Naslov Varnost slovenskega e-bančništva je 'solidna'?

Svetovalec za informacijsko varnost pri Hermes SoftLabu Tadej Vodopivec je varnost slovenskih spletnih bank ocenil kot solidno, pri čemer največ možnosti za izboljšave vidi v premiku iz varovanja vstopa v storitev k varovanju transakcij, piše Monitor.

Ob pojavu spletnega bančništva pri nas so slovenske banke za tiste čase ponujale zelo dobre mehanizme varovanja vstopa v sistem, denimo generatorje enkratnih gesel, certifikate in pametne kartice.

Čez nekaj let se je izkazalo, da je varnost uporabnikovega računalnika šibka točka sistema, kar so napadalci pričeli izkoriščati. Slednjim včasih pomaga tudi naivnost uporabnika, saj je število le-teh preseglo kritično maso in so postali zanimive za kriminalce.

Danes obstajajo dobro organizirane kriminalne skupine, bančni sistem pa je postal bolj mednarodno odprt. Tveganje se je znatno povečalo, zato zaščitni ukrepi izpred desetih let ne zadoščajo več. Tu so banke, ki so pozneje uvedle spletne storitve, nekoliko v prednosti, saj so zaščito že zastavile razmeram primerno, medtem ko se morajo starejše banke ukvarjati z dograjevanjem varnostnih mehanizmov.

Podatki o zlorabah v tujini kažejo, da gesla za enkratno uporabo, ki jih lahko uporabljamo za vstop v storitev in potrditev posameznega plačila, ne zagotavljajo zadostne stopnje varnosti. Če je geslo neodvisno od vsebine transakcije, namreč delujejo tudi napadi tipa man-in-the-browser (MITB), kjer napadalec nadzira uporabnikov brskalnik in zamenja le ciljni račun in znesek transakcije.

Elektronski podpisi transakcije z digitalnimi certifikati za napadalce sicer predstavljajo dodatno oviro, a ne pomagajo pri kraji certifikata in ključa. Pri napadu MITB bi sicer napadalec moral ponarediti še prikaz podatkov ob podpisu, vendar to ni nemogoče.

Varnostni sistemi nekaterih bank sploh ne vključujejo potrjevanja transakcij in se osredotočajo zgolj na vstop v storitev, kar Vodopivec označuje za tempirano bombo.

Vodopivec rešitev vidi v verifikaciji transakcije, kjer uporabnik preveri in potrdi njeno vsebino na način, ki ni odvisen od varnosti računalnika, prek neodvisnega kanala. Eden od primerov le-tega je SMS sporočilo, kjer uporabnik najprej skrbno preveri vsebino transakcije in nato vtipka potrditveno kodo v računalnik.

Vir: Moj mikro, februar 2010

Vir slike: Technocino

Vir Moj Mikro
Datum 02.04.2010