Názory k článku
Bezpečnostní chyba v internetovém bankovnictví České spořitelny

Nechapu kde je problem. Cislo smlouvy je sice soucasti URL, ale jelikoz je psojeni pres SSL, tak se k nemu "utocnik" stejne nedostane. A jestli nekdo dokaze rozlousknout SSL spojeni, nebo se dostane primo k pocitaci se zalogovanym uzivatelem, tak je ta "obet" v pytli tak jako tak. Takze kde je problem?!

Ale tady jde o to útočník může zjistit tvůj login (třeba key logger ... nebo případně rozlouskne SSL ;) ) a pak se do aplikace přihlásit. Ty SMS mají význam v tom, že k zadání transakce potřebuješ dostat kód přes SMS na svůj mobil a tím transakci potvrdit - tj. útočník by musel mít i tvůj telefon. Vzhledem k tomu že si díky této chybě tuto kontrolu můžeš v aplikaci vypnout, ztrácí tyto SMS momentálně smysl - neposkytují žádnou další ochranu.

Dik :-)

O tom to je také. Pokud se dostane k počítači se zalogovaným uživatelem (nebo odkoukáte jeho přihlašovací údaje, apod.). , tak sice můžete procházet pasivní transakce, ale neprovedete bankovní převod (u za-/přeshraničních plateb u žádné platby, u domácího platebního styku u plateb nad nastavený limit, může být též 0 Kč) - to ale samozřejmě v případě, že budou Autorizační SMS fungovat. V této chvíli není pro Vás na zalogovaném počítači problém si zjistit ćíslo smlouvy, a autorizace vypnout (nebo přesměrovat na jiné mobilní číslo - ale proč?), a vesele si penízky převádět...
V tomto se skrývá problém současné bezcennosti této funkcionality...

Cislo smlouvy je soucasti URL a je uschovavano v historii navstivenych stranek v prohlzeci. SSL tady nepomuze nijak.

Mám léta už automatický zvyk: před ukončením IE vymažu historii, offline soubory a cookies... U Netscape Navigatoru vymažu "ručně" příslušné soubory historie, cookies a obsah cache...

Ale toto nejpravděpodobněji nedělá "běžný" uživatel - ano, pak je historie "k dispozici", jak uvádíte. Tento fakt jsem si ani při psaní neuvědomil.

Kdyby někdo o ta vaše data opravdu stál, tak je z toho disku přečte i poté, co jste je smazal. Z disků se dá přečíst posledních deset zápisů na jednom místě. (Samozřejmě, není to ani jednoduché, ani levné, ale jde to.)

Deset na jednom místě? Myslel jsem, že jakmile se místo na disku přepíše jinou informací, ta minulá se ztrácí...

Jde o to, že úroveň předchozí mgnetizace ovlivňuje novou. Prostě, pokud byla na disku zapsaná nula a přepíšete ji jedničkou, tak je výsledná magnetizace trochu jiná, než když je jedničkou přepsaná jednička. Navíc se ty bity nikdy netrefí na stejné místo, takže změna magnetizace je pokaždé trochu jinde. Když se disk přesně analogově proměří, tak je opravdu možné z něj vytáhnout data devětkrát přepsaná. Taky programy na skutečné mazání dat z disku napřed celý soubor desetkrát a vícekrát přepíší náhodně vygenerovanou posloupností bitů, než ho smažou.

Děkuji, to jsou velmi zajímavé informace, které je dobré vědět.

Souhlasím. Samozřejmě je otázka, kdo by o taková data stál... Ale nepodezříváte mne, že smazaná data (a poté příp. "vysypaná" z koše) považuji za opravdu "zničená" bez následného "promazání" disku, že ne?? Takže snad alespoň naše diskuze uporní ty uživatele, kteří nemají zrovna specializaci v IT, aby bezpečnost nepodceňovali - a to vidím jako cíl...

At se jdou bodnout, neumeji priznat chybu a ohaneji se pilotnim provozem. Proc to v te tiskovce ze 14.7. nereknou?
Zajimala by me i anketa, kolik lidi ma autoriacni SMS? Pred dvema dny vysel podobny clanek na Penize.cz a v reakcich tam je, ze nevi o nikom,kdo by tu moznost od 18.cervence nemel. Myslim si,ze to Sporka povolila vsem a ne jen desitkam uzivatelu. V mem okoli to maji take vsichni povolene.
Ach jo, jak mam Servis 24 rad, ze jede i v mozille a ze mam sikovneho osobniho poradce, tak tohle se mi nelibi. Zatloukat, zatloukat, zatloukat...

Pilotní provoz to byl právě do pátku 15.07. Od 18.07. (resp. potíže Servis24 přetrvávaly déle) to je služba, kterou si může (jak i vidno na přihlašovací stránce S24) aktivovat každý uživatel IB S24.

ňa rozdíl od mnoha jiných nepatřím k "profesionálním" kritikům ČS, jsem léta celkem spokojený klient. Ale ztrácím důvěru k bance, která, jak už to bohužel v této zemi vidíme shora dolů, přijala lež jako obchodní praktiku...

