Jiří Nápravník: internetbanking nepoužívám I.

Pekny rozhovor.

"Uměl by pomocí internetového bankovnictví vykrást účet."

Tenhle titulek je myslim si prehnany. Kazdopadne kdykoli poskytnu cislo uctu(*) a jsem ochotny vsadit se o lahev dobre dvanactilete whisk(e)y, ze nebude vykraden.

(*) nabizim CS a.s. (jmeno+heslo), HVB (jmeno + autentizacni kalkulator) a Zivnobanku (SSL certifikat, jmeno + heslo, podpisovy certifikat). A jako hint dodam, ze pouzivam povetsinou SW z Debian GNU/Linux 3.1.

"V jednom případě se "borec" dostal do cizího počítače, tam ukradl digitální certifikát a přístupové heslo, s nimi se přihlásil na účet poškozeného a převedl z něho peníze.[...] Státní zástupce po zhodnocení všech věcí došel k závěru, že se jedná o málo nebezpečné skutky a jeho stíhání podmínečně zastavil."

Ufff. No tak to je drsne ... pokud mi omylem prijdou na ucet penize, tak je mam (dle zakona?) vratit, ale pokud je nekomu ukradnu, tak nic vracet nemusim? Doufejme, ze to bylo jenom pochybeni toho daneho cloveka ...

Pokud jde o vykradení účtů, tak v prvním a ve třetím vámi navrhovaném případě je to možné téměř u kohokoliv. Když říkám kohokoliv, mám namysli technické provedení přístupu k účtu a zadání platebního příkazu. Druhá vět je zůstatek na účtu, zasílání zpráv o provedené transakci, atd. V případě prevence proti vykradačům účtů je třeba myslet na to, že jejich cílem nemusí být zrovna Váš účet. Tedy pokud jej nechce vybrat bývalá manželka, ale ty to většinou dělají jinak. Vykradačům účtů stačí jakýkoliv jiný přístupný účet. Oni se řídí heslem "Nemusí pršet stačí když kape".

Chci tím říci, že možná zrovna Vy máte svůj počítač zabezpečený dobře, používáte operační systém, kde většina počítačových virů a další "havěti" nemá šanci něco spáchat, ale to ještě neznamená, že si některý z Vašich kolegů nedá někdy práci s napsáním sckriptu, který Vám zkopíruje dig. certifikát a heslo i v prostředí Linuxu a pošle jej někam na Internet.
Domnívám se, že v takovém případě by i Vám hodilo, kdyby se banka chovala korektně ke svým klientů a byla schopna a ochotna vyšetřovat podvody, které se stanou v jejím systému internetového bankovnictví.

Pokud jde o přístup státního zástupce, tak co k tomu dodat. Já jsem testoval zabezpečení serveru www.mojebanka.cz (scanoval porty). Banka došla k závěru, že jsem sice žádnou škodu nezpůsobil, ale že se to nedělá, tak na mne podala trestní a soudkyně okresního soudu v Havl. Brodě mne odsoudila k pokutě 20 000,-Kč (jsem státem certifikovaný hacker:-) a v případě kdy skutečně došlo k napadení počítačového systému je řízení zastaveno. To vypadá na velmi rozdílné pohledy na prostředí počítačů a Internetu v různých částech ČR.
Při své praxi, když jsem působil jako soudní znalec (kvůli výše uvedenému trestnímu stíhání tuto činnost již nemohu dělat) jsem poznal, že policisté pokud alespoň trochu jim záleží na práci, kterou dělají, tak se sami vzdělávají (velmi často i za své peníze), jenže státní zástupci a soudci jsou z titulu své funkce nezávislí, což je na jednu stranu správně, na druhou stranu to může způsobit i zakrnění těchto právníků a jejich odtržení od reality. Mimochodem v zahraničí to někdy řeší tak, že mají specializované prokurátory a soudce například pro informační systémy, cenné papíry, fúze firem, atd.

Zobrazit komentovanou zprávuSkrýt komentovanou zprávu (Ondřej Čečák 29.06.2005 09:21)

Je zcela jasne, ze clanek pojednava o borcovi a KB. Ta ma totiz ze vsech nejmene kvalitni bankovnictvi a tak je opravdu mozny popsany zpusob vykradeni - t.j. trojan, co chyta stisky klavesnice a treba ukradne digitalni certifikat.... chudaci jsou vsichni, co tuhle "banku roku" musi pouzivat. Troufnu si rici, ze popsane zpusoby by v eBANCE mozne nikdy nebyly, a za tim si stojim. Podobne nebezpecne to ma i CSOB v jedne variante a i CS, pokud majitel uctu je trotl a ma zadavani jen pomoci jmena a hesla. Nicmene banka roku jasne vede v nejhorsim a nejmene kvalitnim produktu. Lide , jdete do ebanky, da funguje s woknama, linuxem a macem s temer libovolnym prohlizecem za zabezpeceni je na spickove urovni. Chtete-li tvrdit neo jineho, mel by jste na stul polozit alespon jedne konkretni dukaz a na jenom kalit vodu !

Dobry den, uvadite, ze cipova karta dle FIPS 140-1 level 2 se dnes
povazuje za bezpecnou. Uzivaji nase banky karty tohoto standardu
pro zabezpeceni internetbankingu? Pokud Vam rozumim dobre, jedinym
dnes znamym zpusobem jak kartu zneuzit je ovladnuti uzivatelova
pocitace v dobe, kdy je karta pripojena. Tedy pokud kartu vytahnu,
zneuziti se bat nemusim? Dekuji za odpovedi.

