THE RELATIONSHIP BETWEEN SECURITY AND USER EXPERIENCE

THE RELATIONSHIP BETWEEN SECURITY AND USEREXPERIENCE

DEFINISANJE ODNOSA SIGURNOSTI I KORISNIČKOG ISKUSTVA

Jovan Šikanja, online fraud and security analyst1

Abstract: The main goal of this paper is to analyze the complex relationship of security anduser experience with a focus on banking software and hardware. Instead of conventionalresearch approaches this paper goes towards the establishment of a specific framework forreflection and decision-making when creating a banking software and hardware.

Key words: security, user experience, banking software, banking hardware

Sadržaj: Cilj rada je analiza kompleksnog odnosa sigurnosti i korisničkog iskustva saakcentom na bankarskom softveru i hardveru. Poznata je činjenica da sigurnosne mere mogunegativno uticati na korisničko iskustvo. Ipak, važna stavka, koja se često izostavlja, je to dasoftver neprilagođen krajnjem korisniku, nezavisno od postojanja/nepostojanja sigurnosnihmera, može negativno uticati na sigurnost. Rad je, umesto klasičnog istraživačkog pristupa,okrenut ka uspostavljanju specifičnog okvira za razmišljanje i donošenje odluka pri kreiranjubankarskog softvera i hardvera

Ključne reči: sigurnost, korisničko iskustvo, bankarski hardware, bankarski software

1. UVOD

U ovom radu analiziraćemo front-end delove bankarskih elektronskih sistema. Pre svega,bavićemo se analizom e-bankinga ali delom i ATM i POS softvera. Tema koju ćemo obraditije odnos sigurnosnih mera na bankarskim sistemima sa jedne strane i njihov , kako će seispostaviti, dvojak uticaj na korisničko iskustvo (u daljem tekstu UX) sa druge strane.Svesni smo potpuno opravdanog zahteva da sistemi koji se koriste u bilo kom oblikuelektronskog bankarstva moraju da zadovolje adekvatne sigurnosne zahteve, bilo da su onipropisani određenim standardom ili predstavljaju primer dobre prakse. Ipak, zadovoljavanjesigurnosnih zahteva može se postići na različite načine. Najjednostavnije rečeno – na dobar i na loš način.

Rad je, umesto klasičnog istraživačkog pristupa, okrenut ka uspostavljanju specifičnog okviraza razmišljanje i donošenje odluka pri kreiranju bankarskog softvera i hardvera. Akcenat je nanajboljem mogućem odnosu sigurnosti i korisničkog iskustva i približavanju proizvoda iusluge win-win situaciji. Kao takav, može se shvatiti kao pilot rad na osnovu kojega se moguvršiti detaljnije u dublje analize.

2. ZNAČAJNI SPOREDNI FAKTORI U ODNOSU UX- a SIGURNOSTI

1 E-sigurnost.net, Limundo.com - [email protected]

Kada razmatramo odnos sigurnosti i UX-a moramo da pomenemo još dva važna faktora kojaneće direktno uticati na odnos sigurnosti i UX-a, ali će značajno uticati na finalni proizvod uprocesu konstrukcije jednog bankarskog sistema. U pitanju su utisak korisnika o sigurnosti icena samog proizvoda.

Utisak o sigurnosti sistema od strane korisnika je važan posredni faktor koji ima čistopsihološki uticaj na korisnika. Jednostavno rečeno, sa strane korisnika koji nije ekspert jako jevažno da sam sistem izgleda sigurno i da se korisnik oseća sigurno dok ga koristi. Stavimo seu poziciju nenaprednog korisnika koji je svoja primanja poverio banci. U ovom slučajupostoji potreba da sistem spolja deluje kao sigurno rešenje. Sa druge strane, faktička sigurnostu ovom slučaju igra sporednu ulogu, što će biti demonstrirano u primerima u ovom radu.Drugačije rečeno, mi možemo korisniku obezbediti sistem neverovatno lak za korišćenje,perfektno osiguran sa logovanjem bez lozinke i bez komplikovanih zaštita, međutim, akosistem spolja ne deluje korisniku kao nešto što je sigurno, to se može negativno odraziti na prihvatanje proizvoda od strane korisnika. Sličan koncept, koji nije vezan direktno za bankarski softver, izneo je Brus Šnajer u eseju "The Psyshology Of Security"[1]

3. KAKVIM SISTEMIMA TEŽIMO?

Imajući u vidu faktore objašnjene u prethodnom odeljku, možemo reći da težimo sigurnimsistemima, koji korisniku izgledaju sigurno, laki su za korišćenje a ne koštaju mnogo.

