Banki zapewniają, że Heartbleed ich nie dotknie

Informacje o wykryciu bardzo poważnej luki w bibliotece OpenSSL pojawiły się w pierwszej połowie kwietnia. Z rozwiązań tego typu korzysta niemal każdy z nas, np. łącząc się z serwerem poczty elektronicznej. W oknie przeglądarki przed adresem strony znajduje się wtedy charakterystyczna ikona zamkniętej kłódki. Takie zabezpieczenie w teorii ma gwarantować, że nikt nie może podejrzeć danych transmitowanych między użytkownikiem a serwerem.

Wykryta luka o nazwie Heartbleed (z ang. krwawienie z serca) umożliwia hakerom odczytanie transmisji danych zabezpieczonych przez OpenSSL. W efekcie ich łupem mogą paść e-maile, hasła dostępu czy dokumenty. Co gorsza, po ataku nie pozostają ślady. O skali problemu świadczy to, że z biblioteki OpenSSL korzysta dwie trzecie serwerów w internecie. Cytowany przez BBC Bruce Schneier, ekspert ds. bezpieczeństwa komputerowego, ocenia, że w skali od jednego do dziesięciu poziom zagrożenia wynosi... 11.

Piotr Konieczny, szef zespołu bezpieczeństwa serwisu Niebezpiecznik.pl, podkreśla, że błąd Heartbleed dotyczy nie tylko serwisów internetowych, ale również niektórych programów obecnych na naszym komputerze, w telefonie lub tablecie.

– Na atak podatni są przede wszystkim właściciele smartfonów pracujących pod kontrolą systemu Android w wersji 4.1.1. Powinni oni jak najszybciej zaktualizować swój telefon – radzi Piotr Konieczny.

Ujawnienie informacji o luce Heartbleed wywołało niepokój wśród klientów korzystających z bankowości elektronicznej.

– Kilka godzin po opublikowaniu informacji o Heartbleed zespół bezpieczeństwa teleinformatycznego Niebezpiecznik.pl przeprowadził testy kilku znanych polskich banków pod kątem tej luki – mówi Piotr Konieczny. – Nie stwierdziliśmy żadnych problemów. Prowadzi to do wniosku, że albo reakcja polskich banków była błyskawiczna, albo ich serwery w ogóle nie były podatne na ten atak, np. korzystały z innych bibliotek do obsługi szyfrowania połączeń bądź posiadały wyłączone wsparcie dla funkcji „heartbeat" w bibliotece OpenSSL; właśnie w tym fragmencie kodu znajdował się błąd.

Zapytaliśmy w kilku bankach, czy ich klienci mogą mieć pewność, że nie są zagrożeni atakiem z wykorzystaniem luki Heartbleed i czy nie muszą np. zmienić haseł dostępu do swoich kont.

– Nasz bank nie korzystał z wersji oprogramowania podatnej na ten atak, zatem klienci nie muszą zmieniać swoich haseł – zapewnia Artur Newecki, PR Manager Getin Noble Bank.

Ewa Krawczyk z Departamentu PR BZ WBK wyjaśnia, że zarówno Bank Zachodni WBK, jak i jego spółki zależne stosują szyfrowanie SSL do serwisów internetowych, ale opierając się na komercyjnych rozwiązaniach, w których luka nie występuje i są one całkowicie bezpieczne.

Klientów ING Banku Śląskiego uspokaja Joanna Majer-Skorupa, zastępca rzecznika prasowego banku. – Usługi bankowości internetowej ING Banku Śląskiego nie używają biblioteki OpenSSL do szyfrowania transmisji SSL/TLS. Nasze usługi nie były zagrożone podatnością określaną jako Heartbleed – mówi Joanna Majer-Skorupa.

Podobnych odpowiedzi udzielili przedstawiciele Alior Banku, Citi Handlowego, Deutsche Bank Polska, mBanku, Pekao SA oraz PKO BP, a więc wszystkich ankietowanych przez nas instytucji.

Ujawnienie informacji o luce Heartbleed po raz kolejny uświadomiło internautom, że w sieci czyhają na nich różne zagrożenia. Warto jednak pamiętać, że systemy zabezpieczeń stosowane przez banki są na tyle rozbudowane, że ryzyko ograniczone jest do minimum.

– Nie należy wpadać w panikę. W większości polskich banków sam dostęp do konta klienta umożliwia zapoznanie się z jego stanem i częścią danych osobowych, ale nie pozwala defraudować środków na nim zgromadzonych. Banki często korzystają z tzw. dwustopniowej autoryzacji i wymagają podania kodów odebranych SMS-em lub odczytanych z kart zdrapek – mówi Piotr Konieczny.

Warto pamiętać o podstawowych zasadach bezpieczeństwa dotyczących korzystania z bankowości elektronicznej, takich jak nieujawnianie osobom postronnym hasła dostępu do konta, nieklikanie w żadne linki w wiadomościach, które rzekomo wysyła bank (instytucje nigdy tego nie robią) czy korzystanie z aktualnych programów antywirusowych. Bo w systemie zabezpieczeń elektronicznych najsłabszym ogniwem wciąż jest niestety człowiek.

—Bartosz Mszyca

Maciej ?Ziarek, ekspert ds. bezpieczeństwa IT?Kaspersky Lab Polska

W przypadku luki Heartbleed internauci nie mają niestety żadnego pola manewru. Zapewnienie bezpieczeństwa użytkownikom danej strony zależy przede wszystkim od administratorów serwerów. Dopóki nie wprowadzą oni koniecznych poprawek w stosowanych bibliotekach OpenSSL, dopóty sama zmiana hasła dostępu do danego konta przez użytkownika nie wystarczy; wciąż istnieje bowiem ryzyko ataku. Luka jest od dwóch lat, więc nie ma pełnej gwarancji, że w tym czasie nie doszło już do jakiegoś ataku. Serwisy korzystające z rozwiązania OpenSSL powinny zmienić certyfikaty bezpieczeństwa i stosować wyłącznie takie, które zostały wystawione po 8 kwietnia 2014 r.

Pamiętajmy jednak, że banki są na tyle newralgicznymi instytucjami, że stosują wysokiej jakości zabezpieczenia transakcji swoich klientów. Żaden z polskich banków, które poddałem testom po ujawnieniu informacji o luce Heartbleed, nie był podatny na atak przy użyciu tej metody.

Ubezpieczenia Banki

Pozostało 82% artykułu