Jak donosi "Rzeczpospolita" przedstawiciele internetowego mBanku dzwonią do klientów i proszą o wrażliwe dane. Według gazety, taki sposób postępowania bulwersuje w sytuacji, gdy klienci polskich banków coraz częściej padają ofiarą ataków phishingowych.
"– Dzień dobry, dzwonię z banku z propozycją kredytu. W celu weryfikacji proszę podać numer PESEL, adres do korespondencji i nazwisko panieńskie matki – usłyszała w piątek przez telefon część klientów mBanku. Choć brzmi to jak opis kolejnej, w dodatku niezbyt wyszukanej próby wyłudzenia wrażliwych danych, tym razem zagrożenia nie było. Telefony rzeczywiście wykonywali pracownicy mBanku, którzy w taki sposób usiłowali sprzedawać posiadaczom ROR produkty kredytowe.", czytamy w "Rzeczpospolitej". Gazeta pisze, że w obliczu ostatnich ataków phishingowych, praktyki mBanku są bulwersujące. Dziennik zwraca uwagę, że co prawda ulubionym narzędziem przestępców jest e-mail, "jednak wyłudzenia można dokonać też drogą telefoniczną. Banki edukują, by nie podawać wrażliwych danych w odpowiedzi na e-maile. Jednocześnie jednak mBank zachęca do ich podawania przez telefon.", czytamy.

"– Gdy pracownik dzwoni z propozycją do klienta, musi ustalić, czy rozmawia z właściwą osobą. Na początek musi poinformować rozmówcę o tym, w jaki sposób może się upewnić, że dzwoni do niego pracownik banku. Jeżeli klient chce poznać szczegóły spersonalizowanej oferty, operator zada mu trzy – cztery losowo wybrane pytania weryfikujące. W żadnym wypadku nie będą to pytania o ID, hasła czy numery kart i rachunków" – wyjaśnia rzecznik mBanku Magdalena Ossowska.

"Rzeczpospolita" zapytała Remigiusza Kaszubskiego, dyrektora Związku Banków Polskich, jak zareagowałby, gdyby to jego bank próbował mu w ten sposób sprzedać kredyt. "– Nie rozmawiałbym z taką osobą. Jeśli ktoś dzwoni z banku, ma wszystkie moje dane i nie musi o nie pytać. Jeżeli jest to zwykły sprzedawca, który szuka klientów, to nie dzwoni z banku. W żadnym wypadku nie powinienem się zgadzać na podawanie wrażliwych danych, takich jak np. numer PESEL, nazwisko panieńskie matki, numer rachunku, numer karty czy kod PIN" – tłumaczy Kaszubski. W ostatnich tygodniach doszło do wyłudzeń informacji osobistych od klientów Banku Zachodniego WBK. W poniedziałek 24 marca na skrzynki mailowe tysięcy internautów z Polski trafiły fałszywe wiadomości z linkiem do formularza, na którym, pod pozorem aktywacji konta, proszono o podanie numerów kart płatniczych, dat ich ważności i numerów PIN, czyli danych, o podanie których bank nigdy klientów nie prosi. Fałszywe formularze wypełniło 180 klientów BZWBK. Był to klasyczny przypadek phishingu, czyli przestępstwa internetowego polegającego na wyłudzaniu danych, dzięki którymi można uzyskać dostęp do pieniędzy innych osób.

