Verujete li svojoj banci? … ili priča o SSL sertifikatima

Ono što svaki ozbiljan e-Commerce sajt (e-Commerce sajt = sajt koji nešto radi sa vašim parama) podržava je SSL način komunikacije sa vašim browserom kada je potreban poverljiv prenos podataka između vas i sajta. Informacija o tome da li je trenutna komunikacija sigurna ili ne se nalazi na dva mesta:

– u adresnoj liniji browsera; tada piše https umesto uobičajenog http
– u donjem desnom uglu browsera u vidu katančića; duplim klikom na taj katanac možete saznati više detalja o uspostavljenoj komunikaciji između vas i ciljnog sajta:

Dokaz o sigurnoj komunikaciji

Kako se uopšte uspostavlja sigurna komunikacija između vas i banke? Priča je malo duža:

Vaš browser poseduje listu Root CA (Root Certification Authorities), odnosno digitalnih potpisa kompanija kojima se veruje; kod IE možete ga naći u Tools / Internet Options / Content / Certificates / Trusted Root Certification Authorities. Ako kompanija želi da njen e-Commerce sajt bude “priznat”, ona traži izdavanje digitalno potpisanog sertifikata od nekog od Root CA; takav potpisan sertifikat garantuje da je identitet kompanije i samog sajta proveren od strane Root CA.

Kada pokušate pristup nekom sajtu koji počinje sa https://… ono što se (vrlo uprošćeno) dešava je:

  • Vaš browser zahteva SSL sertifikat sajta
  • Sajt šalje SSL sertifikat
  • Browser proverava digitalni potpis sertifikata, i poredi ga sa potpisima Root CA koje već ima
  • Ako su ispunjeni sledeći uslovi:
    1. Sertifikat je digitalno potpisan od strane Root CA
    2. Sertifikat je izdat upravo za tu adresu na koju ste otišli
    3. Sertifikat je važeći (svaki sertifikat ima rok trajanja),

    veza će biti uspostavljena i katančić će se pojaviti dole desno

  • Ako nešto od ovoga nije ispunjeno, bićete upozoreni

Ako je veza uspostavljena bez problema, to znači da je sajt prepoznat i da je upravo taj za koga se i predstavlja – potvrđen je identitet sajta, i možete da budete sigurni da vaše podatke ne dajete nekom zlonamernom hakeru – ovo je normalan način.

A sad, nazad na Balkan:

Već dugo vremena koristim on-line usluge HVB banke i solidno sam zadovoljan mogućnostima koje pruža:

  • Prenos sa deviznog na dinarski račun (drugi smer nije dozvoljen zbog naših bankarskih propisa)
  • Plaćanje uobičajenih dažbina (struja, telefon, KDS, Infostan itd)
  • Plaćanje svega što bi inače platili opštom uplatnicom

On-line site HVB banke koristi sertifikat potpisan od strane Verisign kompanije i preporučujem ih. I ovo je normalan način.

A sada srpski specijaliteti: imam račun i u Delta banci; oni takođe nude usluge on line bankarstva. No, ako pristupite e-banking sajtu Delta banke, dobićete “simpatično” upozorenje:

Sigurnosno upozorenje na Delta e-banking sajtu

Prvi uslov naveden gore nije ispunjen; ne izgleda simpatično, zar ne? Klikom na “View Certificate”, priča postaje jasnija:

Delta za Deltu

Hm, Delta potvrđuje da je Delta tako što sebi izdaje sertifikat? Malo kontradiktorno možda?

Kada kompanija želi da postavi SSL sertifikat na svoj sajt, ima dve opcije:

  1. Da kupi sertifikat od nekog verifikovanog Root CA (Verisign je najveći i najpoznatiji Root CA)
  2. Da sama generiše svoj certifikat

Delta banka se upravo odlučila za rešenje 2. Šta je problem sa tim rešenjem? Pa, browser nema pojma ko je Delta Banka i da li joj treba verovati; zato ste i dobili upozorenje. Ovo upozorenje se može otkloniti na dva načina:

  1. Instalirate sertifikat Delta Banke u vaš browser i time eksplicitno kažete browseru da verujete tom sajtu (kliknete na Install Certificate na gornjoj slici)
  2. Delta Banka kupi sertifikat ili sertifikuje svoj CA (to onda više nije “Root” već “Chained” CA) kod nekog poznatog Root CA

Drugo rešenje ne zahteva nikakvu intervenciju kod klijenta i uobičajena je u celom svetu – ni jedna svetska banka ne generiše svoje sertfikate, već kupuje sertifikate od Root CA kompanija i time omogućuje maksimalnu udobnost i sigurnost za svoje klijente.

