Jiří Nápravník: internetbanking nepoužívám I.

Uměl by pomocí internetového bankovnictví vykrást účet. Bezpečnost je podle něj poněkud ošemetná věc. Také se pozastavuje nad tím, že v ČR znamená ukradení peněz menší prohřešek než zjištění možnosti, jak by se to dalo udělat, nebo že banka žaluje Finančního arbitra a ne zloděje. To jsou jen krátké úryvky z odpovědí Jiřího Nápravníka na vaše dotazy.

Abychom udrželi kvalitu diskuze pro slušné čtenáře, je nutné se před vložením komentáře přihlásit. Jste tu poprvé? Pak se nejdřív musíte zaregistrovat. (Už jsem, ale zapomněl jsem heslo!)

Přihlásit se

Příspěvek s nejvíce kladnými hlasy

30. 6. 2005 11:05, úředník

Pane Nápravníku,
Domnívám se, že ani pomocí těchto PR článků se k žádné zakázce v KB, ani v jiné finanční instituci nedostanete (i když se hodně snažíte).
Vaše supr konzultantská firma na to prostě nemá.

Proč se třeba neopřete do ČS a jejich skvělého zabezpečení založeném na PINu a hesle?

+50
+-
Reagovat na příspěvek

Další příspěvky v diskuzi (celkem 11 komentářů)

2. 7. 2005 15:57 | Umambik

Protoze takovych "silnohubcu" jako soudruh JN beha po svete spousta...
"Když jsem na jeho počítači našel digitální certifikáty k dalším účtům, tak se přiznal." muheheheeeeaaaaaaa :)
+46
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 7. 2005 9:14 | Nowak

Čipové karty vyhovující těmto standardům jsou považovány za dostatečně bezpečné. Samozřejmě jejich ochrany lze prolomit (jako vše) ale zatím jen v laboratorních podmínkách (mikrosondy, elektronový mikroskop, prudké změny teplot, ozařování,... ) na to je ale potřeba vybavení v řádech miliónů dolarů. Kvalita zabezpečení se proto vždy udává v poměru ceny za průlom a ceny získaných informací. V případě běžných účtů je toto riziko zanedbatelné. Větší problém je zneužití čipové karty přímo v počítači. Princip využití karty je popsán v článku (certifikát, veřejný X privátní klíč). Čipová karta po Vás vždy vyžaduje zadání PINu před použitím Vašeho privátního klíče. A zde je zakopán onen pes. Některé programy si pro zlepšení uživatelského konfortu vámi zadaný PIN pamatují a místo Vás ho kartě předhodí. Pokud se některý zákeřný program "nabourá" do takového programu může si podepsat cokoli. Taktéž lze odposlechnout PIN skenováním klávesnice a následně takto získaný PIN zapsat automaticky do zobrazeného dialogu pro zadání PINu aniž to postřehnete. Tento typ útoků je sice možný ale znamená to napsat cílený program, propašovat Vám ho do počítače, obejít případné ochrany, znát přesný formát podepisovaných dat, atp... Takže shrnuto možné to v praxi je ale myslím že vynaložené usilí je v poměru k získané částce neadekvátní. Pokud budete používat čipovou kartu opravdu jenom v průběhu operace, budete dbát na zajištění počítače proti všemožným špionážním programům tak je riziko zneužití velmi malé.
+7
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 6. 2005 14:03 | muf211

Kdo je to vlastně Jiří Nápravník? V článku jsem to nenašel nebo mam slepou skvrnu.
+46
+-
Reagovat | Citovat | Nahlásit

30. 6. 2005 11:09 | Ondřej Čečák

"Proč se třeba neopřete do ČS a jejich skvělého zabezpečení založeném na PINu a hesle?"
Protoze to je pri spravnem chovani bezpecne? (je to zmineno v clanku, mimochodem)
+25
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 6. 2005 11:05 | úředník

Pane Nápravníku, Domnívám se, že ani pomocí těchto PR článků se k žádné zakázce v KB, ani v jiné finanční instituci nedostanete (i když se hodně snažíte). Vaše supr konzultantská firma na to prostě nemá. Proč se třeba neopřete do ČS a jejich skvělého zabezpečení založeném na PINu a hesle?
+50
+-
Reagovat | Citovat | Nahlásit

29. 6. 2005 16:33 | Ondřej Čečák

"pokud majitel uctu je trotl"
Pokud je majitel uctu trotl, tak mu krome slozite biometriky (napr. scan ocni sitnice) moc nepomuze ...
"Chtete-li tvrdit neo jineho, mel by jste na stul polozit alespon jedne konkretni dukaz a na jenom kalit vodu !"
Tak treba HVB Bank nic jineho nez verzi ebankingu s autentizacnim kalkulatorem nenabizi. Aplikace je v Jave, funguje ve Windows, Linuxu a zrejme take v Mac OS X (neovereno).
Zda je zabezpeceni na spickove urovni nemuzu tvrdit, protoze vse znam pouze z uzivatelskeho pohledu a co se deje "uvnitr" v aplikaci nebo v bance, vim neprimo a nepodlozene ...
+34
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 6. 2005 16:28 | Ondřej Čečák

