O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

... taky moznost, ale myslim, ze to to nebezpecne a komplikovane ... nekdo z banky daleko snadneji vytypuje treba padesatku lidi s tucnejsim kontem a oni cekaj jen na moznost ci chybu majitele uctu ...

O to je bankovnictví na netu nebezpečnější protože většina řadových uživatelů je masírována články o neprolomitelnosti klíčů. Tento klamný pocit bezpečí pak může navodit bezstarostnost klienta. Typickou demagogií je podle mne např. propagování platebních karet oproti hotovosti při platbách v obchodech. Při tom kádež nebo náhodná ztráta platební karty ohrožuje daleko větší částky než omezená hotovost v peněžence. Vyjimkou je e-banka umožňující kartu zamknout.

Na vině jsou jednoznačně dostatečně nezabezpečené operační systémy a internetové pohlížeče. Zasílání přídavného hesla pomocí SMS v každém případě bezpečnost významně zvyšuje, přičemž je to laciné. Doufám, že to KB poskytuje zadarmo. Považuji to za účinné proti všem útokům čistě na operační systém a jeho software, protože by vám pachatel musel zcizit i mobila, nebo zajistit přesměrování.
Elektronický podpis samotný je bezpečný, ale s přihlédnutím k vynalézavosti hackerů a děr v bezpečnosti Windows, o kterých ještě ani sám Gates neví, si zhodnoťte sami význam keců najatých blábolilů za přepážkami bank, že narušení jejich bezpečnosti je z oblasti sci-fi. Že by o bezpečnosti věděli víc, než ti hackeři? Dělám ve firmě, která má bezpečnost IT jako core business. I když nejsem specialistou na průniky do Windows, vím tolik, že vydávat cokoliv ve Windows za bezpečné, je blbost, zejména když se k tomu přidá chyba uživatele, který není schopen zachovat všechny bezpečnostní pravidla na svém PC, kde si s ním třeba hrajou děti a stáhnou z internetu kdeco. Nehledě na to, že asi banka sama neví, co vše by měla doporučit. Vedle samotných Windows má skoro každý nainstalovánu spoustu SW, který není zdokumentován (např. Skype) a který může mít váš PC rovněž plně pod kontrolou. Zatím slouží asi pouze k odposlouchávání komunikace tajnými službami (CIA?), ale v případě potřeby se mohou jeho funkce rozšířit.
Já používám obyčejné heslo do internet bankingu ČS, které nikde na PC nemám uloženo. Je to stejně bezpečné, jako všechny digitální certifikáty jiných bank, které jsou uloženy na PC. Aby ho útočník zjistil, musel by se nabourat do exploreru a donutit ho, aby mu moje heslo nějak zpřístupnil nebo zaslal. Je to však mnohem obtížnější, než dostat se do vašeho PC a získat nad ním vzdáleně kontrolu a přečíst všechny soubory. Když toto dokáže, pak dokáže zjistit i heslo v jakémkoliv certifikátu, který máte uložen ve Windows.

Bezni uzivatele jsou dnes masirovani snad v kazde oblasti. Pocinaje nakupy na trznicich "cim vic prouzku tim vic addidas" az po obrovske investice napr. do inf. systemu SAP, ktery "je nejlepsi, protoze je nejdrazsi". Vice-mene s Vami souhlasim, ale pokud nekdo pise clanek pro sirsi verejnost, tak by myslim dany problem mel podat tak, aby to nebylo zavadejici. Rikat, ze elektronicky podpis je nebezbeny je zavadejici. Elektronicky podpis je bezpecny (ne na 100%, ale je). Celkovy system pristupu k uctu pres el. podpis uz bezpecny byt nemusi. To je jako by Vam nekdo prodal napr. Volvo bez brzd a vy tvrdil, ze Volvo je nebezpecne auto :-) (nadsazka).

Aha.. no ja porad vychazim z mobelu SIM toolkitu Ebanky a tam to zas tak jednoduse zmenit nejde. U klasickych SMSek to bude zabezpecene logicky o dost hur.

Škoda, že tam chybí název oné IT firmy s core bezpečnostním IT businessem. Bylo by užitečné vědět, komu se raději vyhýbat. :-))) Jinak v bezpečnosti el. bankovnictví ČR poněkud pokulhává ve srovnání s bankovnictvím v jiných zemích. Třeba současná verze ČSOB muticash, přestože to není internetové bankovnictví, používá také relativně nebezpečné úložiště certifikátů. Kolega je na to před pár lety upozorňoval a chtěl novější verzi (která se tehdy používala v německých bankách) s uložením certifikátů na čipové kartě s bezpečnou čtečkou (zadávání PIN přímo na čtečce bez možnosti přečtení PINu z počítače). Ale ČSOB nadále používá zastaralou verzi muticash, přestože novější verze podporují bezpečnější úložiště certifikátů. Po bezpečnějších verzích asi není dost velká poptávka, protože je zde celkově nízké povědomí o bezpečnostních rizicích, takže banky asi ani nemají důvody investovat do lepšího zabezpečení.

