Je naš denar varen?
Da je (in vedno bo) poslovanje po internetu potencialno nevarnejše od običajnega poslovanja, je verjetno jasno vsakemu nekoliko bolj podkovanemu računalnikarju. Kljub temu, da so podatki bolj ali manj zmogljivo šifrirani (danes večinoma 128 bitno), še vedno tečejo mimo množice računalnikov in njihovih bolj ali manj >>zlobnih<< lastnikov. Kljub temu se je uveljavilo prepričanje, da je z digitalnimi certifikati, pametnimi karticami in varnim prenosom SSL (oz. HTTPS, kot je to vidno v naslovni vrstici internetnih brskalnikov) za varnost dovolj poskrbljeno, da je sistem uporaben celo za bančne transakcije. Na uporabnikov računalnik (ali na pametno kartico) je treba namestiti certifikat, ki potrjuje, da storitev dejansko uporablja, ki naj ima dostop do banke, pri prijavi pa je treba vpisati še dodatno geslo. Šele po vsem tem se v brskalniku odpre vse potrebno za delo z bančnim računom, nadaljnja komunikacija z banko pa je šifirana.
Pa vendar se lahko sistem hitro podre, če nekdo na uporabnikov računalnik namesti dovolj pametnega trojanskega konja. Ravno te dni razsaja takšen (Bugbear), ki beleži vse pritisnjene tipke (kar pomeni tudi geslo) in zabeležene podatke na ukaz sporoči avtorju >>trojanca<<. Res, ustrezen protivirusni program nas bo tega trojanskega konja obvaroval, ustrezen požarni zid pa bo preprečil njegovo javljanje v svet. Kaj pa če je trojanec še bolj zvit in samostojen in posebej napisan samo za vdor v elektronske bančne sisteme?
Najprej bolezen...
Natančno takega trojanskega konja je napisal Kranjčan Robert Škulj (oz. njegov programerski prijatelj, vendar o tem kasneje) in sicer po njegovih besedah zato, da je Novi Ljubljanski Banki dokazal, da je vdor v uporabnikov račun mogoč in jim nato v prodajo ponudil zaščito proti takim in podobnim trojanskim konjem. Programček je majhen in se ga lahko uporabnik >>naleze<< na mnogo načinov, morda še najtežje prek priponke v elektronskem sporočilu, čemur verjetno res nasedajo le še redki. Trojanskega konja se da pripeti raznim preizkusnim programom, datotekam, ki si jih uporabniki izmenjujejo prek Kazaa, nenazadnje tudi raznim spletnim javanskim programom (sicer ne ravno na legalen način), ki jih v zadnjem času vse pogosteje poganjamo na sumljivih spletnih straneh (spomnimo se samo nekaj časa priljubljenih virtualnih streljanj hrvaških in slovenskih ribiških ladij...). Teoretično naj bi trojanske konje sicer >>pobili<< protivirusni programi, toda to velja le za tiste nadloge, ki so v svetu res široko razširjeni. Robert nam je zatrdil, da je pred časom enega manj znanega trojanskega konja ponudil v obdelavo podjetju Symantec, pa je trajalo več kot dva meseca, da so ga obdelali in njegov opis dodali v Norton Antivirus...
Ko je torej računalnik okužen, je dotični trojanski konj prepuščen sam sebi in z avtorjem nima nobenih stikov, kar pomeni, da tudi zaščita v obliki požarnega zidu, ki bi preprečil javljanje v svet, ne deluje. Kaj bo naredil in kdaj bo naredil je zakodirano kar v samem programu oz. v registru računalnika. Različica, ki nam jo je avtor prikazal v živo deluje tako, da se sproži takoj ko se uporabnik prijavi v Klik (pa naj bo to s pomočjo pametne kartice ali brez nje). Takrat se Internet Explorer (zadnja različica 6.0, z vsemi popravki) zapre, nadzor nad povezavo SSL pa prevzame trojanski konj. V prikazanem primeru je iz odprtega računa na nek račun, ki je bil zapisan v register nakazal nekaj denarja (trojanski konj bi lahko bil tudi toliko pameten, da bi se sprožil le pri >>bogataših<<, kjer bi lahko naredil več škode). Medtem bi dejansko napadeni uporabnik verjetno le skomignil z rameni češ >>ah, brskalnik se je pač spet sesul<< in kar nekaj časa dogodka morda sploh ne bi registriral. Ob tem preizkusu sta bila oba računa avtorjeva, toda kar pomislite, da bi vam na tak skrivnosten način izginevali milijoni! Da o tem, koliko energije bi porabili, da bi banko prepričali, da omenjene milijonske transakcije RES niste opravili sami niti ne govorimo. Le kako bi vam verjeli, ko pa je transakcija nedvomno potekala ob uporabi VAŠEGA certifikata in VAŠEGA gesla! Dokazati bi se dalo celo da je v procesu sodelovala vaše številka IP in posledično vaš telefonski priključek!
No, nazadnje bi račun na katerega se sumljivo nakazujejo težki denarji, izsledili, toda z nekaj truda se da račune odpreti tudi z lažnimi dokumenti, čeprav je to že tematika, ki presega smisel tega pisanja.
