facebook LinkedIN LinkedIN - follow
IT SYSTEMS 3/2017 , Banky a finanční organizace , IT Security

(Ne)bezpečnost internetového bankovnictví v ČR

Jan Kopřiva


Alef NulaVzhledem k vysoce citlivé povaze dat přenášených při komunikaci s portály internetového bankovnictví po síti je pro jejich ochranu zásadní korektní nastavení všech bezpečnostních mechanismů užívaných na straně serveru. Dalo by se tedy očekávat, že nastavení kryptografických protokolů bude věnována maximální pozornost a jejich konfigurace bude vždy odpovídat standardům, které by se daly označit za best practice. Ne vždy tomu tak ale je, což dokazují nejen průzkumy zabezpečení portálů internetového bankovnictví v zahraničí, ale také analýza provedená specialisty společnosti Alef Nula na českém trhu.


Kryptografické protokoly Secure Sockets Layer a Transport Layer Security (SSL/TLS) jsou již mnoho let základním mechanismem užívaným pro šifrování webového provozu. Používání vyšších verzí TLS a jeho vhodné nakonfigurování je v současnosti nezbytným předpokladem pro zajištění důvěrnosti komunikace mezi klientským počítačem a webovým serverem. Jednou z oblastí, kde je zajištění vysoké úrovně důvěrnosti vysloveně nutné, je internetové bankovnictví. Přestože uvedené protokoly nejsou jediným mechanismem, který je k tomuto účelu v oblasti e-bankingu užíván, jsou bezpochyby pomyslným základním kamenem jeho ochrany.

Bezpečnostní rating

Začátkem roku 2016 publikovala společnost Xiphos Research výsledky testu, v rámci něhož zkoumala konfiguraci SSL/TLS na serverech internetového bankovnictví britských bank, a jeho výsledky byly překvapivě špatné.

Jednotlivé SSL instance byly testovány nástrojem SSL Server Test a hodnoceny pomocí škály SSL Server Rating. Ta hodnotí bezpečnost nastavení SSL/TLS na stupnici A (velmi vysoká bezpečnost) až F (konfigurace vykazující závažné nedostatky a zranitelnosti). U nejlepšího hodnocení A rozlišuje ještě úroveň A+, jíž jsou hodnoceny servery, které implementují na úrovni SSL některá nadstandardní opatření, a A–, znamenající, že v zabezpečení SSL protokolu byly objeveny jen méně závažné nedostatky.

Mezi hodnocené parametry patří vlastnosti certifikátů, podpora protokolů, parametry výměny šifrovacích klíčů a síla podporovaných šifer. Obecně lze říci, že hodnocení stupněm A (případně A+ nebo A–) znamená, že konfigurace SSL na daném serveru plně odpovídá zmiňovaným best practice standardům. 

ALEF


Problémy v Británii

Xiphos Research v rámci svého průzkumu otestovala 84 bank působících na britském trhu a zjistila, že nedostatečně zabezpečený server internetového bankovnictví měla polovina z 59 bank a finančních institucí. Stejně dopadlo i 79 procent serverů užívaných 25 bankami působícími ve Spojeném království, ale majícími zahraniční vlastníky. V osmi případech byla SSL instance zranitelná útokem Poodle, který byl popsán bezpečnostním týmem Google již v říjnu 2014 a potenciálně umožňoval útočníkovi dostat k dešifrované části obsahu SSL relace mezi klientem a serverem. Ukázalo se také, že banky často využívaly zastaralé verze šifer nebo slabé šifrovací klíče.

Situace v ČR

V reakci na tyto výsledky provedl bezpečnostní tým ALEF CSIRT obdobný test v českém prostředí. Je vhodné poznamenat, že nešlo o první průzkum tohoto typu v ČR – v letech 2015 a 2016 podobný test pravidelně realizoval také specialista na bezpečnost webových aplikací Michal Špaček. České banky (resp. banky užívající pro servery internetového bankovnictví adresy v doméně .CZ) dopadly v testu o poznání lépe.

