Subwencja ogólna składa się z 3 części

Rozwiązania typu plug-ins, czyli popularnie w Polsce nazywane “wtyczkami”, cieszą się mniejszym powodzeniem. Są to pewne dodatki oprogramowania do przeglądarek, które najczęściej korzystają z protokołu SSL, rozszerzają go lub zastępują. Oprogramowanie to klient otrzymuje od banku na CD lub poprzez Internet, po czym instaluje je u siebie na komputerze. Wadą tego rozwiązania jest fakt, iż bank musi plug-insy sam tworzyć (aplikacja bankowa), co wpływa na jego koszta oraz oprogramowanie to musi być projektowane z myślą o wszystkich systemach operacyjnych, ponieważ klient nie musi mieć konkretnego zainstalowanego na swoim komputerze.

Rozwiązania bazujące na technologii Java są podobne do plug-inów, ponieważ także wykorzystują przeglądarki. Jednakże są różnice. Applet, czyli specyficzny program ładowany jest najczęściej z sieci, co ma swoje zalety i wady. Zaletą jest szybkość jego aktualizacji, zaś wadą fakt, że jest pobierany z Internetu, przez co bank musi go szyfrować i sygnować swoim cyfrowym podpisem. Ponadto program ten nie musi napisany być pod konkretny system operacyjny, jak to jest w przypadku plug-inów.

Bezpieczeństwo powyżej omówionego kanału dystrybucji w bankowości internetowej jest bardzo ważne. Jednak równie dobrze musi być zabezpieczony przed atakami cyber-przestępców wewnętrzny system banku. Każda próba wtargnięcia osób postronnych do niego zakończona sukcesem może odwrócić zainteresowanie klientów banku o 180 stopni. Bank musi zatem zrobić wszystko, aby ludzie mogli dostawać się do ich serwisu, jednak tylko ci, którzy są ich prawdziwymi klientami – głównie to jest przyczyną problemów w zastosowaniu zabezpieczeń.

W celu zabezpieczenia swoich komputerów, banki stosują tzw. firewalle (w dosłownym tłumaczeniu z ang. ściana ogniowa). Zadaniem ich jest filtrowanie wszystkich danych przychodzących do komputerów banku. Firewalle ograniczają[39]:
?nieautoryzowany dostęp do serwerów banku,

?ataki typu DoS (Denial of Service) – atak tego typu powoduje, że usługa przestaje działać, bądź nie pozwala z siebie korzystać (najczęściej to jest skutkiem wysyłania przez cyber-przestępcę dużej ilości zapytań, przez co usługa się blokuje)

?ataki typu SMURF – intruz wysyła wiele “requestów” (próśb) PING na adres rozgłoszeniowy danej sieci, przy czym requesty mają spreparowany adres nadawcy, tak aby wskazywał on na atakowany komputer. W rezultacie ofiara jest “zalewana” setkami odpowiedzi PING.

?podszywanie się za klienta banku (intruz przesyła sfałszowane adresy w pakietach IP)

Amerykański bank Security First Network Bank to bank internetowy, który daje pełną gwarancję niezawodności swojego wewnętrznego systemu. Stosuje on skomplikowany system firewall, a ponadto poszczycić się może posiadaniem specjalnego systemu operacyjnego Virtual Bank Manager, który zapewnia podzielenie indywidualnych kont. Jest to istotne, ponieważ nawet jeśli komuś udałoby się przedostać przez “ścianę ogniową”, to i tak ma tylko dostęp do jednego rachunku. Mało tego – bank jest na tyle pewien swoich zabezpieczeń, że daje swoim klientom gwarancję zabezpieczeń w postaci pełnego pokrycia szkód na wypadek, kiedy bank (konto klienta) stanie się ofiarą przestępstwa cyber-oszusta. Jak dotąd – bank już od października 1995 roku funkcjonuje – nikomu nie udało się włamać do wewnętrznej sieci banku, a zatem żaden klient nie został poszkodowany.

Bezpieczeństwo wewnątrzbankowe może być także zachowane na najwyższym poziom poprzez dawanie swoim pracownikom minimalnych i niezbędnych uprawnień (niezbędnych do pracy), możliwości dostępu do rachunków. Ważne jest również przygotowywanie procedur awaryjnych, sprawdzanie zabezpieczeń oraz ewentualne aktualizacje oprogramowań na komputerach banku. A jak należy zabezpieczać swój komputer?

