Interneto naudotojai įspėjami pasirūpinti saugumu – naudoti legalias programas, jas atnaujinti, kompiuterį saugoti antivirusinėmis programomis. Bet internete esi priklausomas nuo to, kaip apsaugotos sistemos, prie kurių jungiesi.
Viena svarbiausių bankų ir panašaus pobūdžio sistemų dalių yra SSL – kriptografinis protokolas, skirtas apsaugoti internete siunčiamą informaciją ją užšifruojant. Jeigu informaciją nesunku atkoduoti, tai gerokai palengvina programišiaus darbą.
Patikrinti, ar Lietuvos bankų ir kitų įstaigų naudojami SSL protokolai yra tinkamai apsaugoti, „Lietuvos rytą“ paskatino žinia apie šviežią ir itin pavojingą klaidą, pavadintą „HeartBleed“.
Gera žinia: patikrinus kelias dešimtis Lietuvos finansinių, ryšių ir elektroninių paslaugų sistemų, šios skylės nebuvo nė vienoje jų. Bet kibernetinio saugumo kompanijos „Qualys“ sukurtas įrankis atrado kitokių spragų, o dalis jų buvo įvertintos kaip keliančios rimtą grėsmę.
Patarimas – susitvarkyti
Aukščiausius įvertinimus (A-) testo metu gavo bankų „Swedbank“, SEB, DNB ir „Nordea“ elektroninės bankininkystės sistemos. Kiek prasčiau (B įvertinimas) pasirodė „Citadele“ bankas, svetainė Mokėjimai.lt, „Teo LT“ ir „Bitės“ klientų aptarnavimo sistemos.
C raide įvertinta Šiaulių banko sistema, o prasčiausiai – F raide – „Danske Bank“, „Finastos“, Medicinos banko, Ūkio banko (pastarąją aptarnauja Šiaulių bankas) ir Registrų centro sistemos, „Omnitel“ bei „Tele2“ savitarnos svetainės.
Kompanijos „Atea“ Informacinės saugos skyriaus vadovas Andrius Šaveiko dėl atrastų saugumo spragų ragino nepanikuoti. Anot jo, svarbiausia, kad visos sistemos yra atsparios „HeartBleed“, kuris yra gerokai pavojingesnis.
„Vis dėlto F balu įvertintos organizacijos turėtų nedelsdamos susitvarkyti“, – sakė jis.
Aptiktos grėsmės
Testo duomenimis, Medicinos banko, Ūkio banko, „Omnitel“ ir „Tele2“ savitarnų bei Registrų centro sistemos palaiko atgyvenusį SSL2 protokolą.
„Tai nėra geras dalykas, bet šiuo atveju sistemos nėra pažeidžiamos – pažeidžiamas gali būti vartotojas. T.y. konkreti vartotojo el. bankininkystės sesija ir ja perduodami duomenys. Džiugi žinia, kad naujesnės naršyklės draudžia ar nepalaiko SSL2 naudojimo, nes šis protokolas yra senas ir pažeidžiamas. Nedidelė tikimybė, kad vartotojai jungiasi per SSL2, o dar mažesnė, kad prieš konkretų vartotoją nukreipta ataka bus vykdoma per SSL2 pažeidžiamumus, – aiškino A.Šaveiko. – Svetainių administratorių, deja, pagirti negalėčiau, nes SSL2 pažeidžiamumai žinomi jau seniai, pats protokolas nebenaudojamas, bet, kažkodėl, serveriai jį dar palaiko.“
Kitas trūkumas – nesaugaus persijungimo palaikymas, kuriuo pasinaudojant galima įvykdyti vadinamąją „žmogaus viduryje“ ataką (angl. man in the middle – MITM). Ją vykdantis užpuolikas gali įsiterpti į ryšio seansą ir slapta rinkti persiunčiamus šifruotus duomenis.
„Qualys“ įrankis parodė, kad tam buvo neatsparios „Danske Bank“, „Finasta“, Ūkio banko, „Tele2“ sistemos.
A.Šaveiko pabrėžė, kad ši klaida yra sena ir jau turėtų būti ištaisyta: „Pavojingumu ji gerokai nusileidžia nuskambėjusiam „HeartBleed“, nes norint atlikti tokią ataką reikia įgyvendinti bent keletą reikalingų aplinkybių, kad būtų galima perimti šifruotą ryšio sesiją. MITM reiškia, kad kažkas gali įsiterpti tarp vartotojo ir serverio bei nuskaityti visą siunčiamą informaciją.“
Bankai ramina klientus
Daugumos bankų atstovai teigė, kad atrastos spragos nekelia grėsmės klientams. Antai „Danske Bank“ IT departamento direktorius Giedrius Trukšinas užtikrino, kad jų elektroninės bankininkystės sistema visiškai saugi.
Anot jo, „Qualys“ įrankis neteisingai įvertino banko sistemos saugumą, nes praktinis MITM atakos išnaudojimas labai ribotas. „Bendru atveju trūkumą galima efektyviai išnaudoti modifikuojant tik GET užklausų antraštes (turinį). Prisijungiant prie „Danske eBanko“ yra naudojamos POST tipo užklausos bei antras autentifikacijos faktorius“, – teigė jis. Taigi praktiškai tuo pasinaudoti neįmanoma – įsilaužėlis iš banko negaus serverio grąžinamo atsakymo, be to, neįmanoma nukreipti užklausos į su banku nesusijusį, įsilaužėlio kontroliuojamą serverį.
