O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu

Nemyslím, že by útočník musel mít zázemí u GSM operátora. Stačí když standartním postupem změní tečl. číslo kam se SMS zasílá. Stačí na to Váš podpis což také není nepřekonatelný problém.

Jen takový nápad. Když jste komunikoval s těmi bankami, které měly slabé zabezpečení, a tvrdili, že mají vše OK, tak by jste jim řekl, že v tom případě jim jistě nebude vadit, když dáte na internet podrobný návod na vykradení kont jejich zákazníků. Myslím, že by reagovali jinak :-))

Neslo by v ankete pridat polozku: Nebojim, mam E-Banku? :-)))

Uz se to tu probiralo letos nekolikrat a nekteri tomu ani dnes stale neveri ;-) Ano certifikat je bezpecny, ale za prodpokladu, ze si nekdo nehraje s vasim PC.. Pro ty, co veri v bezpecne PC bych vzkazal: Probudte se!!! Ani Linux, ani Windows Vista nikomu nezaruci bezpecne PC, tvurci viru jsou vzdy o krok napred a vzdy se vam do PC muze nekdo podivat. Ani ctecka karet nic neresi, snad jen to ze certifikat neni pristupny po celou dobu, ale jen ve chvili kdy jej pripojite. Mate-li pristup k certifikatu vy (vase aplikace) ma k ni pristup i utocnik. Takze se dostavame k tomu, co vetsina uz davno vi.. momentalne jediny prijatelne bezpecny zpusob je kalkulacka a nebo jednorazove kody, nejlepe pres SIM toolkit. Obycejna SMS je sice pomerne bezpecna, ale take o rad min nez sifrovana. Ale tam by utocnik asi musel mit sveho cloveka u GSM operatora..

Já si myslím, že autorizace pomocí jednorázových SMS je dobré řešení, ale samozřejmě za určitých podmínek. Sám u své banky nepoužívám elektronický podpis, ale autorizace platebních příkazů řeším prostřednictvím šifrovaných SMS přes GSM banking, což si myslím, že je dobrá varianta - nejenom, že autorizační kód jde úplně jinou cestou, než samotná transakce, ale navíc je potřeba ještě bankovní PIN, takže i když je někdo u mobilu, který je zapnutý, bez zvláštního PINu se stejně nedostane k tomu číslu. Navíc mi informace o veškerých platbách chodí na mobil. Zabezpečení je to myslím celkem dobré, ale klient nesmí mít možnost si změnit telefonní číslo, na které se zasílají informace a autorizační kódy sám přes webové rozhraní banky, protože pak toto zabezpečení ztrácí jakoukoliv účinnost - když už se někdo dostane k heslu do banky a sám by si mohl změnit telefonní číslo na zaslání autorizace a to samé i info o transakci, pak ztrácí toto zabezpečení jakýkoliv smysl.

FIO poučívá elektronický podpis s klíčem uloženým na disku. Je tedy v tomto smyslu stejně (ne)bezpečné jako byla Komerční banka. Tj. člověk, který ukládá svůj soukromý klíč na disk k virům a používá k přístupu na el. bankovnictví "nabořený" počítač je v ohrožení. (Což ale nepovažuji za chybu FIO.)

Myslim, ze ucty Fio jsou bezpecne.

Myslím, že autor je silný skeptik. Nicméně - 100% bezpečí nás čeká až v hrobě. On je problém spíše v tom, že lidé nepoužívají hlavu a podstupují zbytečná rizika. Kdo z Vás nezažil ve svém okolí lidi, kteří nosí PIN k platební kartě, když už ne přímo s kartou, tak v peněžence? Kdo z Vás si nevšiml, že někteří jedinci před výběrem z bankomatu cosi hledají v mobilu ? Kdo z Vás má antivirový program a stále ho aktualizuje.... Vím, že většina velkých bank nemá příliš skvěle zabezpečené internetové bankovnictví, ale zlepšuje se to. A třeba eBanka má zabezpečení na dobré úrovni - ovšem ani dobře zabezpečený účet není odolný v případě, že klíč k němu někomu půjčím a ještě mu sdělím svá hesla. Za to však těžko může banka. Lidé by měli při zřizování účtu požadovat informace - a zachovat se podle nich. Zdena

Jestli tomu dobře rozumím, k útoku došlo tak, že někdo si nechal zavirovat počítač (Windows) útočník si zkopíroval jeho soukromý klíč od certifikátu, odposloucháváním klávesnice i všechna potřebná hesla a pak už jen vybíral peníze.
To ale přece neznamená, že elektronický podpis je nebezpečný! Ani to, že banka dělá neco špatně.
To znamená jenom, že zavirované Windows nejsou dobrým úložištěm soukromých klíčů ani internetovým kioskem. Řešením je například používat jako uložiště soukromého klíče čipovou kartu (odkud nejde klíč softwarově exportovat) nebo aspoň disk nezaviovaného OS, třeba Linuxu nebo dobře zabezpečených Windows a tento OS používat i jako internetový terminál.

