praca dyplomowa z początku wieku
Bezpieczeństwo komunikacji klienta z bankiem (i na odwrót) przez Internet jest kluczowym elementem w bankowości internetowej. Istnieje kilka rodzajów niebezpieczeństw, które mogą być przyczyną zakłócenia harmonijnej współpracy stron realizujących transakcje. Aby komunikacja komputerów klienta i banku przebiegała “bezawaryjnie” muszą zostać spełnione pewne warunki.
Jedną z metod okradania ludzi korzystających z usług w sieci jest przechwytywanie oraz odczytywanie danych, które prawdziwy klient banku wpisuje na komputerze (do przeglądarki internetowej), a następnie wysyła do komputera banku. Niebezpieczeńśtwo tego rodzaju można wykluczyć poprzez przesyłanie danych w sposób niejawny, czyli zaszyfrowany.
Innym niebezpieczeństwem jest podszywanie się cyber-oszusta pod jedną ze stron wymiany informacji. Przestępca może podawać się za klienta banku bądź za serwis bankowy. W pierwszym przypadku głównym motywem popełnienia wykroczenia jest chęć dokonania przelewu wszystkich środków z konta prawdziwego klienta na swoje konto. Natomiast w drugim przypadku, poprzez podszywanie się za komputer banku, pozyskać poufne dane o kontach klientów i mieć zagwarantowany wówczas dostęp do nich.
Bardzo popularnym niebezpieczeństwem są tzw. bomby pocztowe. Po tym jak miękkie (ang. floppy) dyskietki wyszły z szerokiego zastosowania, poczta elektroniczna znakomicie się zaadoptowała w roli “odbierania” wirusów, koni trojańskich oraz bomb pocztowych. Bomba pocztowa to nic innego jak przesyłka wysyłana na konto pocztowe adresata – ofiary ataku. Po jej otwarciu uaktywnia się jej zawartość. W parę chwil skrzynka odbiorcy zasypywana jest na dziesiątki grup dyskusyjnych. (…). Atak taki co prawda nie powoduje niszczenia danych, może jednak skutecznie sparaliżować stację roboczą, uniemożliwiając dalszą pracę[1].
Dla pewności bezpieczeństwa komunikacji między obiema stronami, stosuje się techniki sprawdzania czy dane, które jedna ze stron wysyła nie zostają przekształcone. Ponadto istotne jest, aby odbiorca mógł dokonać autoryzacji źródła wysłanych mu danych. O kryptografii i podpisie elektronicznym, o którym w tym akapicie jest mowa, poniżej zostanie napisane.
Bezpieczeństwo komunikacji pomiędzy klientem a bankiem poprzez globalną sieć powinno być bardzo ważnym elementem bankowości internetowej – nie ma co do tego wątpliwości. Jednakże zabezpieczenie tego nowoczesnego kanału musi być procedurą również nietrudną i nieskomplikowaną dla użytkownika tychże usług. Jest to zrozumiałe. Dopiero zabezpieczenie systemów wewnątrz banku może opierać się na doskonałości pomysłów informatyków oraz matematyków (szyfrowanie).
Dlatego też wynaleziono standardowe, bez ponoszenia dodatkowych kosztów, rozwiązanie, które stało się dzisiejszym zabezpieczeniem drogi od klienta do banku i odwrotnie. Mowa tutaj o protokole SSL, czyli Secure Sockets Layer. Dzięki SSL klient ma pewność, że to właśnie poprzez komputer banku prowadzi swoje transakcje. Ten wbudowany w przeglądarkę internetową protokół jest dobrym rozwiązaniem, chociaż banki nie mogą wyłącznie na nim polegać. Stosują one metody zabezpieczenia, które J. Grzechnik dzieli na trzy grupy[2]:
- Rozwiązania sprzętowe,
- Rozwiązania programowe bazujące na tzw. Plug-ins,
- Rozwiązania programowe używające technologii Java.
Rozwiązania sprzętowe to głównie tokeny, karty chipowe oraz tzw. smart cards, które zostaną dokładniej opisane w następnym podrozdziale. Innym rozwiązaniem są małe urządzenia elektroniczne podłączone pomiędzy klawiaturę a komputer (na kablu), dzięki czemu dane szyfrowane są jeszcze zanim trafią do pamięci komputera.
