V novembri 2013 sa TatraBanka rozhodla prerobiť svoj internetbanking. Zavrhla starú verziu napísanú v HTML a JavaScripte a nasadila novú verziu implementovanú pomocou Adobe Flash. Adobe Flash má žalostnú históriu z hľadiska bezpečnosti a preto TatraBanka čelí za tento svoj krok kritike.
Táto téma sa znova dostala na pretras po nedávnom útoku na taliansku firmu Hacking Team. Obchodný model tejto firmy spočíval v hľadaní chýb v počítačových programoch a následnom predaji týchto informácií záujemcom. Záujemcovia boli rôzni, medzi iným aj polícia či informačné služby rôznych štátov, ale aj menej poctivé organizácie. To je námet na samostatný článok, ale z môjho hľadiska je zaujímavá informácia o tom, že medzi dátami, ktoré útočníci získali boli aj informácie o chybách v Adobe Flash plugine, ktoré umožňujú vyrobiť webovú stránku, ktorá útočníkom dá úplnú vládu nad vaším počítačom. Zaujímavé pritom je, že informácie o týchto chybách nemala dovtedy ani firma Adobe. Takáto situácia sa nazýva v angličtine '0-day vulnerability'. Čo možno interpretovať tak, že útočník môže ihneď využiť túto chybu a autor zraniteľného kódu má nula dní na vydanie opravy.
Samozrejme autor zraniteľného kódu (v tomto prípade Adobe) nedokáže ihneď publikovať opravenú verziu a tak vzniká časový úsek, počas ktorého používatelia tohto software-u nemajú možnosť sa voči útočníkovi brániť.
Ako je snáď jasné, je to dosť nepríjemná situácia ak potrebujete používať internetbanking a ten pre svoje fungovanie vyžaduje chybný software. TatraBanke to, ale jasné nie je.
TatraBanka sa k téme vyjadrila. Nie raz, ale dvakrát.
Podľa mňa bol ich postoj neuspokojivý. A preto som sa chcel dozvedieť viac:
Dobrý deň.
Začiatkom mesiaca boli zverejnené informácie z prieniku do firmy Hacking Team. Medzi nimi aj informácie o 3 závažných chybách vo Flash plugine, ktorý TB vyžaduje vo svojom internet-bankingu (IB). Označenie tých chýb je CVE-2015-5119, CVE-2015-5122 a CVE-2015-5123.
14.6. som videl vyjadrenie TB kde TB tvrdí, že to vlastne nie je problém.
Konkrétne sa tam píše:
"Vyuziva standardne zabezpecenie komunikacie pomocou sifrovaneho protokolu tak, ako to bolo v minulom Internet bankingu a zabezpecenie integrity a autenticity komunikacie.
Podstatne je najma to, ze bezpecnost Internet bankingu je garantovana na strane serverov Tatra banky, klientske zariadenia/aplikacie sami o sebe neriadia pristupy ani opravnenia klientov."
Moja prvá otázka je: hovoríte, že na bezpečnosti počítača, ktorý sa používa na IB TB nezáleží ?? Ak mám kvôli TB nainštalovaný Flash plugin, navštívim stránku, ktorá takúto chybu zneužije, napadne môj počítač a následne použijem IB TB, ako mi pomôže nejaký šifrovaný protokol či zabezpečenie serverov TB?
16.7. vyšiel článok s ďalším vyjadrením TB v ktorom sa hovorí:
Predstaviteľ Tatra banky tiež upozornil na štatistiku spoločnosti GFI o počte odhalených najvážnejších chýb v priebehu roka 2014 v iných softvéroch.A poukazuje sa na chyby v prehliadačoch. Tá štatistika hovorí o tom, koľko chýb sa v danom roku našlo. Nie o tom, koľko chýb v danom produkte teraz je. Ak sa chyba našla a bola vydaná oprava, tak v štatistike bude stále figurovať. Pre Firefox 39 nie je evidovaná _žiadna_ známa zraniteľnosť
Z toho my vychádza, že ak používam FF39 na IB TB, tak som ohrozený len chybami vo Flash-i. Moja druhá otázka je: je to tak? Ak nie, môžete mi to objasniť?
Reakcia TatraBanky bola nasledovná
Vazeny pan XY,
dakujeme za Vasu spatnu vazbu, velmi si ju vazime.
V prvom rade by sme Vas radi uistili, ze bezpecnost nasho Internet bankingu a dat klientov je pre nas dolezita. Aplikacia je zabezpecena a kazda zmena je testovana na niekolkych urovniach v ramci vyvojovej a testovacej fazy. Zaroven hlavne zmeny su pretestovane renomovanou, certifikovanou, slovenskou firmou.
Povazujeme za dolezite tiez uviest, ze bezpecnost prace klienta s Internet bankingom nie je zavisla len od flashovej aplikacie, ale aj od inych nastaveni a kontrol na pozadi. Preto je mozne velmi efektivne rozlisit klienta od utocnika. Co sa tyka uz samotnej bezpecnosti pocitaca, ta je plne v rukach jeho majitela. Na pocitace nasich klientov totiz nemame dosah. Pre nasich klientov vsak pravidelne pripravujeme edukacne kampane, aby sa naucili udrziavat svoj pocitac v kondicii a predchadzali roznym nastraham, ktore su pritomne v on-line prostredi.
