U FOKUSU
Nokdaun za srpsko pitanje » STATUS KOSMETA I MEĐUNARODNI SUD PRAVDE Nokdaun za srpsko pitanje Iako se Međunarodni sud pravde nije bavio suštinom pitanja – legalnošću secesije dela srpske teritorije – čime j...
Kosovski kolaps » Da smo dotakli dno, najbolje govore reakcije – umivene, kontrolisane, neiskrene, podaničke, glupe. Inteligencija ćuti, crkva je izgubila kompas, politička elita je u kolapsu, narod...
Toma mrsi Borisu konce » NAPREDNJACI U BRISELU Toma mrsi Borisu konce Nikolić i Vučić rekli su komesaru za proširenje Evropske unije, Štefanu Fileu, „da promena vlasti u Srbiji neće biti problem za EU i ...
Vlast u Beogradu zamajava javnost » INTERVJU: AZEM VLASI, DUGOGODIŠNJI PRIŠTINSKI FUNKCIONER Vlast u Beogradu zamajava javnost „Ako se u Beogradu misli da Srbija ima istorijsko pravo nad Kosovom, mi imamo to pravo ...
Ne zadovoljavamo evropske standarde » DR MARKO ERAK, UPRAVNIK KLINIKE ZA RADIOLOŠKU TERAPIJU  INSTITUTA ZA ONKOLOGIJU I RADIOLOGIJU VOJVODINE Ne zadovoljavamo  evropske  standarde “U odnosu na gravitirajuću populacij...
Ekstremizam pod plaštom humanosti » MUSLIMANSKE HUMANITARNE ORGANIZACIJE I FINANSIRANJE RATA NA BALKANU Ekstremizam pod plaštom humanosti Saudijska Arabija izdvaja stotine miliona funti za islamističke grupe na Bal...
Snimanje filmova u Srbiji » GORAN MARKOVIĆ, POZORIŠNI I FILMSKI REDITELJ I SCENARISTA Snimanje filmova u Srbiji - ponižavajuća aktivnost „Celokupna kinematografija, sve – projekti, dugometražni, kratkometra...
Haos u obaveštajnom prostoru » AMERIČKA REALNOST Haos u obaveštajnom prostoru Rezultati dvogodišnjeg istraživanja Washington Posta stavili su tačku na sve dileme o angažovanosti privatnih kompanija u obaveštaj...
Vetar u leđa separatizmu » POSLEDICE ODLUKE MEĐUNARODNOG SUDA PRAVDE U HAGU Vetar u leđa separatizmu Sigurno je da će se u budućnosti primer Kosova često koristiti kao argument u raspravama, bez obzira na ...
Pad nedemokratskog Zakona » USTAVNI SUD SRBIJE PROGLASIO NEUSTAVNIM DRAKONSKE KAZNE ZA MEDIJE Pad nedemokratskog Zakona Neustavnim ocenjene odredbe koje upis u registar javnih glasila dovode u vezu sa zabra...
Piše: Slavoljub Arsenijević    petak, 04 decembar 2009    PDF Štampa El. pošta

ZABRINJAVAJUĆA VEB SIGURNOST

Banke u Srbiji nisu bezbedne

Banke u Srbiji nisu bezbedneKonsultanti kompanije “Network Security Solutions” su za samo 10 minuta po banci na 22 veb prezentacije banaka koje posluju u  Srbiji pronašli čak 39 propusta koji mogu dovesti do toga da vešti hakeri, između ostalog, preuzmu  podatke, novac i identitet klijenata

U roku od nedelju dana tri puta sam, potpuno nezavisno jedno od drugog, dobio putokaze o čemu bi trebalo da pišem u ovom broju.  Prvo mi je stigao mejl od prijatelja u kome je bilo istraživanje:“Statistika bezbednosnih propusta veb prezentacija banaka u Srbiji”. Nekoliko dana kasnije pozvao me je drugi prijatelj sa pitanjm kako je moguće da mu je sa deviznog računa skinuto  90 evra u malom gradiću u Španiji, kada se on sa Visa karticom nije mrdnuo iz Novog Sada.  Setih se tada mejla s početka nedelje, da bi  stigao i treći signal, sada sa ovogodišnje “Sinergije”. Kolega koji je pratio taj skup posebno je pohvalio predavanje o bezbednosti veb prezentacija, stručnjaka beogradske kompanije “Network Security Solutions”, koje su  kao i prethodnih godina bile među  najposećenijim i najzanimljivijim.  Sva tri putokaza vodila su ka jednom čoveku, Dejanu Levaji, osnivaču i direktoru kompanije “Network Security Solutions”.

