O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

Již několik let využívám internetové bankovnictví u ČSOB, kde je používána autorizační SMSka s 9 místným kódem. Tento kód je platný pouze několik minut a přijde jen na mobil vlastníka účtu, takže je prakticky vyloučeno, aby byl během doby platnosti kódu tento nějakým způsobem vygenerován nebo zjištěn jiným způsobem. Je to opatření velice jednoduché a zároveň velice účinné a lze se pouze podivovat, proč uvedené zabezpečení dosud používala pouze E-banka a ČSOB. Vždyť za ty vysoké poplatky, které za vedení účtů banky klientům strhávají, by měly provést co nejefektivnější zabezpečení peněz svých klientů. Prostě někde to jde hned a jinde až po průšvihu. Bohužel moje letité negativní zkušenosti jak s ČS, tak i s KB pouze korespondují s tím, jak se tyto banky k zákazníkům chovají i v současnosti.

Za SMS z internetu se platí jen T-mobilu. Ostatní to poskytují zadarmo. Banky zasílají SMS taky zpravidla zadarmo, nebo určitě za cenu, kterou snadno pokryjí z poplatku za transkaci.

...samozřejmě předpokládám, že aspoň trochu normální klient po provedení aktivní operace čipovou kartu ze čtečky vytáhne.

"Pokud jde o čipovou kartu připojenou k počítači, tak zapomeňte na bezpečnost. Situace je stejná jako, když máte certifikát jako soubor na disku...."
Nikoli. Z čipové karty nemůžete soukromý klíč softwarovými prostředky žádným způsobem exportovat. To je zásadní principiální rozdíl oproti uložení běžnými prostředky OS. Tedy pokud je počítač klienta zcela ovládán (geniálním) útočníkem, může klient přijít o peníze pouze v okamžiku, kdy je karta připojena. No, nechtěl bych mít za úkol podobný vykrádací software naprogramovat. (S programováním ČK. mám určité zkušenosti.) Pokud si ukládáte soukromý klíč na disk (útočníkem ovládaného počítače), můžou Vás vykrást kdykoli.
P.S. prosím, nezaměňujte certifikát (= veřejný klíč + další údaje podepsané soukromým klíčem autority) a soukromý klíč.

Za SMS se musí platit operátorovi. Není levnější papír s dostatkem jednorázových hesel?

Autor článku se prezentuje (nebo je prezentován) jako soudní znalec. O tuto kvalifikaci přišel před 2 lety. Server penize.cz by si takovéto informace mohl oveřovat a spolupracovat s odborníky v tématu.

A taky se zde melo popsati v detailech a se jmény viníku : Totální vykradení Komerční banky v privatizaci a záchrana toho tunelu státem pred zkrachováním.

Opet v diskuzi spousta blabolu o technickem zabezpeceni. Vazeni, pokud jsem spravne cetl zpravy z minuleho tydne, v pripade klientu KB se jednalo o klasicky Phishing, ti nestastnici proste zadali veskere svoje udaje a nahrali svuj digitalni certifikat na podvrzenou stranku. Ty technicke berlicky me opravdu irituji - naprosto nadsen jsem byl kdysi jednoduchosti Internetbankingu v USA a doposud jsem si uzival stejne jednoduchosti i u ceske pobocky Citibank, ovsem po obdobnem pripadu phishingu jako v pripade KB, je zrejme jen tazkou casu, kdy me zacnou prudit s potvrzovacimi SMS. Tady je muj nazor (jakozto IT odobornika): digitalni certifikat je sice matematicky bezpecny, ale v prazi je to velmi drahe uzivatelsky komplikovane reseni a vzhledem k tomu, ze pro laika je to dost nepochopitelne (viz klienti KB, kteri "nainstalovali" svuj privatni klic i s heslem na stranku piratu), neni v praxi ani prilis bezpecny. Zdaleka nejbezpecnejsi, nejpohodlnejsi a uzivatelsky nejprivetivejsi je dle meho nazoru jednoduche technicke zabezpeceni pristupu ve spojeni s kontinualnim monitoringem pohybu na uctech na bazi statistickeho modelovani chovani - zkratka, jakmile se objevi podezrely pohyb (prikaz) na vasem ucte, pracovnik banky zveda telefon a vola vam pro potvrzeni - v praxi velmi dobre funguje u nekterych kreditnich karet.