Microsoft Windows jest najczęściej spotykanym systemem operacyjnym na świecie. Sam system, jak się okazuje, nie jest pozbawiony wad, dlatego też bardzo istotne jest, aby włączyć funkcję automatycznego powiadomiania o aktualizacjach systemu. Poprzez tego typu aktualizacje z Internetu, instalowane są na komputerze “łaty” poprawiające zabezpieczenie systemu. Zaleca się także nie używać oryginalnej przeglądarki systemu Windows, a Mozilli czy Opery, które (jak czas nas uczy) nie zawierają tylu “tylnych drzwi”, którymi cyber-oszuści mogą dostać się do komputera i danych na nim zgromadzonych. Nie można jednak zapomnieć o ich aktualizacjach, gdyż naturalnie programy te także nie są doskonałe. Tak jak serwery bankowe, taki i komputer osobisty klienta powinien używać zapór ogniowych, czyli popularnych firewalli.

Istotną blokadą usprawniającą zabezpieczenie systemu komputera użytkownika jest program antywirusowy, który nawet codziennie można uaktualniać. Ściągane nowe sygnatury dla programu anywirusowego, zawierają informacje o nowych wirusach, aby ten mógł je wykryć. Również tego typu programy wykrywają tzw. konie trojańskie, które działaniem podobne są do wirusów. Jest to aplikacja, która podszywa się pod aplikacje komercyjne, poprzez co kopiuje hasła czy pliki bez wiedzy użytkownia. Najpopularniejsze programy antywirusowe to Norton Antivirus[40], Panda Antivirus Titanium[41] czy McAfee Antivirus[42].

Transakcje w bankowości internetowej można przeprowadzać z każdego komputera, co nie znaczy, że jest to zalecane. Należy unikać komputerów, z których korzystają osoby nam nieznane. Nie jest bezpiecznie korzystać z komputerów na przykład kafejek internetowych czy komputerów z pracy. Należy chronić przed złodziejami urządzenia typu token czy loginy, hasła dostępowe wymagane do uwierzytelnienia konta. Nie powinno się także podawać nikomu haseł, nawet osobom pracującym w banku. I wreszcie nie należy odpowiadać na elektroniczne wiadomości e-mail, rzekomo od banku, które proszą o podanie haseł. Trzeba czujnie obserwować zachowania systemu transakcyjnego i jeśli jest coś, co wydaje się dziwne, nie wolno się wahać i od razu dzwonić na infolinię banku.

Wykonanie wszystkich tych zalecanych czynności, powinno chronić każdego użytkownia korzystających z e-usług przez Internet.

3.3.Charakterystyka procedur kryptograficznych

Owym kluczem może być długi ciąg znaków w zapisie dwójkowym. Im znaków więcej, tym większy jest klucz szyfrujący i tym trudniej dla osób postronnych złamać szyfr (bez klucza deszyfrującego).

Oba klucze (szyfrujący i deszyfrujący) nie muszą być identyczne, zaś istotne jest, aby strony komunikacji używały tej samej procedury szyfrującej. Występują dwa rodzaje szyfrowania:
? szyfrowanie symetryczne

? szyfrowanie asymetryczne

Najpopularniejszym symetrycznym algorytmem szyfrującym jest DES (Data Encryption Standard), który został stworzony w 1977 roku przez dużą firmę IBM. W tym samym roku rząd Stanów Zjednoczonych przyjął go za oficjalny standard. Na początku DES oparty był na 56-bitowym kluczu, co teraz nie jest już zabezpieczeniem nie do złamania. Dlatego też zmodyfikowano ten algorytm do wersji z kluczem 128-bitowym (Triple-DES), który w dalszym ciągu daje dużą gwarancję bezpieczeństwa szyfrowanych danych. Do kodowania/dekodowania danych używany jest 1 klucz. Z tego względu protokół DES musi być wspomagany przez protokoły umożliwiające bezpieczną wymianę klucza poprzez sieć rozległą.