Dobry den,

abych rekl pravdu (k prvni casti prispevku), tak jsem si jenom rypnul. Je mi docela jasne, o co tady jde (ostatne nedavno jsem se primo tady hadal nad tim, nakolik je uzivatel odpovedny za sve chovani) ... Linux ma "by design" oddelena prava, takze k tomu, aby se kolegove dostali k nejakym duvernym vecem (odmyslim si sifrovani adresare s citlivymi soubory), by museli mit patricna prava, ktera nemaji => jedina cesta vede pres vyuziti nejake bezpecnosti slabiny, ktere se snazim hlidat a omezovat.

Co se tyce druhe casti, tak na tu jenom ziram. Scanovani portu je naprosto bezna zalezitost, na serverech je kazdy radove stovka pokusu o prunik automatickymi skripty a radove desitka scanovani portu (ne nutne vsech, ale treba uz par dulezitych za scanovani povazuji), ktere myslim si admini rutinne zpracovavaji.

V Komercni bance tedy asi maji tym (nebo lepe cele oddeleni), ktere nedela nic jineho, nez ze analyzuje logy stroju s verejnymi IP a vyrizuji zaloby (mozna v ramci uspory nakladu a snazsi vymahatelnosti jenom v Ceske republice).

A to jsem jeste nedavno nekde videl diskuzi/clanek o tom, jestli je proste scanovani portu vubec trestne ...

Zobrazit komentovanou zprávuSkrýt komentovanou zprávu (Nápravník Jiří, napravnik.jiri@salamandr.cz 29.06.2005 14:42)

"pokud majitel uctu je trotl"

Pokud je majitel uctu trotl, tak mu krome slozite biometriky (napr. scan ocni sitnice) moc nepomuze ...

"Chtete-li tvrdit neo jineho, mel by jste na stul polozit alespon jedne konkretni dukaz a na jenom kalit vodu !"

Tak treba HVB Bank nic jineho nez verzi ebankingu s autentizacnim kalkulatorem nenabizi. Aplikace je v Jave, funguje ve Windows, Linuxu a zrejme take v Mac OS X (neovereno).

Zda je zabezpeceni na spickove urovni nemuzu tvrdit, protoze vse znam pouze z uzivatelskeho pohledu a co se deje "uvnitr" v aplikaci nebo v bance, vim neprimo a nepodlozene ...

Zobrazit komentovanou zprávuSkrýt komentovanou zprávu ( 29.06.2005 14:44)

Pane Nápravníku,
Domnívám se, že ani pomocí těchto PR článků se k žádné zakázce v KB, ani v jiné finanční instituci nedostanete (i když se hodně snažíte).
Vaše supr konzultantská firma na to prostě nemá.

Proč se třeba neopřete do ČS a jejich skvělého zabezpečení založeném na PINu a hesle?

"Proč se třeba neopřete do ČS a jejich skvělého zabezpečení založeném na PINu a hesle?"

Protoze to je pri spravnem chovani bezpecne? (je to zmineno v clanku, mimochodem)

Zobrazit komentovanou zprávuSkrýt komentovanou zprávu (úředník 30.06.2005 11:05)

Kdo je to vlastně Jiří Nápravník? V článku jsem to nenašel nebo mam slepou skvrnu.

Čipové karty vyhovující těmto standardům jsou považovány za dostatečně bezpečné. Samozřejmě jejich ochrany lze prolomit (jako vše) ale zatím jen v laboratorních podmínkách (mikrosondy, elektronový mikroskop, prudké změny teplot, ozařování,... ) na to je ale potřeba vybavení v řádech miliónů dolarů. Kvalita zabezpečení se proto vždy udává v poměru ceny za průlom a ceny získaných informací. V případě běžných účtů je toto riziko zanedbatelné. Větší problém je zneužití čipové karty přímo v počítači. Princip využití karty je popsán v článku (certifikát, veřejný X privátní klíč). Čipová karta po Vás vždy vyžaduje zadání PINu před použitím Vašeho privátního klíče. A zde je zakopán onen pes. Některé programy si pro zlepšení uživatelského konfortu vámi zadaný PIN pamatují a místo Vás ho kartě předhodí. Pokud se některý zákeřný program "nabourá" do takového programu může si podepsat cokoli. Taktéž lze odposlechnout PIN skenováním klávesnice a následně takto získaný PIN zapsat automaticky do zobrazeného dialogu pro zadání PINu aniž to postřehnete. Tento typ útoků je sice možný ale znamená to napsat cílený program, propašovat Vám ho do počítače, obejít případné ochrany, znát přesný formát podepisovaných dat, atp... Takže shrnuto možné to v praxi je ale myslím že vynaložené usilí je v poměru k získané částce neadekvátní. Pokud budete používat čipovou kartu opravdu jenom v průběhu operace, budete dbát na zajištění počítače proti všemožným špionážním programům tak je riziko zneužití velmi malé.

Zobrazit komentovanou zprávuSkrýt komentovanou zprávu (Jiri 29.06.2005 15:41)

Protoze takovych "silnohubcu" jako soudruh JN beha po svete spousta...

"Když jsem na jeho počítači našel digitální certifikáty k dalším účtům, tak se přiznal."
muheheheeeeaaaaaa a:)

Zobrazit komentovanou zprávuSkrýt komentovanou zprávu (úředník 30.06.2005 11:05)