O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

Do nedávna to vypadalo, že vykradení účtu přes internetové bankovnictví je nepravděpodobné, a pokud už k němu došlo, byla to "chyba klienta, který si účet dobře nezabezpečil". Nedávné incidenty ale představily problematiku v pravém světle. Internetové bankovnictví v podání českých bank bezpečné není. Stejně tak není bezpečný zaručený elektronický podpis.

Přidat nový příspěvek

Diskuze na webu www.penize.cz se vždy věnují pouze tématu, k němuž se vztahují. Rozhodně nesuplují funkci Poradny. Máte-li proto jakýkoliv dotaz, obraťte se prosím přímo na naše odborníky, kteří vám rádi pomohou. Na dotazy vložené do Poradny standardně odpovídáme do čtyř pracovních dnů, obvykle se ale dočkáte reakce mnohem dříve. Pokud dotaz vložíte do diskuze, s velkou pravděpodobností na něj nikdo nezareaguje. Děkujeme za pochopení.

Příspěvek s nejvíce kladnými hlasy

29. 8. 2006 16:12

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.

Zobrazit celé vlákno

+47
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

28. 8. 2006 11:48, Autor původního příspěvku

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.

Zobrazit celé vlákno

-34
+-
Reagovat na příspěvek

Další příspěvky v diskuzi (celkem 36 komentářů)

30. 8. 2006 10:41 | K. Jandák

Již několik let využívám internetové bankovnictví u ČSOB, kde je používána autorizační SMSka s 9 místným kódem. Tento kód je platný pouze několik minut a přijde jen na mobil vlastníka účtu, takže je prakticky vyloučeno, aby byl během doby platnosti kódu tento nějakým způsobem vygenerován nebo zjištěn jiným způsobem. Je to opatření velice jednoduché a zároveň velice účinné a lze se pouze podivovat, proč uvedené zabezpečení dosud používala pouze E-banka a ČSOB. Vždyť za ty vysoké poplatky, které za vedení účtů banky klientům strhávají, by měly provést co nejefektivnější zabezpečení peněz svých klientů. Prostě někde to jde hned a jinde až po průšvihu. Bohužel moje letité negativní zkušenosti jak s ČS, tak i s KB pouze korespondují s tím, jak se tyto banky k zákazníkům chovají i v současnosti.
+28
+-
Reagovat | Citovat | Nahlásit

29. 8. 2006 16:12

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.
+47
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 8. 2006 9:43 | honzour

...samozřejmě předpokládám, že aspoň trochu normální klient po provedení aktivní operace čipovou kartu ze čtečky vytáhne.
-13
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

29. 8. 2006 9:40 | honzour

"Pokud jde o čipovou kartu připojenou k počítači, tak zapomeňte na bezpečnost. Situace je stejná jako, když máte certifikát jako soubor na disku...."
Nikoli. Z čipové karty nemůžete soukromý klíč softwarovými prostředky žádným způsobem exportovat. To je zásadní principiální rozdíl oproti uložení běžnými prostředky OS. Tedy pokud je počítač klienta zcela ovládán (geniálním) útočníkem, může klient přijít o peníze pouze v okamžiku, kdy je karta připojena. No, nechtěl bych mít za úkol podobný vykrádací software naprogramovat. (S programováním ČK. mám určité zkušenosti.) Pokud si ukládáte soukromý klíč na disk (útočníkem ovládaného počítače), můžou Vás vykrást kdykoli.
P.S. prosím, nezaměňujte certifikát (= veřejný klíč + další údaje podepsané soukromým klíčem autority) a soukromý klíč.
+4
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

28. 8. 2006 22:05 | ddo

Za SMS se musí platit operátorovi. Není levnější papír s dostatkem jednorázových hesel?
+43
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

28. 8. 2006 18:58

Autor článku se prezentuje (nebo je prezentován) jako soudní znalec. O tuto kvalifikaci přišel před 2 lety. Server penize.cz by si takovéto informace mohl oveřovat a spolupracovat s odborníky v tématu.
-18
+-
Reagovat | Citovat | Nahlásit

28. 8. 2006 15:04 | Yoko Ono

A taky se zde melo popsati v detailech a se jmény viníku : Totální vykradení Komerční banky v privatizaci a záchrana toho tunelu státem pred zkrachováním.
+15
+-
Reagovat | Citovat | Nahlásit

