Σάββατο, 26 Μαΐου 2007

e-Banking και ασφάλεια ηλεκτρονικών τραπεζικών συναλλαγών

Εκτός από τις αγορές στο Internet μέσω πιστωτικών καρτών, η χρήση ηλεκτρονικών τραπεζικών υπηρεσιών, ή αλλιώς e-Banking, μπορούν να κάνουν την ζωή πολύ εύκολη, ειδικά όταν πρόκειται για τυπικές πληρωμές τηλεφωνικών λογαριασμών, ασφαλιστικών εισφορών, κτλ. Πόσο ασφαλείς είναι όμως οι υπηρεσίες e-Banking και πόσο διαφέρουν από την χρήση πιστωτικών καρτών στο Internet;

1. Ηλεκτρονικές συναλλαγές μέσω e-Banking

Στην περίπτωση του e-Banking τα πράγματα είναι κάπως πιο περίπλοκα στο θέμα της εταιρικής/τραπεζικής ευθύνης, αλλά εδώ υπάρχει σαφώς αυστηρότερος έλεγχος από την ίδια την τράπεζα σε ότι αφορά το επίπεδο ασφάλειας των συναλλαγών, σε σχέση με την αντίστοιχη ηλεκτρονική χρήση των πιστωτικών καρτών. Πρακτικά, η τράπεζα επιβάλλει μια σειρά πρόσθετων μηχανισμών ασφαλείας που δεν υπάρχουν στην περίπτωση των πιστωτικών καρτών, πράγμα που κάνει το σύστημα ουσιαστικά απαραβίαστο αν η χρήση των μηχανισμών αυτών είναι σωστή από την πλευρά του πελάτη (π.χ. χρήση λίστας κωδικών TAN, Transaction Authorization Numbers – Αριθμοί Εξουσιοδότησης Συναλλαγής).

Παρόλα αυτά, αν ο πελάτης κατά λάθος καταστεί θύμα απάτης από websites παραποίησης ταυτότητας, δηλαδή δώσει τα στοιχεία του σε κόμβο που προσποιείται ότι είναι αυτός της τράπεζας, η ίδια η τράπεζα λέει ότι εφόσον έχει ενημερώσει σχετικά τον πελάτη της και αυτός έκανε κάτι εκτός του δικού της δικτύου, δεν φέρει καμία απολύτως ευθύνη (εδώ δεν ισχύει η αρχή της απόδειξης της μη-εντιμότητας όπως για τις πιστωτικές κάρτες). Μάλιστα, στους όρους χρήσης της λίστας κωδικών ΤΑΝ γνωστής τράπεζας αναφέρεται ρητά ότι:

"...Κανένας άλλος δεν πρέπει να γνωρίζει τους αριθμούς ΤΑΝ. Η τράπεζα δεν φέρει καμία ευθύνη, για συναλλαγές που έγιναν από άλλο πρόσωπο, παρά τη θέλησή σας, σε περίπτωση απώλειας ή διαρροής αριθμών ΤΑΝ..."

Με άλλα λόγια, η τράπεζα καλύπτει το δικό της μερίδιο της ευθύνης με την προσφορά αυτού του πρόσθετου (υποχρεωτικού) μέτρου ασφάλειας, αλλά έγκειται στον ίδιο τον χρήστη να διαφυλάξει την σωστή εφαρμογή του.

Θα πρέπει πάντως να σημειωθεί πως σήμερα το επίπεδο κατάρτισης του προσωπικού των τραπεζών και, αντίστοιχα, της ενημέρωσης των πελατών τους σχετικά με την διάθεση και χρήση των νέων συσκευών παραγωγής κωδικών ΤΑΝ μιας χρήσης, είναι τουλάχιστον τραγική. Για παράδειγμα, η προμήθεια των αντίστοιχων συσκευών ΤΑΝ χρεώνεται στον πελάτη ως πρόσθετη προαιρετική υπηρεσία (όπως δηλαδή οι πιστωτικές κάρτες), χωρίς όμως να παρέχεται μαζί αναλυτικό ούτε εγχειρίδιο οδηγιών, ούτε οι αναλυτικές τεχνικές προδιαγραφές, ούτε καν οι αναλυτικοί όροι χρήσης όπου καθορίζονται τα όρια ευθύνης του κάθε μέρους (της τράπεζας και του πελάτη). Αυτό ίσως να οφείλεται στο γεγονός ότι η διάδοση και η χρήση παρόμοιων διαδικασιών στις ηλεκτρονικές συναλλαγές είναι ακόμη πολύ πρώιμη στην Ελλάδα, με αποτέλεσμα το αντίστοιχο ενδιαφέρον να είναι περιορισμένο, τόσο από την μεριά των πελατών, που συνήθως δεν επιδιώκουν περαιτέρω ενημέρωση, όσο και από την ίδια την τράπεζα, που δεν θέλει να επωμιστεί το βάρος και το κόστος της "εκπαίδευσης" των πελατών σε αυτά τα νέα συστήματα.

