"Nie musisz biec szybciej od niedźwiedzia. Wystarczy, jeśli biegniesz szybciej od najwolniejszej osoby w grupie"
Pamiętacie to stwierdzenie? Chodziło o to, że nie trzeba dążyć do bezpieczeństwa absolutnego (zresztą jest to niemożliwe), wystarczy jeśli atakujący mają do dyspozycji łatwiejsze cele. To podejście nie działa wtedy, gdy atakujący ma konkretny cel i w jego osiągnięcie może zaangażować spore środki. Ale to już zupełnie inna historia.
Trzymajmy się tej metafory z niedźwiedziem. Goni on naszą grupę i kolejni jej członkowie stają się jego ofiarami. Albo giną, albo czując na plecach jego oddech, biegną szybciej. I w pewnej chwili dochodzimy do sytuacji, gdy to właśnie my jesteśmy tą najwolniejszą osobą z grupy...
To, czego czasem mi brak u różnych instytucji, to brak proaktywnego podejścia do bezpieczeństwa. Brak jest monitoringu tego, co się dzieje, jak wygląda sytuacja "na rynku", jakie zabezpieczenia stosują nasi konkurenci i jak atakujący radzą sobie z tymi zabezpieczeniami. Do znudzenia można powtarzać, że bezpieczeństwo nie jest stanem, ale procesem. Rozwiązania wystarczająco skuteczne dziś mogą okazać się niewystarczające jutro.
Wiele banków stosuje te same mechanizmy bezpieczeństwa - hasło maskowane przy uwierzytelnieniu i kod SMS przy autoryzacji transakcji. Od dłuższego czasu wiemy jednak, że te zabezpieczenia nie są wystarczająco skuteczne w obronie przed atakiem z użyciem malware. Wystarczy popatrzeć kiedy po raz pierwszy pojawiło się hasło Zitmo.
Do tego ataku potrzeba (co najmniej) dwóch rzeczy:
- wersji malware przygotowanej pod konkretny bank,
- "współpracy" ze strony klientów banku,
Jest jeszcze trzeci czynnik - wystarczające nasycenie rynku (a więc i populacji klientów banków) telefonami, na których Zitmo może działać.
Na początku atakowane były większe banki. Może i stosowały takie same środki zabezpieczeń, co te mniejsze, ale dla atakujących "zwrot z inwestycji" w ich przypadku był największy. Po prostu większa była szansa, że malware trafi na stację (i telefon) klienta tego banku z tej prostej przyczyny, że tych klientów było po prostu najwięcej. Czysty rachunek prawdopodobieństwa i statystyka.
I tu właśnie dochodzę do sedna - mniejsze banki mogły czuć się bezpieczne, choć wcale nie powinny. Ich zabezpieczenia wcale nie były skuteczniejsze od tych banków, które były skutecznie atakowane. Były (z grubsza) takie same. Ewoluuj, albo giń...
Te banki, które były zaatakowane jako pierwsze, musiały zmodyfikować swoje zabezpieczenia. Ta zmiana nie musiała być wcale widoczna dla klientów, mogła dotyczyć wykrywania różnego rodzaju anomalii i nietypowych zachowań, wykrywania i blokowania prób wyprowadzania pieniędzy. Te, które czuły się bezpiecznie, nagle zostały z tyłu i również stały się celem ataków.
Jeśli nagle Twój bank zaczyna przypominać o zasadach bezpiecznego korzystania z bankowości internetowej, wiedz, że coś się dzieje...
P.S. Tu warto przypomnieć o hipotezie Czerwonej Królowej.
P.S2. Na otwarte komunikaty banków o tym, że ich klienci są atakowani z użyciem malware wciąż nie za bardzo można liczyć.
Banki w walce z malware są w trudnej sytuacji, nie bez wyjścia - tutaj naprawdę się dzieje.
Osobiście mam problem z tym co robią ci co mają bliżej do Klienta banku - np. mali/średni/duzi ISP (co z wykrywaniem ruchu ZeuS P2P i reakcją na to?) /ESP (gdzie SPF, DKIM, DMARC?), właściciele stron www o wysokiej reputacji, z których dochodzi do infekcji (drive by download), itd.
Nie zrzucajmy wszystkiego na ostatni bastion, szczególnie, kiedy niemal cała bitwa o jego skarby odbywa się poza nim...
Z Twoim ostatnim stwierdzeniem nie do końca się zgadzam. Oczywiście dobrze by było, gdyby wszyscy działali dla wspólnego dobra (np. wspomniani przez Ciebie ISP). Tak samo byłoby dobrze, gdyby klient był świadomy i nie wpuszczał na swój komputer/telefon malware. Tak niestety nie jest. I taki "zawiedziony" klient idzie później do sądu, a sądy... Cóż, bank potem może mieć spore problemy z udowodnieniem "należytej staranności", zwłaszcza jeśli w jakimś stopniu "odstaje" od konkurencji pod względem mechanizmów bezpieczeństwa.
Z moich obserwacji wszyscy(?) robią wiele by utwardzić jeszcze bankowość na wielu warstwach (nie tylko technicznych). Nie wiem czy banki mogą mieć tak duże problemy z udowodnieniem "należytej staranności" jak sugerujesz, moim zdaniem tak źle nie jest. Szczególnie, że nikt tutaj nie chowa głowy w piasek, co najwyżej nie krzyczy na prawo i lewo o wszystkich szczegółach, co nie byłoby dobre dla sprawy. A nie byłoby dobre ponieważ wsparcia innego (kosztowo efektywnego) i tak prawdopodobnie nie dostanie.
PS
Jasne, można więcej, ale źle wcale nie jest w mojej opinii.
To zresztą nic nowego. Do mnie nigdy bank nie dzwonił w związku z "dziwną" transakcją kartami, do znajomych (inny bank) - owszem.
O braku decyzji w związku z brakiem sprawdzenia czy jest to ekonomicznie sprawdzone wolałbym nie dyskutować, to jak jeździć świadomie samochodem bez ważnego OC i przeglądu technicznego.