Ve firmě používáme také hardwarový token, který na základě zadaného pinu generuje kód pro přihlášení do naší VPN, každých 10 sekund jiné, s platností asi 1 minutu, pouze pro jedno přihlášení. Já jsem však napsal jen to, že ve Windows je uložení certifikátu stejně (ne)bezpečné jako když dáváš heslo přímo do ssl stránky. Každý hardware nezávislý na PC, který k tomu potřebuješ, bezpečnost řádově zvyšuje. Zaslání SMS je nejlevnější metoda, hardwarem je tvůj mobil. Z něj hacker taky nic nepřečte.

O vykradených účtech v KB se poslední dobou píše skoro všude. Ale nikde jsem nenašel konkrétní informace o tom počítačích těch okradených: operační systém, service packy / záplaty, antivir, anti-spyware, firewall a nastavení, jaký používali internetový prohlížeč na běžné surfování, kde měli certifikát. Toto jsou informace, ze kterých bych si porovnal zabezpečení svého počítače.

Škoda, že tam chybí název oné IT firmy s core bezpečnostním IT businessem. Bylo by užitečné vědět, komu se raději vyhýbat. :-))) Jinak v bezpečnosti el. bankovnictví ČR poněkud pokulhává ve srovnání s bankovnictvím v jiných zemích. Třeba současná verze ČSOB muticash, přestože to není internetové bankovnictví, používá také relativně nebezpečné úložiště certifikátů. Kolega je na to před pár lety upozorňoval a chtěl novější verzi (která se tehdy používala v německých bankách) s uložením certifikátů na čipové kartě s bezpečnou čtečkou (zadávání PIN přímo na čtečce bez možnosti přečtení PINu z počítače). Ale ČSOB nadále používá zastaralou verzi muticash, přestože novější verze podporují bezpečnější úložiště certifikátů. Po bezpečnějších verzích asi není dost velká poptávka, protože je zde celkově nízké povědomí o bezpečnostních rizicích, takže banky asi ani nemají důvody investovat do lepšího zabezpečení.

Aha.. no ja porad vychazim z mobelu SIM toolkitu Ebanky a tam to zas tak jednoduse zmenit nejde. U klasickych SMSek to bude zabezpecene logicky o dost hur.

Bezni uzivatele jsou dnes masirovani snad v kazde oblasti. Pocinaje nakupy na trznicich "cim vic prouzku tim vic addidas" az po obrovske investice napr. do inf. systemu SAP, ktery "je nejlepsi, protoze je nejdrazsi". Vice-mene s Vami souhlasim, ale pokud nekdo pise clanek pro sirsi verejnost, tak by myslim dany problem mel podat tak, aby to nebylo zavadejici. Rikat, ze elektronicky podpis je nebezbeny je zavadejici. Elektronicky podpis je bezpecny (ne na 100%, ale je). Celkovy system pristupu k uctu pres el. podpis uz bezpecny byt nemusi. To je jako by Vam nekdo prodal napr. Volvo bez brzd a vy tvrdil, ze Volvo je nebezpecne auto :-) (nadsazka).

Na vině jsou jednoznačně dostatečně nezabezpečené operační systémy a internetové pohlížeče. Zasílání přídavného hesla pomocí SMS v každém případě bezpečnost významně zvyšuje, přičemž je to laciné. Doufám, že to KB poskytuje zadarmo. Považuji to za účinné proti všem útokům čistě na operační systém a jeho software, protože by vám pachatel musel zcizit i mobila, nebo zajistit přesměrování.
Elektronický podpis samotný je bezpečný, ale s přihlédnutím k vynalézavosti hackerů a děr v bezpečnosti Windows, o kterých ještě ani sám Gates neví, si zhodnoťte sami význam keců najatých blábolilů za přepážkami bank, že narušení jejich bezpečnosti je z oblasti sci-fi. Že by o bezpečnosti věděli víc, než ti hackeři? Dělám ve firmě, která má bezpečnost IT jako core business. I když nejsem specialistou na průniky do Windows, vím tolik, že vydávat cokoliv ve Windows za bezpečné, je blbost, zejména když se k tomu přidá chyba uživatele, který není schopen zachovat všechny bezpečnostní pravidla na svém PC, kde si s ním třeba hrajou děti a stáhnou z internetu kdeco. Nehledě na to, že asi banka sama neví, co vše by měla doporučit. Vedle samotných Windows má skoro každý nainstalovánu spoustu SW, který není zdokumentován (např. Skype) a který může mít váš PC rovněž plně pod kontrolou. Zatím slouží asi pouze k odposlouchávání komunikace tajnými službami (CIA?), ale v případě potřeby se mohou jeho funkce rozšířit.
Já používám obyčejné heslo do internet bankingu ČS, které nikde na PC nemám uloženo. Je to stejně bezpečné, jako všechny digitální certifikáty jiných bank, které jsou uloženy na PC. Aby ho útočník zjistil, musel by se nabourat do exploreru a donutit ho, aby mu moje heslo nějak zpřístupnil nebo zaslal. Je to však mnohem obtížnější, než dostat se do vašeho PC a získat nad ním vzdáleně kontrolu a přečíst všechny soubory. Když toto dokáže, pak dokáže zjistit i heslo v jakémkoliv certifikátu, který máte uložen ve Windows.