Nevidel jsem tenhle clanek nahodou uz nekde? Konkertne na http://www.penize.cz/info/zpravy/zprava.asp?IDP=1&NewsID=3834 ?

Mnojo, bylo to i jinde, ale treba nekdo nesleduje oba servery a navic dostaly Penize den navic,nez se to objevilo tady. O zpravach si take prectete jak na idnes,tak na novinkach apod. zpravodajskych serverech. A tento clanek povazuji za zpravodajskou zpravu, ne za nejakou okopirovanou studii trhu napr.

Ano, ale jiný autor. Rozhodně to není opsané.

Petře, oba dva servery - Penize.cz a Mesec.cz - pravidelně čtu, a protože se oba dva vénují i problematice bankovních produktů, poskytnul jsem tuto informaci oběma. je samozřejmé, že si oba dva tuto skutečnost ověřovaly a že to mohlo trvat různou dobu.
Samozřejmě, já jsem svůj poznatek poslal nejdříve do České spořitelny na helplinku servis24@csas.cz, na ombudsman@csas.cz a také přímo řediteli úseku Přímé bankovnictví, panu Alešovi Mamicovi. Třebaže jsem klientem ČS od r. 1994, nikomu z ČS jsem nestál ani za poděkování za upozornění, neřku-li za odpověď s vysvětlením. A jelikož ČS mlží v tomto případě, kdy se zase až tak moc neděje, jak to asi vypadá v jiných případech, co myslíte? Proto jsem rád, že se oba servery tomuto tématu věnují, bez rozdílu, kdo píše rychleji... Souhlasíte?

Já vřele souhlasím a děkuji za varování. Internebanking Servisu 24 mi docela vyhovuje (no jo, taky bych našel mouchy a náměty ke zlepšení), ale permanentní sklon ČS k mlžení a lhaní mne možná brzo donutí poohlédnout se po jiné bance. Ale nevím, zda si v Českých luzích nějak moc pomohu...

ok je ebanka

Máte odvahu, že jste si to nenechal pro sebe. Díky za to!!!

Koho bezpečnost zajímá, ten si k účtu dávno pořídil autorizační "kalkulačku" a je v slušném bezpečí. Koho bezpečnost nezajímá, ten spoléhá na jméno/heslo anebo autorizační sms. Takhle jednoduché to je.

Nesouhlasím. Používám autorizaci SMS (pravda, šifrovanými) u jiné banky a není s ní nejmenší problém s bezpečností. Když si nemůže kdokoli změnit číslo mobilu zasílaných zpráv, tak je to bezpečný až dost.

Jenže mně se zobrazuje při překročení limitu volba autorizovat buď SMSkou nebo kalkulátorem. A pokud někdo získá můj login/password, zjistí si to contract id (u mně je to samozřejmě vidět také) a přesměruje si to na svůj mobil, tak může zadat nadlimitní transkaci a nechat to autorizovat přes SMS místo kalkulačky.

Navíc číslo toho kontraktu není příliš obtížné získat ani jinak. Já ho neznal (o možnosti uvedené v článku jsem ještě nevěděl :-) a tak jsem zašel na pobočku, kde mi ho ochotně vytiskli. Stačila jim k tomu kartička s číslem účtu - neověřovali jestli jsem majitel účtu nebo někdo jiný.

ČS má o bezpečnosti kanálů přímého bankovnictví už od začátku vůbec poměrně svérázné představy. Možná si někdo vzpomene, že když zaváděla GSM bankovnictví, tak se používaly nešifrované SMSky. No, zatím se snažím být opatrný a doufám, že se přístup ČS k bezpečnosti někdy zlepší

"... se používaly nešifrované SMSky..." Do dnes jsem žil v omylu, že sms jsou "nějak" šifrované všechny. Může mi někdo trošku osvětlit jak to je s tím šifrováním?

"Nějak" šifrovaný je pouze radiový provoz, to jest to, co jde od BTS vzduchem do mobilu. V drátech, kterými jsou spojené jdenotlivé části sitě, žádné šifrování není. Takže třeba operátor SMSkového centra, když chce, si může číst všechny SMSky, které tím centrem tečou.

Ještě jinak. SMSky běží po signálním kanálu a jsou nešifrované. Proto třeba SIM-toolkit aplikace posílají SMS kryptované triple DESem, ale ty zase nejdou normálně přečíst, pouze v té ST aplikaci.

Pavel Sýkora měl na mysli to, že spořitelna kdysi dávno nabízela něco jako GSM banking, tuším se to jmenovalo Sporotel? Byla to klasická sms, napsaná v předem definovatém tvaru aby ji systém dokázal rozpoznat, do zprávy se uvedl login a heslo a odeslala se na nějaké číslo. Takže kdyby se vám někdo mrkl do telefonu na poslední odeslané sms (např.), měl kontrolu nad vaším účtem. Časem přidali autentizaci kalkulátorem, pak službu zrušili a nabídli nynější GSM banking, který šifruje sms ještě před odesláním.

