Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Bezpečnostní aspekty elektronického bankovnictví Bakalářská práce Autor: Martin Geleta Bankovní management Vedoucí práce: Ing. Antonín Vogeltanz Praha Duben, 2009
Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury. V Praze dne 14. 4. 2009 Martin Geleta
Poděkování Touto cestou bych rád poděkoval vedoucímu bakalářské práce Ing. Antonínu Vogeltanzovi za cenné rady, připomínky a metodické vedení práce.
ANOTACE PRÁCE Bezpečnostní aspekty elektronického bankovnictví Cílem této bakalářské práce je prozkoumání vybraných druhů elektronického bankovnictví a jejich zabezpečení, testování zabezpečení internetového bankovnictví, vyhodnocení testování a návrhy na zlepšení ochrany. Security aspects of electronic banking The main goal of this bachelor s thesis is to analyse selected types of electronic banking and their safeguarding, testing security of internetbanking, analysis of testing and proposals for improving security.
Obsah Úvod... 7 1 Elektronické bankovnictví... 9 1.1 Druhy přímého bankovnictví... 13 1.1.1 Phonebanking... 13 1.1.2 Homebanking... 14 1.1.3 Internetbanking... 14 1.1.4 GSM banking... 14 1.1.5 WAP banking... 15 1.1.6 PDA banking... 15 1.1.7 JAVA banking... 16 1.1.8 VIDEO banking... 16 1.2 Ukázky elektronického bankovnictví... 18 1.3 Identifikace a autentizace v rámci EB ČSOB... 20 2 Bezpečnost internetového bankovnictví... 22 2.1 Analýza základních způsobů zabezpečení EB... 23 2.1.1 Zabezpečení pomocí hesel... 23 2.1.2 Zabezpečení pomocí elektronických klíčů... 23 2.1.3 Zabezpečení pomocí certifikátů (elektronický podpis)... 24 2.1.4 Elektronický podpis... 26 2.2 Protokol SSL... 29 2.2.1 Šifry používané protokolem SSL... 30 2.3 Protokol HTTPS... 30 2.4 Certifikáty... 31 2.4.1 Princip použití certifikátu... 31 2.4.2 Žádost o certifikát... 31 2.4.3 Certifikační autorita (CA)... 31 2.4.4 Postup žadatele při získávání cerfifikátu I.CA... 32 2.4.5 Postup pracovníka registrační autority při získávání certifikátu I.CA... 33 3 Demonstrace útoků na systémy EB... 34 3.1 Příklad zneužití programu typu KeyLogger... 34 3.1.1 Názorná demonstrace použití programu KeyLogger... 35-5 -
3.1.2 Výpis pořízený pomocí programu KeyLogger... 36 3.2 Další způsoby útoků na systémy EB... 38 3.2.1 Phishing... 38 3.2.2 Pharming... 38 3.3 Prolomení šifrovaného přenosu dat... 39 3.4 Sociotechnický útok Achillova pata bezpečnostních systémů... 40 3.5 Příklad sociotechnického podvodu... 41 3.6 Možné důsledky zneužití přihlašovacích údajů... 43 4 Vyhodnocení demonstrace a návrhy na zlepšení zabezpečení a ochrany EB... 44 4.1 Výsledky, vyhodnocení demonstrace útoku na EB pomocí keyloggeru... 44 4.2 Návrhy na předcházení útokům a zvyšování bezpečnosti EB... 45 4.2.1 Firewall... 45 4.3 Ochrana před keyloggery a sociotechnickými útoky... 46 4.4 Software určený k ochraně počítače... 46 4.4.1 ZoneAlarm Firewall... 47 4.4.2 Spybot Search and Destroy... 47 4.4.3 Avast... 48 4.5 Technologie budoucnosti vyšší úroveň zabezpečení... 48 4.6 Konkrétní způsob ochrany před KeyLoggerem... 49 Závěry a doporučení... 51 Seznam použité literatury - bibliografie... 53 Seznam příloh... 55 Přílohy... 56-6 -
Úvod Před několika málo lety měl sotva kdo potuchy o tom, co je to GSM 1 banking, homebanking, phonebanking či internetbanking. Omezená pracovní doba peněžních ústavů, zvyšující se poplatky a časově náročné zaměstnání jsou hlavní důvody, proč stále více klientů českých bankovních domů začalo využívat některý z kanálů přímého bankovnictví. Klienti díky tomu již nemusí kvůli každému platebnímu příkazu navštěvovat pobočku své banky, téměř všechny potřebné bankovní operace mohou totiž provádět z pohodlí svého domova, případně ze své kanceláře nebo kdykoliv během obchodního jednání nebo např. služební cesty. V tuzemsku již v dnešní době není žádný velký peněžní ústav, který by