Innym algorytmem symetrycznym jest 128-bitowy IDEA (International Data Encryption Algorithm). Stworzono go w latach 90-tych w Europie z myślą o większym bezpieczeństwie danych, gdyż uważano że wielkość kluczy DES-a jest za mała. Inną ważną przyczyną były regulacje prawne w USA uznające DES za produkt o znaczeniu militarnym i tak używanie go poza granicami tego kraju - bez stosownych licencji – było czynem przestępczym. Działo się tak, ponieważ prawo USA zabraniało do dnia 14 stycznia 2000 roku eksportu technologii szyfrowania stosujących klucze “mocniejsze” niż 56 bitów. Stwarzało to blokadę dla rozwoju bankowości internetowej w Europie (eksportowano systemy operacyjne wraz z uboższą wersją przeglądarki). Istniała potrzeba znalezienia algorytmu, którego stosowanie nie prowadziłoby do konfliktów z amerykańskimi organami bezpieczeństwa. I tak IDEA to algorytm, z którego korzystać można bezpłatnie do celów niekomercyjnych. Klucze używane przez algorytm IDEA są złożone z 128 bitów, co oznacza, że poszukiwanie pasującego klucza do pary kryptogram (poprzez wypróbowywanie wszystkich kluczy) jest niewykonalne. Mimo wielkości kluczy programy szyfrujące i deszyfrujące według algorytmu IDEA nie są wolniejsze niż programy realizujące DES.

Poza tymi dwoma wymienionymi algorytmami szyfrującymi symetrycznie można się doszukąc innych : AES (Advanced Encryption Standard), SQUARE, SAFER (Secure And Fast Encryption Routine), RC2. Zaletą tych wszystkich systemów szyfrujących jest szybkość szyfrowania oraz stosunkowo prosta rachunkowość. Wadą - konieczność bezpiecznej wymiany kluczy przed komunikacją, oraz potrzeba posiadania oddzielnego klucza dla każdej pary nabywca/odbiorca[43].

Natomiast szyfrowanie asymetryczne, jak można się domyśleć, polega nie na posługiwaniu się przez obie strony tym samym, identycznym kluczem, zaś dwóch różnych. Klucz publiczny i klucz prywatny tworzą parę. Ten pierwszy jest dostępny dla wszystkich, zaś tego drugiego powinno się bardzo dobrze strzec. Metoda szyfrowania asymetrycznego polega na tym, iż dane szyfrowane są jednym kluczem z pary i aby je odszyfrować należy użyć drugiego klucza. Nadawca zatem wysyłając wiadomość, używa klucza publicznego odbiorcy, a wówczas ten posiadający odpowiedni, pasujący klucz prywatny, będzie w stanie odkodować wiadomość. W szyfrowaniu symetrycznym przed wymianą zaszyfrowanych informacji nadawca i odbiorca muszą najpierw wymienić klucze (aby te były takie same), zaś w szyfrowaniu asymetrycznym nie jest to konieczne. Poprzez takie szyfrowanie, obie strony nie muszą siebie spotykać, znać.

Najbardziej znanym szyfrowaniem asymetrycznym jest algorytm RSA o długości klucza 768 bitów. Stworzyła go w 1978 roku trójka utalentowanych matematyków z MIT – Ronald Rivest, Adi Shamir, Leonard Adleman. Obecnie już mamy algorytmy RSA o długościach klucza od 512 do nawet 4096 bitów. Wadą szyfrowania asymetrycznego jest powolność oraz ogromna rachunkowość, przez co tylko najpotężniejsze komputery świata mogą odkodowywać szyfr o tymże algorytmie.

Pewnego rodzaju udoskonaleniem szyfrowania symetrycznego i asymetrycznego są systemy hybrydowe. Użytkownik nie musi już wymieniać z bankiem tajnego klucza, bowiem nie występuje tutaj (znany z szyfrowania asymetrycznego) długi czas obliczeń szyfru. Ponadto metoda ta jest jakby połączeniem wyżej wymienionych dwóch metod, gdyż w sposób symetryczny odbywa się szyfrowanie danych (wykorzystuje się zwykle metodę DES), natomiast w sposób asymetryczny odbywa się wymiana tego samego klucza tzw. klucza sesyjnego. Sesja wymiany informacji wygląda więc tak: strona inicjująca komunikację generuje losowo klucz sesyjny, następnie szyfruje jego treść za pomocą publicznego klucza odbiorcy. Odbiorca odszyfrowyje klucz sesyjny swoim kluczem prywatnym i informuje nadawcę o gotowości do przesyłu danych[44]. Dalsza interakcja komputera klienta z komputerem banku odbywa się na zasadzie algorytmu symetrycznego.

