Securitate redusa pentru tranzactiile prin DIRECTBank

Lupta tot mai stransa ce se da intre bancile de pe piata romaneasca pentru atragerea de noi clienti a condus la aparitia unei multitudini de produse bancare (sunt banci care au la ora actuala in portofoliu peste 20 de produse bancare diferite).
Unul dintre produsele cu mare priza la clienti si care de multe ori ii determina pe oamenii obisnuiti sau pe cei care conduc companii sa-si indrepte preferintele catre o banca sau alta este Internet banking-ul. Scutind o multime de timp si destule cheltuieli, acest produs este ales de un numar tot mai mare de clienti ai bancilor. Sunt poate destui consumatori ai acestui serviciu care, in momentul cand aleg banca ce ofera un astfel de produs, se gandesc la siguranta oferita de Internet banking, dar foarte putini dispun de cunostintele tehnice care sa le permita o evaluare a performantelor sistemului de Internet banking al bancii, din punctul de vedere al securitatii tranzactiilor.
Operatii de adunare in loc de cod
Unul din produsele de Internet banking cu mari carente la capitolul de securitate este componenta DIRECTBank a produsului EXPRESSBank, oferit de banca greceasca Piraeus. Ideea dupa care functioneaza acest serviciu, solicitat de clienti de altfel, este simpla. Clientul completeaza un ordin de plata electronic si il trimite apoi la banca, impreuna cu un numar de control, acesta constituind de fapt, conform contractului incheiat anterior intre client si banca, un „ordin de plata codificat”. Conform documentelor bancii, „in locul semnaturii, pe documente se inscrie cifra test care este generata pe baza unui algoritm de calcul si a unui cod personal confidential. Pentru evitarea riscurilor ce ar putea surveni ca urmare a utilizarii serviciului DIRECTBank de catre persoane neautorizate, se recomanda pastrarea codului DIRECTBank si a prezentei brosuri in conditii de maxima securitate”. Numai ca algoritmul prin care se ajunge la repectiva cifra test nu este unul folosit in general pentru criptarea unor astfel de tranzactii (MD5, SHA – algoritmi ce sunt folositi in autentificare pentru obtinerea unei semnaturi digitale sau, cum e cazul nostru, a unei cifre test), ci este unul cat se poate de simplu, constand in folosirea unei formule matematice obisnuite, construite in Excel (algoritmul consta in adunarea codului pentru valuta cu codul sumei ce urma sa fie transferata, ambele regasindu-se in tabele ce se afla in pliantul oferit de banca, la care se adauga data efectuarii tranzactiei si codul personalizat).
Practic, orice persoana care intercepteaza mesajul si dispune de grila cu codurile pentru valute si cifre (foarte usor de obtinut fie declarandu-te doritor de a deveni utilizator de DIRECTBank, fie intrand sub orice alta forma in posesia pliantului cu aceste coduri) si care apoi reface algoritmul in sens invers (efectueaza succesiunea de scaderi) poate afla codul personalizat, putand astfel sa genereze apoi ordine de plata in folosul sau. „E vorba de un sistem asincron. Nu e Internet banking”, declara domnul Cristian Radu, purtator de cuvant la Piraeus Bank Romania. „Transmiterea e-mail-ului cu ordinul de plata are loc azi, spre exemplu, iar prelucrarea ordinului se face in cateva ore de la primire sau chiar a doua zi. Sistemul e foarte sigur. Nu poate fi spart decat de cineva care stie codul personal si alte date despre cont. Cineva din familie de exemplu. Dar, in aceste conditii nici un card nu este sigur”, continua domnul Cristian Radu. De remarcat ca in contractul incheiat cu banca se prevede la articolele 4.2 si 4.3 ca „banca nu raspunde pentru neefectuarea sau efectuarea eronata a operatiunilor atunci cand dispozitiile clientului contin erori sau omisiuni si banca nu verifica nici cauza juridica a viramentelor dispuse de client si nu poate cenzura viramentele clientului titular al contului atunci cand contul are sold creditor”. In concluzie, cineva care a reusit sa „sparga” respectivul „cod” poate sa treaca la efectuarea de transferuri de bani din acel cont, pana in momentul in care soldul respectivului cont devine 0, banca neputand fi trasa in nici un fel la raspundere. Nu dispunem la ora actuala de informatii care sa confirme exstenta unor clienti care sa fi suferit din cauza gradului scazut de securitate oferit de serviciul pus la dispozitie de Piraeus Bank.
Recomandarea nostra este aceea ca in momentul in care doriti sa apelati la sisteme de tranzactionare de tip Internet banking sau Mobile banking sa va asigurati ca respectivele sisteme garanteaza securitatea tranzactiilor efectuate de dumneavoastra. Pentru aceasta interesati-va ce algoritmi de criptare sunt folositi (DES, RSA, EG, DSS, RC2, variante perfectionate ale acestora etc.) care este probabilitatea ca respectiva cheie de criptare sa fie sparta (o posibilitate de una din 256 variante este considerata acceptabila).    

Exemplu de calcul a cifrei test

Va rog sa platiti azi, 10 februarie, societatii XYZ 7.500 USD si 3.250 USD in contul deschis la ABC NY.
Codul rezultat (cifra test n.r.) se obtine prin insumarea numerelor corespondente, dupa cum urmeaza:
Valuta (Tabelul A)    USD    19
Suma totala (Tabelul B)    7.000+    51
    500    33
    3.000    50
    200    59
    50    87
Data tranzactiei    2.001
    2
    10
Codul DIRECTBank (Tabelul C)    2.119
Cifra test    4.431

• EXCLUSIV Traficul din București, prioritate pentru Cătălin Cîrstoiu: Există structuri subterane ce ar putea fi utilizate
• Legea se aplică deja în toată România. Este informația momentului pentru toți românii