De vorbă cu Roland Bogosi, tânărul programator care a găsit probleme de securitate în aplicaţiile băncilor

Roland Bogosi are un CV impresionant. A terminat anul trecut Calculatoare la Universitatea Sapientia din Tîrgu Mureş şi, la cei 24 de ani, are deja 11 ani de experienţă în programare. La 12 ani publica prima pagină web, iar doi ani mai târziu câştiga primii săi bani: 100 de dolari de la Google AdSense. Roland s-a perfecţionat continuu în domeniul IT şi a lansat numeroase proiecte personale – trei dintre aplicaţiile dezvoltate de el au astăzi milioane de utilizatori din întreaga lume. Cea dezvoltată în cadrul lucrării de licenţă i-a adus şi un premiu important.

„Am fost pasionat de securitate cibernetică mult înaintea facultăţii. Din fericire, am avut profesori în facultate care au sprijinit pasiunea mea şi am primit libertatea de a experimenta cu ideile mele în cadrul licenţei. Aşa am ajuns să fac licenţa în domeniul de securitate cibernetică, care ulterior a fost premiată la Conferinţa Ştiinţifică Studenţească XV”, îşi aminteşte tânărul programator, în prezent angajat al unei firme străine, cu sediul la New York.

Spune că pasiunea şi curiozitatea pentru toate detaliile intime ale sistemelor informatice l-au ajutat să identifice, la sfârşitul anului trecut, probleme în securizarea unor aplicaţii bancare pe care le utiliza de pe dispozitivul mobil.

„Eram plictisit într-o sâmbătă şi eram curios ce măsuri de precauţie au luat pentru securizarea aplicaţiilor. Nu aşteptam să descoper nimic interesant, dar, din păcate, nu era cazul. Am folosit o tehnică numită reverse engineering pentru a analiza binarele distribuite în Play Store de băncile afectate. În ambele cazuri, când am văzut problemele pentru prima dată, credeam că se întâmplă ceva mai complex, dar după câteva alte teste m-am convins că sunt, de fapt, vulnerabilităţi”, povesteşte Roland Bogosi.

Deîndată ce a constatat incidentele de securitate, tânărul progamator din Tîrgu Mureş le-a raportat băncilor, care, iniţial, însă, nu au avut nicio reacţie. „Am trimis un email, dar nu am primit niciun răspuns. După o lună am încercat să trimit follow-up-uri, dar văzând că iaraşi nu primesc răspuns, am contactat CERT-RO pentru coordonated vulnerability disclosure”, a mai povestit Roland, în exclusivitate pentru ŞtirileTVR.ro.

„În decembrie, la mai bine de o lună şi jumătate după ce nu a primit niciun răspuns din partea primei bănci, ne-a contactat pe noi şi, mai departe, am luat legătuă cu banca. Ulterior, Roland a venit către noi cu o altă semnalare pentru o altă bancă – tot pentru aplicaţii de mobile. Am verificat dacă ceea ce spune este viabil şi ne-am dat seama că lucrurile exact aşa stau”, ne-a spus Mircea Grigoraş, directorul general adjunct al CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică).

„În ambele cazuri, am descris care este problema şi am oferit sfaturi şi soluţii pentru a ameliora aceste probleme”, a adăugat Roland.

După ce a notificat instituţiile bancare şi specialiştii în securitate cibernetică privind problemele aplicaţiilor de mobile banking identificate, Roland s-a implicat pe mai departe şi a oferit sprijin pentru remediere prin prezentarea detaliată a vulnerabilităților. La scurt timp, băncile au lansat noi versiuni ale programelor.

Ce s-ar fi întâmplat, însă, dacă tânărul pasionat de securitate cibernetică nu ar fi semnalat aceste vulnerabilităţi? Primii afectaţi ar fi fost, evident, clienţii băncilor care aveau instalate aceste aplicaţii pe propriile telefoane – inclusiv Roland.

„Scenariile alternative ale procesului de divulgare responsabilă a vulnerabilităţilor sunt monetizarea – prin vinderea acestora către diferiţi infractori cibernetici – sau punerea în pericol a utilizatorilor, dacă respectiva vulnerabilitate este descoperită şi de alte persoane care decid să o exploateze”, a explicat reprezentantul CERT-RO.

Specialiştii în securitate cibernetică susţin că, în absenţa unui cadru normativ, cei care descoperă astfel de vulnerabilităţi ale sistemelor informatice se pot confrunta oricând cu reacţii negative din partea companiilor. Asta în cazurile în care nu sunt pur şi simplu ignoraţi, cum a fost şi cazul lui Roland Bogosi.

„La nivel national, nu avem un cadru legislativ în materie de divulgare coordonată a responsabilităţilor, iar acest concept este relativ la început şi la nivel european şi internaţional – existând până în acest moment doar o initiaţiva coordonată în cadrul Forumului Global pentru Expertiză Cibernetică, la care şi România a fost stat co-iniţiator. Există, desigur, şi programe de bug-bounty, însă un cadru normativ ar fi foarte util”, a subliniat Mircea Grigoraş.

Nu există nicio aplicaţie care este 100% lipsită de vulnerabilităţi, spun experţii în domeniu. De aceea varianta testării amănunţite a aplicaţiilor web pentru a descoperi şi remedia punctele lor slabe este încurajată de aceştia.

Este al doilea caz într-o lună de identificare şi divulgare responsabilă, după cel al lui Gabriel Cârlig – tânărul care a reuşit să modifice cardul RATB şi să călătorească nelimitat cu mijloacele de transport în comun din Capitală.

Până la un viitor caz de divulgare responsabilă a vulnerabilităţilor, utilizatorilor de mobile banking nu le rămâne altceva decât să fie precauţi şi să respecte câteva măsuri de securitate:

• să verifice aplicaţiile descărcate şi sursele acestor aplicaţii
• să evite tranzacţiile de internet banking prin hot-spot-uri nesigure sau publice. Tastarea datelor sensibile în timpul conexiunilor nesecurizate este riscantă, întrucât traficul poate fi urmărit de persoane neautorizate. Hot-spot-urile wireless publice sunt vulnerabile interceptărilor de trafic și răspândirii virușilor, întrucât nu sunt protejate de parole și pot fi accesate de oricine
• să îşi protejeze telefoanele mobile cu parole şi criptare
• să fie atenţi la ofertele prea bune pentru a fi reale
• să oprească conexiunea la internet atunci când nu sunt online.

În prezent, Roland Bogosi lucrează ca programator la o multinaţională cu sediul la New York. Dezvoltă sisteme informatice pentru clienţi de pe întreg globul şi are colegi nu doar peste Ocean, ci şi în oraşe româneşti, precum Oradea şi Cluj-Napoca.