ve své nabídce pro privátní klientelu nepamatoval na tyto produkty. Základní výhodou elektronických forem bankovnictví je především možnost 24 hodin denně, 7 dní v týdnu, provádět platební příkazy k převodu a inkasu, zjišťovat aktuální stav na svém účtu a především mít dokonalý přehled o všech pohybech na kontě. Prudký rozvoj dostupnosti internetu a lepší vybavenost domácností osobními počítači stojí za vysokými nárůsty uživatelů, jasně také určují, že v budoucnosti se bude stále více bankovních operací provádět pomocí různých forem elektronického bankovnictví. Některé banky umožňují touto formou zakládat také termínované vklady a řadu dalších operací. Veškeré tyto úkony je přitom možné provádět z libovolného počítače, který je připojen k síti internet, další možností je využití mobilního telefonu (GSM Banking, Phonebanking) nebo telefonu klasického (Phonebanking). Lze říci, že většina služeb, které získá klient na pobočce, je u bezkontaktního bankovnictví k dispozici i elektronickou cestou. Z toho důvodu již vůbec není nutné ztrácet čas cestou do bankovní pobočky, případně ve frontě u přepážky, ale pohodlně a kdykoliv lze zaplatit složenku či fakturu přímo z domova. Podmínkou je jen zřízení některého z produktů přímého bankovnictví. Využitím přímého bankovnictví navíc klienti výrazně ušetří na poplatcích. 1 GSM z anglického Global System for Mobile communications (globální systém pro mobilní komunikace). - 7 -
V současné době, kdy obliba služeb elektronického bankovnictví 1 u klientů výrazně roste, považuji za velmi důležité, položit si otázku, jak je to s jeho bezpečností. Je odpovídajícím způsobem zabezpečeno proti zneužití? Jakým způsobem se dá dále zvýšit jeho bezpečnost? Dodržují klienti a zaměstnanci bank důsledně všechna bezpečnostní opatření, která mají za úkol zabránit problémům? Ve své bakalářské práci se zaměřím na představení vybraných druhů elektronického bankovnictví a jejich zabezpečení. Následuje testování - ukázka útoku na internetová bankovnictví tří bank pomocí programu KeyLogger, popis dalších druhů útoků, vyhodnocení demonstrace a návrhy na zlepšení zabezpečení a ochrany EB. Mým hlavním cílem bylo pokusit se proniknout do systémů EB, upozornit tak na možné nedostatky v zabezpečení a přihlašování do systémů internetového bankovnictví a navrhnout postupy, jak zamezit podobným útokům. 1 Elektronické bankovnictví dále jen EB. - 8 -
1 Elektronické bankovnictví S nástupem nové techniky a jejím rozvojem vznikaly požadavky na přenášení informací, kterých stále přibývalo. Hledaly se cesty a začínaly se využívat dostupné prostředky pro vzdálenou komunikaci. První velkou změnu znamenal telefon. Ale nebyl to pro bankovnictví nejspolehlivější komunikační prostředek, identifikace probíhala pouze na základě jména a známého hlasu nebo smluveného kódu a autentizace byla provedena pomocí hesla. Později se začal využívat fax, kde se pro zabezpečení identifikace začalo používat jméno a číslo klienta, číslo účtu a pro autentizaci kódové tabulky s patřičným označením, v nichž bylo pro každý kalendářní den přiděleno číselné heslo, většinou třímístné. Bohužel technika nebyla nejdokonalejší a tak občas faxem vytištěné příkazy nebyly čitelné a jako prvek zabezpečení se zvolilo potvrzování telefonem, což bylo nepříjemné, ale klient mohl a musel v chybných případech ihned reagovat přeposláním. Revoluční zlom nastává až s příchodem počítačů. Zpracovávají se v nich skoro všechna data. Klienti mají účetní programy, v nichž si vedou účetnictví. S tím se vynořila myšlenka, že pokud se data již někde zpracovávají a jsou k dispozici, proč je ještě přepisovat nebo tisknout a nosit do banky ke zpracování? Jak se tomu vyhnout? A jak to zabezpečit co nejlépe? To byla další otázka, s níž se potýkaly banky a firmy z oblasti tvorby programů a firmy vyrábějící příslušenství k počítačům. Softwarové