„Danske Bank“ atstovas priminė, kad klientai turėtų naudotis tik saugia ir legalia programine įranga, vengti jungtis prie elektroninės bankininkystės sistemos per viešąsias interneto prieigas, saugoti prisijungimo kodus.
Užtat Šiaulių banko Informacinių technologijų tarnybos vadovas Jonas Bartkus paskelbė, jog bankas artimiausiu metu planuoja atlikti saugumo sistemų atnaujinimą.
„Bankas užtikrina visas saugumui būtinas priemones. Šiaulių bankas nuolat atnaujina programinę įrangą, kad būtų palaikomos naujausios saugumo užtikrinimo priemonės bei kriptografijos algoritmai, tuo pačiu išlaikydamas senesnių kompiuterių vartotojams puslapį prieinamą jų turimomis priemonėmis. Siekiama, kad banko klientai galėtų ir saugiai, ir patogiai tvarkyti savo finansus internetu, kad jiems tai nesukeltų daugybės nepatogumų bei būtinybės savarankiškai diegtis specialias programas, atnaujinti naršykles ir pan. Šiuo atveju Šiaulių bankas yra pasirinkęs optimalų saugumo variantą, kuris leidžia išlikti saugiu ir draugišku vartotojams“, – teigė J.Bartkus.
Medicinos bankas nurodo klaidas taisantis. „Banke nuolat vykdomas testavimas, ar elektroninės bankininkystės sistema atitinka saugumo reikalavimus, todėl minimos saugumo spragos banko IT specialistams yra žinomos. Banke šiuo metu vykdomi elektroninės bankininkystės atnaujinimo darbai, kuriuos atlikus bus ne tik panaikintos minėtos spragos, bet ir įdiegti kiti sistemos patobulinimai“, – teigė Medicinos banko Verslo plėtros departamento rinkodaros vadybininkė Vilma Juozapavičienė.
Jaučiasi saugūs
Elektroniniu parašu besirūpinančio Registrų centro specialistai teigia žinantys SSL2 protokolo ydas ir jas įvertino prieš nutardami toliau naudoti šį protokolą.
„Tokį pasirinkimą lėmė tai, kad nemaža dalis mūsų teikiamų elektroninių paslaugų vartotojų dirba su senesnės kartos operacinėmis sistemomis ir interneto naršyklėmis, nepalaikančiomis naujesnio SSL3 protokolo, – aiškino Registrų centro atstovas Aidas Petrošius. – Jei kliento įranga palaiko SSL3 protokolą, prisijungimo metu jis ir yra naudojamas.“
„Omnitel“ technologijų padalinio vadovas Mindaugas Varanauskas nurodė, kad atliktas testas netinkamai įvertino jų sistemų darbą: „Mūsų svetainės veikia „Java“ platformoje, kuri nepalaiko senesnio SSL2 duomenų perdavimo protokolo. Kadangi kai kurie klientai dar turi senus kompiuterius, dėl suderinamumo su jais savitarnoje pasisveikinimui gali būti naudojamas senesnis pseudoprotokolas „SSL2vHello“, tačiau visi klientų duomenys perduodami tik saugiu SSL3 protokolu ir yra visiškai apsaugoti.“
Tuo metu „Tele2“ specialistai suskubo lopyti bandymo metu atrastų klaidų, ir jau vakar prieš pietus padėtis buvo pasikeitusi.
„Peržiūrėjome ir atnaujinome saugumo parametrus, siekdami aukštesnio vertinimo. Mūsų klientai gali būti ramūs, abi savitarnos svetainės jau vertinamos A reitingu“, – tvirtino „Tele2“ korporatyvinės komunikacijos vadovas Andrius Baranauskas.
Kraujuojančios širdies pavojai
Praėjusią savaitę paskelbta apie naują, itin pavojingą atvirojo kodo protokolo „OpenSSL“ klaidą, kuri pavadinta „HeartBleed“ (liet. – kraujuojanti širdis). Šį protokolą naudoja apie du trečdalius visų interneto paslaugų teikėjų – nuo „Google“ ar „Facebook“ iki smulkesnių tinklalapių.
Programiniame kode įsivėlusi klaida leido įsilaužėliui sužinoti sistemos ir vartotojų slaptą rankos paspaudimą. Tuo pasinaudojęs įsilaužėlis galėjo gauti informaciją iš apsaugotų sistemų, pradedant naudotojų vardais bei slaptažodžiais ir baigiant duomenų bazių turiniu.
Didžiosios svetainės dar prieš paviešinant informaciją klaidą ištaisė, mažesnės taip pat suskubo tuo pasirūpinti. Tačiau dėl saugumo sunerimusiems naršytojams patariama pasikeisti slaptažodžius, nes nėra žinoma, ar šia klaida programišiai nesinaudojo anksčiau, kol jos nebuvo atradę saugumo specialistai.
„HeartBleed“ atveju užtenka rasti pažeidžiamą serverį ir galima nesunkiai nuskaityti jo operatyviojoje atmintyje esančią informaciją – šifravimo kodus, prisijungimo duomenis, slaptažodžius ir kt. Jokių papildomų aplinkybių tam nereikia. Būtent dėl to šis pažeidžiamumas toks pavojingas“, – sakė A.Šaveiko.
