Šifrované zabezpečení účtu není bezpečné!

Čeští kryptologové Vlastimil Klíma a Tomáš Rosa ze společnosti ICZ, a. s. a Ondřej Pokorný objevili chybu, která umožňuje rozluštit šifrovanou komunikaci (SSL/TSL) mezi serverem a klientem. Šifrovanou komunikaci na protokolu SSL (Secure Socket Layer) využívají i české banky pro zabezpečení přenosu dat v internetovém bankovnictví, které dosud prohlašovaly za nemožné rozluštění šifrovacího klíče v „rozumně krátkém“ čase. Teď se však ukázalo, že je vše jinak.

Jak proběhne útok
Podle kryptologů je největším svízelem odchycení zašifrované zprávy. Tok informací po Internetu probíhá mnoha způsoby a různými cestami (i vzduchem), navíc každá část zprávy může „plout“ jinudy. Zachycení a uložení zprávy je považováno za úkon „netriviální, ale schůdný“.

Samotné rozluštění šifry by bylo nemožné, jak se všeobecně uvádělo, nebýt oné odhalené chyby, která využívá tzv. postranní kanály. Ve stručnosti se jedná o vysílání výzev serveru a využívání jeho odpovědí k urychlení rozluštění klíče. Naprogramování útoku není pro hackera dle vyjádření objevitelů chyby příliš náročné.

Útok byl testován na 600 náhodně vybraných serverech, z nichž dvě třetiny podlehly. Příčinou je hluché místo v implementaci protokolu, který není závislý na platformě (operačním systému). Přesto nepodlehl žádný počítač s operačním systémem a serverem od firmy Microsoft (kryptologové ale neměli k dispozici všechny kombinace operačních systémů MS a serverů), které hluché místo překlenují. Na dotaz objevitelů bezpečnostní mezery, jakým způsobem, Microsoft dosud neodpověděl.

Co na to české banky?
Servery byly vybírány pro test náhodně a jeho autoři se nedívali, zda byly mezi testovanými i české bankovní servery, a tedy ani zda české servery prošly či nikoli. O zjištěné chybě byla dle slov zástupce firmy ICZ „většina bank“ informována před oficiálním vydání tiskové zprávy (18. března). Kterým bankám zprávu firma nezaslala, však nespecifikoval.

Firma ICZ také nechce specifikovat, které banky a jakým způsobem na zprávu zareagovaly. Proto jsme se zeptali přímo bank.

Z deseti oslovených českých bank nabízejících internetové bankovnictví do redakční uzávěrky článku odpovědělo pouze šest – vyjádření ostatních doplníme po jejich obdržení.

• Zaznamenali jste útok na šifrovanou komunikaci?
• Reklamoval některý z vašich klientů transakci, kterou neučinil a která obsahovala veškeré bezpečnostní prvky?
• Používáte již opravený SSL protokol?

Technologické centrum Citibank pro střední Evropu leží mimo území České republiky, proto zaslala banka překlad dotazu do zahraničí a vyjádření k otázce SSL komunikace sdělí během několika dnů. Vyjádření zveřejníme po jeho obdržení. Banka však nezaznamenala žádný útok na šifrovanou komunikaci.

Česká spořitelna
"Zaznamenali jste útok na šifrovanou komunikaci?
ČS denně zaznamenává desítky až stovky pokusů o útok, které jsou pro úroveň zabezpečení komunikace v ČS neškodné. Pro případ závažného pokusu má ČS eskalační postupy, které mohou vést k zablokování určité adresy nebo rozsahu adres. Skutečný průnik by ČS musela chápat jako trestný čin a předala by věc neprodleně k šetření policii.

Reklamoval některý z vašich klientů transakci, kterou neučinil a která obsahovala veškeré bezpečnostní prvky?
Ano, takové reklamace jsou. Po prošetření případu se však ukáže, že nešlo o zavinění „vyšší moci“ nebo o nabourání systému, ale že klient vědomě či nevědomě vyzradil svá osobní data (heslo, PIN, podpisový vzor atp.) třetí osobě, která toho pak využila ve svůj prospěch. Takové reklamace bohužel nelze uznat jako oprávněné. Česká spořitelna klientům doporučuje i přímo na stránkách svého internetového bankovnictví a v pokynech pro používání karet, aby byli mimořádně obezřetní a radí i jak předcházet možnému zneužití dat.

Používáte již opravený SSL protokol?
Všechny bezpečnostní parametry ČS průběžně aktualizuje jednak na základě dohodnuté podpory ze strany dodavatelů, kteří bezpečnostní opravy (patche) musí přizpůsobit pro dodaná zařízení, jednak aktualizuje nastavení sama. Oprava konkrétní implementace SSL protokolu v systémech ČS probíhá v těchto dnech.

