U subotu 16. novembra 2013. kao glavnu vest domaći mediji preneli su informaciju o hapšenju lica koje je oštetilo banku Intesu za čak 985.000 evra.
Šta se zapravo dogodilo?
Uhapšeno lice je navodno do novca došlo koristeći propust u novom ATM softveru. Propust se manifesuje na taj način što je umesto da softver račun zadužuje za iznos podignut na bankomatu, on je podigunuti iznos dodavao na račun korisnika. Tako da ukoliko želite na bankomatu da podignete 20 000 dinara, dobićete 20 000 u kešu, iznos na računu će vam biti uvećan za 20 000 dinara a nećete potrošiti ni onih 20 000 koje ste već imali na računu.
Zvuči neverovatno?
Takođe, u vesti se navodi da je u svom podvigu imao pomoć nekog od službenika banke.
Linkovi ka vestima:
Telegraf B92 Kurir
Moram odmah da napomenem, da cilj ovog teksta nije pljuvanje po bankama već analiza konkretnog problema sa stanovišta sigurnosti. Ukoliko pretpostavimo da su informacije iz vesti tačne (zbog iskustva sa domaćim medijima moram unapred da se ogradim) možemo na ovom primeru videti nekoliko osnovnih postulata sigurnosti i informacione bezbednosti koji su krenuli po zlu. O njima ćemo detaljnije diskutovati u ovom tekstu.

Photo credit: nsbank.com
Testiranje funkcionalnosti i sigurnosti softvera
U vesti se nagoveštava da je ovaj gubitak omogućio propust u novom softveru.
Svaki novi sofver, ili izmena na postojećem softveru, mora da prođe kroz sveobuhvatan proses automatskuh i ručnih testiranja kako funkcionalnosti
tako i sigurnosti.
Što je sistem veći i kompleksniji to je i testiranje izazovnije i veća je mogućnost za grešku.
Programeri vrlo dobro znaju kako samo jedna mala izmena (na primer izmena registracionih polja na nekoj web platformi) može da izazove domino efekat i ugrozi ceo sistem.
Sa druge strane, Bankarski softverski sistem, vrlo verovatno, spada u najsloženije sisteme jer podrazumeva komunikaciju sa velikim brojem različitih entiteta.
Naravno, čak i pored idealno planiranog i izvedenog testiranja uvek postoji mogućnost za grešku.
Ipak čini se da je konkretan problem koji se ovde dogodio, problem koji se nalazi „iznad procesa testiranja“.
O njemu govorimo u sledećoj tački.
Privilegije određenih servisa u sistemu
Već smo rekli da bankarski sistem podrazumeva komunikaciju sa velikim brojem različitih entiteta. „Akciju“ na sistem korisnik može da izazove sa bankomata (bilo koje banke u Srbiji i inostranstvu), sa šaltera banke i preko e-banking sistema.
U komunukaciji sa centralnim sistemom ključno za sugurnost je odrediti i ograničiti privilegije koje svaki entitet ima na centralni sistem.
Kako se ovo manifestuje na konkretnom primeru?
Da li je potrebno da bankomat kao entitet bankarskog sistema ima privilegiju da direktno dodaje novac na račun korisnika?
Na običnim bankomatima je moguće samo „skinuti“ novac sa računa tako da je oblašćenje direktnog dodavanja novca neporebna. Na ovom primeru vidi se kako nepotrebna ovlašćenja predstavljaju sigurnosni rizik.
Monitoring sistema
Prema informacijama iz teksta banci je bilo potebno gotovo mesec dana da otkrije ovu zloupotrebu. Tih mesec sana koštalo ih je gotovo milion evra.
Pitanje koje se prvo nameće da li je bilo moguće otkriti ovaj propust ranije?
Iako je situacija, zbog složenosti sistema, komplikovanija moguće je primeniti monitoring sistem koji bi nakon prvog podizanja novca u banci upalio crvenu lampicu.
Novčanih transakcija ima mnogo, dolaze sa različitih strana, pokreću ih razlititi entiteti u sistemu ali suštinski, sve se svodi na sabiranje i oduzimanje. I ne možeš da imaš više novca nego što ti je uplaćeno.
Ljudski faktor
Statistike kažu da je ljudski faktor uzrok između 60 i 80 procenata svih problema sa informacionom bezbednošću.