společnosti začaly připravovat komunikační programy, což vedlo k tomu, že dnes existuje mnoho komunikačních programů s různými úrovněmi z pohledu služeb a zabezpečení. V počátcích se v rámci zabezpečení přenášených textových souborů používaly takzvané kontrolní věty, což byly řetězce znaků s přesně stanovenou strukturou se zabezpečovacím kódem pro daný den, stejně jako se využívá u faxů, ale kontroluje se automaticky bez vizuálního kontrolování lidským faktorem. První soubory se přenášely na disketách. Pro banku to již znamenalo přenesení většího množství dat přímo do systému k zaúčtování s využitím lidského faktoru na přepážce. Klienti měli povinnost přinést na pobočku disketu v obecně domluvený termín. Např. do ČNB dva dny před zpracováním, do ČSOB do 12.00 hodin v požadovaný den provedení plateb. Při této komunikaci většinou klient mohl přinést pouze jednu disketu s jedním souborem. Po disketách již přišly na řadu přenosy dat - 9 -
z počítače do počítače prostřednictvím BBS 1 stanice, která umožňovala přenášet zabezpečené příkazy TPS 2 do banky a informace o zpracovaných položkách klientovi v delším časovém rozpětí. Komunikace pomocí BBS stanice se dnes využívá převážně v soukromém sektoru jako zdroj freeware a shareware. Zlomem ve vzdálené komunikaci přes počítače bylo uvolnění vojenských kryptovacích algoritmů do veřejného a obchodního sektoru. Dnes se využívá v praxi algoritmů několik, ty nejznámější a nejvyužívanější jsou RSA 3 a DES 4. Elektronický podpis odstartoval vznik složitějších programů, jejichž prostřednictvím mohou banky nabídnout klientům větší a pohodlnější obsluhu svých účtů. Došlo k rozšíření komunikačního pásma na dobu 24 hodin 7 dní v týdnu. Spektrum služeb se výrazně rozšířilo. V zabezpečení se již uplatňují i různé podmínky u elektronických podpisů, např. podepisování ve dvojici, přístupy uživatelů pouze k požadovaným účtům, atd. V aplikacích se též nastavují určitá práva a možnosti jednotlivým uživatelům. K tomu, aby vše bylo funkční, se musí vždy zabezpečit propojení uživatelských aplikací s bankovním systémem. V bankách jsou instalovány tzv. komunikační servery, prostřednictvím nichž komunikace probíhá. Z bankovního systému jsou do nich přenášena data pro klienty k výpisům, zůstatkům, pohybům na účtech během dne, atd. Tyto informace si klienti stahují dle svých potřeb a možností systémů. V oblasti aktivních služeb pro klienty je mezi systémy bank rozdíl. Základ mají všechny stejný příkazy TPS k úhradě i inkasu, příkazy ZPS 5. Některé mají navíc ovládání termínovaných a spořících účtů, inkas apod. 1 BBS z anglického Bulletin Board Service, též Bulletin Board Systém = počítač vybavený speciálním softwarem při elektronické komunikaci na bankovní straně, na který se mohou napojit pouze klienti s povoleným přístupem pomocí jiného počítače a modemu po telefonní síti. 2 TPS = tuzemský platební styk; nadále budu používat pouze zkratku TPS. 3 RSA zkratka jmen Rivest, Shamir, Adleman (autoři systému šifrování s veřejným klíčem - asymetrická kryptografie). 4 DES z anglického Data Encryption Standard (standart šifrování dat). 5 ZPS = zahraniční platební styk; nadále budu používat pouze zkratku ZPS. - 10 -
Programy pro elektronickou komunikaci znamenají pro klienta i určitou ochranu před chybami, snižují riziko chybovosti v několika úrovních. Data se přenáší mezi systémy a nemusí se již ručně nikde zpracovávat, tím je odstraněno riziko překlepu a chybné vizuální kontroly; komunikační programy samy provádějí některé kontroly, např. kontrola čísel účtů na modula 11 a 10, kontrola polí konstantních symbolů a kódů bank proti aktuálním číselníkům, datu splatnosti na maximálně 30 dní dopředu, polí částek plateb a symbolů na číselné údaje, aby například neobsahovaly hodnoty velké písmeno O místo nuly - hodnoty 0. Elektronická komunikace byla na začátku určena převážně pro firmy