Za postizanje rezultata imamo široku paletu sigurnosnih proizvoda, međutim zadovoljavanjesvakog faktora u optimalnoj meri može biti vrlo izazovno. Na primer, ukoliko zadovoljimopotrebu korisnika da sistem koji koristi izlega sigurno, a pritom zanemarimo pravu sigurnostdovešćemo korisnika u zabludu i izložiti ga riziku. Iako možda deluje jednostavno, i ovajodnos je višeslojan i komplikovan. Pokušaćemo da produbimo priču jednim praktičnimprimerom. Dva e-banking sistema koje koriste banke u Srbiji na login stranama, kao zaštituod keylogger-a imaju implementirane virutelne "in browser" tastature koje pozitivno utiču nautisak korisnika o sigurnosti. Virtuelne tastature pružaju relativno dobru zaštitu od osnovnihverzija keylogger programa. Međutim, suštinski, ukoliko je računar korisnika već zaraženmalverom doprinos sigurnosti virtuelne tastature može se dovesti u pitanje ili čak potupunoanulirati.

4. UX I SIGURNOST: E-BANKING SISTEMI BANAKA U SRBIJI

Većina banaka koje posluju na teritoriji Srbije svojim klijentima pružaju e-banking usluge.Rešenja koja se koriste na tim sistemima dosta su različita pa samim pregledom ovih sistemamožemo videti dosta različitih primena sigurnosnih mera. Takođe sami sistemi zasnovani suna različitim tehnologijama od kojih svaka ima svoje prednosti i mane. Za potrebe ovog radaanaliziraćemo načine na koje su na e-banking sistemima rešene dvofaktorska autentifikacija.

4.1 UX i sigurnost na primeru dvofaktorske autentifikacije

1.1.2014. na snagu je stupila Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije[2] koju je donela NBS.

Iako je ova odluka izazvala negodovanje korisnika potreba za dvofaktorskom autentifikacijompri korišćenju e-banking sistema je potpuno opravdana i neophodna.

Dvofaktorska autentifikacija zbog svoje prirode pokazala se kao idealan poligon zarazmatranje odnosa korisničkog iskustva i sigurnosti kao i rasplitanje njihovog dvojakogodnosa.

Sigurna dvofaktorska autentificakcija treba da podrazumeva suštinsku odvojenost dvafaktora autentifikacije [3]. Jedino na taj način donosi adekvatnu zaštitu. Takav sistemomogućen vam je na Twitter-u, Facebook-u i Google-u ali ne i uvek i online bankarstvu.Pojasniću primerima šta želim da kažem. Da bi se neko ulogovao na vaš Google nalog koji jezaštićen dvofaktorskom autentifikacijom mora da poseduje vaše korisničko ime i lozinku(faktor 1), mora da ima pristup vašem telefonu na koji je Google poslao jednokratni kod zalogovanje (faktor 2). Ako ste bili meta phishing napada i ukradena vam je lozinka vaš nalog idalje ostaje siguran i nekompromitovan.

Vratimo se sada na online bankarstvo i eksperimentalnu situaciju gde haker kontroliše računarkorisnika pomoću nekog malicioznog RAT softvera. Namerno spominjem RAT jer ga zanapade mogu koristiti i tehnički nenapredna lica. Na primer, DarkComet RAT (slika 1) imavrlo jednostavan interfejs i vrlo lako se podešava. Potrebno je samo uz malo društvenoginženjeringa naterati žrtvu da instalira softver. Tada napadač ima potpunu kontrolu nad vašimračunarom. Situacija je slična i kada napadač koristi sofisticiraniji malver.

slika 1: DarkComet RAT - izgled interfejsa

Uzmimo sada za primer dve banke koje posluju na teritoriji Srbije koje imaju različite druge faktore u dvofaktorskoj autentifikaciji.

