Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

Reakce na článek o bezpečnosti internetbankingu

Reakce na článek o bezpečnosti internetbankingu
Waldviertler Sparkasse von 1842 a Živnostenská banka se po uveřejnění našeho článku "Test bezpečnosti internetbankingu: zklamání" ohradily vůči některým uvedeným údajům. Jejich reakce a komentář autora zmíněného článku si teď můžete přečíst a zhodnotit.

Z důvodu přehlednosti postupně uvádíme kritizované části původního textu, které se přímo týkají jedné či druhé banky. Vždy následuje komentář banky resp. dodavatele internetbankingu banky a vysvětlení Antonína Beneše, autora kritizovaného textu.

Kritika ze strany dodavatele internetbankingu Waldviertler Sparkasse von 1842 (profil, názory)

Peníze.CZ napsaly: Výjimku potvrzující pravidlo tvoří Waldviertler Sparkasse, jejich systém komunikuje prostřednictvím zpráv šifrovaných na aplikační úrovni. Dodavatel aplikace sice též tvrdí, že používá SSL, ale klient SSL spojení s bankou v průběhu testu opravdu nenavazoval. Bohužel, klíč, od kterého se šifrování odvozuje je asymetrický klíč poměrně malé délky (do 512 bitů). K dosažení reálné bezpečnosti přenášených dat je to málo.
Jakými klíči se prokazuje server banky? Od kvality těchto klíčů se odvíjí jistota, že uživatel komunikuje opravdu se serverem banky a ne s útočníkem, který se za banku vydává. Navíc při použití SSL protokolu se od těchto klíčů odvíjejí dříve zkoumané šifrovací klíče pro ochranu spojení, takže pokud je něco v nepořádku zde, nelze spoléhat ani na důvěrnost dat.
Waldviertler Sparkasse získala druhý černý puntík, neboť shora popsané klíče jsou v tomto směru dvojchybou. Certifikáty ostatních bank jsou bez větších problémů.

Pavel Macháč ze společnosti ComTech, dodavatel internetbankingu Waldviertler Sparkasse von 1842, komentuje: Naše internetové bankovnictví skutečně SSL používá. Pokud by se autor namáhal, zjistil by to poměrně jednoduše, pomocí programů pro sledování sítě např. ethereal nebo ssldump. Autor zřejmě očekával použití HTTPS na vyšší úrovni protokolu. Vzhledem k tomu, že se nedočkal usoudil, že SSL není použito.
SSL, Security Socket Layer je vrstva, která leží pod aplikační vrstvou TCP/IP stacku. Není tedy bezpodmínečně nutné, na vyšší úrovni, používat protokol HTTPS. Jako certifikační autorita je použit datový server banky. Vzhledem k tomu, že se jedná primárně o spojení "klient – banka", je tento způsob více než dostatečný a nejbezpečnější, certifikát obdrží klient přímo od banky. Je třeba si uvědomit, že SSL není všeobjímající řešení. Většina aplikací totiž vrstvu SSL používá k autorizaci spojení pouze jedním směrem, autorizuje se server. Teoreticky lze použít SSL i pro autorizaci opačným směrem.
Nevím, jakým způsobem došel autor článku k délce klíčů asymetrického šifrování 512 bitů. Stačí se totiž zaregistrovat na serveru banky. Z dokladu o registraci jednoznačně vyplývá, že délka klíčů je 1024 bitů. Autor článku to zřejmě nepovažoval za důležité.

Kritizovaný článek

Redakce některé sporné formulace upravila. Přečtěte si současnou podobu textu Test bezpečnosti internetbankingu: zklamání.

P.CZ: Kapitolu samu pro sebe tvoří Waldviertler Sparkasse, jejíž aplikace komunikuje prostřednictvím šifrovaných zpráv. Na začátku zadané heslo se pravděpodobně použije k aktivaci klíče, neboť aplikace pozná vadné heslo bez komunikace s bankou. Klíče jsou v každém případě uloženy v souboru, který lze přesouvat.