a podnikatele s vyšším množstvím položek na účtech. Když už byly zabezpečeny obslužné nástroje pro uvedenou skupinu klientů, bylo třeba nabídnout alternativní cestu k účtům i klientům, fyzickým osobám. Pro tuto skupinu klientů se jevila jako nejvýhodnější možnost obsluha prostřednictvím telefonu, což byl u této skupiny v dané době nejrozšířenější prostředek a každý jej uměl obsluhovat. V dalších letech se začíná využívat i mobilní telefon, který umožňuje ještě komfortnější obsluhu. Zpočátku banky poskytovaly pouze pasivní informace, tj. informace k účtům v podobě zůstatků a historie, s využitím faxů na straně klienta, na které mohly být na vyžádání data z banky poslána. První bankou na síti v Česku byla ebanka (dnešní Raiffeisenbank), která jako jediná nezahajovala svou činnost pouze "klasicky pobočkově" s pozdějším přidáním internetového bankovnictví, ale zaměřila se na internet a další přímé kanály EB již při založení banky. To bylo také hlavní lákadlo pro náročné klienty. Před několika lety nebylo ještě ani ve světě internetové bankovnictví běžným standardem, ale bylo možno předpokládat, že dojde k obrovskému rozmachu. Dalo se počítat s tím, že přístup k účtům po síti začnou nabízet i další české banky. - 11 -
Počet klientů využívajících elektronického bankovnictví v posledních letech strmě roste, v souvislosti s dostupnějším, rychlejším a levnějším internetem se z kanálů přímého bankovnictví stále více prosazuje internetbanking, jak vidíme na grafu níže. Obrázek č. 1: Nejužívanější kanály přímého bankovnictví od roku 2003 do roku 2006 Zdroj: http://www.csob.cz/webcsob/csob/servis-pro-media/pb_csob_elb_vysledky_studie_nms.pdf [Dostupné dne 20. 2. 2009] Mezi rizika internetbankingu patří nebezpečí plynoucí z připojení počítače k internetu, a také plná závislost na funkčním internetu. V případě delšího a rozsáhlého výpadku sítě internet by podniky nemohly provádět platební styk, občané nedostali platby, a celý systém by se nejspíše provizorně vrátil k původním formám, jako papírový příkaz k úhradě. - 12 -
1.1 Druhy přímého bankovnictví Zájemce o přímé bankovnictví má na výběr několik možností. Jednak je to ovládání účtu běžným telefonem, kdy klient komunikuje s živým operátorem či hlasovým automatem. V tomto případě lze samozřejmě využít i mobilní telefon. Souhrnně se tento produkt nazývá Phonebanking. Jinou aktivní službou je GSM banking, kdy majitel účtu pomocí speciálních SMS 1 zpráv či přímo v menu svého mobilního přístroje zadává platební příkazy. Pro většinu klientů je jistě nejpohodlnější variantou internetbanking, kdy celá komunikace s bankou probíhá přes počítač napojený na internet. Výhodou této služby je rychlost, široká škála prováděných operací a větší přehled o pohybech na účtu, kdy si klient přímo na monitoru svého počítače může zobrazit historii transakcí se všemi podrobnostmi. Pro jakou variantu se nakonec klient rozhodne, závisí jednak na jeho preferencích, ale také na konkrétní nabídce bankovního domu. 1.1.1 Phonebanking Phonebanking je bankovní služba umožňující spojení klienta s bankou prostřednictvím telefonu. Ve své pasivní formě umožňuje získávat informace od banky, aktivní forma dává možnost zadávat i platební příkazy. Rozlišuje se phonebanking s automatem, kdy klient prostřednictvím telefonu komunikuje s automatickým hlasovým systémem banky a phonebanking s operátorem, kdy klient komunikuje s operátorem (telefonním bankéřem). Služby využívající hlasových automatů většinou nabízejí omezený rozsah služeb, jsou však k dispozici nepřetržitě. Telefonní bankéři mívají v některých bankách omezenou pracovní dobu, ve zbývajícím čase bývají nahrazováni automatem. 1 SMS z anglického Short Message System (systém krátkých textových zpráv). - 13 -