A proc ne? Ty utoky nejspis nebyly cilene, ale pachatele "pustlili do sveta" sniffery a pak sbirali informace od nich. Kdyz sniffer sehnal certifikat a PIN pro KB, tak se podivali clovekovi na ucet. Az meli dost lidi s dostatecne vysokymi ucty, tak provedli utok. IMHO tech ziskanych pristupovych udaju bylo asi o dost vic, nez deset.
Naopak takove pekarstvi asi nemelo zvlast dobre zabezpeceny pocitac (proc vyhazovat penize za odbornika, kdyz to zvladne Pepa Vodvedle), tak se nelze co divit, ze se stali obeti.

Nic není stoprocentní tak jako i elektronický podpis ..... ale ono existuje několik technických řešení s tím, že jak už to bývá to nejlepší je také nejdražší a tak se šetří. Obávám se ale, že o tom co se použije více rozhodují manažeři, kteří umí tak akorát naťukat pár řádek ve wordu a jejich rozhodnutí podle toho také vypadá. A další velký problém je přebujelá administrativa ... hromady vyhlášek .... předpisů ... a zákonů přez které se nedá pružně reagovat na nové způsoby podvodů. A tak nějaký rychlý a spíše dočasný způsob autorazace např. onou SMS u KB může být myslně vysvětlován jako nedokonalost elektronického podpisu. Ledacos o této oblasti vím ikdyž mě přímo neživí, ale elektronickému podpisu věřím stále a považuji ho v současné době za stále vysoce bezpečný .... stále lepší než když někdo vyžaduje můj podpis na kusu papíru .... někomu dokonce stačí ten podpis vidět přez fax a to byste se pak divili co dokáže scaner a jednoduchý editor na obrázky ......

Zkuste vybrat deset slamníků bez rizika kulky v hlavě....Jo, jo, zlatý slamníček. Chrochty, chrocht...

Souhlasím. Taky si myslím, že bez spolupráce s někým uvnitř banky to nejde. Přijde mi divné, že si organizovaná skupina podvodníků zcela "náhodou" vybere malé pekařství v Dobřanech na Plzeňsku a vybere mu peníze z účtu.

Podle mě tato aféra konečně poukázala na skutečnost, že banky za internetbanking odpovídají (KB ztracené peníze rychle zaplatila...). Takže už neplatí to, s čím asi počítala ČS - ti nejdřív zrušili nejbezpečnější formu přístupu k účtu a současně začali internebanking nabízet jako rohlíky v krámě (typické pro společnost, kterou ovládli hoši z marketingu). Teď najednou vyplulo na povrch, že systém vůbec není bezpečný a chystají nové bezpečnostní opatření - pcha!
Nezbývá než dodat, že moje svrbění v koleně, když mi v ČS nabízepli internetbanking, opětně vyšlo. Internetbanking nemám, i když by občas bylo pohodlnější ho mít. Těším se, že teď konečně ČS nabídne bezpečný, pojištěný a garantovaný produkt, který budou moci využívat i lidé jako já. Obvzvláště když ho mám v balíku služeb zadarmo :-).

Tak trosku se mi zda, ze autor postavil konstrukci tvrzeni na lichem predpokladu. Ne ze bych s clankem jako takovym nesouhlasil, ale autor se snazi navodit dojem, ze elektronicky podpis jako takovy je nebezpecny. Vse ma svou miru (ne)bezpecnosti. Ani el. podpis neni 100%. Ale protoze KB zacina se zasilanim SMS jeste neznamena, ze KB uznala, ze je el. podpis jako takovy nebezpecny. Pouze tim uznala, ze CELKOVY proces prace s internetbankingem neni dostatecne zabezpecen. Zadanim kodu z SMS zpravy se pouze ujisti, ze danou transakci provadi opravdu dany clovek (resp. clovek, ktery v te chvili ma telefon a el. podpis :-) ). O bezpecnosti el. podpisu jako takoveho to primo nic nerika. Dane podvody se mohli opravdu odehrat napadenim PC kde byl ulozen certifikat nebo nejakym bezpecnostnim problemem v aplikaci internetoveho bankovnictvi. Princip el. podpisu jako takovy jeste prolomen nebyl pokud je mi znamo (pri dostatecne dlouhem sifrovani).
Tot muj nazor.

... s autorem clanku mohu souhlasit, ale myslim, ze opomnel jeden, dalsi, dulezity faktor a samozrejme ten lidsky, ale ne na strane majitele uctu, ale na strane banky. Muzeme rici, ze je obecne platne, ze ve volne chvili se zamestnanci bank bavi tim, ze projizdeji ucty svych klientu. Navzajem si sdeluji, kde jaka celebrita prisla k penezum a jake by to bylo, kdyby i oni dostali jednorazove 250.000Kc. No proste vi potom, jake cislo maji " vytukat" aby videli opravdu tucne konto. Ted kdyz si k teto zabave vezmu neskonalou touhu po bohatstvi az chamtivosti nekterych z nas, tak je otzakou casu, kdy se zacne nekdo kdo, ma moznost, zabyvat myslenkou, jak dostat penize z mista "A" do mista "B". Zna system, vi kde jsou slabiny, ktere jsou opet znamene, ale z prirozene lidske lenosti je neresi, radeji pracovni cas venuje zabave (psani SMS, preposilani emailu se zabavnym obsahem, internet, hry ..) a pak je zde najednou cesta ... takze muj nazor je, (coz se nebude libit bankam), pokud doslo jiz nekolikrat ke kradezi penez z uctu, povetsinu v tom mel prsty nekdo jiny nez klient, ale znaly pomeru a prostredi ...