...potem pa še rešitev zanjo
Kot rečeno se je celotna zgodba začela, ko sta se prijatelja (programer, ki se še posebej sedaj iz razumljivih razlogov raje drži v anonimnosti) in Robert Škulj (sicer gumarski tehnik, zaposlen kot varnostnik na ministrstvu za obrambo, ki pa mu računalniška spretnost tudi izredno leži) odločila bankam prodati rešitev za trojanca, ki dokazano zmore prazniti račune občanov. po Robertovih besedah sta avtorja oba, čeravno javno nastopa le on. Hkrati z nastopom pri bankah je Robert na Uradu za intelektualno lastnino sprožil postopek za pridobitev patenta za predlagano rešitev, vloga pa vsebuje tudi natančen opis delovanja samega trojanskega konja.
Rešitev naj bi temeljila na programsko/strojni zaščiti oz. na >>drugačnem delu s certifikati na pametni kartici<< kot nam je kriptično opisal Robert. Več ni hotel (ali pa znal) povedati. Kakorkoli že, Robert se je z informatiki NLB pet mesecev pogajal o prodaji zaščitnega dodatka, pri čemer naj bi sami bančniki zahtevali, da je predmet prodaje tudi opisani trojanski konj (kar je pravzaprav logično). Po Robertovih besedah se jim je sicer na začetku >>kar zvrtelo<< od zahtevane vsote 500.000 Eurov, ki jo je postavil, vendar so se kasneje še vedno pogajali naprej. Proti koncu pa naj bi bančniki začeli govoriti o tem, da jih izsiljuje, kar sam delno priznava s stavkom >>da bo obvestil javnost in medije, če ne posodobijo varnosti v elektronskem bančništvu<<.
Vse se je končalo v prvem tednu oktobra, ko so Roberta pri izhodu iz poslopja NLB prijeli trije kriminalisti, ga vklenili in aretirali. Na policijski postaji naj bi mu povedali, da so ga aretirali zaradi izsiljevanja, ga zasliševali o samem delovanju trojanskega konja nato pa so ga pospremili domov, kjer jim je moral izročiti >>edina dva izvoda programa vključno z edino izvorno kodo<<. Po besedah policije naj bi vse to rabili zaradi priprave morebitne ovadbe, katere pa niso vložili. Roberta so namreč po triurnem pridržanju izpustili.
Robert pravi, da bo z odvetnikom proti NLB vložil tožbo za 80 milijonov tolarjev zaradi odvzema avtorskega dela, ki jim ga je najprej hotel prodati. Glede na to, da je avtorsko delo zaplenila Policija in ne NLB, je možnost pozitivne rešitve tožbe verjetno majhna.
Pravi še da ima v banki sedaj velike težave njegova partnerka, ki je sicer uslužbenka na >>šalterju<< (za začetek naj bi ji ukinili račun Klik in jo premestili na nižje delovno mesto), medtem ko se je pogovor pri Obveščevalno varnostni službi (kot rečeno je Robert v službi v MORS) nasprotno končal z namigovanji ali morda potrebuje novo službo pri njih.
In epilog?
100% varnih komunikacij seveda ni in to je sedaj še bolj jasno. Pri NLB pravijo, da je za varnost dovolj poskrbljeno šele, ko zanjo poskrbi tudi končni uporabnik (se torej ubrani trojanskih konjev), kar je seveda res. Če je verjeti Robertu pa je res tudi to, da bi se razkrite pomanjkljivosti dale pokrpati že pred petimi meseci, vendar pri NLB tega niso storili. Ali tega niso storili zaradi previsoke zahtevane vsote ali zato ker je avtor popravka 27 letni mladenič in ne priznano varnostno podjetje (ki bi 500.000 EUR lažje prikazalo kot nujni strošek posodobitve), ni pomembno.
Nenazadnje pa je treba opozoriti, da na podobnem (ali še manj varnem) načelu delujejo bolj ali manj vse naše (in verjetno tudi tuje) elektronske banke, kar pomeni, da so potencialno ogrožene vse. Ali bolje - ogroženi smo njihovi komitenti, saj se banke z dolgo pravno >>solato<< na prijavnih straneh v svoje elektronske poslovalnice ograjujejo od vsake tovrstne odgovornosti...
Za konec še komentar na uradno pojasnilo Zaslona, podjetja, ki je za NLB izdelalo Klik. Zagotavljanje da je Klik varen in da je zloraba možna samo s klasičnim kriminalnim dejanjem je smešna, saj navsezadnje tudi ključavnice na vratih kupujemo le zaradi obrambe pred kriminalnimi dejanji. Zaključno poudarjanje, da se lahko uporabniki >>odločijo tudi za dodatno stopnjo zaščite z uporabo pametne kartice<< pa sploh ni na mestu. Trojanski konj namreč čisto lepo deluje tudi če uporabnik uporablja kartico (vsaj mi smo ga videli delovati na ta način). Še več - >>luknja<< sploh ni stvar zmogljivega ali nezmogljivega šifriranja, ampak dejstva, da lahko nek program prevzame nadzor nad Internet Explorerjem.