Vishing - Phishing Telefoniczny

Wiele źródeł związanych z bezpieczeństwem IT, wskazuje na nowy rodzaj ataków wykonywanych na Klientów Banków, atakach typu Vishing - phishing telefoniczny. W wielu artykułach z początku roku 2008 możemy przeczytać o zwiększającej się liczbie ataków typu vishing dotyczących użytkowników telefonów komórkowych oraz stacjonarnych. Vishing jest podobną techniką do phishingu - polega na wysłaniu listu elektronicznego lub krótkiej informacji tekstowej (SMS-a) do użytkownika z prośbą o kontakt telefoniczny z bankiem w celu reaktywacji karty (kredytowej bądź debetowej). “Wykonując połączenie ofiara słyszy w telefonie automat zgłoszeniowy 'Witamy w banku', a następnie jest proszony o wprowadzenie numeru karty kredytowej w celu identyfikacji” - można przeczytać w stanowisku FBI. Zwiększająca się popularność sprzętu VoIP oraz darmowego oprogramowania typu “call-centre” ułatwia cyberprzestępcom zakładania fałszywych centrów telefonicznych. Często zatrudniają oni zespół, który nie jest nawet świadomy, iż pracuje dla przestępczego gangu. W przypadku logowania się do bankowości elektronicznej możemy zweryfikować witrynę odpowiednim certyfikatem SSL. W przypadku wykonania telefonu z Banku, nie ma żadnego mechanizmu związanego z weryfikacją osoby która do nas dzwoni: może być z 'naszego Banku', chociaż nie koniecznie. Mimo że organy ścigania i inne agencje bezpieczeństwa mogą monitorować numery telefoniczne, oszuści często korzystają z automatów telefonicznych, skradzionych telefonów komórkowych czy też z kont, na które się włamali. Dlatego lepiej nie dać się oszukać, niż później naprawiać szkody.

Porady, jak nie stać się ofiarą phishingu telefonicznego:

• Traktuj wszelkie niepożądane wiadomości e-mail (i telefoniczne) sceptycznie, unikaj klikania zawartych w nich łączy.

• Zanim zadzwonisz, sprawdź najpierw nieznane numery kierunkowe, korzystając z pomocy rzetelnych lokalnych firm telefonicznych. Dzięki temu unikniesz połączeń zamiejscowych, międzynarodowych i innych płatnych.

• Aby ustalić faktyczny numer telefonu centrum obsługi klienta (i inne numery), odwiedź witrynę sieci Web swojego Banku. Podczas sprawdzania informacji nie klikaj w łącza znajdującego się w wiadomości e-mail—zawsze wpisuj adres witryny sieci Web samodzielnie.

• Jeśli to możliwe, przejrzyj drukowane kopie opłaconych wcześniej faktur lub rachunków, by potwierdzić prawdziwość kontaktowych numerów telefonicznych i innych informacji. Numery telefonów centrów obsługi klienta instytucji kredytowych znajdują się też często na odwrocie kart kredytowych.

• Śledź na bieżąco najnowsze informacje o oszustwach związanych z kradzieżą tożsamości, korzystając z branżowych biuletynów poświęconych zabezpieczeniom (j. ang.), witryn internetowych dotyczących bezpieczeństwa i innych wiarygodnych źródeł.

• Analizuj swoją pocztę elektroniczną, szukając charakterystycznych znaków świadczących o próbach dokonania phishingu, takich jak słaba gramatyka, literówki, dziwne adresy internetowe, i wszelkich innych podejrzanych elementów.

Niestety w wypadku telefonu z 'naszego Banku', wiele z tych rad ciężko wykonać, tym bardziej jak mamy już Panią czekającą na weryfikację naszych danych.

Oto kilka linków dotyczących Vishingu:
http://en.wikipedia.org/wiki/Vishing
http://www.proline.com.pl/index.php?n=vishing-telefoniczny-phishing&grupa=art
http://hacking.pl/pl/news-7279-Vishing_telefoniczny_phishing.html
http://www.vnunet.com/vnunet/news/2160004/cyber-criminals-talk-voip
http://news.bbc.co.uk/1/hi/technology/5187518.stm

Seria błędów wykrytych we wtyczkach ActiveX sprowokowała do dyskusji o zagrożeniach, które wywołują architektury wykorzystujące technologię modułów plug-in.

