eMerite
Čekejte prosím...textová verze
Krypta.cz - Magazín o informační bezpečnosti
Nic nového pod Sluncem
Vlastní problém, t.j. špatné zabezpečení klientských počítačů, je dlouhodobý a přinejmeším mezi odbornou veřejností známý. S tiskovou zprávou lze souhlasit pouze v tom, že problém je závažný a netýká se konkrétní použité technologie.
Není jasné, na co nového pan Nápravník přišel - v tiskové zprávě není nového vůbec nic. Celé pojetí zprávy a zveřejnění seznamu "špatně zabezpečených bank" je pochybné. Nový a potřebnější by byl statistický výzkum bezpečnosti na straně klientských počítačů - snad časem něco takového přineseme na Kryptě.
Za zabezpečení svého počítače nese odpovědnost především jeho majitel, klient banky. V širším smyslu nesou velký díl zodpovědnosti za špatnou bezpečnost "domácích počítačů" také výrobci software. Chování mnoha výrobců software je dáno nestandardními podmínkami pro prodej programů (absolutní nezodpovědnost za cokoli), ale též preferencemi zákazníků. Banky na své straně většinou dělají co mohou, t.j. rozpoznat a zasáhnout v případě masového útoku popsaného druhu.
Nezmínění žádných doporučení, jak riziko snížit, nekontaktování osočených bank v předstihu s žádostí o vyjádření a řada dalších detailů podává o autorovi tiskovky dost nelichotivé svědectví. Pan Nápravník tak ilustruje známou skutečnost, že titul soudního znalce v informačně-bezpečnostní oblasti u nás nezaručuje ani perfektní znalosti ani soudnost.
Oprava (29.4.2003) Podle vlastního vyjádření pan Nápravník už před rokem banky kontaktoval a popsal problém na příkladu zneužití rodiným příslušníkem.
Reklamní odborníci by možná vysvětlili, že i tak může vypadat reklama, a že i taková reklama možná prospěje.
Bezpečnost je zajištěna, držíme krok s vývojem
Na druhou stranu nemůžu ani nadšeně přijmout některé reakce, uveřejněné na DigiWebu.
České Spořitelna ujišťuje, že "doposud nezaznamenala jediný úspěšný případ nabourání do svého systému". To je potěšující, ale není to vyjádření k věci. Popsaný problém se týká "nabourání" do počítače klienta. Ve statistikách bank by figuroval jako případ, kdy klient nedokázal dostatečně ochránit svoje autentizační údaje.
Problém špatného zabezpečení klientských počítačů je naprosto reálný. Pro banky skutečně představuje relativně menší riziko než např. útoky zevnitř, mimo jiné proto, že zatím jde o jednotlivé klienty a proti masovemu utoku (treba s použitím emailového červa), který by banku "bolel" více, zase mají banky určitá protiopatreni.
Ovšem pro klienta banky představuje naopak největší riziko internetového bankovnictví! Zatímco v případě úspěšného napadení "bankovní strany" škodu uhradí banka, v případě napadení klienta samozřejmě škoda vzniká převážně na straně klienta.
Bankám lze v nepřímo bezpečnostní oblasti vytknout, že prostor věnovaný "vzdělávání" klientů o bezpečnosti jejich počítačů je neůměrně malý oproti prostoru věnovanému chlácholení bezpečnostními opatřeními na straně banky. (Najdou se i extrémní případy, například doporučení možnosti nosit si sebou soukromý klíč na disketě pro použití v internetových kavárnách - bez jakéhokoli upozornění na rizika takového počínání...)
Řešení a neřešení
Pan Nápravník žádná řešení nezmiňuje, prý tímto způsobem nebude rozdávat výsledky své práce veřejnosti - bohatli by z toho prý napomádování frajeři.
Problém je starý, řešení a "neřešení" známá, jejich bezpečnost rovněž. Uvádím některá řešení i svoje přibližné odhady, jaký limit peněz bych byl ochoten jednotlivými metodami chránit (přitom, že za pět let si mohu dovolit celkové náklady na bezpečnost a průměrnou ztrátu zneužitím přístupu 10000Kč). Musím zároveň varovat, že takovému hodnocení, založenému jen na úsudku, není radno věřit, a je lépe nechat si odborníkem zpracovat konkrétní doporučení pro konkrétní situaci.
  • Dokonalé - "kalkulačka" zajišťující autentizaci i autorizaci transakcí. I z nebezpečného počítače. Kalkulačka chráněná PINem, při použití kontola okolí, zda někdo neodkoukává PIN. 20 000 000Kč
  • Téměř dokonalé - autentizace+autorizace s pomocí externího zařízení (mobilní telefon), bankovní služby chráněno zvláštním PINem. 10 000 000Kč
  • Dobré hardwarové autentizační tokeny. To už je mo6nost, kterou nabízí většina bank. Komunikace přes SSL kanál z někým spravovaného počítače, na kterém se zároveň provozují nanejvýš slušně zabezpečené aplikace (žádné "domácí zábavní centrum"). max. 10 000 000Kč
  • Několikanásobné zabezpečení softwarovými prostředky, přístup pouze z kompetentně spravovaného počítače, na kterém se zároveň provozují nanejvýš aplikace nepřinášející vážné hrozby(žádné "domácí zábavní centrum" ani "surfujeme, mailujeme, kaaza taky běží"). 2 000 000Kč
  • Hardwarové autentizační tokeny na nedůvěryhodném počítači ("domací počítač", kde probíhá "přírodní" souboj virového a antivirového kódu, běží různé spywary a řehtají trojští koně). 1 000 000Kč
  • Několikanásobné softwarové zabezpečení z trochu slušnějšího "domácího počítače" (existuje snaha o bezpečnost, lepí se záplaty) s poučeným uživatelem uvědomujícím si rizika a bankou schopnou kdykoli okamžité reakce (blokování, změna hesla, limity) a možností upozorňování na pohyby na účtu. Max 100 000Kč
  • Softwarové zabezpečení s jedním klíčem na disku, jedním heslem, SSL kanál. Banka, na jejíž rychlou a adekvátní reakci kdykoli se nelze úplně spolehnout. S poučeným uživatelem. 40 000Kč
  • Softwarové zabezpečení provozované na nedůvěryhodném počítači ("domací počítač", kde probíhá "přírodní" souboj virového a antivirového kódu, běží různé spywary a řehtají trojští koně). Banka, na jejíž rychlou a adekvátní reakci kdykoli se nelze úplne spolehnout nebo/a nekompetentní helpline nebo/a nemožnost upozorňování na přesuny peněz. Uživatel, který rizika nezná, prinicpy použitého zabezpečení nechápe. 15 000Kč
"Co by se tedy mělo dělat?". Snažit se eliminovat alespoň poslední dvě kategorie.
  1. Zabezpečení domácího počítače I.
  2. Jen ty XP nezrůcaj
  3. Zabezpečení domácího počítače II. - Windows