Rozwiązania typu plug-ins, czyli popularnie w Polsce nazywane “wtyczkami”, cieszą się mniejszym powodzeniem. Są to pewne dodatki oprogramowania do przeglądarek, które najczęściej korzystają z protokołu SSL, rozszerzają go lub zastępują. Oprogramowanie to klient otrzymuje od banku na CD lub poprzez Internet, po czym instaluje je u siebie na komputerze. Wadą tego rozwiązania jest fakt, iż bank musi plug-insy sam tworzyć (aplikacja bankowa), co wpływa na jego koszta oraz oprogramowanie to musi być projektowane z myślą o wszystkich systemach operacyjnych, ponieważ klient nie musi mieć konkretnego zainstalowanego na swoim komputerze.
Rozwiązania bazujące na technologii Java są podobne do plug-inów, ponieważ także wykorzystują przeglądarki. Jednakże są różnice. Applet, czyli specyficzny program ładowany jest najczęściej z sieci, co ma swoje zalety i wady. Zaletą jest szybkość jego aktualizacji, zaś wadą fakt, że jest pobierany z Internetu, przez co bank musi go szyfrować i sygnować swoim cyfrowym podpisem. Ponadto program ten nie musi napisany być pod konkretny system operacyjny, jak to jest w przypadku plug-inów.
Bezpieczeństwo powyżej omówionego kanału dystrybucji w bankowości internetowej jest bardzo ważne. Jednak równie dobrze musi być zabezpieczony przed atakami cyber-przestępców wewnętrzny system banku. Każda próba wtargnięcia osób postronnych do niego zakończona sukcesem może odwrócić zainteresowanie klientów banku o 180 stopni. Bank musi zatem zrobić wszystko, aby ludzie mogli dostawać się do ich serwisu, jednak tylko ci, którzy są ich prawdziwymi klientami – głównie to jest przyczyną problemów w zastosowaniu zabezpieczeń.
W celu zabezpieczenia swoich komputerów, banki stosują tzw. firewalle (w dosłownym tłumaczeniu z ang. ściana ogniowa). Zadaniem ich jest filtrowanie wszystkich danych przychodzących do komputerów banku. Firewalle ograniczają[3]:
- nieautoryzowany dostęp do serwerów banku,
- ataki typu DoS (Denial of Service) – atak tego typu powoduje, że usługa przestaje działać, bądź nie pozwala z siebie korzystać (najczęściej to jest skutkiem wysyłania przez cyberprzestępcę dużej ilości zapytań, przez co usługa się blokuje)
- ataki typu SMURF – intruz wysyła wiele “requestów” (próśb) PING na adres rozgłoszeniowy danej sieci, przy czym requesty mają spreparowany adres nadawcy, tak aby wskazywał on na atakowany komputer. W rezultacie ofiara jest “zalewana” setkami odpowiedzi PING.
- podszywanie się za klienta banku (intruz przesyła sfałszowane adresy w pakietach IP)
Niestety firewall nie pomoże, gdy występują tzw. dziury w programach na serwerze. Są to luki programowe, które wynikają z niedoskonałości programu (błąd autora). Często się zdarza, iż luki te są wynikiem czasu. Kiedy autor pisał program, bezpieczeństwo pewnego rodzaju nie było konieczne lub nie przykładano znacznej uwagi do tego. Równie często sieć komputerowa banku jest siecią z bardzo zaawansowanymi programami, przez co autorom jest trudno wykonać doskonały program od strony zabezpieczeń. Ponadto firewall nie zabezpiecza przed “podsłuchiwaniem” – nasłuchiwanie przez hosta wszystkich pakietów, także tych, które nie są dla niego przeznaczone.