Seria poważnych - określanych jako high-profile - luk i zagrożeń w ActiveX spowodowała,
że amerykańska instytucja rządowa CERT (Computer Emergency Readiness Team),
opublikowała rzadko spotykaną rekomendację całkowitego wyłączenia funkcji ActiveX w przeglądarkach internetowych Internet Explorer. "Na rynku jest bardzo dużo aplikacji, które wykorzystują ActiveX, a użytkownicy nawet nie zdają sobie z tego sprawy, kiedy i w jakim celu są one uruchamiane, i dlatego właśnie CERT zdecydował się wydać tak radykalne ostrzeżenie" - powiedział rzecznik tej instytucji. Impulsem do tego były przede wszystkim luki wykryte w aplikacjach udostępnianych na stronach Facebook i MySpace (narzędzia do ładowania fotografii), a także w programach Yahoo Music Jukebox, Real Networks RealPlayer i Apple QuickTime oraz szybko rosnąca liczba exploitów wykorzystujących wykryte błędy.

Sytuacja ta, stała się przyczyną do szerszej dyskusji i analizy, dotyczącej zagrożeń wynikających z popularyzacji architektur, które umożliwiają względnie łatwe rozszerzanie i wzbogacanie funkcjonalności przy zastosowaniu wtyczek programowych, których chyba najpowszechniej stosowanym przykładem jest właśnie technologia ActiveX.

Obrona przed zagrożeniem

89% z 237 luk w Internet Explorer w I połowie 2007 r. dotyczyło kontrolek ActiveX.
Nie tylko CERT, ale również analitycy z firmy Symantec uznali zagrożenie za wysokie. Symantec opublikował własne zalecenie dla administratorów systemów IT, aby zmodyfikowali rejestry systemu Windows tak, by uniemożliwić automatyczne uruchamianie niektórych kontrolek ActiveX. W praktyce każdy użytkownik może skonfigurować przeglądarkę IE tak, aby nie pozwalała na uruchomienie jakiegokolwiek kodu ActiveX, zwiększając poziom zabezpieczeń na wysoki. Niestety, wskutek dużej popularności tej technologii, może to spowodować wiele problemów podczas przeglądania Internetu. Natomiast eliminacja tylko niektórych, stwarzających rzeczywiste zagrożenie kontrolek nie jest tak łatwa, bo wymaga ingerencji w rejestr systemowy Windows. Na szczęście w firmach lub korporacjach administratorzy są w stanie dość łatwo przygotować schemat niezbędnych zmian i zmodyfikować rejestry we wszystkich zarządzanych przez nich komputerach PC. Ponadto SANS Institute udostępnił na swojej stronie ISC (Internet Storm Center) prosty program z interfejsem graficznym, który umożliwia automatyczne wyłączenie sześciu najgroźniejszych kontrolek bez konieczności ręcznej edycji rejestru.

Do bezpiecznej konfiguracji przeglądarki można posłużyć się artykułem "Securing Your Web Browser", który znajduje się na stronie CERT-u - www.cert.org/tech_tips/securing_browser/

Łatwy cel do ataku

Na pytanie, jakie exploity AvtiveX są obecnie najgroźniejsze, specjaliści od bezpieczeństwa nie mają konkretnej odpowiedzi. Z reguły podkreślają, że największym zagrożeniem jest duża liczba różnego rodzaju luk oraz powszechna dostępność wykorzystujących je exploitów. Można oczywiście wymienić najbardziej znane przykłady, takie jak błędy umożliwiające atak na moduły MDAC (Microsoft Data Access Component), bardzo często wykorzystywane w ostatnich latach, lub problemy z HTML Help ActiveX - kontrolką w Internet Explorer, której luki również doprowadziły do wielu różnego typu ataków (najbardziej znany to trojan Phel). Ale w praktyce to tylko wierzchołek góry zagrożeń, które mogą spotkać użytkowników."Gdy Microsoft zaczął systematycznie łatać luki w systemie Windows, hakerzy zwrócili uwagę na łatwiejsze i przynoszące lepsze efekty cele, a do takich należą aplikacje i wtyczki ActiveX" - mówi Randy Abrams, dyrektor z ESET. Zwraca on jednocześnie uwagę, że technologia ActiveX najczęściej nie ma zasadniczego znaczenia dla działania aplikacji biznesowych. "Tak naprawdę problem z ActiveX w znacznym stopniu wynika z mody na wzbogacanie stron WWW i aplikacji w funkcje, które zwiększają ich atrakcyjność, ale wcale nie są niezbędne" - dodaje. Niestety trudno oczekiwać, aby z tego powodu programiści porzucili ActiveX, bo konkurencja jest silna i pewnie nikt nie zechce zrezygnować z wizualnego uatrakcyjnienia lub zwiększenia funkcjonalności swojej strony tylko ze względu na większe bezpieczeństwo.

