Σάββατο, 26 Μαΐου 2007

Ασφάλεια στο Internet και ηλεκτρονικές συναλλαγές

Το ζήτημα της ασφάλειας στο Internet είναι ένα από τα πιο επίκαιρα και ταυτόχρονα αμφιλεγόμενα ζητήματα σήμερα, ειδικά σε χώρες που υστερούν σε σχετική εκπαίδευση και τεχνολογική ανάπτυξη όπως η Ελλάδα. Το πρόβλημα στην πραγματικότητα δεν είναι το ίδιο το Internet ή ο τρόπος λειτουργίας των ηλεκτρονικών τραπεζικών συναλλαγών, αλλά μάλλον η έλλειψη σωστής ενημέρωσης και πρακτικής.

Σε μια ηλεκτρονική συναλλαγή, υπάρχουν τρεις παράγοντες που συμμετέχουν στην διαδικασία και κατά συνέπεια αντίστοιχα τρία σημεία που χρειαζόμαστε εξασφάλιση:

  1. Κανάλι επικοινωνίας (Internet)
  2. Κόμβος-Η/Υ πελάτη
  3. Κόμβος-Η/Υ εταιρίας ή τράπεζας

1. Ασφάλεια στο κανάλι επικοινωνίας

Όταν αναφερόμαστε στο κανάλι επικοινωνίας συνήθως εννοούμε το Internet, δηλαδή ένα “ανοικτό” μη ελέγξιμο δίκτυο. Επειδή ακριβώς έχουμε να κάνουμε με ανοικτό δίκτυο, η μοναδική λύση είναι η κρυπτογράφηση με ισχυρούς αλγορίθμους, δηλαδή 3DES ή AES, τουλάχιστον 128-bit ή 256-bit (νέα SSL certificates). Άρα, ο καθημερινός χρήστης πρέπει να μάθει ότι αν δεν βλέπει το ακριβώς γράφει το αντίστοιχο "λουκετάκι" στον web browser και απλά δίνει ότι στοιχεία του ζητάνε on-line χωρίς δεύτερη σκέψη, είναι ουσιαστικά το ίδιο με το να βγει στο μπαλκόνι του σπιτιού του και να φωνάξει "...είμαι ο ΧΧΧ και έχω πιστωτική κάρτα με αριθμό ΥΥΥ...". Μπορεί να ακούγεται αστείο, αλλά τα πράγματα είναι ακριβώς τόσο απλά. Αυτό είναι συνήθως αρκετό για μια on-line αγορά από κάποιον που θα τύχει να τον ακούει, μια και ο συνδυασμός του αριθμού μιας (ενεργής) πιστωτικής κάρτας και του αντίστοιχου (νόμιμου) κατόχου της είναι τα κύρια στοιχεία που ζητάνε τα περισσότερα on-line καταστήματα.

2. Ασφάλεια στον κόμβο-Η/Υ του πελάτη

Σχετικά με τον κόμβο-Η/Υ του χρήστη-πελάτη, είναι επίσης πολύ σημαντικό ο καθημερινός χρήστης να μάθει ότι ο Η/Υ δεν είναι ένα κλειστό απαραβίαστο κουτί που "...δεν ξέρω τι έχει μέσα και πως δουλεύει..". Αν δεν χρησιμοποιούν όλοι συνειδητά και συστηματικά τα απαραίτητα εργαλεία (antivirus, anti-spyware, system updates, backups, ...), καλύτερα να μην τον χρησιμοποιούν για καμία σοβαρή δουλειά, γιατί κάποια στιγμή απλά θα πέσουν από τα σύννεφα όταν καταλάβουν πόσο εύκολο είναι να γίνει ανεπανόρθωτη ζημιά. Επίσης, το ίδιο πρέπει να κατανοήσουν για την φυσική ασφάλεια, ότι π.χ. δεν κάνουμε ποτέ χρηματικές συναλλαγές σε Internet cafe, γιατί απλά δεν έχουμε τον απόλυτο έλεγχο των παραπάνω προϋποθέσεων στον συγκεκριμένο Η/Υ.

3. Ασφάλεια στον κόμβο-Η/Υ της εταιρίας

Στον κόμβο-Η/Υ της εταιρίας υπάρχουν δύο σημαντικοί και διακριτοί παράγοντες που καθορίζουν το αντίστοιχο επίπεδο ασφάλειας και προστασίας των πελατών:

(α) η εταιρική εμπορική πολιτική, και

(β) το επίπεδο και η πολιτική ασφάλειας της συγκεκριμένη εταιρίας

Το (α) αναφέρεται κυρίως στον τρόπο διεκπεραίωσης των συναλλαγών και στον τρόπο διαχείρισης των στοιχείων των πελατών, ώστε να είναι καθ’ όλα νόμιμες και έγκυρες. Επίσης συμπεριλαμβάνονται και οι κανόνες χρήσης των πιστωτικών καρτών που θέτουν οι τράπεζες και που σχεδόν ποτέ δεν είναι οι ίδιοι από τράπεζα σε τράπεζα. Για παράδειγμα, όταν πριν μερικά χρόνια προσπάθησα να χρησιμοποιήσω μια Electron VISA σε ξενοδοχείο του εξωτερικού, παρά το ότι έδειξα κανονικά ταυτότητα, μου είπαν ότι προς το παρόν δεν δέχονταν το συγκεκριμένο είδος κάρτας. Δηλαδή, όχι μόνο δεν επιτρεπόταν να χρησιμοποιηθεί σε ηλεκτρονικές συναλλαγές, αλλά ούτε και εκτός Ελλάδας σε μερικές περιπτώσεις. Σήμερα, πολλές τράπεζες προσφέρουν πλέον δυνατότητα ηλεκτρονικής χρέωσης τέτοιων καρτών μέσω Internet, παρόλο που δεν φτιάχτηκαν για αυτό το λόγο, απλά και μόνο γιατί το σύστημα αποδείχτηκε σχετικά ασφαλές και η αντίστοιχη εμπειρία από άλλες κάρτες (VISA, MasterCard) ήταν επαρκής.

Πάντως, επειδή όλες οι κάρτες ανάληψης μετρητών (πρώην ATM) των τραπεζών είναι αυτόματα και Electron VISA (αυτόματη σύνδεση με λογαριασμό για αγορές αυτοπροσώπως σε καταστήματα), οι μοναδικές κάρτες που είναι ακόμη και σήμερα 100% Internet-compatible είναι η VISA (classic) και η MasterCard.

Για λόγους ασφαλείας, τα τελευταία χρόνια έχει προστεθεί η δυνατότητα χρήσης των επιπλέον τετραψήφιων κωδικών στο πίσω μέρος της κάρτας σαν πρόσθετο μέτρο ασφάλειας, αφού αυτά δεν τυπώνονται από τα αυτόματα μηχανήματα αποδείξεων στα καταστήματα (δεν είναι ανάγλυφα). Κατά συνέπεια, δεν μπορεί κάποιος να "αναπαραγάγει" μια τέτοια κάρτα διαβάζοντας απλά μια απόδειξη (π.χ. απώλεια φακέλου με απόδειξη αγοράς στο ταχυδρομείο). Όμως, αυτό δεν σημαίνει ότι ο αριθμός αυτός δεν αποθηκεύεται το ίδιο εύκολα με τα υπόλοιπα στοιχεία της κάρτας, κάθε φορά που ζητείται σε ηλεκτρονικές συναλλαγές (π.χ. PayPal). Συνεπώς, το πρόβλημα πιθανής υποκλοπής παραμένει στον κόμβο-Η/Υ της εταιρίας.

