Tame banke nėra eilių, nėra nuobodžiaujančių tarnautojų.
Jis veikia visą parą, kreiptis į jį galima telefonu arba per
Internetą. Bet ar už visus šiuos patogumus netenka mokėti
saugumo sąskaita?
Gražią sekmadienio
popietę 2000 m. balandžio mėnesį olandų
televizija parodė reportažą, kuriame
du dvidešimtmečiai studentai įsilaužia
į bankininkystės milžino ABN
Amro internetinę svetainę ir perpumpuoja
į savo sąskaitas kitų banko klientų
pinigus. Išblyškusiam banko atstovui neliko nieko kito, kaip drebančiu
balsu pareikšti prieš kamerą, kad bankui
išties dar teks padirbėti gerinant savo kompiuterinės sistemos apsaugą.
Nors, anot firmos Datamonitor duomenų, Europoje elektronine
bankininkyste jau naudojasi beveik 66 mln. žmonių, visuomenės
apklausos nuolat liudija, kad visame pasaulyje klientai ja pasitiki kur kas mažiau
nei tradiciniais bankais (nepakankamai saugia ją laiko nuo kelių iki
keliolikos procentų apklaustųjų). Reikalas
ne tas, jog sunkiai uždirbtus pinigus klientui tenka paversti
abstrakčiais banko kompiuterių elektroniniais
impulsais. Daugeliu atvejų klientas negali įvertinti, ar bankas yra
pakankamai apsaugotas nuo elektroninių nusikaltėlių puolimo. Kai užeiname į
tradicinį banką, regime grotas,
seifus, šarvuotas duris ir ginkluotus sargybinius. Elektroniniame banke tėra
vien šifrai ir slaptažodžiai, kurių
efektyvumą labai sunku įvertinti.
Trojos arklys lengvatikiams
Nepasitikėjimą elektronine bankininkyste nuolat didina ir
žiniasklaidoje skelbiama informacija apie
sensacingus įsilaužimus (net jei iš
tikrųjų nei bankas, nei jo klientai jokių
finansinių nuostolių ir nebūtų patyrę),
tokius, kaip aukščiau aprašytas
įsilaužimas į ABN Amro. Šį atvejį verta
panagrinėti įdėmiau, nes jis yra
daugeliu požiūrių labai tipiškas.
Pirma: dalį kaltės privalo
prisiimti banke dirbę informatikos specialistai. Jie laikė daug duomenų apie
įvairias operacijas slaptažodžiais
neapsaugotoje bazėje, į kurią buvo
galima patekti per Internetą. Antra: tarp
banko klientų buvo nemažai
lengvatikių. Du studentai hakeriai
neapsaugotoje duomenų bazėje susirado
informaciją apie elektroninių vartotojų
adresus ir, apsimesdami banko tarnautojais, išsiuntinėjo jiems elektroninius
laiškus. Tuose laiškuose jie prašė
savo kompiuteryje instaliuoti
"papildymą" programai, kuri buvo naudojama
rišantis su banku. Iš tikrųjų tai buvo
vadinamasis Trojos arklys - tam tikras kompiuterinis virusas, kuris ne tik
leido hakeriams pasiekti vartotojų kompiuterius, bet ir užtikrino, kad visi
apgautųjų klientų pervedami pinigai
pasiekdavo vienintelę įsilaužėlių
nurodytą banko sąskaitą.
Ir trečia: apie visa tai jūs
dabar skaitote tiktai todėl, kad banko vadovybė pasielgė ne itin protingai.
Abu hakeriai pradžioje pranešė
bankui, kad jų sistemoje yra "skylė". Tik
tada, kai kelias savaites jie nesulaukė jokio atsakymo, o saugos sistemos
plyšys vis dar buvo atviras, studentai ryžosi pasidalinti informacija su
žiniasklaida. Galima tiktai įtarti, kad
daugelis bankų, rūpindamiesi savąja
reputacija, apskritai slepia informaciją
apie įsilaužimus. Pagal nepatvirtintus
vertinimus, kuriuos 2000 m. kovo mėnesį paskelbė žurnalas "Forbes", jau
tuomet metiniai Amerikos bankų nuostoliai, patirti dėl elektroninių
įsilaužimų, siekė 100 mln. dolerių.
Kartais bankai ir kitos didelės kompanijos už nemažus pinigus
nusisamdo buvusius hakerius, kad šie pabandytų įsilaužti į jų sistemas ir
taip patikrintų, ar jos yra pakankamai gerai apsaugotos.
"Vieno didelio koncerno Lenkijos filiale darėme auditą, -
prisimena interviu, duotam lenkų
laikraščio "Gazeta Wyborcza" žurnalistui
buvęs hakeris, o dabar tokias paslaugas teikiančios firmos savininkas
Krzysztofas. - Koncerno šefui matant mano vaikinai per 12 minučių sugebėjo
perimti visos sistemos administratoriaus teises. Po 30 minučių jie jau turėjo
90 proc. visų firmos slaptažodžių.
Tuo metu jie jau visiškai valdė visas
sąskaitas, galėjo prieiti prie slaptos
derybinės informacijos, techninės
dokumentacijos ir įvairios
korespondencijos, įskaitant ir asmeninius koncerno
vadovo laiškus. Visa koncerno valdyba, stovėjusi prie mūsų nešiojamojo
kompiuterio ekrano, išbalo nuo
išgąsčio, nes visa tai reiškė, kad jie savo
firmoje taikstėsi su labai aplaidžiu
kompiuterių sistemos administratoriaus darbu".