2. Κωδικοί ΤΑΝ – Χρησιμότητα και τρόπος λειτουργίας

Εδώ θα πρέπει να αναφερθούν μερικά πράγματα σχετικά με τον λόγο για τον οποίο οι κωδικοί ΤΑΝ είναι πλέον απαραίτητοι σε κάθε συναλλαγή e-Banking. Αντίθετα με τις πιστωτικές κάρτες, στο e-Banking η κάθε τράπεζα έχει τον απόλυτο έλεγχο της πολιτικής και των μηχανισμών ασφάλειας που επιθυμεί να εφαρμόσει. Έτσι, μπορεί να επιβάλλει την εξουσιοδότηση κάθε εγχρήματης συναλλαγής ξεχωριστά με ειδικό κωδικό μιας χρήσης. Αυτό στην πράξη γίνεται με την χορήγηση λίστας πρόσθετων κωδικών εξουσιοδότησης στους πελάτες του e-Banking, κάτι σαν password μιας χρήσης προσωπικά σε κάθε πιστοποιημένο πελάτη της (http://en.wikipedia.org/wiki/Transaction_authentication_number).

Το πλεονέκτημα των κωδικών ΤΑΝ είναι ότι, εν γένει, πρόκειται για κωδικούς οι οποίοι δεν αποθηκεύονται πουθενά στο σύστημα του χρήστη-πελάτη αλλά αντίθετα βρίσκονται σε τυπωμένη μορφή, άρα είναι αδύνατο να υποκλαπούν ηλεκτρονικά από το σύστημά του. Αντίστοιχα, στο σύστημα e-Banking της τράπεζας όπου τηρούνται αντίγραφα των κωδικών αυτών για αντιπαραβολή, υπάρχουν τα κατάλληλα μέτρα εξασφάλισης της εμπιστευτικότητας σε πολύ υψηλό επίπεδο, ώστε αντίστοιχα η κλοπή τους, φυσική ή ηλεκτρονική, να είναι ουσιαστικά ανέφικτη. Κατά συνέπεια, ακόμα και αν ο κύριος κωδικός (username/password) του χρήστη-πελάτη παραβιαστεί και κάποιος τρίτος αποκτήσει πρόσβαση στον λογαριασμό e-Banking, δεν μπορεί να κάνει καμία εγχρήματη συναλλαγή αφού δεν διαθέτει αντίστοιχους έγκυρους κωδικούς ΤΑΝ.

3. Τρόπος λειτουργίας των κωδικών TAN και MAC

Η λογική της λειτουργίας των κωδικών ΤΑΝ βασίζονται στην ιδέα της κρυπτογράφησης μέσω κωδικοβιβλίων (codebooks) μιας χρήσης ή αλλιώς συστημάτων one-time-pads, τα οποία είναι τα μόνα μοντέλα κρυπτογράφησης των οποίων το απαραβίαστο εξασφαλίζεται 100% και αποδεικνύεται θεωρητικά. Γι’ αυτό άλλωστε χρησιμοποιούνται ακόμη και σήμερα σε μερικούς τύπους στρατιωτικών επικοινωνιών (συστήματα χαμηλού ρυθμού μετάδοσης).

