Wyścig pomiędzy hakerami próbującymi coraz bardziej skutecznie okraść banki lub ich klientów a twórcami zabezpieczeń zaostrza się. Równocześnie bankowcy coraz częściej mówią, że konieczna jest wspólna dla sektora instytucja, która zajmowałaby się cyberochroną banków.

Wyniki ankiety firmy doradczej E&Y, przedstawione na V Europejskim Kongresie Finansowym w czerwcu w Sopocie były zaskakujące. Zapytano najwyższych przedstawicieli polskiego sektora bankowego, jak postrzegają mapę narastających zagrożeń. Najwyższe miejsca zajęły kredyty we frankach i sytuacja w strefie euro – wisząca jeszcze nad nią groźba grexitu. Największe z zagrożeń wytypowano jednak zgodnie – jest nim cyberprzestępczość oraz rozpowszechnienie nowych technologii szpiegowskich.

Co potrafi mała teensy

Mikroprocesor można kupić już w zasadzie wszędzie. Wystarczy stworzyć program szpiegujący i zapewniający transmisję danych, układ i połączyć go z portem USB. A potem podpiąć do bankowego komputera. Wtedy wszystko, co dzieje się również w systemie centralnym, może przestać być dla intruza tajemnicą.

Teensy, bo o niej mowa, ma wielkość dwuzłotówki. Można ją kupić za kilkadziesiąt złotych. Majsterkowicze wykorzystują teensy do domowych urządzeń, takich jak na przykład dozownik karmy dla kotów. Prawdopodobnie wkrótce okaże się, czy za pomocą wpiętej w odpowiedni port teensy można sterować również bankiem.

Reklama

– Teensy może zapisywać w pliku Exif to, co piszesz na klawiaturze. Jeżeli masz zainfekowaną klawiaturę, przestępca zna wszystko, co piszesz – mówił podczas tegorocznego IV Forum Bezpieczeństwa Banków (FBB) Rai Cohen, badacz malwarów w dostarczającej systemy bezpieczeństwa firmie Cybertinel.

Zdalnie można już sterować samochodem, choć nie musi to być teensy, a połączenie komórkowe. Dwaj eksperci Charlie Miller i Chris Valasek udowodnili w tym roku, że potrafią zdalnie włamać się do systemów rozrywki multimedialnej, w jakie został wyposażony jeep cherokee i stamtąd przejąć kontrolę nad krytycznymi funkcjami auta – sterowaniem silnikiem, skrzynią biegów, przyspieszaniem, hamowaniem itp. Możemy sobie już wyobrazić jeepa, a najlepiej TIR-a jadącego po autostradzie w sposób przypominający pościg z filmu „Matriks. Reaktywacja”.

– Moglibyśmy łatwo zrobić to samo w jednym z setek tysięcy pojazdów jeżdżących po drogach – powiedział Charlie Miller cytowany przez magazyn „Computerworld”.

Fiat Chrysler w związku z tym wycofał 1,4 mln aut, a koszt „załatania dziur” w jednym egzemplarzu oprogramowania to 200 dolarów.

„Podatność kluczowych systemów sterowania na zagrożenie zdalnym włamaniem jest znaczna, stwarza zagrożenie dla wielu branż i łańcuchów dostaw (…) Rządy, firmy, brokerzy i ubezpieczyciele muszą rozpoznać i zrozumieć to ryzyko, wdrożyć środki bezpieczeństwa i rozważyć nieprzewidziane straty” – piszą prawnicy z nowojorskiej kancelarii Wilson Elser Moskowitz Edelman & Dicker. Pytanie, kiedy banki zaczną tworzyć na to ryzyko rezerwy.

Kamera umieszczone na latającym dronie wykorzystywana jest na razie do robienia oryginalnych zdjęć ślubnych i kręcenia reklamówek. Drony pokazały już, jakie potrafią być groźne, gdy w lipcu przed dziobem lądującego samolotu Lufthansy na Okęciu taki egzemplarz przeleciał, prawdopodobnie przypadkowo i bez zamiaru strącenia niemieckiej maszyny.

Kiedy za oknem korporacji lata dron, lepiej zasunąć rolety. Prawdopodobnie filmuje to, co dzieje się na monitorach i klawiaturach – wpisywane hasła i kody dostępu. Dron jest też idealnym narzędziem do szpiegostwa sportowego. Filmowanie to jednak banał. Dron może latać po to, by włamać się do sieci wi-fi. Wtedy naprawdę może widzieć i „wiedzieć” wszystko o instytucji. A przed włamaniem do wi-fi nie ochroni zasunięcie rolety.

Jakie znaczenie mają te wszystkie innowacje mogące być z łatwością wykorzystywane do przestępstw w sektorze finansowym? Na technologiczną inwencję w mogących służyć przestępczości obszarach, padają odpowiedzi ze strony budowniczych systemów zabezpieczeń. Podobnie jak z bronią palną – jej wynalezienie zmieniło zupełnie sposób budowania twierdz.