Banka 1 kao drugi faktor koristi sertifikat snimljen na mini CD-u. Sertifikat je vezan zakorisnikov nalog i nije moguće izvršiti plaćanje bez njegovog prisustva.

Banka 2 kao drugi faktor koristi običan SMS kod koji se šalje na mobilni telefon korisnikakoji je potreban da bi se izvršilo plaćanje. SMS kod je vezan za jedno specifično plaćanje.

Kako bi RAT napad koji smo osmislili uticao na korisnike Banke 1 i Banke 2?Na prvi pogled možemo pomisliti se elektronski sertifikat odnosi pobedu nad SMS-om,međutim ipak nije tako.

Zbog činjenice da sve više računara ne koristi CD rom u Banci 1 su dozvolili kopiranjesertifikata na USB ili hard disk. Samim tim drugi faktor autentifikacije gotovo da gubi smisaou ovakvim vrstama napada. Napadač bi vas posmatrao i gledao kako vršite prvo plaćanje (ilibi pustio keylogger da odradi taj deo posla). Pošto vam se drugi autentifikacioni faktor nalazina samom računaru napadač ne bi imao prepreku da sam obavi transfer novca na bilo kojiračun.

Suštinska odvojenost dva faktora autentifikacije u ovom slučaju ne postoji i to je još jedan

ispit na kome pada ovo rešenje.

U identičnoj situaciji napadač bi samo mogao da posmatra korisnika Banke 2 kako vrši novčane transakcije. Napadač sam ne bi mogao da izvrši nijednu transakciju jer nema u posedu korisnikov telefon i ne može da dođe do SMS koda koji je potreban da bi se potvrdilo plaćanje.

U ovom primeru vidljiva je razlika u sigurnosti. Uporedimo sada ova dva sistema sastanovišta korisničkog iskustva. Ovde lepo možemo videti kako komplikovaniji sistem(sertifikat vezan sa vaš nalog vs. SMS kod) ne znači uvek više sigurnosti.

Zašto dolazi od ove razlike? Jednostavno, suštinska odvojenost dva faktora autentifikacije, unajvećem broju situacija, zahtevaće od potencijalnog napadača da kompromituje dvasistema što je moguće, ali mnogo manje verovatno i znatno teže.

Uvedimo sada u našu eksperimentalnu situaciju i Banku 3 koja kao drugi faktor koristitoken. Ovde značajnu ulogu igraju i dva sporedna faktora koja smo pomenuli u tački 2 –utisak korisnika o sigurnosti i cena. Tokeni su skupo rešenje međutim snažno pozitivno utičuna utisak korisnika o sigurnosti. Posedovanje “magičnog” uređaja za koji korisnik obično nezna na koji način funkcioniše pozitivno doprinosi generalnom utisku o sigurnosti.Što se tiče suštinske sigurnosti i otpornosti ovakvog sistema na napade to zavisi od načina nakoji je implementiran. Da li se token koristi samo jednom prilikom prijave ili ističe za 30 ili60 sekundi pa je za plaćanje potrebno generisati novi. Ipak, ranjivost token sistema na Man InThe Middle napade demonstrirana je više puta. U lošijoj implementaciji token sistema ponovonam nedostaje suštinska odvojenost dva faktora u dfovaktorskoj autentifikaciji.

Ukoliko sigurnost token sistema Banke 3 uporedimo sa sistemima koje koriste Banka 1 (CDsertifikat) i Banka 2 (SMS verifikacija), grafički on će stajati negde između. U dobrojimplementaciji biće blizak sistemu koji koristi Banka 2).

Kako se token sistem odražava na UX? Ukoliko izjednačimo sigurnost SMS-a i tokenapostavlja se pitanje da li je opravdano da korisnik bude opterećen posedovanjem i nošenjemjoš jednog uređaja? Čak i ukoliko token sistem shvatimo kao sigurniji sistem on sa sobomvuče dosta troškova i administracije pa se postavlja pitanje finansijske opravdanosti zakorišćenje ovakvog sistema. Ovde uvodimo pojam optimalne sigurnosti.

4.2 Optimalna sigurnost

Ponovo se vraćamo na Odluku o minimalnim standardima upravljanja informacionimsistemom finansijske institucije. O ovoj odluci definisan je pojam autentifikacije (slika 2).

