Jiří Nápravník: internetbanking nepoužívám I.

Odpovědi Jiřího Nápravníka jsou poměrně obsáhlé, proto jsme je rozdělili do dvou dílů. Dnešní se věnuje internetovému bankovnictví. V zítřejším pokračování se pak mimo jiné dočtete o elektronickém podpisu, bohatých institucích, českém úřednictvu a jeho vztahu k moderním technologiím.

Andrejka
Dobrý den, dovolil byste si jednoznačnou odpověď, která z bank má podle vás nejhorší zabezpečení Ib-ingu?

Jiří Nápravník: Pod pojmem bezpečnost si představuji to, že z Vašeho účtu bez Vašeho souhlasu nezmizí peníze a pokud ano, tak banka použije všechny své zkušenosti k vyšetření podvodu a pomůže vám překlenovacím úvěrem apod.
Internetové bankovnictví je především služba, nikoliv počítač nebo počítačová síť, takže její zabezpečení se nemusí vždy řešit v rovině technologií. Velmi často je přidání nových bezpečnostních prvků ke konkrétní aplikaci spojeno i s novými nároky na help-desk, servis, školení uživatelů atd., které komplikují používání a zdražují provoz.
Tím chci říci, že internetové bankovnictví, které používá pro přihlášení pouze jméno a heslo, nemusí být nutně nebezpečné pro své uživatele. Velmi záleží na tom, jak konkrétní banka takové bankovnictví provozuje a zda dokáže přesvědčit své klienty o tom, že i s pouhým používáním jména a heslo jsou jejich peníze v bezpečí.
Co považuji za nejnebezpečnější? Kdy banka přesvědčuje klienty o tom, že její řešení je bezpečné, protože je postaveno na evropských a světových standardech, nebo že je použit šifrovací algoritmus s délkou klíče XY.
Úplně nejhorší podle mne je, když se banky snaží zbavit své odpovědnosti tím, že do svých obchodních podmínek uvedou, že za bezpečnost klientského počítače si zodpovídá klient. Jistě, je to jeho počítač, měl by používat a aktualizovat si antivirový program, používat personální firewall (bezpečnostní bránu mezi vaším počítačem a internetem). Jenže to nemusí stačit. Pokud se objeví počítačový virus, který je pro antivirový program neznámý, tak může projít do klientova počítače a tam provádět cokoliv. Problém je v tom, že banky a další finanční instituce mají své specialisty na bezpečnost, a přesto se stane, že jim občas něco uteče. Běžný lékař, učitelka nebo automechanik, kteří používají internetové bankovnictví, jsou na tom mnohonásobně hůř.
Řešením je provozovat internetové bankovnictví tak, aby bylo možné na základě auditních záznamů vyhodnotit kdo, kdy, odkud a jak provedl konkrétní transakci a odlišit korektní operace od podvodů.

Zabezpečení z technického hlediska

Ivo
Dobrý den, chtěl bych se Vás zeptat zda považujete ochranu aktivních operací na netu jednorázovým 9-ti místným kódem zasílaným SMS na mobil (např. ČSOB) za spolehlivé řešení.

JN: To řešení se zasíláním hesla na mobilní telefon používala již před mnoha lety "nebožka" Union Banka a aplikace prý fungovala bez problémů. Určitě je toto řešení z pohledu zabezpečení přístupu a následného prokazování, kdo se přihlásil, kvalitnější. Zajímavé na tomto řešení na rozdíl například od autentizačních kalkulátorů je i taková drobnost, že údržbu klientského zařízení (mobilní telefon) si zajišťuje klient, nikoliv banka. Což bance nebo i jinému uživateli snižuje náklady na jeho provoz.
Nic ale není 100%. Pro banky by to ale nemělo znamenat, že když používají autentizační kalkulátor či zasílání hesla na mobil, že nebudou řešit reklamace. Jsou způsoby, jak se i heslo zaslané na mobil může zneužít. Například v době společenské únavy vlastníka telefonu nebo jeho nemoci či úrazu.

Dále zda pro účely internet. bankovnictví lze za dobrou ochranu považovat firmware ( předpokládáme firewall – pozn. redakce ) dodávané k WinXP v rámci SP2 nebo je nutné či žádoucí nainstalovat samostatný fireware.

JN: Firewall (bezpečnostní brána mezi vaším počítačem a Internetem) se stává nutností nejenom pro používání internetového bankovnictví, ale především pro klidné a bezproblémové používání počítače připojeného do sítě Internet. Používání firewallu je důležité mimo jiné i proto, že zakazuje přístup ze sítě Internet na váš počítač (tedy pokud to sami nepovolíte). Častým problémem běžných uživatelů je, že mají povoleno sdílení tiskáren a disků a tyto disky jsou přístupné i z Internetu. Z pohledu odborníka je to velmi vážná věc, kterou si běžný uživatel ani nemusí uvědomit. Prostě o ní nikdy neslyšel. Jednou ze základních vlastností personálních firewallů je, že chrání vaše disky před útočníky ze sítě Internet.
Jednotlivé firewally (Kerio, ZoneAlarm atd.) se liší v drobnostech a záleží především na vaší volbě. Jako základní ochrana může stačit firewall, který je součástí Win. XP SP2, ale současně byste neměli zapomínat na antivirový program a program na vyhledávání spywaru. Počítačové viry ani spyware (programy, které se do počítače dostanou přes prohlížení www stránek) personální firewall nehlídají.

Jiri
Dobrý den, můžete prosím vysvětlit pro neznalé, jak funguje zabezpečení internetbankingu pomocí čipové karty? Myslel jsem si, že karta by mohla představovat konečný automat s extrémně vysokým počtem stavů, něco jako PGP kodér + privátní klíč. Taková implementace by se těžko dala rozumnými prostředky podvést, pokud budu kartu od počítače odpojovat, pokud ji nepoužívám. Čtením různých článků i hovory se zaměstnanci bank na přepážkách jsem získal pocit, že to funguje zcela jinak, zmiňovány byly certifikáty (jaké, k čemu) PIN atd. Někde se dokonce psalo, že v laboratorních podmínkách ověřili jak lze čipovou kartu podvést. Dekuji.

JN: Čipových karet je několik druhů. Tím základním jsou paměťové karty, které naleznete například v digitálních fotoaparátech, což je pouze přenosný disk/větší disketa. Dalším krokem jsou čipové karty, které mají na čipu jednoduchý mikroprocesor, který zajišťuje komunikaci mezi pamětí na kartě a vnějšími zařízeními (počítačem, terminálem, apod.). V současnosti nejvyšším stupněm jsou čipové karty, které mají implementován na čipu mikroprocesor s kryptografickými funkcemi. Tyto karty, pokud si je nechal výrobce otestovat, mají označení, že vyhovují normě FIPS 140 –1 level 2 ( http://csrc.nist.gov/cryptval/140-1.htm ) . Jde o to, že tyto karty jsou určeny pro vytvoření (generování) nového páru klíčů, které se následně budou používat pro tvorbu digitálního podpisu nebo jeho ověření. Na základě příkazu, který přijde do čipové karty z vnějšího prostředí, vygeneruje karta dva klíče, které k sobě patří (klíčový pár), jeden klíč je z karty odeslán ven a může být používán jako veřejný klíč, který se může stát i součástí digitálního certifikátu. Druhý klíč zůstane po celou dobu své existence v čipové kartě a říká se mu privátní klíč. To tedy znamená, že pokud se má vygenerovat digitální podpis pro nějaký dokument, tak se hash (kontrolní součet) dokumentu nebo platební transakce pošle do čipové karty a zda privátní klíč vytvoří digitální podpis.
Čipová karta podle normy FIPS 140-1 level 2 je v současnosti považována za bezpečné uložiště informací. Sám jsem již odzkoušel, že je možné čipovou kartu přimět k tomu, aby podepsala dokument bez vědomí svého vlastníka. Funguje to. Nejedná se o zcizení obsahu čipové karty ale jde "pouze" o provedení jedné transakce s originální čipovou kartou a bez vědomí jejího vlastníka.