1.1.2 Homebanking Homebanking je bankovní služba umožňující komunikaci mezi bankou a klientem prostřednictvím propojení osobního počítače klienta vybaveného speciálním softwarem s počítačem banky. Umožňuje jak získávání informací od banky, tak i aktivní provádění platebních, depozitních i úvěrových operací. Aplikaci lze provázat s účetnictvím klienta. Nevýhodou je vázanost na jeden konkrétní počítač s nainstalovanou bankovní aplikací. 1.1.3 Internetbanking Internetbanking je bankovní služba umožňující komunikaci klienta s bankou prostřednictvím kteréhokoliv počítače připojeného na internet. Klient nepotřebuje žádný speciální software, stačí mu běžný prohlížeč, pomocí kterého si otevře webové stránky banky, kde vstoupí (po zadání uživatelského jména, hesla, případně elektronického klíče) do své internetové banky. Klient může stejně, jako kdyby byl přítomen v pobočce, zjišťovat zůstatky, historii účtu, zadávat příkazy k úhradě, inkasu, k měnové konverzi, zakládat termínované či spořící účty a využívat dalších služeb nabízených bankou. 1.1.4 GSM banking GSM banking je bankovní služba umožňující komunikaci klienta s bankou prostřednictvím mobilního telefonu podporujícího technologii SIM 1 Toolkit. Klient musí mít ve svém mobilním telefonu vloženou SIM kartu s nahranou bankovní aplikací, která umožňuje komunikovat s bankou. Některé banky nabízejí GSM banking ve formě tzv. SMS banking prostřednictvím krátkých textových zpráv - SMS zprávy (i pro telefony bez technologie SIM Toolkit). GSM banking klientovi umožňuje získávat nejrůznější informace o účtech, provádět vybrané bankovní transakce a využívat další bankovní služby, rozsah služeb se liší dle jednotlivých bank. Při přihlašování pomocí telefonu slouží BPIN bankovní PIN. Odesílané zprávy jsou zašifrovány šifrovacími klíči, uloženými na každé SIM kartě a rozšifrovány jsou na straně banky. Použití těchto šifrovacích klíčů je možné pouze po zadání BPIN. Obdobně funguje i komunikace opačná, tj. z banky ke klientovi. 1 SIM z anglického Subscriber Identity Module (účastnický identifikační modul). - 14 -
1.1.5 WAP banking WAP banking je jeden z komunikačních kanálů pro spojení s bankovním účtem. Klient potřebuje mobilní telefon podporující službu WAP (Wireless Application Protocol). Telefony s touto službou nabízejí všichni provozovatelé mobilních sítí v ČR. WAP banking umožňuje získávat aktuální informace o kurzech měn, úrokových sazbách, zůstatcích, pohybech na účtech, zadávat platební příkazy, zakládat termínované účty a využívat dalších služeb nabízených bankou. Pro přístup do WAP bankingu se musí zadat kód, který je vygenerován autentizačním kalkulátorem, nebo kód, který klientovi přijde od banky na jeho mobilní telefon. 1.1.6 PDA banking Jednou z novinek v oblasti přímého bankovnictví je zavedení služby PDA 1 banking. Uživatelé kapesních počítačů PDA, mezi které patří také mnoho manažerů velkých firem, dostanou konečně šanci obsluhovat osobní, případně firemní účty pomocí svého PDA počítače. Přihlašování do systému probíhá stejně jako u klasické internetové verze přes klientské číslo a přístupový kód, který si vygenerujete osobním elektronickým klíčem (tzv. kalkulačkou) anebo je Vám zaslán na mobilní telefon. Internetový klíč není podporován, protože by vyžadoval instalaci dalších knihovniček. Samotné surfování po účtu je však značně odlišné. Je totiž založeno na autentizaci každé stránky, na kterou vstoupíte. To znamená, že nestačí jedno přihlášení do systému pro brouzdání po účtu, ale je nutné před každou novou stránkou zadávat vstupní údaje. Toto výrazné omezení komfortu klienta bylo jediným možným řešením, jak zajistit kompatibilitu pro všechny typy kapesních počítačů zařízeními (Pocket PC, Palm, Psion, Nokia, atd.) bez nutnosti dalších instalací. 1 PDA z anglického Personal Digital Asistent (jedná se o osobní kapesní počítač). - 15 -
