pirmdiena, 2012. gada 10. septembris

Atpazīstot klientus ar internetbanku, atklāti drošības «caurumi»



Raidījuma Nekā Personīga rīcībā nonācis Tallinas Tehnoloģiju universitātē veiktais latviešu studenta Arņa Paršova pētījums. Tajā atklāts, ka gandrīz visos gadījumos klientu atpazīšana caur internetbankām ir nedroša un dažos gadījumos pietiktu pat tikai ar cilvēku vārdu un personas kodu, lai jebkurš piekļūtu tikai vienam lietotājam domātajai informācijai.
FKTK uzrauga internetbankas

Šeit ir jāatgādina, ka pētījumā minētās nepilnības nekādā veidā neattiecas uz pašu internetbanku drošību. To uzrauga Finanšu un kapitāla tirgus komisija, un komisija apliecināja, ka visas operācijas, kas saistītas ar klientu naudas pārskaitījumiem ir drošas.

Pēdējos gados Latvijā daudzi portāli ļauj lietot elektroniskos pakalpojumus, klientus atpazīstot ar internetbanku palīdzību. Tas notiek tā. Pie datora piesēžas, pieņemsim, Jānis Bērziņš, atver portālu, lai, piemēram, samaksātu par fotoradara pārkāpumu. Portāls pieprasa, lai lietotājs apliecina, ka patiešām ir Jānis Bērziņš. Ja Bērziņam ir elektroniskā paraksta vai jaunizdotā ID karte, viņš to var izdarīt uzreiz. Bet lielākajai daļai šādu karšu nav. Tāpēc gandrīz visi elektronisko pakalpojumu piedāvātāji klientu atpazīšanā sadarbojas ar bankām. Bērziņš bankai apstiprina savas personības īstumu, un bankas nosūta portālam apstiprinājumu, ka tas tiešām ir Bērziņš un viņš var sākt izmantot portāla pakalpojumus.

Students atklāj sistēmas nedrošumu

Tallinas Tehnoloģiju universitātē studējošais IT drošības speciālists Arnis Paršovs atklājis, ka šī sistēma ir nedroša.

Problēma rodas tajā apstāklī, ka dzīvē netiek pārbaudīts, kuram portālam šie dati ir paredzēti, vai šie dati jau nav tikuši izmantoti un cik veci ir šie dati. Šeit paveras iespēja kādam negodprātīgam portāla administratoram saņemt cita cilvēka datus, lai tālāk autentificētos citos portālos ar šo cita cilvēka identitāti.

Ja situāciju salīdzina ar pases uzrādīšanu, tad bankas kā apliecinājumu izsniedz pasi bez fotogrāfijas vai bez pases derīguma termiņa, vai pavisam bez kādas plašākas informācijas par klientu un portāli notic, ka nepilnīgais dokuments apliecina Jāņa Bērziņa īstumu.

Datorspeciālists eksperimentāli pārliecinājās, ka visiem gandrīz 20 analizētajiem portāliem ir drošības problēmas, kas saistītas ar autentificēšanos caur internetbankām.

Problēmas visos eksperimentos

Tika pārbaudīti 17 Latvijas portāli, un visos portālos tika atrastas kļūdas. Šādas vai citādākas drošības kļūdas. Lielu daļu kļūdu var novērst paši portāli, taču  šo divu banku gadījumā - CITADELE un SWEDBANKA - šīs kļūdas sākumā ir jānovērš bankām.

Par atklājumiem jūnijā Arnis Paršovs ziņoja Latvijas nacionālajai IT drošības incidentu novēršanas institūcijai – CERT. Iestāde uz karstām pēdām pārbaudījusi, ka Arņa atklājumi patiešām ir patiesi un nopietni.

Varis Teivāns, CERT.LV vadītāja vietnieks, saka: «Esam veikuši testus, pamatojoties uz tā darba rezultātiem arī paši, un es varu apstiprināt, ka ir bijuši veiksmīgi gadījumi, kur ir iespējams apiet autentifikāciju un izmantot pārtvertos datus.»