Nepakankamai saugūs kompiuteriai
Ar perskaitę šias kraują
stingdančias eilutes jūs dar patikėtumėte
savo pinigus internetiniam bankui? Ne? Visai be reikalo. Verta prisiminti,
kad dauguma įsilaužimų turi vieną
bendrą savybę: dėl jų kaltas žmonių
naivumas ir kvailumas. Saugos sistemoje silpniausia grandis yra ne pati
technologija, o žmogus. Tiesą sakant,
kompiuteris skiriasi nuo tradicinio seifo visai nedaug: kompiuteris gali būti
prastai apsaugotas nuo įsilaužėlių, bet
tą patį galima pasakyti ir apie seifus.
Skiriasi tik patys įsilaužėlių
naudojami būdai - kompiuteriniai plėšikai
rečiau naudojasi autogenu ir visrakčiais.
Saugos ekspertai sako, kad skirtumai dažniausiai tėra grynai psichologiniai
- kai banko klientas mato masyvų pastatą ir storas į saugyklą iš
grūdinto plieno vedančias duris, jis mano,
kad bankas yra stabili ir saugi institucija. Gi banalūs asmeniniai
kompiuteriai tokio įspūdžio niekam nepaliks.
Juk jie stovi ant kiekvieno rašomojo stalo, juos galima rasti kiekviename
pašte, o norint sunaikinti pakanka vieno spyrio koja.
Žmonės visada norėjo
palengvinti sau darbą. Tame nėra nieko blogo
- kitaip iki šiol gyventume urvuose. Tačiau kartais elektroninių bankų
savininkams nesiseka rasti kompromisų tarp saugos procedūrų ir savo
darbuotojų tingumo. Jūsų, banko klientų,
atžvilgiu tai reiškia, kad ten saugomi mūsų pinigai nėra pakankamai
saugūs. Kas nors, pavyzdžiui, banko
tarnautojas gali juos pavogti.
Didžiausiųjų firmų svarbiausia bėda yra
tinklo viduje veikiantys hakeriai. Tie, kurie įsidarbino firmos skyriuose ir yra
legalūs sistemos vartotojai.
Sunkiai dirbantys hakeriai
Anglų kalbos žodis
"hackney" reiškia sunkų darbą, "arimą".
Hakeriais vadinti arkliai ar sunkiai plušantys aukso ieškotojai. Pažodžiui,
hakeris yra žmogus, kuris sugeba pasiekti meistriškumo sunkiai dirbdamas.
Nežiūrint to, hakeriai dažnai yra
tinginiai, kuriems nesinori (nes nesugeba ar neturi pakankamai didelių
kompiuterinių resursų) laužyti sudėtingus
šifrus. Tada jie pabando - kaip tai padarė į ABN Amro įsilaužę vaikinai -
apgauti vartotojus. Jau egzistuoja nemažai programų, leidžiančių per
atstumą stebėti, ką daro konkretus
kompiuterio vartotojas. Kai kurias jų galima
veltui pasisiųsdinti Internetu, o norint jomis naudotis nebūtina turėti
ypatingų techninių žinių. Kai kurios iš
šių programų yra visai legalios -
pavyzdžiui, jomis naudojasi tėvai,
pageidaujantys įsitikinti, ar jų vaikai
neužmezgė nepageidaujamų pažinčių
internetinėse pokalbių svetainėse, arba
pavydūs vyrai, įtariantys žmonas turint
kibernetinius romanus. Pavojingiausi yra Trojos arkliai - vartotojo
nepastebimos nedidelės programos,
dažniausiai prikabinamos prie įprastinio
elektroninio laiško. Atidarius laišką
su priedais, kuriuose gali būti bet kas, pavyzdžiui, nuogų panelių nuotraukos
ar anekdotai, programos yra automatiškai instaliuojamos kompiuterio
kietajame diske. Po to, kai virusas jau instaliuotas, jo siuntėjas gali
peržiūrėti apkrėstojo kompiuterio diskus.
Sekdamas, kokia tvarka nieko nenuvokiantis kompiuterio vartotojas
spaudo klaviatūros klavišus, kantrus
įsibrovėlis gali sužinoti priėjimui prie
banko sąskaitų reikalingus
slaptažodžius ir kredito kortelių numerius.
Jeigu kompiuteris yra nuolat prijungtas prie Interneto, hakeris gali jame
kuistis nuo ryto iki vakaro.
Kaip apsisaugoti nuo Trojos arklių? Pagelbėti gali geras
antivirusinis skeneris arba vadinamoji ugniasienė
(firewall). JAV Federalinis tyrimų biuras reguliariai tikrina ne tik
vyriausybinių serverių turinį, bet ir
įprastinius kompiuterius, stovinčius
vyriausybinėse įstaigose, ir ieško juose
paslėptų Trojos arklių. Garsaus
mokslinio instituto SANS šefas Alanas Palleris, vienas didžiausių šios srities
specialistų Amerikoje prisipažino,
kad instituto specialistai aptiko Trojos arklius net ir kariniuose serveriuose.
Kokia būtų viso šio
pasakojimo moralė? Trivialu, bet tenka dar
kartą pakartoti: mūsų saugumas visų
pirma priklauso nuo mūsų pačių. Jeigu
gatvėje paliksime portfelį su
pasirašytais banko čekių blankais ir po to
prarasime pinigus, galėsime kaltinti tiktai
save. Jeigu prie monitoriaus prisiklijuosime lipduką su internetinio
banko slaptažodžiais, rezultatas bus
lygiai toks pat.