P.M.: Velice zajímavý názor. Zajímalo by nás, z kterého palce si tyto "informace" autor vycucal. Zřejmě nenašel vpravo dole ve svém MS IE symbol zamčeného zámku a usoudil, že je vše špatně. Možná by neškodilo, kdyby si prohlédl zdrojový text stránky. Možná by pochopil, že celý systém je postaven trochu jinak, než předpokládá. Možná by se zeptal.
Stručně se zmíním o systému autentizace klienta vůči serveru a naopak. Jak jsem uvedl výše, SSL má dvě úlohy, autorizuje spojení, jedním směrem, a provádí šifrování dat na lince, nic více a nic méně. Protože máme k dispozici prvky asymetrického šifrování, pro zabezpečení podání pokynů, můžeme autorizovat spojení oběma směry. Vytváříme tedy prostřednictvím SSL tunel, v rámci kterého je provedena následná autorizace a šifrování. Pokud vám to připomíná KB jste na správné stopě. Tento systém je totiž standardní pro toho, kdo používá mechanismus elektronického podpisu.

P.CZ: Vypršení limitu jsem nepozoroval u eBanky, Waldviertler Sparkasse, Volksbank, Raiffeisenbank, za což si všichni jmenovaní zaslouží opovržení.

P.M.: Nevím, jak autor článku zjišťoval vypršení limitu. Pokud čekal, že se mu objeví pole odpočítávající čas do přerušení spojení s naším serverem, pak byl jistě zklamán. Dovoluji si ho však ubezpečit, že vypršení časového limitu je v našem internetbankingu implementováno a klient je od serveru odpojen. Navíc po třiceti sekundách probíhá nová autorizace spojení. Je nutné si také uvědomit, že implementace obsahuje elektronický podpis, který je nutný pro jakékoliv aktivní operace.

Reakce autora článku Antonína Beneše na kritiku WSPK:
Jsem si jist, že je pravda to, co bylo napsáno v mém článku. Není pravda, že se autor nenamáhal, autor se namáhal. Za účelem zkoumání, co si vlastně klient s bankou povídá, jsme dokonce na testovací počítač nainstalovali windump, abychom viděli, co teče za komunikaci. Konstatovali jsme tehdy, že klient v rámci kroku zahrnujícího výpis z účtu nenaváže SSL spojení. Namísto toho tam v době testu běžela komunikace, kterou nebylo možné triviálně přiřadit k některému ze známých protokolu, nicméně nepopírám, že vypadala jako šifrovaná.
Také klíč byl ve formátu, který není na první pohled poznat. Nicméně z velikosti kódovaných dat bylo zřejmé, ze uvnitř s největší pravděpodobností nebude 512bitový klíč.
Ovšem od doby hodnocení uplynulo čtvrt roku. Teď bude těžké zjistit, jak vypadala aplikace v době, kdy jsme ji testovali, a zkoumáním té dnešní už nic nezjistíme.

Kritika ze strany Živnostenské banky (profil, názory)

Jan Smítek z odboru Řízení segmentů a produktů retailového bankovnictví Živnostenské banky nám napsal, že jsme v tabulkách uvedli dost nepřesné údaje, "což je potom podáno a negativně hodnoceno i v samotném textu." Jedná se o údaje o způsobu zabezpečení komunikace "banka – klient". Tyto údaje redakce upravila brzy po vydání článku.

Původně bylo v tabulce uvedeno, že banka má vlastní SSL serverový certifikát s délkou klíče 512 a použitý algoritmus md5RSA. Správně mělo být, že serverový certifikát o délce klíče 1024 je od společnosti VeriSign a použitý algoritmus je sha1RSA.
V přehledech uvedený algoritmus md5RSA je potom použitý pro klientské certifikáty (vydávané Certifikační autoritou ŽB), které mají volitelnou délku klíče 512 - 768 - 1024. Navíc byla v článku v souvislosti s ŽB uvedena poznámka o standardu x509 verze 1, přičemž banka používá (a na webu máme také uvedeno) x509 verze 3.

Reakce autora článku na kritiku Živnobanky:
V případě Živnobanky jsem se v textu bohužel skutečně dopustil nepřesnosti. Banka používá 1024bitový klíč serveru a 512bitový klíč klienta.
Jenže ono to není tak jednoduché. Je pravda, že RSA encrypted premaster secret message se posílá šifrovaná veřejným klíčem serveru a že z této zprávy je následně odvozen šifrovací klíč, který chrání spojení. Tedy až dosud mi nezbývá než souhlasit, že skutečně ŽB zajišťuje ochranu komunikace 1024bitovým klíčem, což lze považovat za dostatečné. Omlouvám se za nepřesnost.
Předpokládám, že chyba nastala v důsledku nepřesného přepisování textu podle poznámek pořízených v průběhu testování a velmi mne mrzí.