Σε ότι αφορά το (β), δηλαδή το “τεχνικό” επίπεδο ασφάλειας που εφαρμόζει η συγκεκριμένη εταιρία στο on-line κατάστημά της, το οποίο κατά τη γνώμη μου είναι το πιο σημαντικό, η εμπιστοσύνη στην συγκεκριμένη εταιρία και η εγγυήσεις ασφάλειας στον κόμβο της είναι αυτά που πρέπει να οδηγούν κάποιον στην τελική αποδοχή ή μη αποδοχή του "ρίσκου" της ηλεκτρονικής συναλλαγής με τη συγκεκριμένη εταιρία. Εφόσον δηλαδή τηρούνται όλα τα παραπάνω, τελικά ο χρήστης-πελάτης πρέπει να αποφασίσει ο ίδιος συνειδητά αν εμπιστεύεται το "άλλο άκρο" της συναλλαγής, που πιθανότατα βρίσκεται χιλιάδες χιλιόμετρα και πολλούς νόμους μακριά, όχι μόνο για την αποστολή-πίστωση χρημάτων αλλά (κυρίως) για την γνωστοποίηση και ασφαλής αποθήκευση των αντίστοιχων προσωπικών δεδομένων. Μάλιστα, θα πρέπει να γίνεται πάντα η υπόθεση ότι αποθηκεύονται ΟΛΑ τα στοιχεία της συναλλαγής, κάτι που πρακτικά σημαίνει ότι αν δεν εμπιστεύεται κάποιος π.χ. ότι το Amazon δεν μπορεί να προφυλάξει ΟΛΑ τα στοιχεία που ζητούνται (όνομα, διεύθυνση, αριθμοί κάρτας, ...), τότε δεν πρέπει να προχωρήσει στη συναλλαγή (ανεξάρτητα με το τι λέει το Amazon ότι αποθηκεύει στο αρχείο των πελατών του).

4. Η πολιτική των τραπεζών σχετικά με την χρήση πιστωτικών καρτών στο Internet

Σήμερα, οι τράπεζες έχουν αποφασίσει ότι οι ηλεκτρονικές συναλλαγές έχουν ουσιαστικά μηδενικά έξοδα για τις ίδιες και σχετικά χαμηλό ρίσκο "ζημιάς" λόγω κακής χρήσης ή κλοπής (τουλάχιστον όχι μεγαλύτερο από τις αντίστοιχες απάτες από κάρτες ανάληψης μετρητών). Έτσι, έχουν αποδεχτεί το ρίσκο και έχουν υποχρεωθεί και από το νόμο πλέον (ΣτΕ) να μην επιβαρύνουν τον πελάτη τους πάνω από 150 ευρώ σε περιπτώσεις κλοπής μέσω ηλεκτρονικής συναλλαγής, εφόσον δεν μπορούν οι ίδιες να αποδείξουν κακή πρόθεση ή καθυστερημένη ειδοποίησή τους, μια και το ηλεκτρονικό σύστημα της τελικής χρέωσης-πίστωσης (intranet) είναι αποκλειστικά δική τους ευθύνη. Αυτό ισχύει σίγουρα για κάρτες τύπου VISA και MasterCard στην Ελλάδα, ίσως και σε μερικές άλλες κάρτες ή με ακόμα μικρότερο ποσό "ευθύνης" του πελάτη ανάλογα με την τράπεζα, με την προϋπόθεση ότι ο πελάτης παρακολουθεί (και) ο ίδιος την κάρτα και ειδοποιεί εντός 48 ωρών για οποιαδήποτε εσφαλμένη χρέωση (οπότε και παύει η περαιτέρω δική του ευθύνη).

Εδώ θα πρέπει να σημειωθεί ότι το σύνολο σχεδόν των διαπιστωμένων περιπτώσεων "κλοπής" ηλεκτρονικών στοιχείων καρτών συμβαίνει ακριβώς στον κόμβο-Η/Υ της εταιρίας, όχι στον κόμβο-Η/Υ του πελάτη ούτε στο κανάλι επικοινωνίας. Για το λόγο αυτό, άλλωστε, μετά τα πρόσφατα σκάνδαλα με τις εταιρίες Amazon, Virgin, Citibank, η αμερικανική κυβέρνηση έθεσε πλέον πολύ αυστηρούς όρους ελέγχου της ασφάλειας των ηλεκτρονικών υπηρεσιών τους (γιατί χαμένα έξοδα για αυτές σημαίνει χαμένους φόρους για το κράτος). Η χρήση τρίτων "έμπιστων" εταιριών στα πρότυπα του PayPal περιορίζει κάπως το πρόβλημα της συναλλαγής με μη-έμπιστες εταιρίες, αλλά ταυτόχρονα "συγκεκριμενοποιεί" περισσότερο τους πιθανούς στόχους των επίδοξων crackers.

