Autor: Mirek | 1.11.2009 |
V jednom svém příspěvku jsem psal o tom, proč by měl nést každý uživatel odpovědnost za vhodné zabezpečení svého počítače. Nutno podotknout, že i společnosti, které informační systémy provozují, by měly učinit vše proto, aby jejich systémy byly zabezpečené a včas odhalily i pokusy o překonání bezpečnostních opatření.
V poslední době se objevuje snaha přesunout odpovědnost ze strany klienta na stranu společnosti, která poskytuje danou službu. Patrná je v tomto směru například iniciativa PCI SSC a jejich PCI DSS, jejímž cílem je zamezit karetním podvodům a to zavedením vhodných bezpečnostních opatření u společností, které data držitele karty zpracovávají, přenášejí nebo uchovávají.
Dalším řešením v oblasti prevence a odhalování podvodů je nasazení řešení, které se nazývá Fraud Management System někdy také Fraud Detection System nebo Fraud Prevention System (dále jen FMS). Jádrem těchto systémů je tzv. Fraud Detection Engine, který je schopen na základě informací o klientech a jejich transakcích, které jsou uloženy v databázi a vytvořených pravidel, rozhodnout o podezřelosti dané transakce a tzv. ji oskórovat. V rámci této operace jí je přiděleno nějaké číslo z daného intervalu a na základě dosaženého skóre se rozhoduje o tom, jak s danou transakcí naložit.
FMS není nic nového, finanční instituce, především banky a pojišťovny tyto systémy používají s úspěchem již po mnoho let. Banky ho používají např. k odhalování praní špinavých peněz, což je po nich vyžadováno legislativou a pojišťovny zase k odhalování pojistných podvodů a je to v celku logické, protože v případě takového pojistného podvodu by tratila pojišťovna, nikoliv klient.
Nabízí se otázka, zda nenasadit FMS i v oblasti internetového bankovnictví. Může takový systém uspět i v této oblasti? Pro zodpovězení této otázky se musíme hlouběji zamyslet nad tím, jak takový systém funguje. Základem úspěchu je vytvoření tzv. behaviorálního profilu klienta. Ten se obvykle sestavuje, jak již ostatně název sám napovídá, na základě sledování chování klienta po určitou, předem danou dobu, po kterou se sbírají a vyhodnocují zpravidla informace tohoto typu:
+ doba provedení transakce + typ transakce + číslo účtu příjemce + důvěryhodnost finanční instituce příjemce + výše částky + IP adresa klienta + přenosová rychlost + použitý operační systém + typ a verze prohlížeče + jazyková verze
Na základě těchto informací se pak systém rozhoduje o tom, zda požadovat dodatečné potvrzení transakce, o kterém se hovoří jako o autorizaci transakce, která spočívá v prokázání nějaké znalosti např. sdělení správné odpovědi na kontrolní otázku, zadání kódu, který klientovi přišel jako SMS zpráva na mobilní telefon, jehož číslo uvedl při uzavření smlouvy nebo registraci. Případně může být klient i telefonicky kontaktován nebo se transakce nemusí vůbec uskutečnit. FMS může být nasazen jako produkt (obvykle se jedná o HW a SW řešení) a provozován v datovém centru dané společnosti nebo může být poskytován kompletně jako služba (SaaS).
Problémů, se kterými se musí takový FMS vypořádat, je spousta, neboť více různých klientů může vystupovat pod stejnou IP adresou nebo naopak jeden klient může mít při každém přihlášení jinou IP adresu. Stejně tak se může poměrně často měnit verze prohlížeče, neboť vše závisí jen na tom, jak často výrobce prohlížeče uvolňuje nové verze a jak často uživatel aktualizuje svůj systém. Pokud uživatel používá notebook, lze předpokládat, že cestuje a často i po světě a tudíž se může měnit jak jeho IP adresa a přenosová rychlost tak i čas provedení dané transakce. (Záleží samozřejmě na tom, jak a odkud se do internetu připojuje). Samotným oříškem je i doba, za kterou byl behaviorální profil klienta vytvořen. Lze předpokládat, že klient se např. v době před vánocemi, svátky a při nejrůznějších životně významných událostech bude chovat přeci jen trochu jinak než po většinu roku (z pohledu FMS nestandardně). V takovém případě je důležité sledovat hodnoty tzv. false negative a false positive. V zásadě nohou nastat čtyři stavy:
+ jednalo se o podvod a jako podvod byla daná transakce označena a neproběhla + nejednalo se o podvod a jako podvod nebyla daná transakce označena a proběhla - jednalo se o podvod, ale jako podvod nebyla daná transakce označena a proběhla - nejednalo se o podvod, ale jako podvod byla daná transakce označena a neproběhla
Vidíme, že zatímco v prvních dvou případech zareagoval FMS správně, tak v následujících dvou případech zareagoval špatně. Cílem všech FMS je samozřejmě dosáhnout co nejnižších hodnot false negative (transakce byla vyhodnocena jako podvod, ač se o podvod nejednalo) a false positive (transakce nebyla vyhodnocena jako podvod, ač se o podvod jednalo). Všimněte si, že píši, že FMS se snaží dosáhnout co nejnižších hodnot. Jinými slovy 100% spolehlivost tyto systémy zdaleka nedosahují. Dále u těchto systémů platí, že snahou zlepšit jednu hodnotu, se obvykle zhoršuje ta druhá. To znamená, že čím méně transakcí bude chybně označeno jako podvod, tím více transakcí podvodných transakcí systém akceptuje. Dále je otázka, jak se takový FMS zachová, pokud bude útočníkem např. váš kolega z práce. V takovém případě bude pravděpodobně souhlasit čas, IP adresa, přenosová rychlost, verze operačního systému včetně použitého prohlížeče i jazyka.
Nechci tvrdit, že proti krádeži identity, která v současné době představuje v této oblasti asi největší hrozbu, je tento systém poměrně bezzubý, protože útočník, který získal přihlašovací údaje uživatele vybrané služby např. pomocí phishingu nebo pharmingu nebo jakýmkoliv jiným způsobem, se obvykle i dozví, odkud se uživatel přihlašuje, v kolik hodin, z jaké IP adresy, jaký používá operační systém, typ prohlížeče i jazyk a tudíž má možnost se chovat úplně stejně jako skutečný uživatel a FMS ho může velice obtížně odhalit. Jediné co útočník nezná, jsou předchozí finanční transakce uživatele a to ho může prozradit. Domnívám se, že FMS má své opodstatnění a spousta pokusů o podvod může být díky jeho implementaci zmařena. Nicméně základem by měla být především vhodně zvolená a správně použitá vícefaktorová autentizace, která se v takovém případě stává nutností, protože tak se lze krádeži identity poměrně účinně bránit. Zbývá jen vyřešit, co by mělo být tím dalším faktorem. Jednotlivým autentizačním metodám se podrobně věnuji ve svém seriálu nazvaném příznačně autentizace.