Své komentáře k tématu, k naší soutěži Internetová banka roku, k zabezpečení vámi používané internetbankingové aplikace apod. nám můžete jako obvykle zanechat

  • RSS
  • Kindle
  • Poslat e-mailem
  • Vytisknout

Líbil se vám článek?

-3
Ano
Ne

Diskuze

Příspěvek s nejvíce kladnými hlasy

7. 6. 2005 18:33

Neanonymní HTTPS znamená, že server vyžaduje autentizaci klienta klientským certifikátem - je myšlena anonymita/neanonymita z pohledu klienta. Je pravda že to není tak rozšířené jako anonymní HTTPS, ale docela se mi líbí "průhlednost" a "standardnost" takového řešení (nějak nemusím "security by obscurity" a různá proprietální řešení - princip by měl být IMHO veřejný a na první pohled zřejmý), i když nevýhodou je že klient je nucen vyřizovat si certifikát. Jinak samozřejmě s nutností autentizace serveru máte naprostou pravdu.

Reagovat

 

+47
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Ondřej Čečák 07. 06. 2005 17:58)

Příspěvek s nejvíce zápornými hlasy

10. 6. 2005 10:32, Michal Kára

Chyba je jednoznacne na strane autora clanku, ktery si vetu "bankovnictvi vyuziva SSL" vylozil jako "bankovnictvi vyuziva HTTPS" (HTTP protokol tunelovany SSL spojenim). A kdyz zadne HTTPS nenasel, tak prohlasil, ze SSL se nepouziva.

Reagovat

 

-21
Líbí
Nelíbí

Zobrazit komentovanou zprávu (nobody 07. 06. 2005 17:37)

Další příspěvky v diskuzi (7 komentářů)

10. 6. 2005 | 10:32 | Michal Kára

Chyba je jednoznacne na strane autora clanku, ktery si vetu "bankovnictvi vyuziva SSL" vylozil jako "bankovnictvi vyuziva HTTPS" (HTTP protokol tunelovany SSL spojenim). A kdyz zadne HTTPS nenasel, tak prohlasil, ze SSL se...více

7. 6. 2005 | 18:38 | Ondřej Čečák

Jasne, ted uz chapu. Diky za vysvetleni. více

7. 6. 2005 | 18:36

Pardon, omlouvám se - "anonymita/neanonymita z pohledu serveru" - lustruje si klienta - neohrabaně jsem se vyjádřil... Přeji hezký den. více

7. 6. 2005 | 18:33

Neanonymní HTTPS znamená, že server vyžaduje autentizaci klienta klientským certifikátem - je myšlena anonymita/neanonymita z pohledu klienta. Je pravda že to není tak rozšířené jako anonymní HTTPS, ale docela se mi líbí...více

7. 6. 2005 | 17:58 | Ondřej Čečák

"kdy je klient autentizován po neanonymní HTTPS komunikaci se serverem"
zcela bez navaznosti: co to znamena neanonymni HTTPS? Sifrovany prenos nemuze byt nikdy anonymni, protoze pokud presne nevite, ze na druhe strane...
více

Naposledy navštívené

Články

Produkty a instituce

Kalkulačky

Poradna

Finanční subjekty

Nabídky práce

Obchodní rejstřík

Osoby v obchodním rejstříku

Části obce

Městské části

Obce

Okresy

Témata

Reklama, Likvidita, Forwardy, mobilní operátoři, architektura, brno, tarify, operátoři, Poštovní spořitelna, nehody, výplata náhrad, osobní odpovědnost, sos dětská vesnička, Grisoft, zaměstnanecké benefity, hromadné žaloby, lodě, swingtrading

9T06963, 7S85437, 2L00808, 1ZT11111, 2L00808

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Všechny materiály © 2000 - 2016 Peníze.CZ a dodavatelé. Všechna práva vyhrazena.

ISSN 1213-2217. Doslovné ani částečné přebírání materiálů není povoleno bez uvedení zdroje a předchozího písemného svolení.
Peníze.CZ vydává společnost Partners media, s.r.o.
Člen SPIR - Sdružení pro internetovou reklamu. Člen SVIT - Sdružení vydavatelů internetových titulů při UVDT.

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK