Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Atklātas nopietnas drošības problēmas autentifikācijā ar internetbankas palīdzību

Kategorija: cert.lv + Datu drošība + eparaksts + ePārvalde + eVelešanas + FKTK + LVRTC + Personas dati

Raidījuma Nekā Personīga rīcībā nonācis Tallinas tehnoloģiju universitātē veiktais latviešu studenta Arņa Paršova pētījums. Tajā atklāts, ka gandrīz visos gadījumos klientu atpazīšanu caur internetbankām ir nedroša un dažos gadījumos pietiktu pat tikai ar cilvēku vārdu un personas kodu, lai jebkurš piekļūtu tikai vienam lietotājam domātajai informācijai.

Tika pārbaudīti 17 Latvijas portāli un visos portālos tika atrastas kļūdas. Šādas vai citādākas drošības kļūdas. Ja lielu daļu kļūdas var novērst paši portāli, tad šo divu banku gadījumā CITADELE un SWEDBANKA šīs kļūdas sākumā ir jānovērš bankām.

Lielākā problēma, kas pētījumā tika atklāta, ka piecos lielos un samērā populāros portālos ir pilnībā iespējams apiet šo te banku autentifikāciju un autentificēties kā jebkurai iedzīvotāju reģistrā esošai personai. Šeit ir runa par virtuālo e-parakstu, Lattelecom, Latvijas universitātes informācijas sistēmu, Lursoft un portālu manabalss.lv.

Par atklājumiem jūnijā Arnis Paršovs ziņoja Latvijas nacionālajai IT drošības incidentu novēršanas institūcijai – CERT. Iestāde uz karstām pēdām pārbaudījusi, ka Arņa atklājumi patiešām ir patiesi un nopietni.

Varis Teivāns, CERT.LV vadītāja vietnieks, saka, ka esam veikuši testus pamatojoties uz tā darba rezultātiem arī paši un es varu apstiprināt, ka ir bijuši veiksmīgi gadījumi, kur ir iespējams apiet autentifikāciju un izmantot šos te pārtvertos datus.

Pētījumā pārbaudītās bankas savas kļūdas atzīst negribīgi. Viņuprāt kibernoziedznieku uzbrukums klientu datiem esot ļoti teorētisks un dzīvē maz iespējams. Tomēr bankas jau gatavojot izmaiņas, lai klientu dati, kas tiek sūtīti citiem portāliem, būtu vēl drošāki.

Citadele banka pārstāve Ieva Prauliņa saka, ka tas, ka līdz šim bija šis te moments tas nenozīmē, ka šis te rīks bija nedrošs. Tas bija tā pat drošs, vienkārši šī ir papildus prasība papildus faktors ko banka tagad iekļauj datu apmaiņas protokolā kas paredz pastiprinātu atbildību no partālu puses autentificējot savus klientus.
Šis te rīks ir izstrādāts un tas sāks darboties aptuveni mēneša laikā.

Swedbanka pārstāvis Ivars Svilāns norāda, ka, protams, ka šīs lietas mēs esam skatījuši un arī šī konkrētā studenta pētījuma dati arī ir jau pirms kāda laika analizēti un ja arī bija kādas lietas uzlabojamas, tad dzīvē šīs nianses jau ir pielabotas. Tā ir tāda ļoti tehnoloģiska diskusija un šie riski, ko mēs redzam ir vairāk teorētiski un dzīvē viņi ir praktiski nerealizējami.

Latvijas valsts radio un televīzijas centrs, kas nodrošina virtuālā elektroniskā paraksta pakalpojumu, atzīst, ka problēma ir bijusi un šobrīd tā salabota. Jānis Bokta, LVRTC valdes loceklis norāda, ka ir bijušas bankas, kuras es negribētu nosaukt, kuras mēs uz laiku šīs autentifikācijas izņēmām un lūdzām pilnveidot šos procesus, kas tieši skar arī drošību.

Nav nekāds pārsteigums. Defense.lv pēc “pases autentifikācijas” skandāla jau brīdināja par internetbankas autentifikācijas riskiem.

Interesantāks jautājums ir kā LVRTC auditētajā un drošajā virtuālajā e-parakstā varēja būt caurumi? Vai LVRTC e-vēlēšanu portālu arī šitā auditēs?

Avoti:
Nekā personīga: http://www.tv3play.lv/play/280913/
TVNET: http://www.tvnet.lv/tehnologijas/nozares_jaunumi/435366-atpazistot_klientus_ar_internetbanku_atklati_drosibas_caurumi
Apollo.lv: http://www.apollo.lv/zinas/atklaj-ka-klientu-atpazisana-caur-internetbankam-ir-nedrosa/530045

Tagged: » » » » » » » » » »

2012-09-10  »  edgars

  1. autentificēts
    10 September 2012 @ 09:17

    Kur var iepazīties ar pētījumu un apskatīt bildes fonā redzamo filmiņu? Kaut kā pāragri liekas nolikt iesaistītās puses, jo informācija ir pārāk nekonkrēta.