I ovaj slučaj delimično upada u taj procenat jer je postojala insajderska pomoć.
U tekstu se ne navodi iz kog sektora dolazi „pomoćnik“ ali verujem da je mala verovatnoća da je u pitanju šalterski službenik, no ne želim previše da nagađam.
Samo učešće ljudskog faktora u informacionoj bezbednosti jako je široka i interesantna tema ali prevazilazi formu i suštinu ovog posta.
Bonus
Dodaću u tekst još dve tačke sa konkretnim sigurnosnim primerima o bankama u Srbiji.
Neka im ovaj slučaj koji se dogodio Intesi bude apel da ponovo prođu kroz svoje sisteme zaštite.
Ux nije nezavistan od sigurnosti
Pričamo o dizajnu softvera na bankomatima u Srbiji.
Većina funkcioniše u sledećim koracima: Ubaci karticu, unesi pin, izaberi iznos, uzmi karticu, uzmi novac.
Ipak, poslednja dva koraka na bankomatima u banci Intesa zamanjena su tako da ćete prvo uzeti novac pa tek nakon toga karticu.
Ne znam kakvi su rezultati iz prakse ali, prema iskustvima koje imam iz oblasti testiranja softvera, očekivao bih da banca Intesa ima znatno veći procenat zaboravljenih
kartica na bankomatima od drugih banaka. Jednostavno, ljudi dolaze na bankomat po novac. Kada isti dobiju, okrenu se i odu.
Naravno, ovo ne mora uvek da bude pravilo. Jedan moj prijatelj na bankomatu je zaboravio i novac i karticu.
Infosec dumpster diving
Ovo je takođe široka i ozbiljna tema jer se zasniva na nekim fundamentalnim pretpostavkama sigurnosti na koje vrlo često zaboravimo.
U maju 2013. dok sam čekao tramvaj primetio sam sledeću stvar:
#Security problem: cekam tramvaj na Slaviji. Kroz izlog, sa ulice, mozete jasno da vidite monitor i sta kuca sluzbenica banke.
— Jovan Šikanja (@Joshibeast) May 24, 2013
Sredinom juna dobio sam odgovor od banke:
Stigao odgovor banke na tvit: https://t.co/QjV1iq5ug5pic.twitter.com/BOzZC77qTV
— Jovan Šikanja (@Joshibeast) June 20, 2013
Pre mesec dana ponovo sam ponovo prošao tuda – ništa nije izmenjeno.
U julu sam primetio drugi problem sa drugom bankom:
Evo kako banke u Srbiji brinu o bezbednosti informacija. Interni dokument u javnoj kanti za đubre #sigurnost#bankapic.twitter.com/vogfa5kRvT
— Jovan Šikanja (@Joshibeast) July 16, 2013
Mislim da ne moram posebno da ističem zašto ovom dokumentu nije mesto u javnoj kanti za đubre (makar ne u ovom obliku). Uništavači papirnih dokumenata smišljeni su sa razlogom.
Off-topic: Krađa je krađa
Na samim vestima o ovom događaju pročitao sam veliki broj komentara koje nikako ne mogu da razumem jer se kose sa zdravom pameti.
Kao građanina, zabrinjava me koliki broj ljudi likuje ovoj krađi sa komentarom „dosta su banke krale od nas“. Ja razumem stepen ogročenosti ljudi sistemom u kome žive ali ne mogu da razumem da smo, sa jedne strane ogorčeni korupcijom i truleži u sistemu, a da sa druge strane opravdavamo kriminal.
Ipak, nadam se da su to „samo komentari“.
$kradja to ti je uvek $kradja
$kriminal je uvek $kriminal
tako je to u programiranju.
programiranje je egzaktno, a drustvene nauke su apstraktne, pa ti vidi… nije isto kada ukrades lek da bi spasao zivot ili knjigu da bi nesto naucio ili kada ukrades nesto trece. da skratim, ti bi robin huda u tvorza, a? 🙂
btw, super dobar text. hvala.
Hvala na komentaru.
Da stvarno postoji Robin Hood – ne bih ga stavio u tvorza.
Na kraju, i Snowden je ukrao podatke ali ga ne smatram lopovom.
