Virtuálne účty nie sú podľa najnovších správ až také bezpečné. Systémy slovenských bánk využívajú protokoly SSL/TLS, ktoré môžu podľahnúť útokom počítačových pirátov. Tí by sa v takom prípade dostali napríklad k číslam kreditnej karty klienta. Banky potvrdili, že používajú protokoly SSL/TLS, no vyhlásili, že bezpečnosť e-bankovníctva nezávisí len od nich.
ILUSTRAČNÉ FOTO – ARCHÍV SME
BRATISLAVA – Virtuálne peniaze nie sú v bezpečí, ako sa doteraz hovorilo. Českí kryptológovia našli na internete chybu. Slabina umožňuje internetovým pirátom úspešný útok na protokoly SSL/TLS, používané ako kryptografická ochrana väčšiny elektronických transakcií. Hackeri sa tak môžu dostať k osobným údajom klientov vrátane čísel ich kreditných kariet.
„Zašifrované informácie sa dajú rozlúštiť vďaka chybovým hláseniam. Protokoly SSL/TLS ich posielajú útočníkovi, ktorý sa márne pokúša dostať do napadnutého systému. Kombináciou množstva týchto chybových hlásení napokon hacker rozlúšti, čo ním napadnutý server vlastne chce, a prelomí jeho bezpečnosť,“ vysvetľuje jeden z objaviteľov chyby Tomáš Rosa zo spoločnosti ICZ.
Kryptológovia, teda odborníci na šifrovanie, v marci dvakrát otestovali šesťsto náhodne vybraných počítačových systémov. Zraniteľné boli dve tretiny z nich. Išlo o systémy, ktoré bezpečnosť komunikácie s klientom opierajú o protokoly SSL/TLS. „Práve tie dávajú útočníkovi možnosť vytvoriť parazitujúci bočný mikrokanál,“ hovorí Rosa. Podľa vyjadrení kryptológov nie je naprogramovanie tohto typu útoku pre skúsených hackerov vôbec ťažké.
Protokoly SSL/TLS (Secure Sockets Layer a Transport Layer Security) používajú aj slovenské banky. Ich odborníci na bezpečnosť e-bankovníctva o chybe vedia a nespoliehajú sa iba na ne. „Čudoval by som sa, ak by sa spoliehali. Aj v zašifrovanom kanáli, ktorý je rozlúštiteľný, totiž väčšina bánk posiela extra zašifrované informácie,“ hovorí Rosa.
Podľa objaviteľov chyby na internete sú najviac ohrození klienti on-line obchodov. V komunikácii medzi nimi totiž cez internetový kanál prechádzajú čísla kreditných kariet klientov. Zraniteľné protokoly SSL/TLS používajú napríklad dvaja najväčší virtuálni predajcovia Amazon.com a e-Bay.com. Cez internet prebieha tiež množstvo obchodných transakcií priamo medzi firmami.
Softvérová skupina Open SSL, ktorá vyrába na svete najpoužívanejšie programy pre protokoly SSL/TLS, už vydala opravu chyby. Spôsob obrany navrhli priamo objavitelia chyby z radov českých kryptológov. Administrátori zraniteľných serverov si môžu verejne dostupnú aktualizáciu bezpečnostných programov nahrať, čo zabráni hackerom odhalenú slabinu využiť. ‘Záplaty‘ už existujú aj pre operačné systémy OpenBSD a FreeBSD, ktoré sú voľne dostupné ako Linux, ale sú zamerané viac na bezpečnosť.
Slabina umožňuje úspešný útok, zameraný na protokoly SSL/TLS (Secure Sockets Layer a Transport Layer Security), používané ako kryptografická ochrana väčšiny elektronických transakcií, ako sú napríklad on-line nákupy, e-bankovníctvo a v niektorých prípadoch aj zabezpečený prenos poštových správ.
Útok na uvedené protokoly popísaný tímom českých kryptológov umožňuje túto ochranu úplne prelomiť a rozšifrovať chránenú komunikáciu. Pre klientov využívajúcich aplikácie, ktorých bezpečnosť sa o protokoly SSL/TLS opiera, to znamená, že prípadný útočník môže získať čísla ich kreditných kariet, citlivé informácie o ich účte v banke či čerpať dôverné informácie z ich elektronickej pošty.
Ako počítačový pirát zistí číslo kreditky?
Postup útočníka
Prvá fáza: Útočník zachytí a uloží šifrovanú komunikáciu medzi klientom a serverom. S ohľadom na rôznorodosť prostredí, ktorými sa informácie na internete šíria (aj vzduchom), sa dnes takýto krok považuje síce za zložitý, no pre primerane fundovaného útočníka schodný.
Druhá fáza: Útočník na základe zachytenej zašifrovanej transakcie podľa matematického algoritmu postupne zostavuje vlastné výzvy, ktoré ako ‘radový‘ klient zasiela serveru, s ktorým bola napadnutá transakcia uskutočnená. Na každú takú výzvu server reaguje, čím útočníkovi poskytuje tzv. postrannú informáciu. Zloženie množstva postranných informácií dáva dostatok podkladov, aby hacker dokázal rozlúštiť hodnotu hlavného symetrického kľúča daného spojenia (tzv. premastrer-secret). Potom jednoducho dešifruje zachytenú komunikáciu.
Náročnosť útoku
Okrem fázy zachytenia zašifrovanej transakcie útok nekladie žiadne špeciálne požiadavky na vybavenie útočníka. Postačí mu bežný počítač s kvalitnou prípojkou na internet.
Typický internetový server, ktorý používa 1024-bitovú šifru RSA, podľahne útoku v polovici prípadov po menej ako 13,34 milióna výzvach. V testovacom prostredí odborníci dosiahli rýchlosť spracovania 67,7 výzvy za sekundu. Každý druhý útok sa teda skončil do 55 hodín.
V praxi by bolo pravdepodobné, že útočník bude počas útoku meniť miesto svojho pripojenia, aby zmiatol vyšetrovateľov a minimalizoval možnosť odhalenia. To by čas útoku natiahlo. Vzhľadom na štandardnú platnosť kreditných kariet si hacker môže dovoliť vyčkať na vylúštenie čísla karty aj niekoľko mesiacov.
Praktická zraniteľnosť
Odborníci tvrdia, že klienti bánk nemajú prepadať panike pri každej elektronickej transakcii. Dostatočne fundovaná a vybavená prevádzková obsluha napadnutého servera by mala popisovaný útok včas rozpoznať a zastaviť ho zablokovaním smeru, odkiaľ útok pochádza.
V prípade sofistikovaného distribuovaného útoku môže správca systému zrušiť aktuálny (RSA) kľúč servera a vygenerovať nový. Útočník potom nebude môcť útok dokončiť.
Pre nesprávne spravovaný server je však riziko úspešného útoku veľmi vysoké.
(Spracované podľa stránky objaviteľov chyby. Viac o chybe na http://eprint.iacr.org/2003/052.pdf a na www.icz.cz )