Uspešnom dvofaktorskom autentifikacijom NBS smatra kombinovanje bilo koja dva faktoraiz ove definicije. Neke od mogućih kombinacija su: Lozinka-Token, LIB – Otisak prsta, LIB –očna dužica, Lozinka – Rukopis i slično.

Sada se stavimo u položaj prosečnog korisnika e-banking sistema sa prosečnim primanjimakoji ovaj sistem koristi da bi plaćao račune i/ili kupovao online. Koji stepen zaštite bi biooptimalan za ovakvog korisnika?

Da li je opravdano i potrebno koristiti biometrijske podatke u e-banking sistemu namenjenomfizičkim licima? Uzmimo u obzir samo moguću štetu koja može da nastane kompromitacijomkorisničkog naloga sa jedne strance i troškova koje bi zahtevala implementacija jednogovakvog sistema. Ovakav sistem možemo odbaciti čak i bez uplitanja dodatnih faktora kao štosu izuzetno negativan uticaj na privatnost korisnika. Ugrožavanje privatnosti korisnika zaradsigurnosti može imati i negativne posledice[4].

Drugi primer koji spominjemo je situacija da određeni e-banking sistemi u Srbiji imajuograničenja u smislu da korisnik nije u mogućnosti da izvrši isplatu na tekući račun koji seveć ne nalazi u bazi proverenih računa koju kreira banka. Da bi novac bio isplaćen ka takvomračunu potrebno je da korisnik ode lično u ekspozituru kako bi se račun pridodao bazi. Zarad sigurnosti koja možda i nije potrebna u ovom stepenu uništava se prednost koju e-banking ima nad klasičnim bankarstvom.

Slika 2: Definicija autentifikacije po NBS

Potrebno je da uvek imamo u vidu šta je to što štitimo i koji su rizici kompromitacije. Biznisnalog velike kompanije svakako ne zahteva istu količinu zaštite kao nalog prosečnogkorisnika.

5. ATM SOFTWARE I HARDWARE

U svetlu prethodno iznesenih principa, vrlo kratko ćemo se pozabaviti sofverom i hardware-om koji se koristi na ATM-ovima banaka u Srbiji. Videćemo kako pojmovi optimalne sigurnosti, utiska korisnika o sigurnosti a i, naravno, odnosa UX-a i sigurnosti mogu da se primene i na ovaj bankarski proizvod.

5.1 Hardverska skimming i snooping zaštita

Od nedavno se na bankomatima NCR-a pojavila hardveska zaštita od skimminga i snoopinga prikazana na slici dole (slika 3)

Analizirajmo sada ovaj uređaj u svetlu prethodno iznetih principa:

Utisak korisnika o sigurnosti: Pozitivan.Samo postojanje ovakvog uređaja kod korisnika budi pozitivan osećaj o sigurnosti samog uređaja.

slika 3: Skimming zaštita

Uticaj na UX: Negativan

Sam uređaj blokira lagan pristup tastaturi a gornja maska iako providna previše je tamna da bise mogli lepo razaznati brojevi što sa sobom povlači potrebu za podizanjem poklopca.Takođe, kao što se vidi na fotografiji delimično je blokiran i otvor za novac što doprinosi

negativnom UX-u.

Uticaj na sigurnost: Negativan/Neutralan/Pozitivan.

Što se tiče uticaja na suštinsku sigurnost doprinos ovog uređaja je nekonzistentan. Ovabarijera pozitivno će uticati na zaštitu od libanske klopke i "radoznalih posmatrača".Sa druge strane njen pozitivan uticaj na zaštitu od skimminga može se dovesti u pitanje.Svakako, uređaj će pružiti zaštitu od kamere koja je instalirana negde na kućištu ATM-a,međutim sam uređaj i njegova konstrukcija olakšaće napadačima instalaciju kamere i/ili dupletastature na način na koji će korisniku biti još teže da posumnja da nešto nije u redu.