Στην περίπτωση των κωδικών ΤΑΝ, τα κωδικοβιβλία δεν χρησιμοποιούνται για κρυπτογράφηση αλλά απλώς για την χορήγηση κωδικών "γνησιότητας". Αυτή η μορφή αναφέρεται συχνά ως Κωδικός Αυθεντικοποίησης Μηνύματος (MACMessage Authentication Code), ο οποίος συνοδεύει κάθε μήνυμα και χρησιμοποιείται για την διάκριση των γνήσιων από τα πλαστά μηνύματα. Για να εξασφαλιστεί η κρυπτασφάλεια των "γνήσιων" κωδικών, υπάρχει μια κοινή λίστα μυστικών κωδικών στα δύο άκρα της επικοινωνίας, δηλαδή ένα κωδικοβιβλίο με κωδικούς μιας χρήσης, τους οποίους χρησιμοποιούν και διασταυρώνουν για τον έλεγχο κάθε μηνύματος.

Εντούτοις, το βασικό πρόβλημα είναι η μεταφορά και αποθήκευση των αντίστοιχων κωδικοβιβλίων με ασφαλή τρόπο και στα δύο μέρη που επικοινωνούν. Στους κωδικούς ΤΑΝ αυτό εξασφαλίζεται από την ίδια την τράπεζα, απαιτώντας την προσωπική ταυτοποίηση και παράδοση της λίστας ΤΑΝ στον ίδιο τον πελάτη αυτοπροσώπως, και μάλιστα σε μορφή εν γένει μη-αποθηκεύσιμη στον Η/Υ του. Όμως η διαδικασία έκδοσης και προσωπικής παραλαβής της λίστας ΤΑΝ είναι συχνά χρονοβόρα και δυσχερής, μια και ακυρώνει μέρος της ίδιας της έννοιας του e-Banking.

Για την εξασφάλιση της κρυπτασφάλειας του συστήματος των MAC και ταυτόχρονα την άμεση συσχέτισή τους με το ίδιο το περιεχόμενο του μηνύματος, συχνά εφαρμόζονται δύο πρόσθετα στάδια επεξεργασίας και ένα μοναδικό μυστικό κλειδί, έτσι ώστε να μην χρειάζεται η χρήση ειδικού κωδικοβιβλίου όπως προβλέπει το αρχικό μοντέλο των one-time-pads. Συγκεκριμένα, το περιεχόμενο του μηνύματος περνά μέσα από μια διαδικασία επεξεργασίας που ονομάζεται Συνάρτηση Κατακερματισμού "Μη Αντιστρέψιμη" ή "Μιας Κατεύθυνσης" (One-Way Hashing Function). Η διαδικασία αυτή αντιστοιχεί το σύνολο των δεδομένων του μηνύματος σε έναν μοναδικό κωδικό αναγνώρισης συγκεκριμένου μεγέθους (π.χ. 128 ή 256 bits), από τον οποίο δεν μπορεί να εξαχθεί το περιεχόμενο του αρχικού μηνύματος με κανέναν τρόπο λόγω των μαθηματικών ιδιοτήτων της συγκεκριμένης συνάρτησης. Επιπλέον, είναι σχεδόν αδύνατο η συνάρτηση αυτή να δημιουργήσει τον ίδιο κωδικό αναγνώρισης για δύο διαφορετικά μηνύματα.

Στη συνέχεια, ο κωδικός αυτός κρυπτογραφείται με το μοναδικό μυστικό κλειδί κρυπτογράφησης πριν μεταδοθεί στο κανάλι μετάδοσης. Η διαδικασία ονομάζεται Keyed-HMAC (Hashed Message Authentication Code with Key) και ουσιαστικά κάνει περιττή την χρήση ειδικών κωδικοβιβλίων τύπου one-time-pad για αυτό το σκοπό, διατηρώντας εξαιρετικά μικρή θεωρητικά (αλλά όχι αδύνατη πλέον, όπως στο one-time-pad) την πιθανότητα παραβίασης της κρυπτασφάλειας του συστήματος.