28. 8. 2006 13:43 | Jaroslav Gergic (Gergi)

Opet v diskuzi spousta blabolu o technickem zabezpeceni. Vazeni, pokud jsem spravne cetl zpravy z minuleho tydne, v pripade klientu KB se jednalo o klasicky Phishing, ti nestastnici proste zadali veskere svoje udaje a nahrali svuj digitalni certifikat na podvrzenou stranku. Ty technicke berlicky me opravdu irituji - naprosto nadsen jsem byl kdysi jednoduchosti Internetbankingu v USA a doposud jsem si uzival stejne jednoduchosti i u ceske pobocky Citibank, ovsem po obdobnem pripadu phishingu jako v pripade KB, je zrejme jen tazkou casu, kdy me zacnou prudit s potvrzovacimi SMS. Tady je muj nazor (jakozto IT odobornika): digitalni certifikat je sice matematicky bezpecny, ale v prazi je to velmi drahe uzivatelsky komplikovane reseni a vzhledem k tomu, ze pro laika je to dost nepochopitelne (viz klienti KB, kteri "nainstalovali" svuj privatni klic i s heslem na stranku piratu), neni v praxi ani prilis bezpecny. Zdaleka nejbezpecnejsi, nejpohodlnejsi a uzivatelsky nejprivetivejsi je dle meho nazoru jednoduche technicke zabezpeceni pristupu ve spojeni s kontinualnim monitoringem pohybu na uctech na bazi statistickeho modelovani chovani - zkratka, jakmile se objevi podezrely pohyb (prikaz) na vasem ucte, pracovnik banky zveda telefon a vola vam pro potvrzeni - v praxi velmi dobre funguje u nekterych kreditnich karet.
+9
+-
Reagovat | Citovat | Nahlásit

28. 8. 2006 11:48 | Autor původního příspěvku

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.
-34
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

28. 8. 2006 11:22 | Petr

O vykradených účtech v KB se poslední dobou píše skoro všude. Ale nikde jsem nenašel konkrétní informace o tom počítačích těch okradených: operační systém, service packy / záplaty, antivir, anti-spyware, firewall a nastavení, jaký používali internetový prohlížeč na běžné surfování, kde měli certifikát. Toto jsou informace, ze kterých bych si porovnal zabezpečení svého počítače.
+4
+-
Reagovat | Citovat | Nahlásit

28. 8. 2006 10:30 | Matematik

Škoda, že tam chybí název oné IT firmy s core bezpečnostním IT businessem. Bylo by užitečné vědět, komu se raději vyhýbat. :-))) Jinak v bezpečnosti el. bankovnictví ČR poněkud pokulhává ve srovnání s bankovnictvím v jiných zemích. Třeba současná verze ČSOB muticash, přestože to není internetové bankovnictví, používá také relativně nebezpečné úložiště certifikátů. Kolega je na to před pár lety upozorňoval a chtěl novější verzi (která se tehdy používala v německých bankách) s uložením certifikátů na čipové kartě s bezpečnou čtečkou (zadávání PIN přímo na čtečce bez možnosti přečtení PINu z počítače). Ale ČSOB nadále používá zastaralou verzi muticash, přestože novější verze podporují bezpečnější úložiště certifikátů. Po bezpečnějších verzích asi není dost velká poptávka, protože je zde celkově nízké povědomí o bezpečnostních rizicích, takže banky asi ani nemají důvody investovat do lepšího zabezpečení.
+23
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

28. 8. 2006 8:23 | Rafter

Aha.. no ja porad vychazim z mobelu SIM toolkitu Ebanky a tam to zas tak jednoduse zmenit nejde. U klasickych SMSek to bude zabezpecene logicky o dost hur.
+26
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

28. 8. 2006 8:03 | Starmen

Bezni uzivatele jsou dnes masirovani snad v kazde oblasti. Pocinaje nakupy na trznicich "cim vic prouzku tim vic addidas" az po obrovske investice napr. do inf. systemu SAP, ktery "je nejlepsi, protoze je nejdrazsi". Vice-mene s Vami souhlasim, ale pokud nekdo pise clanek pro sirsi verejnost, tak by myslim dany problem mel podat tak, aby to nebylo zavadejici. Rikat, ze elektronicky podpis je nebezbeny je zavadejici. Elektronicky podpis je bezpecny (ne na 100%, ale je). Celkovy system pristupu k uctu pres el. podpis uz bezpecny byt nemusi. To je jako by Vam nekdo prodal napr. Volvo bez brzd a vy tvrdil, ze Volvo je nebezpecne auto :-) (nadsazka).
+22
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