KAO ŠVAJCARSKI SIR

Ta kompanija je u cilju kreiranja statistike bezbednosti veb sajtova banaka u Srbiji testirala 34 veb prezentacije koje se mogu naći na lokaciji “Udruženje banaka Srbije”-  http://www.ubs-asb.com/s/Clanice.htm. Od 34 veb prezentacije, na samo osam nisu pronađeni sigurnosni propusti u toku testiranja koje je trajalo u proseku 10 minuta po jednom sajtu. Sve pronađene ranjivosti spadaju u top 10 bezbednosnih propusta po međunarodno priznatoj OWASP listi (http://www.owasp.org/ ).
Od 39 pronađenih propusta, 26 možemo smatrati kritičnim jer omogućavaju izvršavanje malicioznih napada koji direktno mogu naneti štetu korisnicima ili samoj veb prezentaciji.
Konsultanti “Network Security Solutions”-a ni u jednom trenutku nisu imali neovlašćen pristup serveru niti podacima - nisu testirane “E-banking” aplikacije, operativni sistemi servera, kao ni aktivna mrežna oprema. Korišćene su isključivo neinvazivne tehnike testiranja. Za svaku veb prezentaciju utrošeno je po 10 minuta. Tehnički detalji govore da su rezultati testiranja dobijeni korišćenjem uobičajnih metoda (posete veb prezentacija kroz veb čitač) i korišćenjem neinvazivnih test vrednosti za manipulisanje parametrima.

SRBIJA NEMA ADEKVATAN ZAKON
Situacija u okruženju daleko je bolja od naše. U većini zemalja postoji zakonska regulativa koja praktično primorava banke da zaštite svoje klijente na najbolji mogući način. Tako se, na primer, u Hrvatskoj i Sloveniji, primenjuju međunarodni standardi za informacionu bezbednost (ISO 27001/27002). Kod nas ne postoje ni navedeni zakoni, niti poštovanje standarda.

SVE JE DOSTUPNO

Banke u Srbiji nisu bezbednePronađeni propusti potencijalno omogućavaju široku lepezu napada kako na korisnike, tako i na sisteme testiranih banaka, i to od otkrivanja tehničkih detalja o informacionim sistemima banaka, lažnog predstavljanja i korišćenja servera za neautorizovano slanje imejl poruka korisnicima u ime banke, preko krađe identiteta i akreditiva za pristup aplikacijama za elektronsko bankarstvo, do direktnog pristupa poverljivim informacijama i računima korisnika, što može dovesti do krađe ličnih podataka i novca. Iako mnogi od tih napada podrazumevaju određene preduslove da bi bili uspešno izvedeni, iskustvo govori da strpljivi napadač pre ili kasnije uspe da ih stvori. Kompanija “Network Security Solutions” preporučuje poštovanje ISO/IEC 27001/27002 i PCI-DSS standarda kao osnove za uspostavljanje bezbednih informacionih sistema.
O samim propustima osnivači i direktor kompanije “Network Security Solutions” Dejan Lavaja za “Akter” kaže:
“OWASP (Open Web Application Security Project) jeste međunarodna organizacija koja svake godine izdaje listu top 10 ranjivosti veb aplikacija. Propusti pronađeni na veb prezentacijama banaka koje posluju u Srbiji kategorizovani su u odnosu na navedenu listu. Na toj listi nalaze se tehnički bezbednosni propusti koji hakerima mogu omogućiti neovlašćen pristup podacima firmi, podacima klijenata, omogućiti lažno predstavljanje sistemu u tuđe ime, slanje imejl poruka u tuđe ime i slično“.