CERT pārstāvji secina, ka problēmas rada nepilnīgā informācijas apmaiņa starp bankām un interneta portāliem. Latvijā nav noteikts, kādas ziņas bankai jāiekļauj elektroniskajā dokumentā, kas apliecina klienta īstumu. Savukārt portāli uzticas bankām un no savas puses nepārbauda, vai saņemtās ziņas ir drošas.

Var izmantot cita cilvēka datus

Teivāns saka, ka saite starp banku un pakalpojuma sniedzēju faktiski neeksistē. Un ir iespējams teorētiski realizēt atsevišķos gadījumos uzbrukumus, ka uzbrucējs var savākt kādā noteiktā laikā datus par lietotāju, kas taisās autentificēties, izmantojot internetbanku kādā pakalpojumu sniegšanas servisā, pārtvert tos un izmantot teorētiski kādā citā pakalpojuma sniedzējā.

FKTK: tagad bankām ir jārīkojas

CERT jūnijā satraucošās ziņas nodevis banku uzraugam FKTK. Komisijas vadība apliecina – bankām par nepilnībām ir paziņots un nu jāgaida, kad tās savas sistēmas sakārtos.

FKTK priekšsēdētāja vietnieks Jānis Brazovskis saka: «Protams, šis pētījums ir atklājis arī tādas lietas, ko mēs ar bankām arī esam pārrunājuši, tai skaitā esam konstatējuši, ka sadarbība ar portāliem nu ja ne savādāk, tad rada kā minimums reputācijas riskus priekš mums, ka mēs sniedzam kādu pakalpojumu kādai trešai pusei, kura līdz galam nav kvalitatīva, tāda, kā mums gribētos. Šis ar bankām arī ir pārrunāts, un bankas gan to ir sapratušas, gan mēs tam pievērsīsim uzmanību kā mēs šo novēršam.»

Pētījumā pārbaudītās bankas savas kļūdas atzīst negribīgi. Viņuprāt, kibernoziedznieku uzbrukums klientu datiem esot ļoti teorētisks un dzīvē maz iespējams. Tomēr bankas jau gatavojot izmaiņas, lai klientu dati, kas tiek sūtīti citiem portāliem, būtu vēl drošāki.

Citadele: rīks tāpat bijis drošs

Citadeles pārstāve Ieva Prauliņa saka: «Tas, ka līdz šim bija šis te moments, tas nenozīmē, ka šis te rīks bija nedrošs. Tas bija tāpat drošs, vienkārši šī ir papildu prasība, papildu faktors, ko banka tagad iekļauj datu apmaiņas protokolā, kas paredz pastiprinātu atbildību no portālu puses, autentificējot savus klientus.

Šis te rīks ir izstrādāts, un tas sāks darboties aptuveni mēneša laikā.»

Swedbanka: riski nav dzīvē realizējami

Swedbankas pārstāvis Ivars Svilāns norāda: «Protams, šīs lietas mēs esam skatījuši, un arī šā konkrētā studenta pētījuma dati arī ir jau pirms kāda laika analizēti, un, ja arī bija kādas lietas uzlabojamas, tad dzīvē šīs nianses jau ir pielabotas. Tā ir tāda ļoti tehnoloģiska diskusija, un šie riski, ko mēs redzam, ir vairāk teorētiski, un dzīvē viņi ir praktiski nerealizējami.»

Gan bankas, gan kibernoziedznieku ķērāji CERT uzskata, ka lielākā atbildība ir internetportālu pusē. Tie nepārbauda, vai ziņas par klientiem ir drošas.