Co takhle vykrást účet?

Navratil
Jen teoreticky, uměl byste vykrást nějaký účet, získat pár miliónů a pak už je někam schovat?

JN: I prakticky. Když jsem zjistil, že v některých internetových bankovnictvích je slabina, tak jsem si vyzkoušel vykrást vlastní účet a vyšlo to! Pokud jde o to získání peněz z cizího účtu a jejich užívání si, tak to je pravděpodobně v ČR dovoleno. Opravdu. V jednom případě se "borec" dostal do cizího počítače, tam ukradl digitální certifikát a přístupové heslo, s nimi se přihlásil na účet poškozeného a převedl z něho peníze. Když jsme jej vypátrali, tak nejdříve zatloukal. Když jsem na jeho počítači našel digitální certifikáty k dalším účtům, tak se přiznal. A začal nahrazovat škodu. Státní zástupce po zhodnocení všech věcí došel k závěru, že se jedná o málo nebezpečné skutky a jeho stíhání podmínečně zastavil. Když jsem se to dozvěděl a porovnal to se svým příběhem, tak jsem to těžce "vydýchával".

Ladena
Může podle Vás někdo vykrást můj účet v KB, aniž by někdy fyzicky viděl můj počítač? A vy osobně užíváte internetové bankovnictví?

JN: Jistě. To riziko není v současnosti velké, ale je to možné. Právě případy vykradených účtů přes internetová bankovnictví byly provedeny tak, že se do počítače obyčejného uživatele dostal nějaký virus (Trojský kůň apod.), prostě chytrá "potvora", která sledovala co uživatel dělá a tyto informace posílala přes internet svému pánovi nebo svému pánovi otvírala "vrátka" do počítače. Problém je (může být) v tom, že se objeví někdo, kdo napíše virus, který bude po určitou dobu neznámý pro antivirové programy a dostane se do většího množství počítačů, pak už by to byla "jiná story".
Internetové bankovnictví v tuto chvíli pro obsluhu svého účtu nepoužívám.

jiri.beranek@rek.cz
Dobrý den, v reakci na Váš článek o možném zneužité internetového bankovnictví mne napadá - nelze toto riziko pojistit? Banky samy nejsou pojištěné a nenabízejí službu za poplatek? Děkuji, hezký den! Jiří Beránek

JN: Jistě pojištění je jednou z cest. V případě platebních karet takový postup již mnoho let funguje. Jenže mimo jiné i na možnosti pojištění konkrétní služby je znát rozdíl v přístupu k platebním kartám a k internetovému bankovnictví. V případě platebních karet existují mezinárodní asociace, které mají jasně daná pravidla pro vydávání karet, ale také pro řešení podvodů. Banky, kartová centra a obchodníci si prostřednictvím příslušné asociace vyměňují zkušenosti a navzájem si vlastně pomáhají při odhalování podvodů a jejich prevenci. V případě internetového bankovnictví nic takového neexistuje. Každá banka si své řešení vybudovala sama se svými dodavateli a pokud za nimi přijde někdo s popisem slabiny, tak se banky tváří, že chce znemožnit jejich drahé a komplikované řešení.

Alernativní prohližeče komplikují aplikace

Vašek
Dobrý den, rád bych znal váš názor na používání alternativních prohlížečů pro Internetové bankovnictví. Osobně již několik měsíců "bojuji" s KB, abych mohl používat jiný prohlížeč, než ten standartní dodávaný k operačnímu systému WXP. Mělo by v případném soudním sporu nějaký význam, že KB podporuje pouze (podle mého názoru ne příliš bezpečný) IE. Díky za odpověď.