Da li su ti propusti razlog za veliku brigu ili sumnju u bezbednost podataka klijenata banaka?
Navedeni propusti su razlog za brigu korisnika kao i razlog da korisnici upitaju svoje banke šta su one preduzele da ih zaštite. Postoje različite mere zaštite informacionih sistema. Sve banke koriste zaštitne barijere (firewalls), antiviruse i ostale dobro poznate mere. Međutim, veb prezentacije i veb aplikacije (npr. E-banking) moraju biti dostupne klijentima, a samim tim i hakerima. Propusti u veb aplikacijama mogu hakerima omogućiti zaobilaženje svih postojećih uređaja za zaštitu. Jedina efikasna odbrana od ovog rizika je proaktivno testiranje bezbednosti aplikacija izloženih internetu, pre nego što ih hakeri napadnu. Većina naših banaka nema praksu testiranja  sopstvenih sistema, što naša analiza upravo i pokazuje. Pokušaću da predstavim malo ilustrativnije ovaj problem: zamislite da proizvođač automobila napravi novi model od najkvalitetnijih materijala, primeni sve mere zaštite (ABS, ESP, vazdušne jastuke...), ali ne praktikuje test vožnje i EuroNCAP testove (http://www.euroncap.com/home.aspx). Naše banke u većini slučajeva ne praktikuju testiranje svojih sistema, što naša analiza i pokazuje.

Šta može biti posledica tih propusta?
Potencijalne posledice tih propusta mogu biti: neovlašćeni pristup ličnim podacima klijenata banke, neovlašćeni pristup finansijskim podacima klijenata banke, krađa akreditiva klijenata za pristup e-banking aplikaciji, krađa novca, krađa identiteta klijenata banaka, slanje spam imejl poruka u ime banke u cilju navođenja korisnika na otkrivanje, na primer, broja kreditne kartice i PIN koda…

Možete li klasifikaciju propusta objasniti  nekim primerom?
Banke u Srbiji nisu bezbedneNaravno, recimo, haker iskorišćava bezbednosni propust u e-banking aplikaciji i pristupa računu klijenta banke. Novac klijenta koristi za kupovinu robe u inostranstvu, koju šalje na adresu po sopstvenom izboru. Klijent plaća propust banke.
U drugom slučaju, haker otvara e-bank nalog u banci na lažnu ličnu kartu. Pristupa “svom” e-bank nalogu, a zatim koristi bezbednosni propust u e-bank veb aplikaciji da bi “preskočio” u tuđ nalog. Nakon toga može sa tuđim računom da radi sve što i njegov pravi vlasnik.  Takođe, moguće je da klijent dobija imejl od banke u kojem se reklamira beskamatni kredit za stan za prvih deset prijavljenih. Imejl adresa pošiljaoca odgovara adresi banke; žrtva klikom na link u imejlu otvara lažni veb sajt banke gde joj se čestita što je ušla u prvih deset i traži se da unese broj kreditne kartice i PIN kod. Žrtva je poverovala u verodostojnost poruke zato što je imejl zaista poslat sa veb sajta banke, ali nažalost, ne od strane zaposlenih u banci.

Šta mogu konkretno učiniti banke kako bi poboljšale bezbednost veb prezentacija?
Banke generalno padaju na tri polja koja treba drastično da poboljšaju: edukacija IT osoblja i svih zaposlenih po pitanju informacione bezbednosti (to se praktikuje možda u tri banke u Srbiji, ako i u toliko), testiranje bezbednosti sistema od strane spoljnih konsultanata (ovo se takođe primenjuje u možda tri banke u Srbiji) i formiranje internog odeljenja za IT bezbednost. Banke formalno imaju to odeljenje, ali osoba/osobe na tim pozicijama nisu prošle adekvatnu obuku. Mali broj banaka u Srbiji ima ozbiljan pristup ovome, koliko je meni poznato - samo dve.