„Sektor finansowy jest nadal celem numer jeden kierunku ataków i reprezentuje 18 proc. wszystkich wykrytych zagrożeń. Długoterminowy trend ataków kierowanych przeciwko sektorowi finansowemu jest kontynuowany. Większość incydentów w 2014 roku była bezpośrednio związana z fraudami sieciowymi, phishingiem oraz spear-phishingiem (instalacją dedykowanego oprogramowania szpiegowskiego na komputerach)” – napisała w tegorocznym raporcie zajmująca się systemami bezpieczeństwa globalna firma NTT.

– Możliwa jest taka skala ataku, która zagraża egzystencji banku – mówił Andrzej Reich, dyrektor w Komisji Nadzoru Finansowego podczas tegorocznego EKF.

Kto zna twój PIN

Kolejne technologie wykorzystywane przez bankowość i narzędzia komunikacji z klientem, takie jak aplikacje mobilne, stanowią nowe pole walki złodziei i twórców zabezpieczeń. Zmiany otocznia powodują, że walka staje się coraz trudniejsza dla obrońców. To zmiany w przestrzeni, w jakiej korzystamy z usług bankowych. Coraz częściej korzystamy z nich w przestrzeni publicznej, a ta jest coraz bardziej monitorowana.

Zastosowanie scammingu, czyli sczytywania kodów kart płatniczych po to, żeby je fałszować, wymagało między innymi zainstalowania w bankomacie kamery, która zarejestruje wprowadzany PIN. Teraz wystarczy, by w sklepie lub centrum handlowym, gdzie przewija się wiele osób, zainstalować odpowiednio kamerę nad terminalem płatniczym. Albo włamać się do tamtejszej sieci monitoringu. Jeśli to duży sklep, może zarejestrować kody PIN kilkuset osób dziennie.

Na scamming wynaleziono już sposób. Jest banalnie prosty. Obecnie kartę „wrzucamy” do szczeliny bankomatu wzdłuż paska. Kiedy bankomat „połyka” kartę głowica sczytuje dane. Głowica nie porusza się, to karta jest przez nią „przeciągana”. Pomysł polega na tym, żeby kartę wkładać szerszym brzegiem, czyli w poprzek paska magnetycznego. W bankomacie jest głowica, która – poruszając się – sczytuje dane z paska tkwiącego nieruchomo. Zainstalowanie nakładki w szczelinie, która sczytałaby dane z paska wykorzystując ruch karty traci sens.

Nowe rozwiązanie ma jednak jedną wadę. To koszty. Wprowadzenie go wymagałoby wymiany całych bankomatów.

– Scamming jest sporym kłopotem. Wypłata pieniędzy przez aplikację mobilną jest pewnym rozwiązaniem. Trzeba tylko uważać, żeby nie stanąć w oku kamery, która może rejestrować przestrzeń w okolicy bankomatu i podpatrzyć kod, jakim logujemy się do aplikacji – mówi Obserwatorowi Finansowemu specjalista od systemów bezpieczeństwa w jednym z dużych polskich banków.

– Monitoring wizyjny stawia w innym świetle problem zasady odpowiedzialności banku (za pieniądze klienta). Jeżeli dostęp do środków mam poprzez telefon, jest on uzależniony od wprowadzenia hasła. A jeśli wprowadzam je w przestrzeni przemonitorowanej? – mówi Piotr Bodył-Szymala, prawnik z BZ WBK.

Biometria odpowiedzią

Nie grozi nam już wyłupywanie oczu, odcinanie palców czy nawet całych dłoni – twierdzą naukowcy z Politechniki Gdańskiej, którzy wraz z PKO BP oraz firmą Microsystem opracowują „macierz” technologii identyfikacji biometrycznej. Można ją określić jako biometrię „drugiej generacji”, bowiem daleko w tyle pozostawia ona dotychczasowe metody tego rodzaju i to pod wieloma względami.

Niewykluczone, że biometria będzie skuteczną odpowiedzią na kradzież tożsamości czy danych osobowych. Nowe jej metody mają wykluczyć takie ryzyko. Zarówno jeśli chodzi o „archiwum”, danych na bankowych serwerach, jak również o klienta.

– Klient może być dla siebie indywidualnym i niepowtarzalnym hasłem, kodem i kluczem dostępu – mówił prezes PKO BP Zbigniew Jagiełło.

Każdy człowiek ma mnóstwo indywidualnych, właściwych tylko jemu cech. Jedną z nich jest układ linii papilarnych, co odkryto już sto lat temu. W latach 90. zeszłego wieku okazało się, że takie cechy mają także źrenice, owal twarzy, układ naczyń krwionośnych. W iphone’ach 5s zastosowano identyfikację właściciela telefonu poprzez odcisk palca, Touch ID. W kilku krajach Dalekiego Wschodu wykorzystuje się identyfikację biometryczną śledzącą cechy źrenicy oka. Wszystko to jednak powoduje dla użytkownika pewne ryzyko, nawet tak daleko idące jak okaleczenie przez zdeterminowanych przestępców.

Konsorcjum zapewnia, że opracowywane przez nie metody będą nowością w technologicznym wyścigu z przestępcami.