O vykradených účtech v KB se poslední dobou píše skoro všude. Ale nikde jsem nenašel konkrétní informace o tom počítačích těch okradených: operační systém, service packy / záplaty, antivir, anti-spyware, firewall a nastavení, jaký používali internetový prohlížeč na běžné surfování, kde měli certifikát. Toto jsou informace, ze kterých bych si porovnal zabezpečení svého počítače.

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.

Opet v diskuzi spousta blabolu o technickem zabezpeceni. Vazeni, pokud jsem spravne cetl zpravy z minuleho tydne, v pripade klientu KB se jednalo o klasicky Phishing, ti nestastnici proste zadali veskere svoje udaje a nahrali svuj digitalni certifikat na podvrzenou stranku. Ty technicke berlicky me opravdu irituji - naprosto nadsen jsem byl kdysi jednoduchosti Internetbankingu v USA a doposud jsem si uzival stejne jednoduchosti i u ceske pobocky Citibank, ovsem po obdobnem pripadu phishingu jako v pripade KB, je zrejme jen tazkou casu, kdy me zacnou prudit s potvrzovacimi SMS. Tady je muj nazor (jakozto IT odobornika): digitalni certifikat je sice matematicky bezpecny, ale v prazi je to velmi drahe uzivatelsky komplikovane reseni a vzhledem k tomu, ze pro laika je to dost nepochopitelne (viz klienti KB, kteri "nainstalovali" svuj privatni klic i s heslem na stranku piratu), neni v praxi ani prilis bezpecny. Zdaleka nejbezpecnejsi, nejpohodlnejsi a uzivatelsky nejprivetivejsi je dle meho nazoru jednoduche technicke zabezpeceni pristupu ve spojeni s kontinualnim monitoringem pohybu na uctech na bazi statistickeho modelovani chovani - zkratka, jakmile se objevi podezrely pohyb (prikaz) na vasem ucte, pracovnik banky zveda telefon a vola vam pro potvrzeni - v praxi velmi dobre funguje u nekterych kreditnich karet.

A taky se zde melo popsati v detailech a se jmény viníku : Totální vykradení Komerční banky v privatizaci a záchrana toho tunelu státem pred zkrachováním.

Autor článku se prezentuje (nebo je prezentován) jako soudní znalec. O tuto kvalifikaci přišel před 2 lety. Server penize.cz by si takovéto informace mohl oveřovat a spolupracovat s odborníky v tématu.

Za SMS se musí platit operátorovi. Není levnější papír s dostatkem jednorázových hesel?

"Pokud jde o čipovou kartu připojenou k počítači, tak zapomeňte na bezpečnost. Situace je stejná jako, když máte certifikát jako soubor na disku...."
Nikoli. Z čipové karty nemůžete soukromý klíč softwarovými prostředky žádným způsobem exportovat. To je zásadní principiální rozdíl oproti uložení běžnými prostředky OS. Tedy pokud je počítač klienta zcela ovládán (geniálním) útočníkem, může klient přijít o peníze pouze v okamžiku, kdy je karta připojena. No, nechtěl bych mít za úkol podobný vykrádací software naprogramovat. (S programováním ČK. mám určité zkušenosti.) Pokud si ukládáte soukromý klíč na disk (útočníkem ovládaného počítače), můžou Vás vykrást kdykoli.
P.S. prosím, nezaměňujte certifikát (= veřejný klíč + další údaje podepsané soukromým klíčem autority) a soukromý klíč.

...samozřejmě předpokládám, že aspoň trochu normální klient po provedení aktivní operace čipovou kartu ze čtečky vytáhne.

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.

Již několik let využívám internetové bankovnictví u ČSOB, kde je používána autorizační SMSka s 9 místným kódem. Tento kód je platný pouze několik minut a přijde jen na mobil vlastníka účtu, takže je prakticky vyloučeno, aby byl během doby platnosti kódu tento nějakým způsobem vygenerován nebo zjištěn jiným způsobem. Je to opatření velice jednoduché a zároveň velice účinné a lze se pouze podivovat, proč uvedené zabezpečení dosud používala pouze E-banka a ČSOB. Vždyť za ty vysoké poplatky, které za vedení účtů banky klientům strhávají, by měly provést co nejefektivnější zabezpečení peněz svých klientů. Prostě někde to jde hned a jinde až po průšvihu. Bohužel moje letité negativní zkušenosti jak s ČS, tak i s KB pouze korespondují s tím, jak se tyto banky k zákazníkům chovají i v současnosti.