Ovaj zadnji deo teksta skucao sam bezveze i na brzinu. Sada vidim da se ne vidi dobro
poenta.
Čim stignem, prepravljam.
Male stvari, lako mogu da se isprave, i nije teško ispraviti.
Mene takođe čudi kako tako papire ne seckaju.
Za monitore može lako da se reši: zaštitni filter.
Jednom sam doživeo i ako ne gledaš direktno u monitor – ništa ne vidiš.
Banca Intesa i kartice: to i mene čudi, praksa jeste da prvo izađe kartica (baš zbog toga što ćeš pre karticu zaboraviti a ne pare).
Šta je još interesantno kod banaka kod nas: retko koja se pridržava pravila da se vrata otvaraju ka unutra.
Šta time dobijaš: prvo, prijatnije je da kad uđeš ne moraš da vučeš vrata (ideš korak nazad).
Drugi razlog tiče se sigurnosti.
Ako neko opljačka banku, lakše mu je da istrči iz banke i samo gurne vrata.
Tako da bi izmena donela duplu korist.
Što se tiče zaštitnog filtera Piraeus banka kod nas je imala tu foliju na bankomatu na Trgu i odlična je fora.
Stvarno se ništa ne vidi.
Slažem se da je ovo za vrata potpuno logično.
Ima dosta sličnih primera kod nas i vidi se da nam treba edukacije.
To nije strašna stvar ukoliko prihvatamo sugestije.
Niko se naučen nije rodio.
Konkretno, kod mene u Maxiju aparat za kartice stoji suprotno od pulta i nije mobilan – korisnik ga ne može dohvatiti bez da stane na mesto kasirke.
Pošto mi ne pada na pamet da diktiram PIN pred punom radnjom redovno se provlačim iza ili jednostavno platim kešom.
Izgleda da smo kupovali u istom maxi-ju 🙂
Ili, u lošijoj varijanti, to im je to praksa 🙂
hvala druze sto postujes potrebu za anonimnoscu!
issue vrata:
ako bi se vrata otvarala na unutra, drzava bi mogla da ih kazni. obaveza da se vrata otvaraju na spolja je zbog zastite od pozara ili dr. napada masovne panike. logika zakonodavca je sledeca: ako se u tesnoj prostoriji uspanici 20 ljudi oni instiktivno krenu napolje i guraju vrata. ako je guzva&panika velika, vrata nece moci da se otvore, jer onog ko treba da ih otvori masa pritiska ka samim vratima i ne moze. veruju da su prednost dali bezbednosti ljudi, a ne hvatanju lopova ili prijatnom osecaju pojedinca prilikom ulaska u rentiran prostor od strane onih koji ga brutalno pljackaju 🙂 (svako ko zeli neka veruje da sam preterao i neka kaze nije to bas tako, a da sam ne ume do kraja da objasni bas kako je.)
issue pin:
ja diktiram pin. tako se osecam slobodnije i opustenije, a volim da verujem da uticem pozitivno na tehnofobiju prisutnih (svakako nije opravdano sa stanovista bezbednosti)
Hvala na komentaru.
Za vrata ima logike.
O zaštiti i sigurnosti objekata zaista ne znam puno toga.
Sigurnost (kako fizička – tako i digitalna) uvek je potrebno da se prilagođava ostalim bitnim faktorma za poslovanje.
Razlika između pristupa, u poslovanju neke kompanije, koji bi nazvali „maksimalna sigurnost“ i pristupa „minimizacije rizika“, koji je obično na snazi, velika je.
Ipak banke u Srbiji imaju izazov jer često ulaze u rentirane prostore koje mogu ili ne mogu da adaptiraju po svojim potrebama.
Pored potrebe za fizičkom sigurnošću objekta postoji i ona da se korisnik oseća ugodno dok boravi u prostoru.
Evo jedan ilustrativan primer:
Primetio da su stakla na šalterima banaka sve manje prisutna i da se insistira na direktnom kontaktu između službenika i korisnika.
To je odlično za poslovanje. Sa druge strane, realna potreba za fizičkom barijerom između između službenika i korisnika, sa aspekta sigurnosti (u druge aspekte ne ulazim),
prestala je da postoji pre 50 ili 100 godina.
To je kao ležeći policajac koji bi bio visok 1cm – postoji ali neće primorati vozača da smanji brzinu.