Με το σύστημα των keyed-HMAC εξασφαλίζεται ότι (α) κανένας δεν μπορεί να "πειράξει" το αρχικό μήνυμα χωρίς να "ακυρώσει" το συγκεκριμένο κωδικό αυθεντικοποίησης του μηνύματος και (β) ότι κανένας άλλος δεν μπορεί να παράγει γνήσιους κωδικούς αυθεντικοποίησης εφόσον δεν διαθέτει το αντίστοιχο μυστικό κλειδί. Στην πράξη, το μοντέλο αυτό εφαρμόζεται στις επικοινωνίες σαν ένας εύκολη και γρήγορη εναλλακτική λύση έναντι της εφαρμογής των πιο πολύπλοκων και εξειδικευμένων μοντέλων ψηφιακών υπογραφών (digital signatures).

4. Συσκευές δημιουργίας κωδικών ΤΑΝ

Σε αναλογία με την εφαρμογή των keyed-HMAC για την αντικατάσταση των κωδικοβιβλίων, υπάρχουν τρόποι να αντικατασταθεί η εκτυπωμένη λίστα ΤΑΝ με αντίστοιχη συσκευή παραγωγής μεμονωμένων κωδικών από τον ίδιο τον πελάτη, πάντα απομονωμένη από τον Η/Υ τον οποίο χρησιμοποιεί για την πρόσβαση στο σύστημα e-Banking, και φυσικά σε συσχέτιση με αντίστοιχο μηχανισμό διασταύρωσής τους από το σύστημα της τράπεζας. Πρακτικά αυτό υλοποιείται με ένα συνδυασμό τριών πραγμάτων:

  1. Μια γεννήτρια ψευδοτυχαίων αριθμών (PRNG)
  2. Ένα κύκλωμα χρονισμού υψηλής ακρίβειας (CLOCK)
  3. Ένα μυστικό ηλεκτρονικό κλειδί της τράπεζας (KEY)

Ο ακριβής τρόπος λειτουργίας είναι αρκετά πολύπλοκος για να εξηγηθεί πλήρως σε κάποιον μη-ειδικό, αλλά η βασική διαδικασία είναι η εξής:

Η γεννήτρια PRNG χρειάζεται έναν αρχικό κωδικό για να ξεκινήσει και στην συνέχεια μπορεί να παράγει αριθμούς οι οποίοι είναι "επαρκώς τυχαίοι" ώστε να μην είναι προβλέψιμοι με κανέναν τρόπο αν κάποιος δεν γνωρίζει τον κωδικό αρχικοποίησης. Αυτό είναι αρμοδιότητα της τράπεζας, δηλαδή να αρχικοποιεί τις συσκευές αυτές έτσι ώστε να μπορεί να "αναπαράγει" μόνο η ίδια την ακολουθία των αριθμών αυτών.

Επιπλέον, το κύκλωμα CLOCK μπορεί να χρησιμοποιηθεί για να αρχικοποιεί και πάλι την συσκευή σε τακτά χρονικά διαστήματα, τα οποία επίσης γνωρίζει η τράπεζα χωρίς να χρειάζεται περαιτέρω επικοινωνία ή σύνδεση με την συσκευή του πελάτη. Αυτό γιατί αρκεί απλά το CLOCK ή "ρολόι" της συσκευής ΤΑΝ να είναι συγχρονισμένο με αυτό του συστήματος της τράπεζας. Για το λόγο αυτό το κύκλωμα CLOCK της κάθε συσκευής ΤΑΝ πρέπει να είναι υψηλής πιστότητας, με ελάχιστη απόκλιση (π.χ. 60 δευτερόλεπτα max) στη διάρκεια ζωής της συσκευής (π.χ. 3 χρόνια).

Με τους δύο παραπάνω μηχανισμούς, δηλαδή τον κωδικό αρχικοποίησης του κυκλώματος PRNG και το κύκλωμα CLOCK για την περιοδική επανα-αρχικοποίηση, η συσκευή ΤΑΝ μπορεί να παράγει πλέον "τυχαίους" κωδικούς ΤΑΝ, προβλέψιμους μόνο από το αντίστοιχο σύστημα της ίδιας της τράπεζας.