UGLEDNI STRUČNJAK
Dejan Levaja, osnivač i direktor kompanije “Network Security Solutions”, kao jedan od svega 50 ljudi u svetu, i to četvrti put zaredom, nosi počasno zvanje “Majkrosoft” MVP (Enterprise Security). Njegovi radovi su objavljivani u stranim stručnim elektronskim glasilima, među kojima se izdvajaju “SecurityFocus”, “SlashDot”, CERT i drugi. Čest je predavač na domaćim i međunarodnim IT konferencijama, gde je više puta osvajao nagrade za najbolja predavanja. Sertifikovan je od strane vodećih IT kompanija, te između ostalih, poseduje i sledeće sertifikate: Cisco Information Security Specialist, Microsoft Certified System Engineer + Security, INFOSEC , kao i sertifikat o obučenosti za izvođenje testiranja bezbednosti sistema Certified Ethical Hacker. Čime se i na koji način se bavi vaša kompanija?
Naša kompanija se bavi projektovanjem, implementacijom i održavanjem bezbednosnih mehanizama, testiranjem bezbednosti sistema kao i istraživanjima u toj oblasti. Jedina smo firma u Srbiji koja se bavi isključivo IT bezbednošću. Imamo brojne inostrane reference, posebno na polju istraživanja bezbednosti sistema. Naši radovi su objavljivani na referentnim inostranim sajtovima, a softverski alati naše firme priznati su u svetu i koriste se na “BackTrack Linux” distribuciji koja je defakto svetski standard za alate koji se koriste u našem poslu. Jedina smo domaća firma koja ima alate u pomenutoj “Linux” distribuciji koju koriste kolege širom sveta.
Takođe, naša firma drži kurseve iz oblasti bezbednosti IT. Nekoliko treninga koje držimo su naš proizvod (Windows Server hardening, Hands-On Web application penetration testing, Ethcal hacking, Linux for Windows administrators). Inače, naši klijenti su velike domaće i strane kompanije, banke, osiguravajuća društva uključujući  i domaću kancelariju “Majkrosofta”, kao i MUP Srbije, Vojsku Srbije i dr.

Da li vaša kompanija obavlja i pojedinačne kontrole sigurnosti veb prezentacija?
Da. U toj oblasti imamo ozbiljne međunarodne reference. Možete pogledati više na stranici: http://technet.microsoft.com/en-us/security/cc308575.aspx. To je veb stranica “Majkrosoft” kompanije na kojoj se zahvaljuju pojedincima koji su pronašli bezbednosne propuste u “Majkrosoftovim” veb sajtovima i pomogli da se navedeni propusti “zakrpe”. Svakog meseca se javno zahvale nekolicini ljudi iz celog sveta. Naša firma je od sredine 2007. godine do danas izlistana 12 puta, što je ogroman uspeh imajući u vidu mali broj ljudi koji na tu listu dospeju, kao i veličine i značaj firmi iz kojih dolaze (uglavnom svetski lideri u ovoj oblasti). Velika nam je čast što predstavljamo našu zemlju u tako uglednom društvu.
Ako kažemo da je situacija alarmanta, nećemo pogrešiti. Očito da u ovoj oblasti ima mnogo posla kako za same finansijske institucije tako i za nadležne državne organe koji bi mogli da ubrzaju procese donošenja adekvatnih rešenja, u smislu uvođenja bezbednosnih standarda. Do tada građani mogu da se nadaju da njihovi računi neće biti meta hakera.

BESPLATNA PROCENA BEZBEDNOSTI
“Hakeri zloupotrebljavaju propuste. Najčešći propusti su oni sa OWASP TOP 10 liste, ali prosečan čitalac ne može da ih razume. Da budem iskren, i veliki broj ljudi koji se bave informacionim tehnologijama ne razumeju te stvari, zbog čega, u krajnjoj liniji, i dolazi do propusta. Naša firma je u saradnji sa “Majkrosoftom” svim firmama koje su poslale bar jednog zaposlenog na ovogodišnju “Sinergiju” dala besplatnu procenu bezbednosti veb sajta”, objašnjava Levaja.