27. 8. 2006 12:59

Na vině jsou jednoznačně dostatečně nezabezpečené operační systémy a internetové pohlížeče. Zasílání přídavného hesla pomocí SMS v každém případě bezpečnost významně zvyšuje, přičemž je to laciné. Doufám, že to KB poskytuje zadarmo. Považuji to za účinné proti všem útokům čistě na operační systém a jeho software, protože by vám pachatel musel zcizit i mobila, nebo zajistit přesměrování.
Elektronický podpis samotný je bezpečný, ale s přihlédnutím k vynalézavosti hackerů a děr v bezpečnosti Windows, o kterých ještě ani sám Gates neví, si zhodnoťte sami význam keců najatých blábolilů za přepážkami bank, že narušení jejich bezpečnosti je z oblasti sci-fi. Že by o bezpečnosti věděli víc, než ti hackeři? Dělám ve firmě, která má bezpečnost IT jako core business. I když nejsem specialistou na průniky do Windows, vím tolik, že vydávat cokoliv ve Windows za bezpečné, je blbost, zejména když se k tomu přidá chyba uživatele, který není schopen zachovat všechny bezpečnostní pravidla na svém PC, kde si s ním třeba hrajou děti a stáhnou z internetu kdeco. Nehledě na to, že asi banka sama neví, co vše by měla doporučit. Vedle samotných Windows má skoro každý nainstalovánu spoustu SW, který není zdokumentován (např. Skype) a který může mít váš PC rovněž plně pod kontrolou. Zatím slouží asi pouze k odposlouchávání komunikace tajnými službami (CIA?), ale v případě potřeby se mohou jeho funkce rozšířit.
Já používám obyčejné heslo do internet bankingu ČS, které nikde na PC nemám uloženo. Je to stejně bezpečné, jako všechny digitální certifikáty jiných bank, které jsou uloženy na PC. Aby ho útočník zjistil, musel by se nabourat do exploreru a donutit ho, aby mu moje heslo nějak zpřístupnil nebo zaslal. Je to však mnohem obtížnější, než dostat se do vašeho PC a získat nad ním vzdáleně kontrolu a přečíst všechny soubory. Když toto dokáže, pak dokáže zjistit i heslo v jakémkoliv certifikátu, který máte uložen ve Windows.
+17
+-
Reagovat | Citovat | Nahlásit

26. 8. 2006 21:15 | Pavel

O to je bankovnictví na netu nebezpečnější protože většina řadových uživatelů je masírována články o neprolomitelnosti klíčů. Tento klamný pocit bezpečí pak může navodit bezstarostnost klienta. Typickou demagogií je podle mne např. propagování platebních karet oproti hotovosti při platbách v obchodech. Při tom kádež nebo náhodná ztráta platební karty ohrožuje daleko větší částky než omezená hotovost v peněžence. Vyjimkou je e-banka umožňující kartu zamknout.
+5
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

26. 8. 2006 17:08 | pat&mat

... taky moznost, ale myslim, ze to to nebezpecne a komplikovane ... nekdo z banky daleko snadneji vytypuje treba padesatku lidi s tucnejsim kontem a oni cekaj jen na moznost ci chybu majitele uctu ...
+4
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

26. 8. 2006 16:21 | Starmen

Ano. S timto naprosto souhlasim.
Slo mi jen o to, ze neni nebezpecny system podpisu jako takovy (takovy dojem na me udelal clanek).
+2
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

26. 8. 2006 10:39 | Nápravník - autor článku

Systém je tak bezpečný, jak bezpečný je jeho nejslabší článek.
Proč by měly útočníci lámat (dešifrovat) SSL spojení nebo elektronický podpis. Podívejte se na non-IT svět. Moderní loupežníci si nedělají starosti s odemykáním bankomatu. Vytáhnou ho ze supermarketu bagrem a v klidu,někde v opuštěné stodole ho rozřežou autogenem.
+1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