Όμως, η τράπεζα πρέπει σαν πρόσθετο μέτρο ασφάλειας να μπορεί να ελέγχει την γνησιότητα των κωδικών ΤΑΝ που εισάγει ο χρήστης-πελάτης της, για να αποκλειστεί η περίπτωση κάποιος να "ανακαλύψει" τις λεπτομέρειες σχεδίασης και αρχικοποίησης των κυκλωμάτων PRNG και CLOCK της συσκευής ΤΑΝ και να κατασκευάσει μια δική του, μη-πιστοποιημένη συσκευή για την παραγωγή ψευδών αλλά επαληθεύσιμων κωδικών. Για το λόγο αυτό, το αποτέλεσμα των PRNG/CLOCK συνδυάζεται με το τρίτο στοιχείο του μηχανισμού, δηλαδή ένα μυστικό κλειδί KEY, οποίο γνωρίζει μόνο η τράπεζα και το οποίο είναι αποθηκευμένο μέσα στη συσκευή ΤΑΝ, χωρίς να υπάρχει πρόσβαση σε αυτό από τον χρήστη-πελάτη.

Σε μερικές περιπτώσεις στην παραπάνω διαδικασία υπάρχει και μια δεύτερη φάση, η οποία περιλαμβάνει την παραγωγή ενός πρόσθετου μικρότερου κωδικού ελέγχου (CHECK) μετά από κάθε κωδικό ΤΑΝ. Αυτό γίνεται για να ενημερώσει τον χρήστη-πελάτη για την επιτυχημένη και έγκυρη ολοκλήρωση της συναλλαγής στο σύστημα e-Banking της τράπεζας. Με άλλα λόγια, ο πελάτης είναι αυτός που τώρα συγκρίνει τον κωδικό ελέγχου CHECK που επιστρέφει το σύστημα e-Banking της τράπεζας για να διαπιστώσει ότι όλα πήγαν καλά.

Τέλος, για την εξασφάλιση της ίδιας της συσκευής υπάρχει εσωτερικά φυσικός μηχανισμός "αυτοκαταστροφής" της συσκευής ΤΑΝ σε περίπτωση που παραβιαστεί με φυσικό τρόπο. Αν δηλαδή κάποιος επιχειρήσει να την ανοίξει για να "διαβάσει" τα αντίστοιχα ηλεκτρονικά κυκλώματα, οι σημαντικές πληροφορίες (π.χ. ΚΕΥ) διαγράφονται αυτόματα και μόνιμα από την συσκευή ΤΑΝ, ώστε η ανάκτησή τους να είναι αδύνατη. Επιπλέον, ως μέρος των παραπάνω μηχανισμών, η τράπεζα αναγνωρίζει κάθε μεμονωμένη συσκευή ΤΑΝ με έναν μοναδικό σειριακό αριθμό, που βρίσκεται στο πίσω μέρος της, και που "δεσμεύει" τη συγκεκριμένη συσκευή με τον λογαριασμό του αντίστοιχου πελάτη-χρήστη.

5. Πρακτική χρήση και περιορισμοί κωδικών ΤΑΝ

Σήμερα, οι συσκευές ΤΑΝ που διατίθενται από τις ελληνικές τράπεζες ενσωματώνουν τους παραπάνω βασικούς μηχανισμούς με κατάλληλο τρόπο, όχι πάντα ταυτόσημο. Για παράδειγμα, σε κάποιες περιπτώσεις οι συσκευές ΤΑΝ παράγουν κωδικούς μιας χρήσης μόνο μετά από αίτημα του χρήστη (πάτημα ενός ενσωματωμένου πλήκτρου), ενώ άλλες παράγουν συνεχώς κωδικούς οι οποίοι ανανεώνονται αυτόματα κάθε 60 δευτερόλεπτα, είτε χρησιμοποιούνται είτε όχι. Γενικά δεν υπάρχει διαφορά στο επίπεδο ασφάλειας που προσφέρουν, όμως οι ίδιες οι συσκευές ΤΑΝ έχουν ένα συγκεκριμένο χρονικό διάστημα (ή αντίστοιχα πλήθος παραγόμενων κωδικών) "ασφαλούς χρήσης", πέρα από το οποίο η "τυχαιότητά" τους δεν θεωρείται πλέον εξασφαλισμένη. Συνήθως το διάστημα αυτό είναι 3 χρόνια ή 2 εκατομμύρια κωδικοί ΤΑΝ. Σε αυτή την περίπτωση, η συσκευή είτε αντικαθίσταται με νέα είτε αρχικοποιείται και πάλι από την τράπεζα με νέους κωδικούς και είναι έτοιμη για χρήση για άλλο τόσο διάστημα, δηλαδή σαν να ήταν καινούργια.