Navíc je třeba říci, že standardní zabezpečení přímého bankovnictví a vůbec systémů České spořitelny je vysoce kvalitní a skládá se z celé řady parametrů, které do sebe vzájemně zapadají a doplňují se. Klienti tak mohou kombinovat různé varianty zabezpečení podle vlastních potřeb.

Pro případy, kdy klienti vyžadují ještě vyšší zabezpečení než standardní, nabízí Česká spořitelna řadu alternativ. Patří mezi ně autentizační kalkulátory, automatické zasílání SMS zpráv při každém pohybu na účtu klienta atp. Samozřejmostí je možnost okamžitě zablokovat účet v případě jakýchkoli pochybností a 24 hodin denně kontaktovat asistenční linku ČS."

ČSOB
„Pro ČSOB je bezpečnost informačních systému prioritou, proto také v reálném čase vyhodnocuje všechny rizikové faktory a okamžitě přijímá adekvátní bezpečnostní opatření. V souvislosti s Vašimi dotazy můžeme uvést, že jsme nezaregistrovali žádné reklamace v uvedeném smyslu. Pro uskutečnění aktivní transakce prostřednictvím ČSOB Internetbankingu 24 je nutné použit elektronický podpis a samotné přihlášení se do aplikace tedy neumožňuje podání dispozice k provedení transakce.“

eBanka
eBanka nezaznamenala útok na šifrovanou komunikaci ani reklamaci transakce, která obsahovala veškeré bezpečnostní prvky. K otázce SSL protokolu sděluje:

"Open SSL knihovna, které se problém týká, pracuje nejčastěji pod operačním systémem LINUX a naše banka OPEN SSL knihovnu vůbec nepoužívá.

U produktu Microsoft nebyl tento problém zatím prokázán. Kdyby se však prokázal i u Microsoftu, jsme na něj dobře připraveni:

1. Díky bezpečnostním standardům používaným v naší bance by tento útok nebyl úspěšný.
2. Kryptologové nevzali v úvahu běžný provoz serveru, který musí během jedné vteřiny zodpovědět více informací a zabývá se běžnou komunikací s klienty a ne pouze komunikací s hackerem, v současné době na serverech eBanky by případný hacker měl zodpovězeno pouze cca 5 výzev za vteřinu, což by velmi prodloužilo dobu prolomení kódu.
3. Pokud by byl uskutečněn takový útok na servery eBanky, systém by okamžitě zaznamenal zvýšený počet nezodpovězených dotazů, tzn. útočník při útoku by svou „komunikaci“ s bankou musel ukončit těsně před přihlášením na účet, zvýšil by se tedy počet neúspěšných spojení, což by okamžitě vyvolalo reakci na strany banky a po vyloučení technických problémů by došlo k okamžité diagnostice směru útoku a omezení útočníka zakázáním IP adresy.
4. Provoz na serverech eBanky je pečlivě monitorován a jakékoliv výkyvy z běžného provozu (který tvoří sinusoida s vrcholy 8–10 ráno a 16–18 odpoledne) jsou vyhodnocovány a v případné určení útoku jsou útočníci okamžitě odříznuti od serveru (zakázání IP).
5. V případě identifikování útoku banka přistoupí k opatření ve formě změny šifrovacího klíče, který používá, tím je znemožněno úspěšné dokončení útoku a útočník musí začít nahráním nové komunikace a opětovným zahájením útoku.
6. V případě útoku na banku, jak jej popisují kryptologové, by útok za běžného provozu trval cca 6 měsíců.
7. Průběžně se sleduje zatížení serverů a poměr zodpovězených a nezodpovězených požadavků klientů na spojení, dále jsou nechráněné části internetu banky (popis banky a jejích produktů) převedeny na chráněné https.

Podle poslední tiskové zprávy vydané na serveru ICZ je opravena chyba v šifrování Open SSL, eBanka používá Microsoft SSL."

GE Capital Bank – doplnění 12:42
GE Capital Bank přislíbila zaslání stanoviska v dopoledních hodinách.

Banka nezaznamenala ani pokus o proniknutí šifrovanou komunikací ani reklamaci klienta k platbě, která obsahovala veškeré bezpečnostní prvky. Ohledně chyby SSL protokolu banka sdělila:

"Úpravy chystáme ve spolupráci s naším dodavatelem aplikací. Své internetové bankovnictví GE Capital Bank považuje za bezpečné. Banka má vybudovaný systém bezpečnostních opatření, které zabrání zneužití účtů klientů. Podmínkou samozřejmě, je aby klient dodržel bezpečnostní pravidla doporučená bankou.