Více než dvě třetiny z 33 serverů 30 testovaných bank získaly hodnocení stupněm A. U deseti z nich byly nalezeny drobné bezpečnostní nedostatky, takže byly ohodnoceny stupněm A–, naopak čtyři získaly nejvyšší hodnocení A+. U 11 serverů pak byly zjištěny různě závažné slabiny a/nebo konfigurační nedostatky SSL. Reálně využitelné zranitelnosti, které představovaly citelnou hrozbu pro chráněnou komunikaci mezi klientem a bankou, vykazovaly pouze dva ze zkoumaných serverů. Bankovní instituce s nedostatečně zabezpečenými servery byly po provedení testu na jeho výsledky upozorněny a téměř všechny z nich oznámené nedostatky v brzkém čase napravily. 

ALEF


Opakování matka bezpečnosti

Vzhledem k tomu, že banky a jejich klienti jsou stále častějšími cíli kybernetických útoků a v některých mechanismech užívaných v SSL/TLS byly v uplynulém roce objeveny nové slabiny či zranitelnosti, zopakoval ALEF CSIRT popsaný neinvazivní test v průběhu února tohoto roku. Testovány byly servery 28 finančních institucí poskytujících služby internetového bankovnictví.

Výsledky nového testu byly převážně pozitivní, ne však ve všech případech. Jak již bylo uvedeno, hodnocení dle škály SSL Server Rating je založeno na porovnání konfigurace SSL/TLS instance s jakýmsi best practice standardem. S ohledem na zmíněné nově objevené zranitelnosti a další faktory dochází v současnosti ke změně tohoto standardu. Některé bezpečnostní prvky, které byly dříve považovány za dostačující, jsou nyní vnímány jako potenciálně nebezpečné. V rámci testu bylo pro porovnatelnost výsledků s loňským testem určeno jak hodnocení dle starého, tak dle nového standardu, který je v jistých ohledech náročnější.

Aktuální stav

Porovnání současného stavu se stavem loňským vyznívá, jak bylo uvedeno, pozitivně. Zatímco v minulém testu byly servery třetiny (deseti) bank hodnoceny stupněm B či nižším (viz graf 2016), v testu současném byly takto hodnoceny pouze servery 3 bank (cca 11 % z celkového počtu – viz graf 2017). Všechny z nich byly navíc hodnoceny stupněm B a horší „známka“ se tak v letošním testu – alespoň při hodnocení dle starého standardu – neobjevila. Mezi zjištěnými nedostatky byly podpora zastaralých šifer RC4 a DES a slabiny v konfiguraci Diffie Hellmanova algoritmu výměny klíčů (užití prvočísel s délkou menší či rovnou 1024 bitů).

Ze zbývajících 25 serverů internetového bankovnictví bylo 11 hodnoceno stupněm A, 9 získalo klasifikaci A+ a 5 klasifikaci A– (ve všech případech v důsledku chybějící podpory Forward Secrecy).

Nový pohled

Výsledky hodnocení stejných serverů dle nového standardu, který penalizuje užívání některých šifer (3DES, IDEA) s TLS 1.1 či 1.2 a některé další parametry, byly stále lepší, než výsledky z roku 2016, objevila se však i hodnocení stupni C (v pěti případech) a F (v jednom případě). Porovnání letošních výsledků dle obou standardů obsahuje následující graf. Stupněm C byly hodnoceny servery s nevhodně nakonfigurovanou podporou šifry 3DES, stupněm F pak server podporující obdobným způsobem šifru DES.

Obecně lze říci, že trend zvyšování zabezpečení je z porovnání loňských a letošních výsledků jasně patrný. Ani v jednom případě také nebyl zjištěn tak citelný problém, který by znamenal zranitelnost komunikace každého klienta se serverem zajišťujícím služby internetového bankovnictví. Ani nové výsledky však nelze považovat za zcela uspokojivé. Bylo by žádoucí, aby v tak citlivé oblasti, jakou je internetové bankovnictví, byl ve všech případech zajištěn soulad se stavem, který je obecně považován za best practice. V současnosti totiž teoreticky stále existují potenciálně realizovatelné útoky na komunikaci určitých klientů s některými servery. Nelze tedy než doufat, že zmíněný trend zvyšování úrovně bezpečnosti bude i nadále pokračovat.

Jan Kopřiva Jan Kopřiva
Autor článku působí ve společnosti Alef Nula, kde vede tým pro řešení kybernetických bezpečnostních incidentů ALEF CSIRT. Je autorem řady článků věnujících se problematice IT a bezpečnosti a pravidelně přednáší na odborných konferencích. Bezpečnost informačních a telekomunikačních technologií vystudoval na ČVUT v Praze.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.