Πάντως, το PayPal τα τελευταία χρόνια έχει δημοσιεύσει 2-3 περιπτώσεις πολύ σοβαρών επιθέσεων τις οποίες ξεπέρασε σχετικά "αλώβητο", με αποτέλεσμα σήμερα να θεωρείται ένας από τους πιο ασφαλείς τρόπους συναλλαγών στο Internet.

5. Πραγματικά περιστατικά – Η κατάσταση στην Ελλάδα

Πιστωτικές κάρτες: Πριν από αρκετό καιρό θέλησα να πάω αυτοπροσώπως να ξεχρεώσω μια πιστωτική κάρτα VISA σε υποκατάστημα μιας ελληνικής τράπεζας. Όταν στον γκισέ ζήτησα να μάθω το υπόλοιπο για να το εξοφλήσω, η υπάλληλος μου είπε σοβαρά ότι δεν έχει εξουσιοδότηση να δει τα στοιχεία του λογαριασμού της πιστωτικής μου, παρά μόνο να βάλει χρήματα σε αυτή "στα τυφλά". Μου είπε ότι μπορώ να μιλήσω ο ίδιος τηλεφωνικά με τα κεντρικά εκεί επιτόπου και να ρωτήσω το ακριβές υπόλοιπο, για να της το πω. Έτσι, βρέθηκα να λέω προφορικά, δίπλα σε άλλους 10 ανθρώπους που περίμεναν δίπλα μου, όλα τα στοιχεία της κάρτας μου, της ταυτότητας, κτλ. Φυσικά όταν έκλεισα το τηλέφωνο είπα στην υπάλληλο να δώσει συγχαρητήρια σε αυτόν που σκέφτηκε την συγκεκριμένη επίσημη διαδικασία της τράπεζας για την ασφαλή "πιστοποίηση" του πελάτη σε ανάλογες περιπτώσεις.

6. Αντί επιλόγου

Δεν κατηγορώ ούτε τους συγκεκριμένους υπαλλήλους, ούτε τα κανάλια που συνεχώς αναφέρουν περιστατικά "κλοπής μέσω Internet", ούτε τους μη-ειδικούς πολίτες που είναι ακόμα πολύ επιφυλακτικοί σε ότι αφορά τα θέματα των ηλεκτρονικών συναλλαγών. Το πραγματικό πρόβλημα είναι το εξαιρετικά χαμηλό επίπεδο ενημέρωσης και εκπαίδευσης σε αυτά τα θέματα, τα οποία καλώς ή κακώς αποτελούν πλέον μέρος της καθημερινότητας. Ακόμη και σήμερα, δεκαετίες μετά την εμφάνιση των προσωπικών καρτών ανάληψης μετρητών (ΑΤΜ), οι περισσότεροι άνθρωποι πάνω 50 ετών ακόμη συνηθίζουν να έχουν μέσα στο πορτοφόλι τους, δίπλα ή πάνω στην κάρτα, τον αριθμό PIN.

Νομίζω ότι το θέμα της ηλεκτρονικής ασφάλειας, ως αγαθό προστασίας των προσωπικών πόρων (χρημάτων, δεδομένων, ευποληψίας, κτλ), είναι κατ’ εξοχήν αρμοδιότητα των επιστημόνων και των επαγγελματιών της Πληροφορικής, με το οποίο θα πρέπει όλοι να ασχοληθούμε πολύ σοβαρά και να γίνει ένας από τους πρωταρχικούς στόχους μας.

1 σχόλιο:

Jaga είπε...

Μετά το 2009, ενσωμάτωση μηχανισμών τύπου ΤΑΝ σε πιστωτικές κάρτες:

"The new credit card with keypad that promises to fight online fraud"