Dobry den,
abych rekl pravdu (k prvni casti prispevku), tak jsem si jenom rypnul. Je mi docela jasne, o co tady jde (ostatne nedavno jsem se primo tady hadal nad tim, nakolik je uzivatel odpovedny za sve chovani) ... Linux ma "by design" oddelena prava, takze k tomu, aby se kolegove dostali k nejakym duvernym vecem (odmyslim si sifrovani adresare s citlivymi soubory), by museli mit patricna prava, ktera nemaji => jedina cesta vede pres vyuziti nejake bezpecnosti slabiny, ktere se snazim hlidat a omezovat.
Co se tyce druhe casti, tak na tu jenom ziram. Scanovani portu je naprosto bezna zalezitost, na serverech je kazdy radove stovka pokusu o prunik automatickymi skripty a radove desitka scanovani portu (ne nutne vsech, ale treba uz par dulezitych za scanovani povazuji), ktere myslim si admini rutinne zpracovavaji.
V Komercni bance tedy asi maji tym (nebo lepe cele oddeleni), ktere nedela nic jineho, nez ze analyzuje logy stroju s verejnymi IP a vyrizuji zaloby (mozna v ramci uspory nakladu a snazsi vymahatelnosti jenom v Ceske republice).
A to jsem jeste nedavno nekde videl diskuzi/clanek o tom, jestli je proste scanovani portu vubec trestne ...
+35
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 6. 2005 15:41 | Jiri

Dobry den, uvadite, ze cipova karta dle FIPS 140-1 level 2 se dnes povazuje za bezpecnou. Uzivaji nase banky karty tohoto standardu pro zabezpeceni internetbankingu? Pokud Vam rozumim dobre, jedinym dnes znamym zpusobem jak kartu zneuzit je ovladnuti uzivatelova pocitace v dobe, kdy je karta pripojena. Tedy pokud kartu vytahnu, zneuziti se bat nemusim? Dekuji za odpovedi.
+7
+-
Reagovat | Citovat | Nahlásit

29. 6. 2005 14:44

Je zcela jasne, ze clanek pojednava o borcovi a KB. Ta ma totiz ze vsech nejmene kvalitni bankovnictvi a tak je opravdu mozny popsany zpusob vykradeni - t.j. trojan, co chyta stisky klavesnice a treba ukradne digitalni certifikat.... chudaci jsou vsichni, co tuhle "banku roku" musi pouzivat. Troufnu si rici, ze popsane zpusoby by v eBANCE mozne nikdy nebyly, a za tim si stojim. Podobne nebezpecne to ma i CSOB v jedne variante a i CS, pokud majitel uctu je trotl a ma zadavani jen pomoci jmena a hesla. Nicmene banka roku jasne vede v nejhorsim a nejmene kvalitnim produktu. Lide , jdete do ebanky, da funguje s woknama, linuxem a macem s temer libovolnym prohlizecem za zabezpeceni je na spickove urovni. Chtete-li tvrdit neo jineho, mel by jste na stul polozit alespon jedne konkretni dukaz a na jenom kalit vodu !
+3
+-
Reagovat | Citovat | Nahlásit

