Μια νέα έρευνα του Εργαστηρίου Ασφάλειας Συστημάτων του Πανεπιστημίου Πειραιώς είδε πρόσφατα το φως της δημοσιότητας. Εκτελώντας σειρά πειραμάτων, οι ερευνητές του Πανεπιστημίου κατέληξαν ότι η πλειοψηφία των εφαρμογών e-banking των Ελληνικών τραπεζών είναι ευάλωτες σε υποκλοπές συνθηματικών από τοπικά δίκτυα.
Στόχος της έρευνας ήταν η αξιολόγηση της ικανότητας των εφαρμογών e-banking των Ελληνικών τραπεζών να αντιμετωπίζουν, αποτελεσματικά, επιθέσεις τύπου sslstrip.
Τα πειράματα εκτέλεσαν οι μεταπτυχιακοί φοιτητές του Τμήματος Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς: Χρ. Λύβας, Φ. Λαλαγιάννης, Γ. Κοντογιάννης, Γρ. Βαλτάς, Σπ. Μαντζουράτος και Στ. Μάνδυλας, υπό την καθοδήγηση του κ. Χρήστου Ξενάκη, επίκουρου καθηγητή στο Πανεπιστήμιο Πειραιώς και του κ. Χριστόφορου Νταντογιάν, ερευνητή και διδάσκοντα στο Πανεπιστήμιο του Πειραιώς.
Αξίζει να σημειωθεί ότι για τα αποτελέσματα της έρευνας ενημερώθηκαν έγκαιρα τόσο η αρμόδια διεύθυνση της Τράπεζας της Ελλάδος όσο και το Εθνικό CERT.
Εισαγωγή
Σε αυτή την αναφορά παρουσιάζουμε τα αποτελέσματα της έρευνάς μας σχετικά με την ικανότητα των εφαρμογών e-banking των Ελληνικών τραπεζών να αντιμετωπίζουν, αποτελεσματικά, επιθέσεις τύπου sslstrip. Συγκεκριμένα, μελετήσαμε έξι Ελληνικές τράπεζες: Alpha Bank, Εθνική Τράπεζα Ελλάδος (NBG group), Τράπεζα Πειραιώς, Eurobank, Citibank και Τράπεζα Χανίων. Το γενικό συμπέρασμα είναι ότι η πλειοψηφία των εφαρμογών e-banking των Ελληνικών τραπεζών είναι ευάλωτες σε υποκλοπή συνθηματικών (όνομα χρήστη, συνθηματικό, συνθηματικό μιας χρήσης – token, κτλ) από τοπικά δίκτυα (π.χ., εταιρικά δίκτυα, ίντερνετ καφέ – εστιατόρια, ξενοδοχεία, πανεπιστημιακά δίκτυα, σχολικά δίκτυα, αεροδρόμια, σταθμούς, λιμάνια, κτλ.). Συνεπώς, είναι απαραίτητη η λήψη συγκεκριμένων μέτρων ασφάλειας από τους διαχειριστές των εν λόγω εφαρμογών, προκειμένου να αναβαθμιστεί το επίπεδο ασφάλειας που παρέχουν, ώστε να προστατεύουν επαρκώς τους χρήστες τους.
H επίθεση sslstrip και οι συνέπειες
Για τη διεξαγωγή της έρευνας χρησιμοποιήθηκε η εφαρμογή sslstrip σε ενσύρματα και ασύρματα τοπικά δίκτυα, υλοποιώντας την επίθεση ενδιάμεσης οντότητας (man-in-the-middle).
Συγκεκριμένα, ο ενδιάμεσος-κακόβουλος εκτελώντας το sslstrip ενεργεί ως διαμεσολαβητής στην επικοινωνία μεταξύ του θύματος-χρήστη και του εξυπηρετητή της εφαρμογής e-banking.
Υπό κανονικές συνθήκες, η επικοινωνία αυτή θα πρέπει να είναι, πάντα, κρυπτογραφημένη χρησιμοποιώντας το πρωτόκολλο HTTPs. Ωστόσο, ο κακόβουλος, που βρίσκεται στο ίδιο τοπικό δίκτυο με το θύμα-χρήστη, έχει τη δυνατότητα να αναγκάσει το χρήστη, χωρίς να το αντιληφθεί, να επικοινωνήσει με τον εξυπηρετητή της τραπεζικής εφαρμογής e-banking μέσω μη κρυπτογραφημένης σύνδεσης, χρησιμοποιώντας το πρωτόκολλο HTTP. Αυτό είναι εφικτό γιατί οι περισσότεροι χρήστες εκκινούν μια σύνδεση με μια εφαρμογή e-banking πληκτρολογώντας στο φυλλομετρητή τους (browser) μόνο το πεδίο ονόματος (domain name) της τράπεζας (π.χ., eurobank.gr), χωρίς να εισάγουν το πρωτόκολλο επικοινωνίας, χρησιμοποιώντας, έτσι, το καθιερωμένο πρωτόκολλο HTTP. Στη συνέχεια, αφού ο χρήστης επιλέξει την επιλογή e-banking, η εφαρμογή έχει τη δυνατότητα να αναβαθμίσει αυτόματα τη σύνδεση από μη ασφαλή σε ασφαλή χρησιμοποιώντας το πρωτόκολλοHTTPs. Στο σημείο αυτό, παρεμβαίνει ο ενδιάμεσος-κακόβουλος και διατηρεί τη μη ασφαλή σύνδεση και το μη ασφαλές πρωτόκολλο HTTP.