6. Πραγματικά περιστατικά – Η κατάσταση στην Ελλάδα

e-Banking: Πριν μερικές μόλις μέρες επισκέφθηκα τα υποκαταστήματα δύο μεγάλων τραπεζών που προσφέρουν υποτίθεται τα πιο σύγχρονα συστήματα e-Banking στην Ελλάδα. Στη μία τράπεζα επιβάλλεται η χρήση λίστας κωδικών ΤΑΝ (μιας χρήσης) σε κάθε εγχρήματη συναλλαγή, στην άλλη υπάρχει κάτι αντίστοιχο μόνο για μεγάλα ποσά. Αποφάσισα να προμηθευτώ και από τις δύο από μια αντίστοιχη συσκευή παραγωγής κωδικών ΤΑΝ, μια υπηρεσία που από ότι ξέρω προσφέρουν εδώ και μερικούς μήνες. Τις συσκευές τις πήρα μεν, αλλά η όλη διαδικασία πήρε σχεδόν 2 ώρες συνολικά γιατί κανένας δεν ήξερε ακριβώς πως γίνεται, δηλαδή πως ακριβώς συνδέονται με τον λογαριασμό του πελάτη, έτσι χρειάστηκαν ατελείωτα τηλέφωνα στον γνωστό του γνωστού του υπαλλήλου, εκείνου που ήξερε κάτι παραπάνω και το είχε κάνει ίσως άλλη μια φορά. Όχι βιβλίο οδηγιών δεν υπήρχε, αλλά ούτε καν συγκεκριμένη επίσημη και πιστοποιημένη διαδικασία, σε καμία από τις δύο τράπεζες (στη μία μου ζήτησαν μόνο την κάρτα του λογαριασμού, χωρίς καν ταυτότητα). Φυσικά δεν τόλμησα να ρωτήσω γιατί άραγε η κάθε συσκευή έχει ημερομηνία λήξης σε τρία χρόνια, ακόμα και αν δεν χρησιμοποιείται, γιατί πιθανόν να μου έλεγαν ότι διατηρείται καλύτερα εντός ψυγείου...

7. Αντί επιλόγου

Είναι φανερό ότι η τεχνολογία για την πλήρη εξασφάλιση των συναλλαγών μέσω e-Banking υπάρχει. Τα σημερινά συστήματα κρυπτασφάλισης είναι τόσο ασφαλή και ταυτόχρονα τόσο προσιτά στην καθημερινή χρήση τους, ώστε λίγοι συνειδητοποιούν τι ακριβώς συμβαίνει όταν κάποιος χρησιμοποιεί μια τραπεζική κάρτα σε ένα μηχάνημα αυτόματης ανάληψης χρημάτων (ΑΤΜ). Εντούτοις, υπάρχει σοβαρή έλλειψη τεχνογνωσίας και (κυρίως) εκπαίδευσης του αρμόδιου προσωπικού των τραπεζικών οργανισμών στα αντίστοιχα θέματα, με αποτέλεσμα η όλη διαδικασία να γίνεται εξαιρετικά δύσκολη και δυσνόητη για τους ενδιαφερόμενους πελάτες, οι οποία κατά κανόνα είναι λιγότερο ειδικοί επί των θεμάτων ασφαλούς χρήσης των υπηρεσιών e-Banking.

Προτού λοιπόν οι αρμόδιοι φορείς ασχολούνται με την εξαγγελία Νέων Τεχνολογιών, για την Κοινωνία της Πληροφορίας και για εντυπωσιακούς όρους όπως e-Government, καλό είναι να εστιάσουν την προσοχή τους στα πραγματικά προβλήματα και την καθημερινότητα των τεχνολογιών αυτών, το πως δηλαδή θα γίνουν κτήμα όλων, από τον πρώτο μέχρι τον τελευταίο πολίτη.

1 σχόλιο:

Jaga είπε...

Μετά το 2009, ενσωμάτωση μηχανισμών τύπου ΤΑΝ σε πιστωτικές κάρτες:

"The new credit card with keypad that promises to fight online fraud"