26. 8. 2006 10:31 | Nápravník - autor článku

Ono je zavirování a zavirování.
Antiviry, antispyware v naprosté většině případů reagují na již známé řetězce znaků. Reagují na viry, červy, Trojské koně a další podobnou havěť kterou již někdo detekoval a poslal antivirové firmě k rozboru.
Pokud někdo pro napsání svého "super" viru použije knihony dostupné na Netu, tak si může být jist, že i jeho keylogger antiviry odhalí. Pokud si dá ovšem práci, tak jím vytvořený program vleze nepozorovaně dovnitř, najde co potřebuje a nepozorovaně se i odinstaluje. -------
Pokud jde o čipovou kartu připojenou k počítači, tak zapomeňte na bezpečnost. Situace je stejná jako, když máte certifikát jako soubor na disku. Není to triviální, ale jde to a ten útok je ještě záludnější než okopírování hesla a dig. certifikátu. --------
Pokud jde o bezpečnost elektronického podpisu, tak jedna věc je bezpečnost použitých algoritmů. To je oblast, které se věnují na plný úvazek jiní odborníci. Pro běžné uživatele je důležité, že pokud by byl nějaká algoritmus prolomen nebo se objevila byť je teoretická možnost jak jej prolomit, tak je možné zvolit jiný šifrovací algoritmus, jinou hash funkci a můžete s obchodními partnery komunikovat dál. Druhá věc je možnost bezpečně uložit prostředky pro tvorbu elektronického podpisu. Pokud komunikuje podnikatel s podnikatelem, tak v zásadě o mnoho nejde. V případě komunikace banka - klient je to již o penězích a případy z let 2003-2005 jasně ukázaly, že banky nebyly připraveny na situaci kdy ke zneužití podpisu dojde. Úplný vrchol je v tomto případě komunikace se státní správou, která se řídí zákonem a pokud zákon říká, že tvůrce podpisu má mít prostředky pro tvorbu zaručeného elektronického podpisu pod svojí výhradní kontrolou, tak to v tuto chvíly není v prostředí současných op. systémů možné splnit nebo existuje druhá varianta, že v případě zneužití takového podpisu bude mít občan smůlu a nenajde nikde zastání.
+3
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

26. 8. 2006 0:02 | Pavel

Troufám si tvrdit, že autor je odborník na tuto problematiku kterou se intenzivně zabývá. Vámi popsané triviální chyby se dopustí snad málokdo. Bohužel existují sofistikované postupy kdy se nemusíte tak závažných chyb dopustit a výsledek je stejný - vyluxovaný účet. Příkladem jsou aktuální události v KB a ČS.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

Ušetřete s Peníze.cz

Naši čtenáři s námi ušetřili už  11 952 667 Kč. Podívejte se na poslední poptávky a vyzkoušejte nás také. Vše je zcela zdarma.

Spočítejte si

Výpočet RPSN

Rozšířená verze kalkulačky

Další kalkulačky

Články na Heroine.cz

Ubavit se v karanténě. Seriálové tipy pro neurotiky i masochisty

Ubavit se v karanténě. Seriálové tipy pro neurotiky i masochisty

V době nucené izolace zkrátka koukáme na seriály, a to hodně. Máme ovšem k dispozici tak...více

Karanténa s babičkou je náhlá a tvrdá příprava na důchod

Karanténa s babičkou je náhlá a tvrdá příprava na důchod

Možná teď trávíte většinu času s někým, s kým na kontakt v režimu 24/7 nejste zvyklí....více

Domácí výuka podle zásad Montessori. Spořádané prostředí je klíč

Domácí výuka podle zásad Montessori. Spořádané prostředí je klíč

Jak nejlépe zvládnout situaci, kdy se s dětmi doma střídáme u jednoho notebooku? Na čem...více

Přihlášení k newsletteru

Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.

Informace ke zpracování osobních údajů

Souboj osobností

Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.

Mojmír Hampl

viceguvernér ČNB

Petr Mach

ekonom a politik

Mojmír Hampl
ÚSPĚŠNOST
81,08 %

z 37 duelů
×
Petr Mach
ÚSPĚŠNOST
85,71 %

z 49 duelů

Chci jiný souboj
Souhrnné výsledky duelů

Partners Financial Services

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK

Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.