Sucastou edukacie su aj tieto odporucania:
- do Internet bankingu sa prihlasujte vzdy iba cez doveryhodne zariadenia
- zabezpecte si vzdy najnovsiu verziu operacneho systemu, vratane vsetkych aktualizacii
- aktualizujte si antivirusovy softver a personalny firewall
- majte vzdy aktualnu verziu internetoveho prehliadaca
- zvyste opatrnost pri prehliadani stranok s vyssou pritomnostou malware (weby ponukajuce nelegalny softver a podobne)
- neotvarajte e-maily od neznamych odosielatelov alebo e-maily s podozrivym obsahom ci prilohou
- pouzivajte poslednu verziu internetoveho prehliadaca (Internet Explorer, Mozilla Firefox, Opera atd.)
Na zaver by sme radi zdoraznili, ze na zaklade doterajsich skusenosti a realizovanych testovani nevidime ziadne dovody na obavy a aktualne neuvazujeme o zmene technologie. Ak by sa situacia zmenila, mozeme Vas ubezpecit, ze budeme adekvatne reagovat.
Ak sa aj napriek uvedenym informaciam necitite pri pouzivani flashovej technologie komfortne, dovolime si Vam dat do pozornosti mobilnu verziu nasho Internet bankingu – urcenu pre tablety a mobilne telefony. Poskytuje rovnake funkcne vybavenie ako verzia pre desktopy, preto by mohla byt pre Vas idealnym riesenim.
Dakujeme za pochopenie a verime, ze nam aj nadalej zachovate svoju priazen.
S pozdravom
Kontaktne centrum DIALOG
Tatra banka
Ponechajme radšej bokom tú poznámku o mobilnej verzii internetbankingu. K takémuto riešeniu som nikdy nemal dôveru a vyzerá to tak, že oprávnene.
Takže späť k jadru problému. Neviem, snáď som sa na prvý raz nevyjadril dostatočne jasne, tak som to skúsil ešte raz:
19.7. som vám písal otázku, v ktorej som chcel vysvetlenie, prečo ma TB núti používať v internetbankingu Flash, ku ktorému nie je alternatíva a ktorý znižuje bezpečnosť môjho počítača - ako preukázal nedávny únik dát z firmy Hacking Team.
Dostal som na ňu odpoveď označenú číslom #366212.
V tej odpovedi sa píše:
V prvom rade by sme Vas radi uistili, ze bezpecnost nasho Internet bankingu a dat klientov je pre nas dolezita.To je milé. A čo bezpečnosť môjho systému? Aha. Na to ste napísali "Co sa tyka uz samotnej bezpecnosti pocitaca, ta je plne v rukach jeho majitela." Nuž nie je plne v mojich rukách. Pretože kvôli TB tam musím mať Flash, ktorý jeho bezpečnosť ovplyvňuje. Negatívne.
Tiež sa tam píše:
Pre nasich klientov vsak pravidelne pripravujeme edukacne kampane, aby sa naucili udrziavat svoj pocitac v kondicii a predchadzali roznym nastraham, ktore su pritomne v on-line prostredi.
Sucastou edukacie su aj tieto odporucania:
- do Internet bankingu sa prihlasujte vzdy iba cez doveryhodne zariadenia
Robíte si zo mňa žarty? Ja som sa sťažoval na to, že vynucovaním Flash-u Tatrabanka znižuje bezpečnosť môjho počítača. Inými slovami z môjho počítača sa kvôli TB stáva nedôveryhodné zariadenie. A vaša odpoveď je "používajte len dôveryhodné zariadenia"? Hovoríte mi vlastne, že také vlastne nie sú a internetbanking TB nemám používať?
Vo svojej odpovedi tiež uvádzate, že "Ak sa aj napriek uvedenym informaciam necitite pri pouzivani flashovej technologie komfortne, dovolime si Vam dat do pozornosti mobilnu verziu nasho Internet bankingu – urcenu pre tablety a mobilne telefony. ". To mi rovnako pripadá nezmyselné, pretože overiť si bezpečnosť mobilného zariadenia je ešte ťažšie, ako overiť bezpečnosť počítača. Mobilné zariadenia sú totiž účelovo urobené tak, aby som ako užívateľ nemal správcovské možnosti.
Mohli by ste sa prosím ešte raz zamyslieť na tým, čo hovorím?
Zdá sa, že som ostal nepochopený. Alebo Tatrabanka skrátka problém vidieť nechce za každú cenu:
Vazeny pan XY,
dakujeme za Vasu pripomienku
Opatovne by sme Vas radi ubezpecili, ze vyuzivanie Internet bankingu je pre nasich klientov bezpecne. Pravidelne realizujeme jeho testovanie a na zaklade vysledkov nevidime dovod na zmenu technologie. Samozrejme, v pripade, ze by sa situacia zmenila, budeme velmi promptne reagovat.
Dakujeme Vam za pochopenie.
S pozdravom
Kontaktne centrum DIALOG
Tatra banka
Nuž. Milá TatraBanka, ďakovať nemáte za čo, lebo moje pochopenie rozhodne nemáte.
Kde vidím riešenie? Aj keď sú tie chyby vo Flash plugine už v tejto chvíli opravené, situácia zostáva povážlivá. Problém sa môže opakovať a spôsob, ktorým sa užívateľ môže brániť je zredukovať "attack surface" teda množstvo software-u, ktoré potrebuje na internetbanking (v ideálnom prípade len webový browser a operačný systém) a mať viacero alternatív - čo nie je prípad Flash-u, pretože jeho 'použiteľnú' implementáciu má len Adobe (a nové verzie robí len pre Windows). V prípade browsera je na výber podstatne viac možností (navyše v kombinácii s rôznymi operačnými systémami).
"It is difficult to get a man to understand something, when his salary depends on his not understanding it." - Upton Sinclair