Reakce ČS byla tehdy žalostná, prohlásila že cizí člověk z té zprávy nic nepřečte, protože nezná veškeré zkratky které se v tehdejším sms bankingu používaly. Částečně měli pravdu, ale že byl návod ke službě volně dostupný na internetu a na pobočkách se všemi zkratkami, to je už nezajímalo -))

Tak jsem to právě vyzkoušel a ta chyba je asi závažnější, než to vypadá na první pohled (o vyjádření ČS zde nehovořím - nepředpokládám, že by tomu někdo věřil). Umožňuje totiž lehce obejít kontrolu nadlimitního výběru autentizačním kalkulátorem.

Do doby opravy je prostě nutné počítat s tím, že pro libovolně vysokou transakci nemáte dvoufaktorovou autorizaci, ale jen jednofaktorovou přes jméno/heslo. Týká se to samozřejmě jen těch, kteří se nepřihlašují pomocí certifikátu na čipové kartě, ale jen jménem a heslem.

Já mám zas pocit, že nikoli. Jestliže má někdo aktivován autentikační kalkulátor, tak se s ním musí přihlašovat do aplikace. Potvrzování nadlimitních transakcí je potom až dalším využitím kalkulátoru.

To je otázka. Já se odjakživa přihlašuji jen klientským číslem a heslem a kalkulátor jsem používal jen pro ověření nadlimitiních transkací. Zdá se mi to i logické, protože pokud si limit transkací dáte na 0, tak po zadání jména a hesla máte jen přístup k pasivním operacím a na jakoukoliv aktivní si to vyžádá potvrzení kalkulátorem.

Tedy, platilo to donedávna, dokud tam nepřidělali ty autorizační SMS, které jdou přesměrovat přes to zobrazující se contract ID.

Je ale pravda, že pokud někdo používá kalkulátor nebo certifikát i na přihlášení, tak pro ty je tato chyba méně závažná. Vřele bych proto doporučil nastavit si použití kalkulátoru i pro přihlašování - minimálně do té doby, než ta chyba bude opravena. Já už jsem to tedy udělal.

Mám pocit, že platby do zahraničí jsou rovněž potvrzovány SMSkami.

Na serveru ČS jsou již k dispozici nové "Obchodní podmínky pro služby přímého bankovnictví, platné od 26.9.2005". Považuji IB S24 po stránce funkcí a komfortu za "vyváženou" a mně plně vyhovující, pouze základní zabezpečení klientským číslem a heslem je asi na hranici "kalkulovaného rizika". Rád bych věřil, že tedy aktualizace IB S24 k 26.09.2005 nebude pouze kosmetickou úpravou, spočívající ve snížení limitu na 10 kCZK (sám mám dnes už nastaveno 0 CZK), ale učiní zamýšlenou funkcionalitu SMS použitelnou. Jako uživatel (a díky tomu článku a diskuzi snad nejen já) si pak tuto, ve vlastním zájmu, poté důkladněji "proklepnu" nejen pohledem do zobrazovaného URL.

1. Banka se hájí pilotním provozem... Uživatelé zde mají také "pilotní" peníze?
2. Říkají "I kdyby teoreticky došlo k výpadku jednoho bezpečnostního prvku, ostatní prvky zabrání zneužití S24", která pak mě zachrání od převodu peněz na nežádoucí účty, pokud mi někdo odcizí jen heslo???

Banka lže a měla by si to pěkně vyžrat. U nás však není odborný kontrolní dohled bezpečnosti internet bankingu a podobných bankovní pseudoslužeb, takže existuje jediná pomoc: vyberte vše a dejte to pod polštář nebo do zahraniční banky (já to se lehce řekne).

Bohužel zatím ani nikdo nikde neuvedl, že uvedené aktivní SMS snižují zabezpečení účtu, pokud má někdo certifikát na čipové kartě.
Do nedávna bylo potřeba jakoukoliv nadlimitní transakci autorizovat certifikátem, jenomže nyní ať chci nebo nechci, tak pomocí aktivních SMS lze provést transakce až do 200 tisíc i BEZ certifikátu. Stačí se dostat k číslu smlouvy (viz článek, krádež v bytě, únik informací z ČS...) a použít SMS.
Přitom by stačilo zavést samostatný limit na transakce přes SMS, který by si nastavil uživatel, klidně na 0.
Jiné řešení (požadovat certifikát u každé - i 10 korunové transakce) existuje, ale je k ničemu. Noste s sebou neustále čtečku :-(

Uvítal bych možnost nastavení individuálního limitu, nebo nejlépe možnost úplného zrušení. Stačí znát číslo účtu a napodobit podpis.

Ty jsou taky výborně bezpečné! To je fakt...

Spořitelna zas nefunguje, dokonce to má trvat až do zítřka do večera a začalo to už včera.. Fakt super. Internet bankovnictví na houby. Která jiná banka si tohle dovolí a ještě si za to nechá sprostě platit? Od toho snad mám přístup na internet, abych ho mohl kdykoliv použít. FUJ!

Jedním z důvodů, proč jsem před cca třemi lety utekl od ČSOB k ČS, bylo internetové bankovnictví bezproblémově fungující pod Mozillou Firefoxem a GNU/Linuxem. Skoda te chyby - se budu zase muset porozhlednout nekde jinde...