JN: Ono není jednoduché na počátku, když se rozhodujete, jak bude komunikace mezi klientem a bankou realizována, jak se bude ověřovat klientova identita a jak se bude podepisovat transakce, určit, kterou cestou se vydat. Takové strategické rozhodnutí musí být založeno na mnoha zkušenostech jak z oblasti IT, tak také z oblasti ekonomie a cílové skupiny klientů. Je fakt, že některé banky na počátku toto rozhodnutí nechaly na dodavateli konkrétního řešení a ten prosadil to, co umí rychle a nejlevněji dodat. Takže se může stát, že banka a její klienti jsou uvázáni u konkrétního operačního systému a prohlížeče jako pes u boudy.
Druhou oblastí je komunikace mezi PR oddělením banky a klienty. Některé banky již vzaly Linux a Unix a rozličné prohlížeče na vědomí. K vlastní škodě, ale banky málo informují své klienty o tom, že například řešení pro Mozilu bude v srpnu, pro Operu v říjnu, apod. Předělat internetové bankovnictví, které je úzce svázáno například s MSIE na jiný prohlížeč není možné ze dne na den. Na druhou stranu banka by měla informovat svého klienta, kdy se řešení pro jiný prohlížeč bude běžně nabízet.
Zatím žádný případ vykradeného účtu přes internetové bankovnictví nemusel dojít až k soudu. Vyřešilo se to dřív. V případě, o kterém rozhodoval Finanční arbitr se zjistilo, že banka pochybila mimo jiné i tím, že nedostatečně poučila klienta o bezpečnostních rizicích.

Jozef
Pane Nápravníku, navážu na dotaz o Vašich vztazích s Komerční bankou. Moc by mě zajímalo, jak s Vámi jednali, co Vám říkali jak to všechno zdůvodňovali. Já tomu totiž nerozumím, připadá mi, že každá aspoň trochu normální firma by Vám okamžitě nabídla práci.

JN: Také jsem slyšel o tom, že někde mají firmy zájem o skutečné odborníky, kteří se na problémy nedívají pouze jako úředníci, kteří opakují mnohokrát otřepané fráze. Osobně jsem se s takovým přístupem setkal mezi výrobními firmami nikoliv mezi finančními organizacemi. Proč tomu tak je, sám nevím. Když jsem pomáhal vyšetřovat podvody v některých bankovních systémech, tak se pracovníci bank chovali podle mne hodně divně a pokud jsme si neřekli o nějaká data (auditní záznamy, atd.) tak je sami neposkytli. Někdy to vypadalo jako by banky nebyly připravené na vyšetřování skutečných podvodů v jejich interních systémech a jelikož jim to nikdo nenařizuje (nikdo to nekontroluje), tak to neřeší. Pokud jde o mé zkušenosti s KB, tak je to jak z absurdní komedie.
Banka na mne dala trestní protože jsem při prověrce internetového bankovnictví scanoval porty serveru www.mojebanka.cz. V trestním oznámení banka uvedla, že jí žádná škoda nevznikla ale že se to nedělá, tak podává trestní oznámení. V případech, kdy do Komerční banky opakovaně přišli klienti, kterým někdo z účtů v bance přes internetové bankovnictví ukradl peníze, byla banka naprosto v klidu a říkala, že je to problém platících klientů. Nepodala žádné trestní oznámení, přesto že bylo jasné, že vznikla škoda jejím klientům. Před časem Finanční arbitr v jednom případě rozhodl, že banka je povinna klientovi peníze vrátit na účet, protože pochybila při provozu internetového bankovnictví. Normální by bylo, že by banka podala trestní oznámení, resp. připojila by se k trestnímu oznámení, které podal na neznámého pachatele její klient. Banka místo toho podala žalobu na Finančního arbitra.

Máte jiný názor?