Najczęściej wykorzystywanym systemem hybrydowym jest protokół SSL (Secure Socket Layer) pozwalający na przesyłanie danych w standardzie HTTPS (HyperText Transfer Protocol - Secure). Firma Netscape stworzyła ten sposób szyfrowania danych. Do korzystania z metody SSL potrzebna jest przeglądarka internetowa, która już sama w sobie posiada “siłę szyfrowania” danych o mocy 128-bitów. Istnieje także szyfrowanie za pomocą innego protokołu - SSL/SGC (Server Gated Cryptography). Niektóre banki (Fortis Bank) używają protokołów SSL/SGC 128 bitów, chociaż należy podkreślić, iż SSL jest uważany za bezpieczniejszy (większość banków ma SSL).

Podczas inicjalizacji bezpiecznego połączenia odbywa się szereg czynności, które komputery banku i użytkownika muszą sprawdzić – ustalenie wersji protokołu, kluczy, rodzaji kompresji danych, hashowania, szyfrowania i tym podobne. Co ważniejsze odbywa się także wymiana certyfikatów obu stron, weryfikująca ich wierzytelność. Klucz sesyjny użyty do połączenia banku z klientem jest - jak wcześniej zostało wspomniane - kluczem sesyjnym, który prawidłowo będzie funkcjonował tylko przy tym jednym, konkretnym połączeniu. Od 2002, najczęściej stosowane na świecie są klucze o długości 128 bitów, które jeszcze pod koniec XX wieku były zastrzeżone jedynie dla zastosowań militarnych i rządowych w USA..

Zgodnie z artykułem 3, pkt 1 ustawy o podpisie elektronicznym z dnia 18 września 2001 roku, podpis elektroniczny to “dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone, lub z którymi są logicznie powiązane, służą do identyfikacji osoby skłądającej podpis elektroniczny”[45]. Podpis cyfrowy (zamiennie nazywany) to - innymi słowy - ciąg bitów, sekwencja znaków, która dołączona do przesyłanych danych ma stanowić podstawę weryfikacji wierzytelności jego posiadacza. Podpis ten jest odpowiednikiem podpisu odręcznego, jego znaczenie prawne jest takie same. Podpis cyfrowy daje gwarancję identyfikacji stron umowy. Wykorzystanie tego podpisu przy jakichkolwiek transakcjach pomiędzy stronami jest potwierdzeniem tożsamości podpisującego, a także jednoznacznym zaaprobowaniem umowy lub dokumentu przesłanego przez Internet.

Cały proces podpisywania elektronicznego dokumentów przebiega w następujący sposób[46]:
?Pakiet danych, który ma zostać wysłany przez nadawcę, formatowany jest w ciąg bitów.

?Z powyższego ciągu przy pomocy jednokierunkowej matematycznej funkcji skrótu generowana jest unikalna wartość hash (ekstrakt wiadomości).

?Otrzymany ekstrakt szyfrowany jest kluczem prywatnym nadawcy i tak otrzymany kryptogram stanowi podpis cyfrowy.

?Pakiet danych razem z podpisem wysyłane są do odbiorcy.

Inteligo korzysta ze standardowych technik podpisu elektronicznego bazując na algorytmach jawnych o długości 1024 bitów. Algorytm stosowany przez Inteligo jest standardem ogólnoświatowym i zapewnia niezaprzeczalność oraz możliwość kontroli spójności przesyłanych przez nas wyciągów[47]. Jak widać polskie banki stosują najwyższej klasy zabezpieczenia (w tym wypadku podpisu cyfrowego). Aby e-podpisy spełniały swoją rolę muszą być zabezpieczone przez użyciem ich przez osoby trzecie. Jest to zadaniem certyfikatów.