Jak z kolei krytycznie zauważa Craig Schmugar, analityk z McAfee Avert Lab, wielu programistów tworzących aplikacje wykorzystujące mechanizmy ActiveX zupełnie nie dba o ich bezpieczeństwo. Jeśli do ich braku umiejętności budowy bezpiecznego kodu dodać szybko rosnącą liczbę programów, to przewidywany wzrost zagrożeń związanych z technologią ActiveX jest nieunikniony. Oprócz tego coraz łatwiej jest wykrywać luki. Na rynku pojawiło się ostatnio sporo narzędzi do statystycznego testowania aplikacji, czyli tzw. fuzzing tools, które pozwalają zautomatyzować proces ich wyszukiwania.

Warto zwrócić uwagę na fakt, że zagrożenia związane z wykorzystywanymi kontrolkami ActiveX były opisane już w roku 2000, również przez CERT-a - www.cert.org/archive/pdf/activeX_report.pdf. Pomimo błędów i zagrożeń nie zaprzestano, a raczej zwiększono używanie kontrolek ActiveX w aplikacjach, witrynach web i innych serwisach. W roku 2006-2007 pojawiło się bardzo dużo narzędzi umożliwiających wykrycie podatności w kontrolkach
ActiveX. Po wykryciu podatności w parę minut tworzono exploity wykorzystujące podatności co umożliwiało wykonanie zdalnego kodu, czy też instalację złośliwego oprogramowania na stacji.

ActiveX a Bezpieczeństwo Bankowości Elektronicznej

Dość istotnym problemem jest to, że technologia kontrolek ActiveX, jest wykorzystywana również w niektórych Bankach. Z punktu widzenia programisty, jest to najłatwiejsze narzędzie do interfejsu pomiędzy stacją Klienta, a witryną www bankowości elektronicznej. Dzięki wykorzystywaniu kontrolek ActiveX w bankowości elektronicznej, Klient otrzymuje ładne okienko z informacjami o przelewie, które ma zamiar podpisać, monit o hasło do klucza, lub też interfejs zarządzania kartą procesorową. Niestety funkcjonalność kontrolek ActiveX jest związana z wieloma zagrożeniami, o których wspomina CERT. Jedną z nich na którą zwróciłem uwagę, w kontekście bankowości elektronicznej, jest to, że kontrolka ActiveX po zainstalowaniu nie jest w żaden sposób podpisana cyfrowo. Sam plik Exe czy też CAB, ściągany z Banku owszem. Jednak po instalacji, żaden mechanizm nie weryfikuje kontrolki, że jest tą, która została zainstalowana z witryny Banku. Po wyedytowaniu kontrolki oprogramowaniem np. PE Explorer, atakujący może zmodyfikować poszczególne wartości kontrolki ActiveX i podrzucić na stację roboczą Klienta. W tym momencie ogranicza go tylko pomysłowość. Może zmienić tekst komponentu, lub też zaimplementować wykonanie złośliwego kodu np. konia trojańskiego, lub keyloggera przechwytującego hasła. Tak zmodyfikowana kontrolka zostaje wywołana przez System Bankowości Elektronicznej po zalogowaniu się Klienta na witrynę Banku. Na efekty nie trzeba długo czekać. Mam nadzieję jednak, że Banki a raczej firmy, które piszą systemy bankowości elektronicznej szybko dojrzeją do decyzji zmian niebezpiecznych mechanizmów i ciągłego ulepszania bankowości elektronicznej, pod kątem przede wszystkim bezpieczeństwa jak również funkcjonalnym.