29. 6. 2005 14:42 | Nápravník Jiří, napravnik.jiri@salamandr.cz

Pokud jde o vykradení účtů, tak v prvním a ve třetím vámi navrhovaném případě je to možné téměř u kohokoliv. Když říkám kohokoliv, mám namysli technické provedení přístupu k účtu a zadání platebního příkazu. Druhá vět je zůstatek na účtu, zasílání zpráv o provedené transakci, atd. V případě prevence proti vykradačům účtů je třeba myslet na to, že jejich cílem nemusí být zrovna Váš účet. Tedy pokud jej nechce vybrat bývalá manželka, ale ty to většinou dělají jinak. Vykradačům účtů stačí jakýkoliv jiný přístupný účet. Oni se řídí heslem "Nemusí pršet stačí když kape".
Chci tím říci, že možná zrovna Vy máte svůj počítač zabezpečený dobře, používáte operační systém, kde většina počítačových virů a další "havěti" nemá šanci něco spáchat, ale to ještě neznamená, že si některý z Vašich kolegů nedá někdy práci s napsáním sckriptu, který Vám zkopíruje dig. certifikát a heslo i v prostředí Linuxu a pošle jej někam na Internet. Domnívám se, že v takovém případě by i Vám hodilo, kdyby se banka chovala korektně ke svým klientů a byla schopna a ochotna vyšetřovat podvody, které se stanou v jejím systému internetového bankovnictví.
Pokud jde o přístup státního zástupce, tak co k tomu dodat. Já jsem testoval zabezpečení serveru www.mojebanka.cz (scanoval porty). Banka došla k závěru, že jsem sice žádnou škodu nezpůsobil, ale že se to nedělá, tak na mne podala trestní a soudkyně okresního soudu v Havl. Brodě mne odsoudila k pokutě 20 000,-Kč (jsem státem certifikovaný hacker:-) a v případě kdy skutečně došlo k napadení počítačového systému je řízení zastaveno. To vypadá na velmi rozdílné pohledy na prostředí počítačů a Internetu v různých částech ČR. Při své praxi, když jsem působil jako soudní znalec (kvůli výše uvedenému trestnímu stíhání tuto činnost již nemohu dělat) jsem poznal, že policisté pokud alespoň trochu jim záleží na práci, kterou dělají, tak se sami vzdělávají (velmi často i za své peníze), jenže státní zástupci a soudci jsou z titulu své funkce nezávislí, což je na jednu stranu správně, na druhou stranu to může způsobit i zakrnění těchto právníků a jejich odtržení od reality. Mimochodem v zahraničí to někdy řeší tak, že mají specializované prokurátory a soudce například pro informační systémy, cenné papíry, fúze firem, atd.
+39
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 6. 2005 9:21 | Ondřej Čečák

Pekny rozhovor.
"Uměl by pomocí internetového bankovnictví vykrást účet."
Tenhle titulek je myslim si prehnany. Kazdopadne kdykoli poskytnu cislo uctu(*) a jsem ochotny vsadit se o lahev dobre dvanactilete whisk(e)y, ze nebude vykraden.
(*) nabizim CS a.s. (jmeno+heslo), HVB (jmeno + autentizacni kalkulator) a Zivnobanku (SSL certifikat, jmeno + heslo, podpisovy certifikat). A jako hint dodam, ze pouzivam povetsinou SW z Debian GNU/Linux 3.1.
"V jednom případě se "borec" dostal do cizího počítače, tam ukradl digitální certifikát a přístupové heslo, s nimi se přihlásil na účet poškozeného a převedl z něho peníze.[...] Státní zástupce po zhodnocení všech věcí došel k závěru, že se jedná o málo nebezpečné skutky a jeho stíhání podmínečně zastavil."
Ufff. No tak to je drsne ... pokud mi omylem prijdou na ucet penize, tak je mam (dle zakona?) vratit, ale pokud je nekomu ukradnu, tak nic vracet nemusim? Doufejme, ze to bylo jenom pochybeni toho daneho cloveka ...
+42
+-
Reagovat | Citovat | Nahlásit

Spočítejte si

Výpočet RPSN

Rozšířená verze kalkulačky

Další kalkulačky

Interaktivní grafiky

Kdy můžu do důchodu a kolik dostanu. Kalkulačka a pravidla

Kdy můžu do důchodu a kolik dostanu. Kalkulačka a pravidla

Kdo může žádat o přiznání starobní penze? Co všechno se počítá? Jaké jsou podmínky? Tady...více

Nemáte v peněžence poklad? Takhle poznáte vzácné koruny

Nemáte v peněžence poklad? Takhle poznáte vzácné koruny

Vypadají jako peníze, které denně bereme do ruky. A najdou se lidé, co by nám tu ruku...více

Nové dopravní značky. Podívejte se, co vás čeká na silnicích

Nové dopravní značky. Podívejte se, co vás čeká na silnicích

Od 1. ledna 2024 čeká na řidiče několik nových dopravních značek. Novelu vyhlášky č. 294/2015...více

Na tyhle e-shopy si dejte pozor. Ukážeme jejich triky

Na tyhle e-shopy si dejte pozor. Ukážeme jejich triky

Tohle není podvod, který by měl každý poznat hned na první pohled. Není to amatérsky působící...více

Cesta do pravěku. Podívejte se, jak vypadalo internetové bankovnictví před 20 lety

Cesta do pravěku. Podívejte se, jak vypadalo internetové bankovnictví před 20 lety

Ať jste, nebo nejste pamětníci, tenhle výlet bude plný překvapení. Připomeňte si pionýrské...více

Přihlášení k newsletteru

Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.

Informace ke zpracování osobních údajů

Souboj osobností

Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.

Stanislav Bernard

podnikatel, pivovar Bernard

David Ondráčka

ředitel Transparency International

Stanislav Bernard
ÚSPĚŠNOST
100,00 %

z 2 duelů
×
David Ondráčka
ÚSPĚŠNOST
0,00 %

z 1 duelů

Chci jiný souboj
Souhrnné výsledky duelů

Partners Financial Services