1.1.7 JAVA banking JAVA banking je jeden z nejnovějších kanálů přímého bankovnictví. Klient komunikuje s bankou pomocí mobilního telefonu, do kterého je nahrána JAVA aplikace. Bankovní JAVA aplikace komunikuje s bankou v online režimu a klient ovládá telefon pomocí displeje a klávesnice uživatelské prostředí se tak velmi blíží klasickému internetbankingu, s tou výhodou, že klient má telefon stále u sebe a operace jsou díky grafickému zobrazení na displeji přehlednější než u GSM bankingu. Bankovní JAVA aplikace vyžaduje takový typ mobilního telefonu, který podporuje technologii JAVA. Příkladem JAVA bankingu je Mobilní banka od Komerční banky. Instalace Mobilní banky se provádí pomocí nastavovací SMS zprávy, kterou zasílá pracovník infolinky na Váš mobilní telefon. Je nutné vlastnit typ telefonu, který podporuje technologii JAVA, má aktivované datové přenosy a dostatek volné paměti pro stažení aplikace. Kompatibilní telefon musí mít také displej s dostatečným rozlišením, což splňuje naprostá většina novějších mobilních telefonů. JAVA banking je velmi zajímavá služba, která se podle mě bude v budoucnu vedle internetbankingu úspěšně rozvíjet. 1.1.8 VIDEO banking Co je to VIDEO banking? Jedná se o poslední novinku, kterou v České republice zkušebně testovala Československá obchodní banka. Videobankéř v podání ČSOB vychází z dnes již běžných videokonferencí či videohovorů. U jednoho počítače vybaveného webovou kamerou sedí klient, u druhého bankéř. Jejich komunikace probíhá jako standardní videotelefonní hovor. Videobankéř byl zatím spuštěn pouze v pilotním (testovacím) provozu po dobu tří měsíců a jeho služby byly zaměřeny především na hypoteční úvěry. Videobanking zatím neměl očekávaný úspěch, a byl proto po třech měsících pilotního provozu prozatím zrušen. Jan Lamser, člen představenstva Československé obchodní banky zodpovědný za projekty přímého bankovnictví, předběžně hovoří o využití videobankingu v nemocnicích, ústavech dlouhodobě nemocných a pro handicapované občany. 1 1 http://www.mesec.cz/clanky/videobanker-budoucnost-ceskeho-bankovnictvi/ - 16 -
"Ve výhledu by bylo možné uvažovat i o připojení odkudkoliv z počítače s webovou kamerou a ozvučením. To by mohli využívat například handicapovaní, kteří nemohou vyjít z domu," říká Lamser. Videobankéři nejsou ve světě bank úplnou novinkou. Před pár lety je zkoušeli například ve Velké Británii, ale kvůli technickým problémům - docházelo k nekvalitnímu souběžnému přenosu obrazu i zvuku - od nich banky ustoupily. Podle bankovních expertů je ale některé banky v USA a například ve Španělsku mají. 1 Už po roce 2010 budou existovat banky, které klientům umožní využívat všech výhod přímého bankovnictví, ale neztratí s nimi přitom "osobní kontakt". Videobankéř bude po ruce v mobilu, přes internet nebo v bankovním videocentru, které nahradí klasickou pobočku. Nebude mít polední pauzu, poskytne informace, poradí i prodá produkty. Chris Skinner představil videobankovnictví jako nedalekou budoucnost drobného bankovnictví na mezinárodní konferenci Retail Banking in Europe 2007, jejímž cílem bylo prezentovat nové modely vývoje retailových bankovních služeb. Skinnerova vize vyvolala mezi konzervativními bankéři velký rozruch. Možná je však přece jen přiměje k zamyšlení. Její autor totiž není jen tak nějaký snílek. Napsal několik odborných publikací a předsedá Financial Services Club, sdružujícímu odborníky, kteří se zabývají podobnými prognózami, jako je jeho projekt videobankovnictví. 2 Podle mého názoru je videobankovnictví zajímavou službou, obzvláště v dnešní době, kdy se všechny banky snaží snížit náklady tradiční pobočkové sítě na minimum a zároveň zavést mnoho nových produktů jako investiční poradenství, nové druhy půjček, které vyžadují konzultaci s kvalifikovanými a drahými odborníky, kteří nejsou běžně k dispozici na všech regionálních pobočkách banky. V regionálních pobočkách, špatně dostupných nebo málo obydlených oblastech mohou vzniknout videoterminály, přes které se klienti spojí pomocí videobankingu s osobním bankéřem, expertem na danou problematiku, se kterým vyřeší vše potřebné. Vlastní smlouvu pak může klient uzavřít v regionální pobočce, ve které je umístěn videoterminál, případně dojet a podepsat již předem dojednanou smlouvu do nejbližší pobočky nebo vše vyřešit pomocí pošty, v budoucnu jistě nebude problémem uzavřít smlouvu také pomocí elektronického podpisu. 