Zato sam postavio pitanje tehničkoj podršci Delta banke, želeći da saznam razloge o izboru rešenja 2. za problem sertifikata. Odgovor koji je stigao je bio, blago rečeno, uznemirujući:

… Delta banka koristi root strukturu kako u e-rešenjima tako i u svojoj unutrašnjoj organizaciji, pa samim time smatramo da je pored ovako razvijenog sistema potpuno izlišno zahtevati potpisivanje naših ključeva od strane spoljnog autoriteta…

Molim? Cela priča o sertifikatima i jeste oko korišćenja treće strane (Root CA) oko arbitraže oko identiteta sajta, ali naši bankari izgleda taj detalj smatraju nevažnim i da ako “razviju sistem dovoljno”, da je potpisivanje sertifikata od priznatog autoriteta nepotrebno??

Ovo me je nateralo na malo istraživanje kakvo je stanje sa nekim od naših najvećih banaka i e-Bankingom na njihovim sajtovima. Evo rezultata tog istraživanja:

Banka Root CA Root CA priznat?
HVB Verisign DA
Reiffaisen Verisign DA
Nacionalna štedionica NSB Root CA Ne
LHB Banka E-smart.co.yu Ne + istekao
Hypo Alpe-Adria bank EBB Beograd CA 2 Ne
Meridijan banka MERIDIAN BANK CA Ne
Poštanska štedionica hb.posted.co.yu Ne
Continental banka 24×7.co.yu Root CA Ne
Jubanka E-smart.co.yu Ne
Komercijalna banka EBB Beograd CA 2 Ne

Malo depresivan rezultat … Znam da naše banke još nisu posebno interesantan zalogaj za hakere, ali osećaj koji stvaraju kod prosečnog srpskog korisnika e-Bankinga (šta god da iskoči sa bančinog sajta, klikni na “Yes”) će stvoriti sasvim plodno tle za uzimanje brojeva kartica, ili neku drugu vrstu zloupotrebe privatnih podataka (a ima ih, širom interneta).

Jasno mi je da kod nas i elektronsko bankarstvo mora da prođe dečije bolesti, samo sam se nadao da će taj period biti daleko kraći, iz prostog razloga što su tehnološki detalji na SSL polju odavno objašnjenji.

Ostaje samo nada da će odgovorna lica u gornjim i ostalim nepomenutim bankama shvatiti šta je za njihovu kompaniju i za njihove korisnike najbolja praksa.

12 thoughts on “Verujete li svojoj banci? … ili priča o SSL sertifikatima”

  1. Vidim da nemaš Zepter banku u spisku, a to beše banka koja je imala uputstvo na sajtu koje kaže da bi korisnik trebalo da smanji (ispod defaulta) sigurnosni nivo u IE-u da bi mogao nesmetano (bez stalnih pitanja ovakve vrste) da koristi njihov servis.

    Potpuni biser zbog koga mi nikada neće pasti na pamet da bilo šta radim sa Zepter bankom, osiguranjem niti bilo čime iz te grupe.

  2. Šta sve ovo znači običnom korisniku, odnosno u čemu se sastoji rizik?
    Jedan od mogućih scenarija je sledeći:
    – Bilo ko od zaposlenih developera/administratora u banci odn. firmi X može da generiše proizvoljan broj sertifikata (“izdatih” od firme X) koje može da pokloni ili proda bilo kome, a takođe u nekom trenutku i sam da ih zloupotrebi.
    – Posedovanje sertifikata otvara vrata hakerima da dođu do ličnih i finansijskih podataka korisnika banke X predstavljajući se kao ta banka. Obično je dovoljno poslati cirkularni e-mail (zaposlenom u banci takođe mogu biti na raspolaganju i e-mail adrese korisnika) u kome se zahteva od korisnika da “potvrde” svoje finansijske podatke (phishing) na za te prilike napravljenom sajtu koji se predstavlja kao sajt banke X.
    Ovo je samo jedan od mnogo načina da se prevare korisnici. Iako jednostavan za izvođenje ima prilično visok stepen uspešnosti (oko 3%).
    Drugo važno pitanje je, zašto zaista neke banke kreiraju spostvene sertifikate a ne kupuju ih kod nekog Root CA? Zato što nisu svesne rizika po svoje korisnike, zato što ih nije briga ili da bi uštedele par stotina dolara?

