Problém je, že všechny informace k zakódování komunikace má klient obvykle ve svém počítači. V okamžiku, kdy je jeho počítač napaden nějakým škodlivým kódem, stává se zranitelným. Útočník díky tomu mohl získat právě prostředek, jak komunikaci rozklíčovat. I když pak následně je pomocí některého z bezpečnostních programů malware nalezen a odstraněn, počítač již nikdy nebude bezpečný jako dříve. To nejmenší, co je potřeba udělat, je přeinstalovat bankovnictví či alespoň obnovit bezpečnostní certifikáty.

Banky se bojí změn – to ale znamená ohrožení

Paradoxní je, že situaci útočníkům nezřídka usnadňují i samotné banky. Hned několik výzkumů poukázalo na fakt, že používají často neaktualizované moduly či systémy obsahující bezpečnostní rizika. Důvod je poměrně prostý, banky se obecně bojí změn, protože změny nemají příliš rádi jejich klienti. Pokud se tedy banka rozhodně radikálně proměnit své internetové bankovnictví, například změnit přihlašovací dialog, riskuje naštvání některých klientů a v nejhorším případě i jejich odchod ke konkurenci. Proto se často banky brání i nasazení vyššího stupně šifrování (kryptografie), protože by se mohlo stát, že někteří klienti se staršími systémy by měli s přístupem problém. A to si nemohou dovolit.

Ostatně i proto některé banky neustále využívají při přihlašovacím dialogu aplikaci Adobe Flash, která patří dlouhodobě mezi nejpopulárnější cíle kyberútočníků. Pro zajímavost, jen během letošního roku (tedy zhruba za 5 měsíců) bylo vydáno podle serveru Common Vulnerabilities and Exposures více než tisíc oznámení o bezpečnostních incidentech souvisejících právě s aplikací Flash. I proto již od podpory této platformy ve velkém ustupují například výrobci internetových prohlížečů. Jenže například slovenská Tatra Banka neustále používá doplněk Flash pro přihlašování do klientských systémů.

Právě Flash je ukázkou toho, jak klíčová je instalace aktualizací do počítačových systémů, a to jak na klientských počítačích, tak na serverech. Adobe se samozřejmě neustále snaží svůj program vylepšovat a bezpečnostní slabiny odstraňovat. Jenže pro uživatele jsou často aktualizace jen něčím, co je obtěžuje a zdržuje, proto je neinstalují. Bohužel podobně se v řadě případů chovají i administrátoři serverů v bankách.

Banky to nechávají na klientech

Pro většinu klientů bank jsou informace o šifrování a certifikátech španělskou vesnicí, navíc snaha bank své klienty v tomto směru vzdělávat je minimální. Banky tak místo toho, aby investovaly do vyšší bezpečnosti, sahají k represím a do dlouhých obchodních podmínek často včlení požadavky, které není schopen splnit ani vzdělaný odborník. Jednoduše spoléhají na to, že dlouhé smlouvy malými písmeny klienti nečtou a podmínky jednoduše odsouhlasí. Pokud pak dojde k nějakým problémům, banka se může hájit, že klient nedodržel bezpečnostní ustanovení.

Klient nemá prakticky žádnou šanci zjistit, že k nějakým problémům na komunikační trase mezi ním a bankou došlo. Narušení důvěryhodnosti certifikátů, a tím i samotné komunikace, se totiž nemusí vůbec projevit. Naštěstí jsou na internetu k dispozici nástroje, které umožňují alespoň částečně důvěryhodnost ověřit. Některé z nich se dají nainstalovat i jako rozšíření do internetového prohlížeče, takže tato kontrola může probíhat i automaticky – může jít třeba o SSL Observatory, Extended DNSSEC Validator a podobně. Minimálním opatřením by mělo být vypnutí zapamatování si hesla do internetového bankovnictví v prohlížeči.

Ani mobily na tom nejsou lépe

S nástupem chytrých telefonů se přesunuly bankovní aplikace i do nich. A pohodlnost se posunula na novou úroveň. Jenže ne všichni uživatelé si uvědomují, že i jejich telefon je vlastně takovým malým počítačem a i on se stále častěji stává cílem útočníků. Celá řada útoků na bankovní účty klientů byla provedena právě s pomocí škodlivého kódu nainstalovaného do jejich telefonu. Zatímco u počítače si často rozmyslíme, jaký program nainstalovat a jaký nikoli, aplikace z Google Play či AppStore mnoho majitelů smartphonů instaluje zcela bez rozmyslu. Přitom zejména v těch bezplatných se může skrývat – a v řadě případů také skrývá – nějaký malware. V lepším případě pomůže výrobci aplikace uživatele jen špehovat a autor aplikace se pokusí zpeněžit marketingové informace. V tom horším se bude snažit využít přístup k telefonu k napadení účtu či získání přihlašovacích a zabezpečovacích dat k mobilní bankovní aplikaci.

Petr Smolník, www.ictsecurity.cz

TOPlist
TOPlist