1 http://hn.ihned.cz/c1-18963330-csob-nasadi-videobankere/ 2 http://www.bankovnipoplatky.com/o-bankach/vetsina-velkych-bank-v-evrope-sazi-na-pobocky-a-osobniporadenstvi-jak-dlouho-s-tim-vystaci-748/ - 17 -
1.2 Ukázky elektronického bankovnictví ČSOB Internetbanking 24 Po načtení úvodní stránky služby ČSOB Internetbanking 24 je nutné se přihlásit pomocí certifikátu nebo identifikačním číslem a kódem PIN. Obrázek č. 2: ČSOB Internetbanking 24 Přihlášení Zdroj: https://ib24.csob.cz/ [Dostupné dne 22. 2. 2009] Po úspěšné identifikaci se zobrazí nabídka, ve které je již možné dále vybírat pomocí myši jednotlivé volby, jako: Platební operace příkaz k úhradě, k inkasu, SIPO, převody Informace o účtu - zůstatek účtu, historie účtu, neprovedené příkazy k úhradě ČSOB Info 24 kurzovní lístek, informace o transakcích na účtech Servis obnova certifikátu, instalace obnoveného certifikátu, historie přihlášení Nápověda uživatelská příručka, nápověda, FAQ - 18 -
Obrázek č. 3: ČSOB Internetbanking 24 Přihlášení Zdroj: https://ib24.csob.cz/default.aspx [Dostupné dne 22. 2. 2009] ČSOB Mobil 24 Pro používání služby ČSOB Mobil 24 je zapotřebí mít ve svém mobilním telefonu bankovní kartu (viz kapitola 1.1.4 - GSM banking). Vše funguje na principu obrazovek a zaslaných SMS zpráv na Váš mobilní telefon. Přihlášení je realizováno zadáním BPUK (bankovní PUK, 1. přihlášení) a BPIN (bankovní PIN, další přihlášení) a potvrzení klávesou OK. (Ukázka - viz příloha č. 1 a 2). - 19 -
1.3 Identifikace a autentizace v rámci EB ČSOB ČSOB Linka 24 Při telefonátu na ČSOB Linku 24 je nejdříve nutné zadat: osmimístné identifikační číslo PIN - 5 číslic, které si klient může libovolně kdykoliv měnit přes automatické služby K dalším opatřením zvyšujícím bezpečnost ČSOB Linky 24 se řadí heslo, které obsahuje 6-10 alfanumerických znaků s rozlišením velkých a malých písmen, které si klient zadává v bance při aktivaci služby, heslo může být klientem měněno, ale pouze na pobočkách banky Při využití PIN kalkulátoru: KPIN - 4-8 místné číslo, zadává a mění si klient sám v PIN kalkulátoru Bezpečnostní kód - KPIN číselný řetězec vypočtený PIN kalkulátorem po zadání ČSOB Mobil 24 BPUK - 8 číslic dodaných bankou při aktivaci služby BPIN - 4-8 místné číslo, zadává a mění si klient sám na základě vložení BPUK - 20 -
ČSOB Homebanking Identifikace přístupovým certifikátem Autentizace probíhá za pomoci podpisového certifikátu daného uživatele s možností vždy zadávat uživatelské přístupové heslo ČSOB Internetbanking Přihlášení pomocí identifikačního čísla a kódu PIN umožňuje provádět pasivní operace (zjistit zůstatek na účtu, přehled transakcí) Přihlášení pomocí čipové karty s certifikátem klient vloží čipovou kartu do čtecího zařízení a stiskne tlačítko Přihlásit čipovou kartou a zadá PIN kód. Pokud chce klient provádět aktivní operace (např. příkaz k úhradě), musí zadat alfanumerický kód, který vygeneruje systém ČSOB a pošle na mobilní telefon klienta formou krátké textové zprávy. - 21 -