Paršovs pierāda pretējo

Lielākā problēma, kas pētījumā tika atklāta, ka piecos lielos un samērā populāros portālos ir pilnībā iespējams apiet banku autentifikāciju un autentificēties kā jebkurai iedzīvotāju reģistrā esošai personai. Šeit ir runa par virtuālo e-parakstu, Lattelecom Latvijas universitātes informācijas sistēmu, Lursoft un portālu mana balss.lv.

Latvijas valsts radio un televīzijas centrs, kas nodrošina virtuālā elektroniskā paraksta pakalpojumu, atzīst, ka problēma ir bijusi un šobrīd tā salabota.

Jānis Bokta, LVRTC valdes loceklis norāda: «Ir bijušas bankas, kuras es negribētu nosaukt, kur mēs uz laiku šīs autentifikācijas izņēmām un lūdzām pilnveidot šos procesus, kas tieši skar arī drošību.»

Ja LVRTC savus caurumus ir aizlāpījis, tad citos portālos tas nav noticis. Manabalss.lv veidotājus šādas nepilnības nemaz neuztrauc. Portāla veidotājiem galvenais esot iespēja ļaut cilvēkiem izteikt savu viedokli.

Manabalss.lv pārstāvis Jānis Erts saka: «Mēs vienkārši datus saņemam no bankas – nekur šis te cilvēks konkrētais ar vārdu, uzvārdu un personas kodu. Mēs paši neesam saskārušies, ka būtu kaut kādi «gļuki». Ja tur kāds vilto kaut ko, mēs neredzam problēmu. Ja kādam tik ārprātā gribas tikt  uzklausītam, varbūt ir jēga viņu uzklausīt.»

Visplašākais valsts piedāvāto e-pakalpojumu klāsts atrodams portālā latvija.lv. To pārrauga Valsts reģionālās attīstības aģentūra. Te var deklarēt dzīvesvietas adresi, pieteikties studijām augstskolās, pārbaudīt dokumentu īstumu. No 1.septembra latvija.lv var iesniegt elektroniskus iesniegumus valsts institūcijām.

Arī latvija.lv izmanto inernetbanku autentifikācijas pakalpojumus ar visiem konstatētajiem riskiem. Neskatoties uz to, ka reģionālās attīstības aģentūrai būtu jābūt elektronisko pakalpojumu ieveišanas flagmanim, paši neko uzlabot netaisās, bet gaidīs, kad to izdarīs bankas.

Mārtiņš Smilga, VRAA Elektronisko pakalpojumu departamenta direktors: «Mēs esam saņēmuši šo pētījumu no studenta un esam izskatījuši un izvērtējuši tālāk arī uzturētājiem. Uzturētāji mums ir pirmo atbildi snieguši, ka šāds risks nepastāv portālā Latvija.lv.»

Banku autentifikācijas pakalpojumu valsts neregulē

Pētījuma autors Arnis Paršovs Latvija.lv veidotājiem nepiekrīt. Viņa eksperimenti, ļauj apšaubīt apgalvojumus, ka portālā caurumi nav bijuši.

Paršovs uzskata, ka  galvenā problēma ir tāda, ka banku autentifikācijas pakalpojumi netiek vispār regulēti no valsts puses. Netiek nekādas drošības prasības izvirzītas un netiek kontrolēti tehniskie un organizatoriskie pasākumi, kas ir nepieciešami.

Sajukums internetbanku autentifikācijā ieviesies, pieaugot e-pakalpojumu skaitam. Valsts ar kārtības ieviešanu strauji augošajai nozarei netiek līdzi.

Vides un reģionālās attīstības ministrijā jau pusotru gadu tiek gatavots Autentifikācijas likums, kas noteiks, kā bankas apliecina klienta personību. Oktobrī tam vajadzētu nonākt valdībā. Tālāk to skatīs Saeima, un, kad tas stāsies spēkā, pagaidām nevar prognozēt. Kā rūpēties par datu drošību līdz tam, nemāk pateikt arī ministrijā.

SAISTĪTIE RAKSTI



Nav komentāru:

Ierakstīt komentāru