SherLock w służbie bankowości
Internet daje szereg możliwości, ale powoduje też sporo kłopotów. Kluczem jest więc odpowiednie zabezpieczenie swojej działalności w sieci, także tej związanej z finansami. I nad tym właśnie pracują specjaliści Alior Banku, którzy stworzyli już prototyp urządzenia kryptograficznego SherLOCK, szyfrującego wszelkie bankowe transakcje.
Dotychczas, by zabezpieczyć środki na kontach klientówprzed atakami cyberprzestępców, stosowane były kody jednorazowe, hasła maskowane, klucze po stronie klienta, karty mikroprocesorowe czy ostatnio bardzo popularne kody SMS. Teraz nadszedł czas na kolejne rozwiązanie, które uchroni użytkownika, gdy jego stację roboczą lub telefon komórkowy zaatakuje złośliwe oprogramowanie.
Działając wyprzedzająco, jako Alior Bank, w 2015 roku opracowaliśmy innowacyjną metodę ochrony transakcji wykonywanych przez klientów. Opracowaliśmy koncepcję bezpiecznego urządzenia kryptograficznego i w styczniu 2016 roku zaprezentowaliśmy ją na forum Związku Banków Polskich. Oprócz samej koncepcji pokazaliśmy algorytm komunikacji z urządzeniem kryptograficznym oraz wynik przeprowadzonych w środowisku rozwojowym symulacji. Sposób działania rozwiązania oraz metody ograniczania ryzyk były szeroko dyskutowane w gronie specjalistów od bezpieczeństwa IT praktycznie z wszystkich banków działających w Polsce. Już w połowie roku 2016 powstał pierwszy prototyp urządzenia kryptograficznego, który był poddawany testom i modyfikacjom. Kolejne dwa prototypy urządzenia powstały w roku 2016 i 2017. W roku 2018 została wybrana nazwa dla urządzenia kryptograficznego i obecnie brzmi SherLOCK – mówi Paweł Ogonowski, Menedżer Zespołu Bezpieczeństwa Sieci.
SherLOCK to urządzenie wielkości telefonu komórkowego podłączane do portu USB komputera. Urządzenie jest automatycznie rozpoznawane przez system jako karta sieciowa. Transakcje wykonywane przez klienta są zabezpieczone kryptograficznie od systemu bankowego do samego urządzenia SherLOCK. Zaszyfrowany kryptogram, który został wygenerowany po stronie banku jest przekazywany do urządzenia bezpośrednio, bez modyfikacji, z wykorzystaniem JavaScript-u uruchomionego w przeglądarce klienta. Każda próba ingerencji w komunikację lub próba zmiany kryptogramu uniemożliwia przeprowadzenia transakcji.
SherLOCK posiada wbudowany bezpieczny chip kryptograficzny, który wykonuje wszelkie operacje szyfrujące oraz skutecznie zabezpiecza klucz prywatny klienta przed skopiowaniem i nieuprawnionym użyciem. SherLOCKposiada wyświetlacz, dzięki czemu każda zatwierdzana transakcja jest widoczna dla klienta, oraz klawiaturę umożliwiającą interakcję. W zależności od poziomu ryzyka, ocenianego przez bank, do zatwierdzenia transakcji może być oprócz PIN-u wymagane wprowadzenie dodatkowej informacji potwierdzającej, że transakcja rzeczywiście została zlecona przez klienta, np. wprowadzenie 4 ostatnich cyfr numeru rachunku odbiorcy przelewu.
SherLOCK wykorzystuje nowoczesne algorytmy kryptograficzne działające w oparciu o krzywe eliptyczne takie jak EC DH, EC DSA. Dodatkowo wykorzystuje algorytmy do szyfrowania symetrycznego takie jak AES-256 oraz inne popularne algorytmy kryptograficzne.
Dzięki zaproponowanemu przez Alior Bank rozwiązaniu każda transakcja jest widoczna i zatwierdzana przez klienta na urządzeniu. Operacja bezpiecznego zatwierdzenia działa niezależnie od poziomu bezpieczeństwa komputera klienta lub infrastruktury. Można nawet użyć sformułowania, że klient dostaje cząstkę systemu bankowego, która służy do zabezpieczania wykonywanych przez niego operacji.
Wierzymy, że zaproponowane rozwiązanie jest dużym krokiem w kierunku podniesienia bezpieczeństwa środków klientów bankowości internetowej – mówi Paweł Ogonowski.
Oprac. MS