5.2 Redosled koraka u sistemu

Pri samom procesu podizanja novca demonstriraćemo primer na koji način jedna mala UX odluka može negativno uticati na sigurnost. Redosled koraka pri podizanju novca sa ATM-a razlikuje se kod banaka u Srbiji. Nisu vršena detaljna ispitivanja ali su primećena dva različitapristupa koja se koriste:

Banka 1: Ubaci karticu – Ukucaj PIN – Izaberi svotu i potvrdi – Uzmi karticu – Uzminovac

Banka 2: Ubaci karticu – Ukucaj PIN – Izaberi svotu i potvrdi – Uzmi novac – Uzmikarticu

Kao što možemo videti razlikuju se dva poslednja koraka. U Banci 1 korisnik će prvo uzeti karticu a nakon toga će uzeti novac. U Banci 2 korisniku će prvo biti isplaćen novac, pa će mubiti vraćena kartica.Posmatrajmo sada ove događaje sa psihološke strane. Korisnik je došao na ATM da bi podigao novac. Njegova pažnja usmerena je novac. Kada dobije novac, u slučaju da mu je pažnja podeljena zbog razgovora telefonom ili umora normalna reakcija je da se nakon uzimanja novca okrene i ode.

Hipoteza koju postavljam je da Banka 2, koja prvo isplaćuje novac pa zatim vraća karticu imamnogo veći procenat zaboravljenih kartica na ATM-u od Banke 1.

6. ZAKLJUČAK

U radu smo pokazali na koji način sigurnosne mere i sistemi mogu negativno uticati na korisničko iskustvo. Sa druge strane pokazali smo kako neadekvatno rešeni korisnički sistemi mogu negativno uticati na sigurnost. Time smo demonstrirali dvojak odnos sigurnosti i korisničkog iskustva što nam je bio primarni cilj.Kao značajan faktor, u kreiranju bankarskih sistema, uveli smo i objasnili utisak korisnika o

sigurnosti čiji je efekat čisto psihološki ali je važan jer utiče na kompletnu sliku o proizvodu.

Kao što se može videti iz predhodnih pasusa ovaj rad predstavlja neku vrstu uvoda urazmatranje odnosa sigurnosti i korisničkog iskustva. Kao što je rečeno u uvodu ovaj rad imaza cilj da uspostavi specifičan framework za razmišljanje u konstrukciji i/ili izmenibankarskih sistema. O konkretnim sigurnosnim merama i UX odlukama nije bilo mnogo reči.Ta razmatranja ostavljamo za naredne radove i eventualne on-demand analize konkretnihbankarskih sistema. Ad hoc analiza e-banking sistema koja je sprovedena u svrhu pisanjaovog rada govori da ima dosta mesta za napredak.

Cilj profesionalaca koji se bave sigurnošću nije da naprave siguran sistem već da napravesiguran sistem koji može da se koristi. Sigurnost, sama po sebi nije cilj. Često na internetunailazi na citat da je jedini 100% siguran sistem onaj koji ne funkcioniše.Zbog toga smo, na primeru e-banking sistema, uveli termin optimalne sigurnosti. Suština je dapre nego što krenemo da štitimo neki sistem vidimo čemu on služi i koji su rizici njegovekompromitacije.Takođe. sigurnost informacionih sistema treba da shvatimo mladu nauku čiji osnovni postulatijoš uvek nisu do kraja utvrđeni. Nećemo praviti greške naših prethodnika i implementiratisisteme koji su se pokazali nesigurnim. Sa druge strane, nikako ne smemo da napravimogrešku pa da sadašnje sisteme uzmemo zdravo za gotovo i da ih smatramo jedinim mogućimrešenjima. Na primer, većina sistema koje danas koristimo razvijeni su pre izlaska prvogpametnog telefona. Da li smo spremno dočekali tu revoluciju? Kao što je čuveni Brus Šnajerrekao “Sigurnost je proces, ne proizvod”.

Jedino ukoliko sigurnost shvatimo na ovakav način možemo biti sigurni da ćemo uvekisporučivati kvalitetan proizvod koji je siguran i jednostavan za korišćenje.

LITERATURA

[1] Schneier, B. (2008) The Psychology of Security

[2] http://bit.ly/1egQ2iz, 04.04.2014.

[3] http://www.e-sigurnost.net/Blog/2013/ne-dozvolite-da-vam-sigurnost-bude-ubica-korisnickog-iskustva, 04.04.2014.

[4] Šikanja, J. (2013) Defining the relations of security and privacy on the Internet, DIBS