O to je bankovnictví na netu nebezpečnější protože většina řadových uživatelů je masírována články o neprolomitelnosti klíčů. Tento klamný pocit bezpečí pak může navodit bezstarostnost klienta. Typickou demagogií je podle mne např. propagování platebních karet oproti hotovosti při platbách v obchodech. Při tom kádež nebo náhodná ztráta platební karty ohrožuje daleko větší částky než omezená hotovost v peněžence. Vyjimkou je e-banka umožňující kartu zamknout.

... taky moznost, ale myslim, ze to to nebezpecne a komplikovane ... nekdo z banky daleko snadneji vytypuje treba padesatku lidi s tucnejsim kontem a oni cekaj jen na moznost ci chybu majitele uctu ...

Ano. S timto naprosto souhlasim.
Slo mi jen o to, ze neni nebezpecny system podpisu jako takovy (takovy dojem na me udelal clanek).

Systém je tak bezpečný, jak bezpečný je jeho nejslabší článek.
Proč by měly útočníci lámat (dešifrovat) SSL spojení nebo elektronický podpis. Podívejte se na non-IT svět. Moderní loupežníci si nedělají starosti s odemykáním bankomatu. Vytáhnou ho ze supermarketu bagrem a v klidu,někde v opuštěné stodole ho rozřežou autogenem.

Ono je zavirování a zavirování.
Antiviry, antispyware v naprosté většině případů reagují na již známé řetězce znaků. Reagují na viry, červy, Trojské koně a další podobnou havěť kterou již někdo detekoval a poslal antivirové firmě k rozboru.
Pokud někdo pro napsání svého "super" viru použije knihony dostupné na Netu, tak si může být jist, že i jeho keylogger antiviry odhalí. Pokud si dá ovšem práci, tak jím vytvořený program vleze nepozorovaně dovnitř, najde co potřebuje a nepozorovaně se i odinstaluje. -------
Pokud jde o čipovou kartu připojenou k počítači, tak zapomeňte na bezpečnost. Situace je stejná jako, když máte certifikát jako soubor na disku. Není to triviální, ale jde to a ten útok je ještě záludnější než okopírování hesla a dig. certifikátu. --------
Pokud jde o bezpečnost elektronického podpisu, tak jedna věc je bezpečnost použitých algoritmů. To je oblast, které se věnují na plný úvazek jiní odborníci. Pro běžné uživatele je důležité, že pokud by byl nějaká algoritmus prolomen nebo se objevila byť je teoretická možnost jak jej prolomit, tak je možné zvolit jiný šifrovací algoritmus, jinou hash funkci a můžete s obchodními partnery komunikovat dál. Druhá věc je možnost bezpečně uložit prostředky pro tvorbu elektronického podpisu. Pokud komunikuje podnikatel s podnikatelem, tak v zásadě o mnoho nejde. V případě komunikace banka - klient je to již o penězích a případy z let 2003-2005 jasně ukázaly, že banky nebyly připraveny na situaci kdy ke zneužití podpisu dojde. Úplný vrchol je v tomto případě komunikace se státní správou, která se řídí zákonem a pokud zákon říká, že tvůrce podpisu má mít prostředky pro tvorbu zaručeného elektronického podpisu pod svojí výhradní kontrolou, tak to v tuto chvíly není v prostředí současných op. systémů možné splnit nebo existuje druhá varianta, že v případě zneužití takového podpisu bude mít občan smůlu a nenajde nikde zastání.

Troufám si tvrdit, že autor je odborník na tuto problematiku kterou se intenzivně zabývá. Vámi popsané triviální chyby se dopustí snad málokdo. Bohužel existují sofistikované postupy kdy se nemusíte tak závažných chyb dopustit a výsledek je stejný - vyluxovaný účet. Příkladem jsou aktuální události v KB a ČS.