Pesymistyczne perspektywy

Należy zauważyć, że Internet Explorer 7 oraz Windows Vista zostały wyposażone w mechanizmy istotnie zmniejszające zagrożenie ze strony wrogich modułów ActiveX. Microsoft zdawał sobie sprawę, że technologia ta jest celem i to dość łatwym dla hakerów. Dlatego też w Internet Explorer 7, a także Windows Vista, firma wprowadziła zestaw modyfikacji umożliwiających zabezpieczenie systemu przynajmniej przed większością dobrze znanych i popularnych metod przejęcia kontroli nad przeglądarką. Ale Vista i IE 7 są obecnie zainstalowane na statystycznie niewielkiej liczbie komputerów, a większość użytkowników korzysta, i wciąż będzie korzystać, z Windows XP i Internet Explorer 6. Wydaje się więc, że w dającej się przewidzieć przyszłości technologia ActiveX pozostanie głównym celem hakerów i najczęstszym internetowym zagrożeniem dla systemów komputerowych.

Ponieważ ActiveX jest technologią zgodną tylko z przeglądarkami Microsoft, można stąd wyciągnąć wniosek, że najlepszym pod względem bezpieczeństwa rozwiązaniem jest zastosowanie technologii alternatywnych, takich jak javascript. Ale taka strategia może przynieść tylko krótkotrwałe efekty, bo wraz z ewentualną popularyzacją technologii alternatywnych staną się one, bardziej niż dotąd, atrakcyjnym celem dla hakerów. Jako przykład na potwierdzenie tej tezy, eksperci ds. bezpieczeństwa zwracają uwagę na szybko zwiększającą się liczbę ataków na Mozilla Firefox lub Apple Safari, gdy tylko zaczęła rosnąć popularność tych przeglądarek. A język javascript też nie jest pozbawiony luk i z definicji odporny na ataki. Problem jest szerszy i dotyczy nie tylko ActiveX, ale praktycznie każdej architektury wykorzystującej mechanizm wtyczek programowych, czyli możliwości uruchamiania dodatkowych programów wewnątrz jakiejkolwiek przeglądarki.

Urządzenia firewall kontrolują cały ruch sieciowy wchodzący do oraz wychodzący z sieci. Tak bezpieczne jest ich wykorzystanie, jak dobrze określone są obszary, które należą do najbardziej chronionych, oraz skrupulatnie analizowana jest każda konfiguracja reguły. Urządzenia firewall winny kontrolować wszelki ruch sieciowy w obrębie chronionych obszarów, oraz blokować ruch, który nie spełnia zdefiniowanych wymogów. Wszystkie systemy winny być zabezpieczone przez nieautoryzowanym dostępem z sieci Internet. Dotyczy to w szczególności bazy danych, serwerów WWW, oraz wszelkich innych systemów powiązanych z systemami przechowującymi wrażliwe dane. Urządzenia firewall są kluczowym elementem bezpieczeństwa w każdej sieci teleinformatycznej, a ich polityki winny być przeglądane na bieżąco, przynajmniej przez dwie osoby.

1.1 Tworzona konfiguracja urządzeń firewall winna być przeprowadzona zgodnie z następującymi wytycznymi,

1.1.1. Proces zatwierdzania zmian i przeprowadzania testów bezpieczeństwa systemów wystawionych do Internetu oraz wszelkich zmian w konfiguracji urządzeń firewall,

1.1.2. Sporządzenie aktualnego schematu połączeń sieciowych oraz przepływu danych pomiędzy systemami przetwarzającymi dane Klientów,

1.1.3. Określenie wymagań dotyczących urządzeń firewall w obszarach sieci Internet, pomiędzy każdym systemem ze stref DMZ, a siecią zewnętrzną Internet,

1.1.4. Opis oraz dokumentacja grup, ról oraz praw dostępu do zarządzania poszczególnymi komponentami sieci,

1.1.5. Dokumentowanie i lista wszystkich serwisów i otwartych portów niezbędnych do działania systemów,

1.1.6. Dokumentowanie wszystkich dostępnych protokołów, np. HTTP, SSL, SSH, VPN, w każdym systemie,

1.1.7. Udokumentowanie niebezpiecznych protokołów (np. FTP), wraz z uzasadnieniem do ich używania i terminów migracji na ich bezpieczniejsze odpowiedniki,