Η μοναδική ένδειξη για το χρήστη να αντιληφθεί την παρουσία του ενδιάμεσου-κακόβουλου και την εκτέλεση της επίθεσης, είναι να παρατηρήσει ότι το URL που εμφανίζεται στο φυλλομετρητή ξεκινά με http:// και όχι με https://. Σε περίπτωση που ο χρήστης δεν διαπιστώσει το παραπάνω και συνεχίσει την πλοήγησή του εισάγοντας ευαίσθητα δεδομένα, όπως όνομα χρήστη, συνθηματικό, συνθηματικό μιας χρήσης, κτλ., για να συνδεθεί στην εφαρμογή, ο ενδιάμεσος-κακόβουλος είναι σε θέση να υποκλέψει τα ανωτέρω στο τοπικό δίκτυο, καθώς μεταδίδονται μη κρυπτογραφημένα. Οι συνέπειες μιας τέτοιας υποκλοπής είναι η παραβίαση του τραπεζικού απορρήτου καθώς και η δυνατότητα εκτέλεσης μη εξουσιοδοτημένων τραπεζικών συναλλαγών.
Αποτελέσματα
Στην έρευνα που διεξήχθη χρησιμοποιήθηκαν τέσσερα δημοφιλή λειτουργικά συστήματα (Windows, OS X, android OS και iOS) με τις τελευταίες εκδόσεις των γνωστών φυλλομετρητών chrome, firefox, και safari. Η ανάλυση των αποτελεσμάτων συνοψίζεται στον παρακάτω πίνακα. Είναι ευδιάκριτο ότι η πλειοψηφία των εφαρμογών e-banking των Ελληνικών τραπεζών είναι ευάλωτες σε υποκλοπή συνθηματικών από τοπικά δίκτυα. Μοναδική εξαίρεση αποτελεί η εφαρμογή της Εθνικής Τράπεζας Ελλάδος, η οποία διαθέτει μηχανισμό προστασίας.
Επίσης, διαπιστώθηκε ότι σε όλες τις εφαρμογές που εξετάστηκαν, η κρυπτογράφηση (HTTPs) ενεργοποιείται στη σελίδα εισαγωγής των συνθηματικών (Login page) και όχι στην αρχική σελίδα (homepage) κάθε τράπεζας. Τέλος, όλες οι εφαρμογές χρησιμοποιούν για κρυπτογράφηση το πρωτόκολλο SSL 3.0/TLS 1.0 για το οποίο έχουν ανακαλυφθεί αρκετές αδυναμίες.
Η άποψη του SecNews
Το SecNews ως θερμός υποστηρικτής του Full/Partial detail disclosure αναφορικά με αδυναμίες λογισμικού χαιρετίζει την έρευνα του Πανεπιστημίου Πειραιά. Σε κάθε περίπτωση η ΑΜΕΣΗ ενημέρωση των αδυναμιών από το Πανεπιστήμιο Πειραιά προς τα χρηματοπιστωτικά ιδρύματα και την Τράπεζα της Ελλάδος, δεν μπορεί παρά να αξιολογηθεί ΜΟΝΟ θετικά μιας και συνεισφέρει στην ενδυνάμωση της ασφάλειας των υποδομών, στα πλαίσια του ερευνητικού τους έργου.
Αξίζει να αναφέρουμε ότι τις περισσότερες φορές οι αδυναμίες δεν οφείλονται σε παραλείψεις των Τραπεζών αναφορικά με τα μέτρα ασφάλειας που τηρούν. Τα προβλήματα που κυρίως αναφέρει η μελέτη εστιάζουν στους δημιουργούς των εφαρμογών ή σε third-party commercial (ή custom-made) εφαρμογές οι οποίες απαρτίζουν συγκεκριμένα modules ή τμήματα των εφαρμογών ebanking.
[box_success]
Προτεινόμενα μέτρα
Ολοκληρώνοντας την έρευνα, προτείνονται μια σειρά από μέτρα που θα πρέπει, άμεσα, να εφαρμόσουν οι τράπεζες, προκειμένου να ενισχύσουν το επίπεδο ασφάλειας που παρέχουν οι εφαρμογές e-banking, προστατεύοντας του χρήστες τους από κακόβουλες ενέργειες.
1. Χρήση του κανόνα HSTS (HTTP Strict Transport Security), ο οποίος εξαναγκάζει όλους τους φυλλομετρητές να χρησιμοποιήσουν μόνο το πρωτόκολλο HTTPs. Έτσι, οποιαδήποτε προσπάθεια σύνδεσης σε μια εφαρμογή e-banking με το πρωτόκολλο HTTP θα αναβαθμίζεται αυτόματα σε HTTPs.
2. Χρήση της τελευταίας έκδοσης του πρωτοκόλλου TLS (δηλαδή το TLS v1.2), το οποίο παρέχει ισχυρούς αλγορίθμους κρυπτογράφησης.
3. Χρήση κρυπτογραφημένων συνδέσεων HTTPs σε όλο το εύρος των τραπεζικών ιστοσελίδων. Η χρήση του πρωτοκόλλου HTTP θα πρέπει να αποφεύγεται.
[/box_success]