Amerykański bank Security First Network Bank to bank internetowy, który daje pełną gwarancję niezawodności swojego wewnętrznego systemu. Stosuje on skomplikowany system firewall, a ponadto poszczycić się może posiadaniem specjalnego systemu operacyjnego Virtual Bank Manager, który zapewnia podzielenie indywidualnych kont. Jest to istotne, ponieważ nawet jeśli komuś udałoby się przedostać przez “ścianę ogniową”, to i tak ma tylko dostęp do jednego rachunku. Mało tego – bank jest na tyle pewien swoich zabezpieczeń, że daje swoim klientom gwarancję zabezpieczeń w postaci pełnego pokrycia szkód na wypadek, kiedy bank (konto klienta) stanie się ofiarą przestępstwa cyber-oszusta. Jak dotąd – bank już od października 1995 roku funkcjonuje – nikomu nie udało się włamać do wewnętrznej sieci banku, a zatem żaden klient nie został poszkodowany.
Bezpieczeństwo wewnątrzbankowe może być także zachowane na najwyższym poziom poprzez dawanie swoim pracownikom minimalnych i niezbędnych uprawnień (niezbędnych do pracy), możliwości dostępu do rachunków. Ważne jest również przygotowywanie procedur awaryjnych, sprawdzanie zabezpieczeń oraz ewentualne aktualizacje oprogramowań na komputerach banku. A jak należy zabezpieczać swój komputer?
Microsoft Windows jest najczęściej spotykanym systemem operacyjnym na świecie. Sam system, jak się okazuje, nie jest pozbawiony wad, dlatego też bardzo istotne jest, aby włączyć funkcję automatycznego powiadamiania o aktualizacjach systemu. Poprzez tego typu aktualizacje z Internetu, instalowane są na komputerze “łaty” poprawiające zabezpieczenie systemu. Zaleca się także nie używać oryginalnej przeglądarki systemu Windows, a Mozilli czy Opery, które (jak czas nas uczy) nie zawierają tylu “tylnych drzwi”, którymi cyberoszuści mogą dostać się do komputera i danych na nim zgromadzonych. Nie można jednak zapomnieć o ich aktualizacjach, gdyż naturalnie programy te także nie są doskonałe. Tak jak serwery bankowe, taki i komputer osobisty klienta powinien używać zapór ogniowych, czyli popularnych firewalli.
Istotną blokadą usprawniającą zabezpieczenie systemu komputera użytkownika jest program antywirusowy, który nawet codziennie można uaktualniać. Ściągane nowe sygnatury dla programu anywirusowego, zawierają informacje o nowych wirusach, aby ten mógł je wykryć. Również tego typu programy wykrywają tzw. konie trojańskie, które działaniem podobne są do wirusów. Jest to aplikacja, która podszywa się pod aplikacje komercyjne, poprzez co kopiuje hasła czy pliki bez wiedzy użytkownika. Najpopularniejsze programy antywirusowe to Norton Antivirus[4], Panda Antivirus Titanium czy McAfee Antivirus.
Transakcje w bankowości internetowej można przeprowadzać z każdego komputera, co nie znaczy, że jest to zalecane. Należy unikać komputerów, z których korzystają osoby nam nieznane. Nie jest bezpiecznie korzystać z komputerów na przykład kafejek internetowych czy komputerów z pracy. Należy chronić przed złodziejami urządzenia typu token czy loginy, hasła dostępowe wymagane do uwierzytelnienia konta. Nie powinno się także podawać nikomu haseł, nawet osobom pracującym w banku. I wreszcie nie należy odpowiadać na elektroniczne wiadomości e-mail, rzekomo od banku, które proszą o podanie haseł. Trzeba czujnie obserwować zachowania systemu transakcyjnego i jeśli jest coś, co wydaje się dziwne, nie wolno się wahać i od razu dzwonić na infolinię banku.
Wykonanie wszystkich tych zalecanych czynności, powinno chronić każdego użytkownika korzystających z e-usług przez Internet.
[1] Jacek Grzywacz (pod red. naukową), Praca zbiorowa, s.108, “Bezpieczeństwo systemów informatycznych w bankach w Polsce”, Szkoła Główna Handlowa, Warszawa, 2003r.
[2] Jakub Grzechnik, “Bankowość Internetowa”, s.74, Internetowe Centrum Promocji, Fundacja Rozwoju Uniwersytetu Gdańskiego, Gdańsk, 2000r.
[3] Piotr Kopyt, Michał Kułakowski, Krzysztof Niemiec, Praca zaliczeniowa pt. “Firewall” z przedmiotu Administracja Systemem Komputerowym, Kraków, 2002r.