Możliwe, że już wkrótce przeglądarki Chrome i Mozilla będą ostrzegać o niebezpieczeństwie klientów próbujących dostać się na konto Aliora, mBanku czy Euro Banku
Nie zakończyła się jeszcze dyskusja dotycząca ataku hakerów na sektor bankowy, dokonanego za pośrednictwem zawirusowanego serwisu Komisji Nadzoru Finansowego, a na horyzoncie pojawia się nowy problem. Tym razem sprawa dotyczy wszystkich stron internetowych zabezpieczonych certyfikatami wydawanymi przez firmę Symantec. Od razu zastrzegam, że nie jestem informatykiem, a kwestie certyfikatów SSL/TLS to dla mnie wyższa szkoła jazdy. Tym niemniej po konsultacjach z kilkoma specjalistami oraz prześledzeniu dyskusji inżynierów Google’a z przedstawicielami Symantec wydaje mi się, że sprawa wygląda poważnie.
Otóż jak wiecie, strony instytucji finansowych, w szczególności bankowości internetowej, powinny być zabezpieczone w taki sposób, aby podawane tam przez Was dane nie zostały przejęte przez innych użytkowników sieci. To czy strona jest bezpieczna, potwierdza certyfikat, którego ważność można sprawdzić klikając w zieloną kłódkę widoczną w adresie strony internetowej. Takie certyfikaty wydaje między innymi Symantec, a potwierdzają one bezpieczeństwo stron takich polskich banków jak np. mBank, Alior czy Euro Bank. Problem w tym, że jak wynika z ustaleń Google’e istnieją poważne wątpliwości, czy te poświadczenia bezpieczeństwa są ważne.
W styczniu 2017 r. inżynierowie Google’a natrafili na kilka stron, które były opatrzone wadliwymi certyfikatami. Okazało się, że zostały one wydane przez koreańską spółkę CrossCert (Korea Electronic Certificate), która była podwykonawcą Symanteca. Wtedy wydało się, że Symantec zlecał część prac zewnętrznym podmiotom a następnie sygnował certyfikaty własną marką i wrzucał wszystkie do jednego worka wraz z wydawanymi przez siebie. W związku z tym trudno mu dzisiaj stwierdzić, które z certyfikatów mogą być jeszcze obciążone tą samą wadą, co certyfikaty wykryte przez inżynierów Google’a. A ci twierdzą, że Symantec wydał aż 30 tys. takich obarczonych błędem.
Specjaliści z Google’a uznali, że naruszenie bezpieczeństwa może być na tyle poważne, iż zastanawiają się, czy nie ostrzegać internautów w przeglądarkach Chrome i Mozilla, przed każdą wizytą na jakiejkolwiek stronie zabezpieczonej certyfikatem Symantec. Byłaby to katastrofa wizerunkowa przede wszystkim dla tej firmy, ale także dla banków, które z jej usług w zakresie certyfikatów korzystają. Wyobraźcie sobie, że jeżeli Google zrealizuje swoją groźbę, to po wejściu na stronę logowania do mBanku czy Aliora zobaczycie ostrzeżenie, że strona www nie jest bezpieczna. Czy nie znając kulis konfliktu między firmami Google a Symantec podacie na takiej stronie hasło logowania na rachunek?
Kluczowe jest jednak pytanie o to, czy wydawane bankom przez Symantec certyfikaty należą do grupy wadliwych czy też są prawidłowe i cała historia jest burzą w szklance wody. A tu sprawa nie jest jasna. Postanowiłem zapytać o te kwestie wydawcę certyfikatów oraz kilka banków. mBank odmówił mi komentarza w tej sprawie.
Z kolei w Aliorze odpowiedziano mi, że temat jest w organizacji znany i bank monitoruje sprawę na bieżąco. Podkreślono jednak, że nie ma ona absolutnie żadnego wpływu na bezpieczeństwo środków klientów, czy operacje realizowane w systemie transakcyjnym. Rzecznik prasowy Aliora Julian Krzyżanowski stwierdził, że ma nadzieję, iż firmy (Google i Symantec) porozumieją się i nie dojdzie do sytuacji ostrzegania przed stronami www zabezpieczonymi tymi certyfikatami. – Gdyby tak się nie stało, to mamy kilka innych rozwiązań na tę okoliczność – podsumował Krzyżanowski. Nie sprecyzował jednak, o jakie rozwiązania chodzi.
O zabezpieczenia strony zapytałem także Euro Bank, który również korzysta z usług Symantec. – Opisywana przez Pana sytuacja nie wpływa na bezpieczeństwo połączeń HTTPS. Oczywiście uważnie monitorujemy toczącą się dyskusję. Jesteśmy z kontakcie z firmą Symantec i analizujemy dostarczane komunikaty – odpowiedział Mateusz Czerniawski z departamentu PR i komunikacji tej instytucji.
Dla mnie najciekawsza jednak jest odpowiedź, jaką uzyskałem od firmy Symantec. Jest bardzo obszerna, więc przytoczę tylko jej najważniejsze fragmenty. Z nadesłanej przez firmę informacji wynika, że czuje się zaskoczona upublicznieniem sprawy certyfikatów, a postępowanie Google’a nazywa nieodpowiedzialnym.
– Oświadczenia Google’a dotyczące przypadków niewłaściwego wydania certyfikatów są przesadzone i wprowadzają opinię publiczną w błąd. Nie jest prawdą, że błędnie wydaliśmy 30 tys. certyfikatów SSL/TLS. W przypadku, do którego odnosi się Google, zidentyfikowano 127 niewłaściwie wydanych certyfikatów, ale nie spowodowały one żadnej szkody użytkownikom – czytam w nadesłanym do Cashless mejlu firmy Symantec, podpisanym przez Krisztinę Szarka-Roth, pełniącą funkcję regionalnego dyrektora marketingu w Symantec.
Krisztina Szarka-Roth zapewnia, że jej firma podjęła działania naprawcze, a przede wszystkim natychmiast zakończyła współpracę z koreańskim partnerem, a także z pozostałymi podwykonawcami. – Chcemy uspokoić wszystkich klientów. Nadal mogą ufać certyfikatom firmy Symantec SSL/TLS – pisze przedstawicielka Symantec. Jednocześnie podkreśla, że rozmowy z firmą Google na temat rozwiązania problemu trwają, ale nie chce ich komentować na obecnym etapie. Google potwierdza, że negocjacje trwają oraz że analizuje wynikające ze sprawy ewentualne zagrożenia dla użytkowników jego przeglądarek. Nieoficjalnie wiadomo, że decyzja o wyświetlaniu ostrzeżeń na stronach z certyfikatami Symanteca zależy od efektu tych rozmów.
Mnie natomiast w całej tej sprawie niepokoi fakt, że banki wydają się bardziej przejmować kwestią wyświetlanych na stronach ostrzeżeń dla internautów, a mniej potencjalną wadliwością używanych przez siebie certyfikatów. Skąd bowiem mają pewność, że te nie pochodzą z grupy wydawanej przez nierzetelnych podwykonawców. Mam nadzieję, że na podstawie przeprowadzonych audytów zabezpieczeń, bo i bez problemu z wadliwymi certyfikatami część klientów banków nie potrafi zidentyfikować stron phishingowych.