  2. pētījuma autors
    10 September 2012 @ 11:34

    Ja Citadele un Swedbank kādreiz salāpīs savus protkolus, tad tas netiks nepamanīts. Kāpēc? Tāpēc, ka visiem portāliem, kuri izmanto šo banku autentifikāciju, būs nepieciešams veikt pārprogrammēšanas darbus savā pusē. Kamēr tas nav izdarīts, visi portāli, kas izmanto šo banku autentifikāciju ir pakļauti tam tur riskam, kurš “dzīvē praktiski nav realizējams”.

    Ja Citadeles pārstāve diplomātiski pavēstīja, ka drošība tiek uzlabota, tad Swedbank pārstāvja teiktais ir krāšņa makaronu karināšana.
    Starp citu, Swedbank bija vienīgā banka, kas atteicās sadarboties pētījuma tapšanā.

    Tuvākajās dienās pētījums tiks publiskots, tad katrs pats varēs novērtēt, cik kurš risks ir teorētisks.

  3. Anonymous
    10 September 2012 @ 21:20

    Gadījumā, ja Tu arī esi pētījuma autors, tad – “Starp citu, Swedbank bija vienīgā banka, kas atteicās sadarboties pētījuma tapšanā.” – un pareizi darīja, ko Tu iedomājies, ka banka ar kādu studentiņu, kurš pat nav viņu darbinieks palīdzēs šāda veida pētījumā, lai pēcāk šis pats studentiņš sava ego celšanai varētu paspīdēt tv, vai arī nopublicēt netā, kā Tu sakies grasies darīt?! Nu un pastāsti – ko tad tu iegūsi, atkal būsi zvaigzne uz 1 minūti, ja? :) Vai gribi pazīmēties čomiem mājās kādus ūber supertūļus skolā samācīja?! :) Ja arī kāds ko ļāva pētīt, un vēl vairāk publicēt tad tās ir tīrās pupu mizas no kā nevienam ne silts ne auksts.

    Pie kam pirmais raksts (par ko autors jau nez cik sen brīdināja itkā :) ) arī ir pilnīgs ūdens – Tu tiešām domā, ka hsm’s ir ir kaut kas tāds ko banka jau nu noteikti nevar atļauties? :) Atvaino, bet šādi raksti ierindojas vienā līmenī ar krāniņu mērīšanos , un raisa lieku paniku cilvēkos kas pirmo reiz dzird tik mistisku burtu savienojumu! Raksts ir tīra studentu līmeņa zīmēšanās ar mērķi ātri kļūt slavenam, nekas vairāk…

  4. petruha
    10 September 2012 @ 23:08

    Anonymous, beidz muldēt. Pēc tavas loģikas sanāk, ka drošības caurumus vispār nevajag meklēt un jebkurš, kurš kaut ko tādu dara un publicē, ir “studentiņš, kurš ceļ savu ego”. Neesmu īpaši iedziļinājies, bet problēma izklausās pietiekami nopietna, lai tai vajadzētu pievērst uzmanību. Labāk, protams, būtu bijis labāk, ja kāds, nevienam nezinot, izmantotu tavus personiskos datus vai identitāti.

  5. pētījuma autors
    11 September 2012 @ 12:55

    Sava ego celšana ir forša un pat vajadzīga lieta. Kas nav tik forši, ir maskēt savas neizdarības aiz slepenības plīvura. Tā specifikācija, ko Swedbank Latvia kategoriski atteicās dot, vēlāk tika atrasta Swedbank Estonia mājaslapā.

    petruha, pareizais jautājums ir, cik vēl personas par šiem caurumiem zināja, un cik daudz dati šo gadu laikā ir noplūduši un turpina noplūst.

  6. Me
    11 September 2012 @ 23:28

    Šāds pētījums ir tīri laba lieta. Un ja kāds baigi spļauj žulti, tad visticamāk tas ir pārgudrs banku darbinieks.

  7. Liberālis
    12 September 2012 @ 17:19

    Par šiem caurumiem jau zināju jau pirms A.Paršova maģistra darba, pie kam caurums ir vēl tagad arī pakalpojumu autorizācijā ar e-paraksta karti.
    Ar maģistra darbu iepazinos pilnībā, pārsteidza kļūdaino portālu skaits. Varu teikt ka tā ir neizdarība/nevēlēšanas pakalpojumu sniedzējiem un bankām ievērot pat tos komunikāciju protokolus, kuri ir attiecīgās mātes bankas specifikācijā (iPizza, TUPAS, AMAI)

  8. Anonymous
    13 September 2012 @ 21:16

    Virtuālo parakstu pie LVRTC auditēja IT centrs.

  9. Anonymous
    19 September 2012 @ 22:41

    Liekas gan, ka e-parakstu KPMG auditē regulāri

Re: Atklātas nopietnas drošības problēmas autentifikācijā ar internetbankas palīdzību







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>