Certyfikat to rodzaj elektronicznego zaświadczenia, za pomocą którego dane służące do weryfikacji podpisu są przyporządkowane do osoby posługującej się nim oraz potwierdzają jej tożsamość. Wydawane one są przez tzw. Jednostki Certyfikujące (Certificate Authority – CA), które pracują w strukturze hierarchicznej. Narodowy Bank Polski (NBP) stoi najwyżej w hierarchii, jeżeli mowa o Polsce. Jednostki mu podległe, otrzymując od NBP certyfikat, uzyskują wiarygodny certyfikat dla siebie. Następnie taka jednostka może emitować certyfikaty dla konkretnych banków, zaś one robić to samo dla swoich klientów.

Certyfikat ma postać zaświadczenia z imieniem i nazwiskiem osoby, jednakże nie będzie posiadał danych, które mogłyby ułatwić osobom trzecim kradzież środków na rachunku. Standardowy certyfikat przechowuje następujące dane: publiczny klucz szyfrujący właściciela, data wygaśnięcia certyfikatu, nazwa właściciela, nazwa wystawcy certyfikatu (CA), wreszcie dodatkowe informacje, potrzebne dla konkretnych zastosowań[48].

Owe certyfikaty dają użytkownikowi pewność, iż strona z którą się połączył jest faktyczną stroną banku, a nie stworzoną przez cyber-oszustwów, którzy budują systemy, a na nich strony, które tylko zbierają informacje o klientach banku, aby później wykorzystać je w celach kradzieży. Pomaga tutaj protokół SSL (o którym mowa była wcześniej), który pobiera certyfikat banku i jeśli ten będzie zaakceptowany przez wbudowany w przeglądarkę internetową SSL, wtedy komputer akceptuje certyfikat i po ustaleniu procedur szyfrujących między stronami (system hybrydowy), wchodzimy na stronę serwisu banku.

Z kolei bank, aby mógł zweryfikować osobę próbującą wejść do jego komputera, musi powziąć pewne starania i zabezpieczenia. Do nich możemy zaliczyć:

?Tokeny elektroniczne

?Karty mikroprocesorowe (tzw. smart card)

?Techniki biometryczne

3.4.Identyfikacja i uwierzytelnienie użytkownika

Identyfikacja użytkownika (login, hasło) jest najprostszą formą logowania użytkownika do systemu banku. Poprzez login oraz hasło, które klient dostaje od banku, ten może najczęściej tylko sprawdzać stan swojego rachunku. Jeśli natomiast chce dokonywać zmian na swoim rachunku, wówczas stosowane są dodatkowe zabezpieczenia, gdyż najprostsza forma uwierzytelniania nie jest bezpieczna w dzisiejszych czasach. Jeżeli chodzi o login to jest on tworzony przez bank, a zasadami jego budowy mogą być na przykład : numer rachunku, numer karty płatniczej, numer nadany przez bank użytkownikowi w ich systemie, itp oraz nie jest on najczęściej krótszy niż 4-6 znaków (to samo dotyczy hasła). Najczęściej jest to kombinacja cyfr i liter. Hasło, które z loginem tworzy komplet indentyfikacyjny użytkownika, które użytkownik może dowolnie zmienić, aczkolwiek nie można posiadać hasła bardzo trywialnego i łatwego do odgadnięcia dla osób niepowołanych (hasła takich samych jak login czy imiona, nazwiska posiadaczy rachunku). Najbezpieczniej jest wymyślić hasło, które złożone jest z cyfr i liter czy innych znaków z klawiatury. Czasami banki dopuszczają do stosowania haseł z małymi i wielkimi literami – taka forma zabezpieczenia jest o wiele bardziej skuteczna. Jeżeli podane zostaną trzykrotnie błędne hasła przy próbie logowania do systemu bankowego, wówczas rachunek jest automatycznie blokowany, a jego odblokowanie odbywa się poprzez kontakt posiadacza rachunku z bankiem. Zaleca się, aby zmieniać hasło, co powien okres czasu w celu lepszego zabezpieczenia. Bank wymaga zwykle podawania haseł także przy zatwierdzaniu operacji dokonywanych przez Internet oraz po kilkuminutowej przerwie w korzystaniu z usług (klient zostaje wtedy wylogowany i musi powtórnie zalogować się do systemu)[49].