  3. Odlican ti je ovaj tekst! 😉 Inace, ja koristim e-banking kod Raiffeisen-a pa me bas zanimalo.
    Inace, “zanimljivost” koja mi se desila sa njima povodom Visa Electron kartice i sigurnosti. Kartica mi je bila blokirana (moja greska :)) i trebalo mi je dve nedelje da nabodem telefon (tj. da mi se neko javi) posto je to JEDINI nacin da se kartica odblokira. 😉 Zbog “sigurnosti”, moras licno da pozoves i navodno das podatke koje SAMO TI znas. 😉 Kad sam konacno dobila, covek mi je trazio da mu kazem ceo broj kartice. Ja krenem da trazim po tasni i on kao “ako nemate, nema veze – moze samo poslednja 4 broja. Kako se zovete?”. Znaci, to je SVE sto me je pitao da bi mi odblokirao karticu. Oba podatka se mogu naci na samoj Visa Electron kartici, tako da ako mi neko ukrade karticu moze bez problema da je odblokira samo ako zna ovo sto ja sad znam, a lako bi se dalo saznati. 😉 Toliko o njihovoj vajnoj sigurnosti! 🙂

  4. Osnovni razlozi zbog kojih banke kreiraju svoje sertifikate su, po lično razmenjenim mailovima / telefonskim razgovorima:

    1. Nepoznavanje / neupućenost kako sertifikati rade i zašto je uspostavljena trojna veza (Banka Root CA korisnik)

    2. Arogancija

    3. Nebriga

    4. Nebriga

    Čak i ako pokušate da dođete do nekog bitnog, ili taj mail nije moguće naći na sajtu (sajtovi većine naših banaka su _katastrofalni_) ili ta bitna osoba nema dovoljno tehničkog predznanja da objasni u čemu je problem i kako ga uspešno rešiti.

  5. Znači (kao i sa većinom stvari u ovoj državi) potrebno je da se desi skandal u vidu krađe većih razmera da bi neko naučio čemu služi sertifikat i da bi potrošio koji dolarčić na to.

  6. E, covece svaka cast! Odvojio si svoje vreme da bi nama pruzio zaista vrednu informaciju!
    Elem.Korisnik sam “TOKEN” uredjaja JUBAKE za placanje kucnih racuna,struja, grejanje,potrosaki kredit,itd…Do sada nisam imao problema i nadam se da necu,mada…nikad se nezna.Doduse taj racun mi samo za to i sluzi i ako bi mozda neko i pokusao da sa tog racune nesto skine, ne bi se bas nesto ni ovajdio!
    Samo me zanima kako moze da se utice da ne bi doslo do nekakve vece pizadrije i da li u opste moze?
    Licno mislim da veoma tesko!!!

  7. Ovo je više bila priča o tome kako naše banke ne pružaju potpuno kompletnu uslugu i kako se nemarno odnose prema nama, korisnicima.

    Verujem da svaki sistem ima slabosti, ali da su današnji sistemi, i ovi naši, dovoljno sigurni za svakodnevnu upotrebu.

    Neka mera predostrožnosti je možda da ne držiš sva jaja u istoj korpi 🙂 tj. da imaš otvorene račune i u drugim bankama.

  8. Pozdrav,
    Instaliranjem certifikata gore navedenim postupkom
    se dobije pristup internet eksplorerom web odredišta sa ssl-om.
    Ja imam problem slične prirode:
    skidam mail sa servera koji koristi SSL.
    Svako pokretanje outlooka zahtjeva potvrdu korištenja
    certifikata koji nije verificiran.
    Kako ovo potvrđivanje nakon nekoliko ponavljanja postane “dosadno”, a
    instalacija certifikata pomaže samo kod pristupa eksplorerom, da li neko
    zna kako u outlook dodati ovakav certifikat kako nebi svaki put tražio
    potvrdu o korištenju servera.

    Hvala,
    Ivica

  9. Ja samo da dodam da je prica potpuno jasna i ne treba da iznosim vec poznate detalje.Hteo sam samo da dodam da koristim online Continental banke i da su me vec izludeli do te mere da u momentima kada koristim njihov online sistem imam neodoljivu zelju da razbijem racunar. Da bih platio obican racun za struju meni je potrebno minimum 1 sat vremena da to obavim.Puno manje vremena bih potrosio da sam protegao noge i otisao do saltera poste ili banke da to uradim. E te muke sam imao dok sam koristio Windows XP Pro a sada kada sam instalirao Windows Vistu moje muke su nestale. Sada jednostavno uopste ni ne mogu da izvrsim bilo kakvo placanje ili prenos novca. Browser me jednostavno iskljuci. U banci su mi rekli da se vratim na XP. ZAMISLITE imaju neodoljivu zelju da me vrate u kameno doba. Ili hoce moj mozak tamo da smeste.
    Da i da dodam koliki je napredak. Ovaj tekst je pisan kada je pisan a ja se javljam evo danas.

  10. Za “obične” korisnike preporučujem on-line banking Unicredit banke.

    Što se sertifikata i ostalog tiče – prosto imamo neuke korisnike koji uzimaju zdravo za gotovo da je takvo stanje onako kako treba da bude, i banke gledaju da pokupe što više kajmaka preko kredita no da povećaju udobnost korisnika.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.