GE Capital Bank například informuje klienty SMS zprávou o každém přihlášení do jejich Internet banky, klienti si mohou také nechat zasílat informace o každé odchozí platbě, nastavit si limity pro transakce atd. Banka má navíc interní monitorovací systém všech operací prováděných v internetovém bankovnictví, který je schopen zabránit napadení účtu klientů. Díky těmto operacím GE Capital Bank dosud nezaznamenala jediný případ zneužití účtů klientů pomocí internetového bankovnictví."

HVB Bank – přidána 10:35
Banka nezarnamenala útok na šifrovanou komunikaci ani žádný z jejích klientů nereklamoval transakci, která by obsahovala veškeré bezpečnostní prvky. K chybě SSL protokolu banka dodává: „Společně s dodavateli aplikací prověřujeme možná rizika. Vzhledem k použití dodatečných bezpečnostních prvků (např. tokeny) je z pohledu banky riziko minimalizováno.“

Komerční banka – přidána 10:58
Zda banka zaznamenala útok na šifrovanou komunikaci z bezpečnostních důvodů nesděluje. Z 15 miliónů transakcí zaznamenala 3 reklamace operací, které obsahovaly veškeré bezpečnostní prvky. K potížím SSL protokolu uvádí: „Závada se dotýkala převážně OpenSSL protokolu, který KB implementován nemá. KB používá tzv. NSS implementaci SSL. Logy jsou pravidelně vyhodnocovány. Patche sledujeme, případně instalujeme, nejdříve do testu a až poté do produkčního prostředí. Samozřejmě jsme stále v kontaktu s naším dodavatelem.“

Raiffeisenbank
„Problém o chybě v SSL protokolu je nám znám od ledna tohoto roku a přijali jsme doporučená dočasná opatření k eliminaci zjištěné slabiny. Zároveň probíhají konzultace s provozovatelem serveru a dodavatelem, který zajišťuje pro naši banku internetové bankovnictví, o definitivním řešení. K dnešnímu dni nemáme žádnou reklamaci transakce přes Internet Banking, která by mohla souviset s tímto problémem.“

Živnostenská banka
"Na úvod mi dovolte tlumočit názor odborníků z Živnostenské banky, že se nejedná o bezprostřední chybu SSL protokolu, ale o využití tzv. postranního časového kanálu, jako jedné z metod nových trendů kryptoanalýzy. Podle své zprávy autoři testovali uvedenou slabinu v jiné kombinaci produktů, než je používána v bance. Uvedené ohrožení automaticky neznamená, že všechna data, transakce, autentizace atp. na Internetu jsou ohroženy, že je nutné provádět zásahy na všech počítačích atd.

O této možné slabině SSL/TLS protokolu jsme se dozvěděli záhy po jejím zveřejnění – v březnu 2003.

Živnostenská banka denně zaznamenává řadu příznaků možného ohrožení z Internetu, ale pokusy o využití popisované metody jsme prozatím nedetekovali.

Odpověď na otázku, zda již používáme opravený SSL protokol, je: ne. Je však nutné vzít v úvahu tyto okolnosti:

• realizace uvedeného napadení není tak jednoduchá, jak se ze zpráv může zdát;
• uvedená slabina se vyskytuje jen u některých implementací SSL protokolu;
• banka pro provoz SSL komunikace využívá určitý produkt – aplikační server, jehož implementace, podle naše mínění, postižena není. Přesto ověřujeme názor dodavatele a očekáváme jeho vyjádření, zda se uvedená slabina daného produktu týká. Pokud ano, budeme příslušnou opravu po jejím vydání aplikovat."

Co dodat?
Některé banky komplikace s implementací SSL nemají, například eBanka, která užívá kombinaci produktů firmy Microsoft (fungující však jako malá černá skříňka, o níž objevitelé chyby protokolu nevědí, jak pracuje), jiné se k ní postavily zpříma a řeší ji (například Česká spořitelna a Živnostenská banka). Všechny banky však mají další metody, jak odhalit případný pokus o proniknutí do systému.

Zajímavostí je Raiffeisenbank, která o chybě protokolu SSL věděla dříve, než ji publikovali výzkumníci z ICZ.

V případě neoprávněného vniknutí na účet se jedná o trestný čin. Vedle reklamace tak můžete podat i trestní oznámení na neznámého pachatele (v případech, které výše uvádí Česká spořitelna, i na známého pachatele).

Z uvedených skutečností usuzuji, že přes odhalení chyby protokolu SSL je internetové bankovnictví dostatečně bezpečné. Navíc – každou platbu lze dohledat a pro SSL jsou již instalovány „záplaty“.