– Czy kogoś naśladujemy? Nie mamy kogo naśladować. Jesteśmy w samej szpicy wchodzącej w nowe technologiczne rozwiązania – mówi wiceprezes PKO BP Piotr Alicki.

Biometria drugiej generacji wychodzi z założenia, że do identyfikacji należy używać zestawu różnych cech, a nie tylko pojedynczych, bo pojedyncze mimo wszystko narażone są na ryzyko kradzieży. Poza tym pojedyncze metody biometryczne wykluczają niektóre grupy osób, na przykład dotkniętych inwalidztwem. Chodzi więc o to, żeby sposoby identyfikacji można było zastosować do wszystkich.

Równie istotne jest, żeby do identyfikacji służyły cechy żywego organizmu. Tak jest w przypadku układu naczyń krwionośnych w dłoni. Jeśli stworzymy czytnik, który potrafi zidentyfikować ich indywidualny i wyjątkowy charakter, będziemy mieli pewność, że to właściwa osoba identyfikuje swoją tożsamość. Martwa dłoń byłaby bezużyteczna.

Identyfikacja dzięki układowi naczyń krwionośnych dłoni to jeden z pomysłów, nad którymi pracuje konsorcjum. Być może taki czytnik mógłby być zainstalowany w smartfonie i w ten sposób zbliżając dłoń do ekranu autoryzowalibyśmy transakcję. Na pewno mógłby działać w oddziałach banków, w bankomatach i w terminalach w sklepach. Kartą płatniczą byłaby wtedy nasza dłoń.

Do wypełniania dokumentów bankowych, składania wniosków kredytowych czy podpisywania umów potrzebny jest podpis – taki jak w przeszłości na karcie wzorów podpisów – ale składany biometrycznym długopisem. Długopis taki wyczuwa mnóstwo parametrów związanych nie tylko z podpisem, ale także z procesem składania go. Chodzi o sposób trzymania, zamaszystość, przyspieszenia i zwolnienia, nacisk na podłoże.

Oprócz tego trwają prace nad kilkoma innymi metodami – laserowym skanowaniem profilu twarzy, a także biometrią głosu. Wadą pierwszej z nich są możliwe koszty, gdyż wymagałaby bardzo specjalistycznego sprzętu, wadą drugiej – możliwość precyzyjnego nagrania głosu, co sprawia, że prawdopodobnie nie mogłaby być to metoda jedyna i ostateczna.

Najważniejsza jest kwestia bezpieczeństwa danych. Ani nasz wizerunek, ani głos, zapis układu naczyń krwionośnych czy podpis nie będą nigdzie przechowywane. Po sczytaniu ich przez odpowiednie urządzenia natychmiast algorytmy przetwarzają je na czysto matematyczne zapisy. To one będą przechowywane na serwerach, a nie indywidualne dane klientów. Czy wykradzenie tych zapisów pozwoliłoby dowiedzieć się hakerowi, kim jesteśmy?

– Nie ma ryzyka odtworzenia danych w drugą stronę – mówi profesor Andrzej Czyżewski z Politechniki Gdańskiej.

Banki powinny walczyć wspólnie

Politykę państwa jeśli chodzi o cyberbezpieczeństwo wyznacza „Polityka Ochrony Cyberprzestrzeni RP” przyjęta przez rząd w 2013 roku oraz opublikowana w tym roku przez Biuro Bezpieczeństwa Narodowego „Doktryna cyberbezpieczeństwa RP”. Dokumenty te są jednak krytykowane przez specjalistów od systemów zabezpieczania w sieci za to, że tworzą hierarchiczne struktury, nieadekwatne do typu działań przestępczych, uwikłane biurokratycznie, a przez to mało skłonne do szybkiego reagowania.

– Struktury bezpieczeństwa są niedostosowane do tego, jak myślą przestępcy – mówił podczas FBB Artur Józefiak z firmy doradczej Accenture.

Środowisko bankowe dojrzewa już do padających od pewnego czasu propozycji stworzenia wspólnych inicjatyw mogących czuwać nad bezpieczeństwem całego sektora, a także wyznaczających standardy bezpieczeństwa dla banków. Rekomendację w tej sprawie przyjął EKF, który uważa, że ochrona instytucji finansowych powinna mieć spójne i jednolite standardy, a na dodatek istniejące luki powinny zostać uszczelnione, a system winien obejmować także współpracę banków z innymi instytucjami. Byłby to wspólny dla sektora System ochrony instytucji finansowych.

Według EKF powinna być to jednostka organizacyjna monitorująca ruch w sieci, przekazująca bankom informacje o kierunkach ataków, poszukująca i opracowująca rozwiązania techniczne mogące im zapobiec. W końcu powinna mieć umocowanie prawne i być partnerem dla instytucji państwowych walczących z cyberprzestępczością, takich jak CERT.GOV.PL czy ABW.

Teraz kolejny krok należy do banków. Tym bardziej, że nowe rozwiązania technologiczne, takie jak choćby biometria, wymagają doprecyzowania na płaszczyźnie prawnej. Takie przepisy trzeba dopiero stworzyć.