1.1.8. Kwartalne przeglądanie reguł na firewall-ach, routerach, i innych urządzeń sieciowych,

1.1.9. Stworzenie standardów bezpieczeństwa dla routerów, firewalli, i innych urządzeń sieciowych, opartych na standardach bezpieczeństwa,


1.2. Budowanie odpowiednich reguł na urządzeniach firewall, blokujących cały ruch sieciowy pochodzący z niezaufanych sieci i hostów. Dotyczy to w szczególności połączenia przez niebezpieczne protokoły do systemów przetwarzających dane Klientów,


1.3. Konfiguracja reguł urządzeń firewall blokujących połączenie pomiędzy siecią zewnętrzną a komponentami sieci przetwarzających wrażliwe dane. Dotyczy to również połączeń z sieci bezprzewodowych WLAN. Konfiguracja urządzeń firewall winna spełniać następujące warunki:

1.3.1. Restrykcyjne tworzenie reguł na urządzeniach firewall wchodzącego ruchu sieciowego z zewnętrznej sieci Internet do odpowiednich obszarów sieci DMZ,

1.3.2. Zabroniony dostęp z sieci Internet do wewnętrznych adresów sieci DMZ,

1.3.3. Wykorzystywanie urządzeń firewall wyłącznie typu Stateful Inspection (przepuszczane są tylko połączenia zgodne ze standardami RFC. Anomalie połączenia sieci są analizowane, w przypadku wrogiego ruchu, odrzucane przez firewall),

1.3.4. Rozmieszczenie serwerów bazy danych w obszarach sieci wewnętrznej, odseparowanej od strefy sieci DMZ,

1.3.5. Restrykcje ruchu przychodzącego i wychodzącego do systemów, które mają istotny wpływ na systemy przetwarzające wrażliwe dane,

1.3.6. Zapewnienie bezpieczeństwa plików konfiguracyjnych urządzeń router, oraz zapewnienie ich prawidłowej synchronizacji. Pliki konfiguracyjne zasadnicze, oraz ‘rozruchowe’, winny mieć taką samą udokumentowaną konfigurację,

1.3.7. Zabronione są wszystkie połączenia wychodzące i wchodzące, które nie są określone jako dopuszczone w konfiguracji urządzeń firewall i routerów,

1.3.8. Wykorzystywanie urządzeń firewall pomiędzy sieciami bezprzewodowymi WLAN i obszarami sieci przetwarzającymi wrażliwe dane Klientów,

1.3.9. Wdrożenie korporacyjnych aplikacji firewall na każdym urządzeniu przenośnym przetwarzającym wrażliwe dane. Dotyczy to również stacji roboczych, które podłączane są do sieci korporacyjnej, a w przypadku pracowników mobilnych do sieci Internet,


1.4. Zabroniony bezpośredni dostęp pomiędzy siecią zewnętrzną, a każdym innym systemem przetwarzającym wrażliwe dane Klientów, (bazy danych, logi, ruch sieciowy),

1.4.1. Wykorzystanie stref DMZ do filtrowania i oddzielania ruchu przychodzącego i wychodzącego do sieci Internet,

1.4.2. Restrykcje wychodzącego ruchu sieciowego z aplikacji i systemów przetwarzających dane wrażliwe do systemów w strefie DMZ,


1.5. Wdrożenie maskowania adresu IP w celu ukrycia używanych adresów IP. Standard RFC 1918 określa jakie adresacje mogą zostać wykorzystane w technikach NAT i PAT.

Telefonica i Panda Security w ramach podpisanej umowy z bankiem Bankinter będą oferować usługę zabezpieczającą transakcje elektroniczne przy uzyciu oprogramowania Panda Security for Internet Transactions. Jest to system umożliwiający wykrywanie zlośliwego oprogramowania w pamięci komputerów Klientów. W momencie gdy Klienci będą starać się uzyskać dostęp do internetowych usług banku, system ma wykrywać w szczególności wirusy, robaki, trojany i inne oprogramowanie złosliwe, a następnie w czasie rzeczywistym ograniczyć dostęp do wybranych operacji, jeżeli uzna, że komputer użytkownika może być zainfekowany.