2 Bezpečnost internetového bankovnictví Správa účtů a zadávání příkazů prostřednictvím internetu se již stalo standardní službou, která má významné místo v portfoliu služeb všech významnějších bankovních ústavů. Její význam dále poroste, stejně jako celá oblast přímého bankovnictví. Data za poslední roky, kdy se podíl těchto služeb u všech velkých bankovních ústavů dramaticky zvyšoval, jsou dostatečně výmluvná. Proti jasným výhodám (úspora času pro zákazníka a nákladů pro banku, přístup 24 hodin denně) však stojí i nevýhody a rizika. Mezi nimi je na čelním místě otázka bezpečnosti a s tím související udržení důvěry zákazníků. Právě otázka možného zneužití internetového bankovnictví je totiž jedním z témat, které jeho zavádění provází od samého začátku, přinejmenším v očích široké veřejnosti. Jsou moje peníze skutečně v bezpečí? Nemůže se stát, že se šikovný hacker 1 přihlásí mým jménem a zmocní se mých úspor? Nemohou se příkazy zadané přes internet někde ztratit? Seznam otázek by mohl dlouho pokračovat. V každém případě by se zcela jistě případné více rozšířené zneužití některého kanálu přímého bankovnictví jistě setkalo se širokým ohlasem a pozorností médií a mělo by za následek významnou ztrátu důvěry a ochoty klientů přímé bankovnictví využívat. To by nepochybně postihlo konkrétní bankovní ústav a dost možná i ovlivnilo rozvoj celého odvětví. Na tom nemůže nic změnit ani skutečnost, že rizika nejsou objektivně vyšší než při fyzickém styku a prokazování se papírovými dokumenty. Už jen proto, že občanský průkaz není chráněn žádným heslem ani PIN a není možné ho on-line zablokovat. Především u starší populace stále existuje určitá nedůvěra k elektronickým kanálům a její rozptýlení a zvýšení důvěryhodnosti potrvá jistou dobu. Proto je nutné věnovat bezpečnosti maximální pozornost a vyhnout se jakýmkoli negativním zkušenostem a hodnocení ze strany klientů. 1 hacker - je člověk, který se vyžívá v bádání po detailech programových systémů a překračování jejich schopností (v tomto případě však jde spíše o hackera třídy Blackhat - nabourávají se do systému se špatným úmyslem, většinou za účelem obohatit se) - 22 -
2.1 Analýza základních způsobů zabezpečení EB V následujících kapitolách se podíváme na základní používané metody zabezpečení internetového bankovnictví, rozdělené do tří skupin. 2.1.1 Zabezpečení pomocí hesel Je pro uživatele nejjednodušší, ale nejméně bezpečné. Každému, kdo zná heslo, je připsána identita právoplatného účastníka transakce. Rizika lze omezit vhodným výběrem hesla (slovo, které není ve slovníku), jeho délkou a pravidelnou změnou. Tuto metodu osobně považuji za nebezpečný přežitek heslo se dá snadno odpozorovat, nebo zjistit pomocí programů typu KEYLOGGER, které zaznamenávají všechny stisknuté znaky na klávesnici do textového souboru. Proto je tato metoda vhodná pouze pro pasivní přístup k informacím (zjištění zůstatku účtu, přehled provedených transakcí). Bezpečnost této metody může být zvýšena pomocí dalších prvků. Od klienta se vyžaduje kombinace různých znalostí (ID, heslo, adresa), při každém kontaktu je vyžadována jiná část hesla nebo jiná znalost (například první cifra PIN, poslední trojčíslí telefonu, součet dvou cifer PSČ). Ani přes tato vylepšení však nelze metodu zabezpečení pomocí hesel označit za vyhovující. 2.1.2 Zabezpečení pomocí elektronických klíčů Mnohem bezpečnější cestou je použití elektronických klíčů, které generují posloupnosti jednorázově použitelných autorizačních kódů. Praktické použití pak nejčastěji vypadá tak, že každou významnější operaci (přihlášení do systému, platební příkaz) klient stvrzuje zadáním nového jednorázového hesla, které mu vygeneruje jeho elektronický klíč. Tím se zajistí současně identifikace (prohlášení klienta o totožnosti) a autentizace (výsledek procesu ověření této totožnosti). Bezpečnost této metody může být zvýšena tak, že generované heslo je závislé na parametrech realizované transakce. Zákazník tedy musí do kalkulátoru zadat údaje o příkazu (typ transakce, číslo cílového účtu, variabilní symbol), což je složitější z hlediska obsluhy, ale zvyšuje se tak celková bezpečnost komunikace, protože je zajištěna integrita dat. Elektronický klíč může mít podobu "klasického" kalkulátoru (fyzický přístroj generující kódy), ale může být implementován - 23 -