Jedynym wymogiem tej metody jest, aby użytkownik pamiętał te dwie dane lub je zapisał i strzegł przed osobami postronnymi. Nie ma tutaj dodatkowych oprogramowań czy wymagań sprzętowych, które są niezbędne dla tego typu identyfikowania klienta banku (niskie koszta wdrożenia).

Hasło, służące do logowania użytkownika do systemu banku, może być również generowane przez specjalne urządzenie kryptograficzne, tzw token.

Tokeny są niewielkiej budowy urządzeniami zabezpieczającymi, które silnie uwierzytelniają użytkownika. Rozmiarem porównywalny jest do breloczka lub małego kalkulatora. Najczęściej podłącza się go pod port USB w komputerze. To urządzenie kryptograficzne posiada wbudowany zegar czasu rzeczywistego, na którego podstawie generuje on ciągi cyfr według określonego algorytmu szyfrowania i klucza. Generowanie kodów poprzez token na podstawie zegara czasu rzeczywistego jest tylko jedną z kilku metod.Wygenerowane kody użytkownik wpisuje wówczas, gdy chce zostać przez system banku rozpoznany lub potwierdzić transakcję. Po drugiej stronie transakcji, czyli od strony banku, wygląda to tak, iż bank wie jaki kod powinien być w danym momencie pokazany przez token. Gdy token pokaże wygenerowany kod użytkownik ma minutę czasu na wpisanie go, gdyż kod wygasa po tym czasie. Wygasa on również po wykorzystaniu go w operacji.

Bardziej skomplikowane tokeny wykorzystują tzw. metodę challenge-response, czyli “hasło-odzew”[50]. Proces generowania kodu tą metodą przebiega w następujący sposób. Posiadacz tokena najpierw wpisuje do niego kod, który podany jest na stronie banku, zaś dopiero wtedy klienta urządzenie generuje kod, który z kolei wpisuje się na stronie banku.

Jeszcze inną metodą generowania kodów przez token jest generowanie na podstawie zewnętrznych bodźców świetlnych. Diody umieszczone na tokenie analizują natężenie światła. Serwis banku poprzez stronę internetową oraz monitor komputera potrafi “przekazać” tokenowi tajny kod. Bardzo rzadko jednak stosuje się tego rodzaju tokeny.

Każdy token produkowany obecnie zabezpieczony jest hasłem PIN (5-cio cyfrowy - Bank Zachodni WBK S.A.).Użytkownik ma tylko 3 próby wpisania prawidłowego hasła, a jeśli 3-krotnie poda błędne hasło to token automatycznie się blokuje (tak samo jak karty płatnicze). Istotne to jest przy kradzieżach czy zgubieniu go. Skradzenie tokena powinno się bezzwłocznie zgłaszać odpowiednim liniom telefonicznymi banku, aby ten zablokował go.

Karty mikroprocesorowe (karty chipowe) są także pewnym zabezpieczeniem, o którym warto wspomnieć. Bank wydaje tego rodzaju karty swoim klientom. Karta taka jest unikatowa oraz posiada wbudowane zabezpieczenie przed kopiowaniem, przez co tylko kradzież oryginalnej karty może spowodować przejęcie władzy nad rachunkiem posiadacza tejże karty. W przypadku ewentualnej kradzieży, zgubienia jej, klient dzwoniąc (na przykład) do banku może poprosić o jej zablokowanie. Po czym bank wydaje nową.

Karty chipowe są rzadziej wykorzystywane przez banki, ponieważ wiąże się to z większymi kosztami. Użytkownik potrzebuje czytnik tych kart. Czytnik ten podłączany jest do komputera jako urządzenie zewnętrzne do portu USB (najczęściej) lub do portu szeregowego RS-232 (rzadziej już teraz stosowany port).

Powstały również urządzenie hybrydowe, które są połączeniem możliwości tokena oraz czytnika kart mikroprocesorowych. Czytniki te nie są podłączane do komputera, lecz generują unikatowe kody cyfrowe, które użytkownik przypisuje do systemu.

Podobnym to kart chipowych rozwiązaniem są tzw. Smart cards, czyli karty, które posiadają wbudowany klucz szyfrujący.