Wspólna usługa będzie oferowana przez centrum kontroli bezpieczeństwa firmy Telefonica, stanowiąc uzupełnienie obecnie prowadzonych usług w zakresie zabezpieczenia przed oszustwami.

Firma Telefonica jest pionierem w dziedzinie usług zwalczających oszustwa bankowości elektronicznej, a także liderem na runku usług zabezpieczających przez phishingiem.  

Usługi dla tak dużego gracza hiszpańskiego sektora bankowości internetowej, jest nie lada wyzwaniem. Bankinter obsługuje ok 55,6 % obsługiwanych transakcji elektronicznych relizowanych przez Klientów w Hiszpanii. 

Celem firmy Telefonica oraz Panda Security jest wypracowanie rozwiązania problemu z jakimi stykają się banki: zagwarantowanie bezpieczeństwa wszelkim operacjom bankowości elektronicznej. Założeniem usługi jest minimalizacja ryzyka przechwycenia poufnych danych przy pomocy złośliwego oprogramowania np trojanów, i wirusów. Rozwiązanie to obejmuje również usługę monitorowania i powiadamiania Klientów o pojawieniu się nowych zagrożeń związanych ze złośliwym oprogramowaniem, lub innymi atakami wykorzystującymi bankowość elektroniczną.   

Jest to dość ciekawe rozwiązanie biorąc pod uwagę zagwarantowanie bezpieczeństwa Klientowi korzystającemu z usług bankowości elektronicznej. Jest jedno ale.. dotyczące funkcjonalności. Pytanie na ile spowolni to proces logowania Klienta do bankowości elektronicznej. Pomimo tego, że skanowanie będzie odbywać się w pamięci komputera (ile pamięci będzie musiał mieć ten komputer Klienta?), to mechanizm będzie musiał skanować pliki na dysku Klienta. Aktualnie dyski, jakie są w sprzedaży to średnio ok. 100 GB. Jest dużo warunków szybkości skanowania antywirusowego m.in: ilość RAM, szybkość dysku, ilość plików na dysku, złożoność skanera antywirusowego, łącze, irytacja Klienta - który po minucie skanowania anuluje proces - ponieważ akurat chciał tylko sprawdzić ile pieniędzy ma na koncie. Po pewnym czasie irytacja weźmie górę i skaner będzie za każdym razem anulowany już przy starcie. Z drugiej strony bank, będzie miał w logach wybór Klienta, który anlulował przeprowadzenie skanowania. A skoro nie skorzystał z pomocy banku i nie dochował należytego bezpieczeństwa komputera to Jego osobista wina.

Ten krótki artykuł, którego będę uaktualniał (w miarę wolnego czasu) powstał na podstawie mojego wieloletniego doświadczenia jakie nabyłem pracując jako administrator a później specjalista ds. bezpieczeństwa bankowości elektronicznej. Jako administrator bankowości elektronicznej mogłem poznać system bankowości elektronicznej od strony aplikacyjnej, bazy-danych, jak również przetwarzania danych. Pracując jako Specjalista ds. Bezpieczeństwa Systemów Teleinformatycznych poznałem system od strony zaimplementowanych mechanizmów bezpieczeństwa aplikacji - mechanizmów autoryzacji, testów wydajnościowych, funkcjonalnych i bezpieczeństwa, systemowej (serwery www, warstwa middleware), architektury sieciowej (zależności i powiązania systemów i rozmieszczenie systemów w obszarach DMZ i w samej sieci bankowej). Moje spostrzeżenia zostały również oparte na dokumencie, który w ostatnim czasie nabrał dość szczególnego znaczenia, chodzi o PCI Data Security Standard (PCI DSS). Dla osób, które nie są zaznajomione z tematem, pragnę wspomnieć, że jako pierwszy agent rozliczeniowy w Polsce firma POLCARD otrzymała certyfikację w zakresie zgodności ze standardem PCI DSS. Parę słów o certyfikacie i dokumencie.


Payment Card Industry Data Security Standards (PCI DSS)

Certyfikat wydany przez One-SEC Ltd. zaświadcza, że firma POLCARD spełniła wszystkie wymogi programów Visa AIS i MasterCard SDP w zakresie zgodności z metodami i standardami Payment Card Industry Data Security Standards (PCI DSS). Generalnie, standardy PCI mają na celu zapewnienie użytkowników kart płatniczych, że wykonywane za ich pomocą transakcje w punktach handlowo-usługowych, w sieci Internet i telefonicznie są bezpieczne. Chociaż pierwotnie PCI DSS powstały w celu zabezpieczenia transakcji realizowanych online, to jednak obecnie standardy dotyczą wszystkich organizacji przechowujących, procesujących lub przesyłających dane posiadaczy kart, obejmując w tym firmy obsługujące punkty usługowo-handlowe, banki, akceptantów kart oraz dostawców usług. Na skutek wielu incydentów wycieku danych osobowych z poważnych firm takich jak ABN Ambro, czy Certegy Check Services firmy zaczęły bardzo poważnie podchodzić do problemu bezpieczeństwa danych osobowych. A na naszym polskim podwórku ? Też nie jest najlepiej. Dość często pojawiają się wiadomości o wydrukach na śmietniku, wyciek poufnych danych kilku tysięcy Klientów z bazy danych firmy w skutek włamania do sieci lub nieodpowiednie zabezpieczenie stacji pracowników, którzy podłączając się później do internetu bezmyślnie udostępniają całe dyski w sieciach P2P. Można jeszcze mnożyć wiele takich przyczyn wycieku danych osobowych z firmy, ale ten temat jeszcze omówimy. Wrócimy jeszcze do samej certyfikacji i dokumentu standardów PCI DSS o którym pisałem wcześniej. Payment Card Industry Data Security Standard (PCI DSS) to światowy standard ustalony przez organizacje kartowe w celu ochrony danych osobowych posiadaczy kart oraz informacji związanych z transakcjami dokonywanymi za pomocą kart płatniczych. Visa i MasterCard stworzyły PCI DSS odpowiadając na zapotrzebowanie organizacji zajmujących się rozliczaniem transakcji, a także mając na uwadze potrzebę umocnienia zaufania Klientów do realizowania płatności za pomocą kart płatniczych. Dokument ten obecnie w wersji 1.1, powstał w 2005 r. w wyniku współpracy głównych emitentów kart - American Express, Discover Financial Services, JCB, MasterCard i Visa. Potrzeba jego stworzenia wynikała z tego, że każdy z tych emitentów miał różny program certyfikacji ośrodków uczestniczących w procesie realizacji transakcji kartami płatniczymi. Centrum, które miało podpisaną umowę z trzema różnymi emitentami, musiało spełniać trzy różne standardy. PCI DSS powstał, aby uporządkować rynek, ułatwić życie jednostkom rozliczeniowym, a jednocześnie zapewnić zgodność z najlepszymi praktykami, minimalizującymi zagrożenie związane z nieautoryzowanym wykorzystaniem kart.


O samym dokumencie Payment Card Industry Data Security Standard (PCI DSS)

PCI DSS obejmuje sześć obszarów - począwszy od sposobów budowy bezpiecznej sieci, poprzez elementy związane z rozwojem bezpiecznego oprogramowania, kończąc na polityce bezpieczeństwa informacji. Standard ten docelowo dotyczyć ma każdej jednostki przetwarzającej i przesyłającej dane z kart płatniczych. Wdrożenie PCI DSS wiąże się z obowiązkowymi i regularnymi audytami zgodności, tak jak jest to w przypadku każdego innego certyfikatu np. ISO 27001, czy też ISO 9000. Sam dokument można pobrać ze strony głównej PCI - link.

W dalszych częściach będę chciał omówić bardziej szczegółowo dokument Payment Card Industry Data Security Standard (PCI DSS), zwracając uwagę również na realia polskiej bankowości elektronicznej, oraz na swoim doświadczeniu w tym temacie.