Názory k článku
Kulhající bezpečnost internetového bankovnictví

využívám elektronické bankovnictví KB a je příjemné,že jsem ještě neměl problém.je to asi rok zpátky,kdy po vybrání několika účtů zavedli autorizační SMS kód při nastavení příkazu k úhradě.myslím,že když máte certifikát na vnějším médiu a autorizační smsky přijdou jedině na váš mobil,tak riziko úspěšného útoku je malé.mýlím se?

Řekl bych že ano, kombinace autorizační SMS a certifikát na vnějším médiu je poměrně bezpečné z hlediska autorizace klienta vůči bance. Rizika u SMS jsou 2 - buď krádež mobilu a nebo že někdo v systému banky změní číslo na které se ty SMS posílají. I proto v clanku zdůrazňovali lidsky faktor v bance. Podobně to platí o certifikátu - pokud je v počítači červ, tak si ho může stáhnout v době kdy je médium vloženo. Čili - riziko je malé, ale nenulové, takže jen ty základní zásady - zabezpečený počítač, antivir, firewall, aktualizace, neklikat v internetu na všude možně, nereagovat na e-maily od bank, všímat si podezřelých reakcí..

Ano i ne.
Bezpečné je to za předpokladu, že daný mobil nepřipojujete k počítači do kterého strkáte to výměnné médium s certifikátem. Pokud ho někdy připojujete kabelem nebo ho máte spárován přes modrozub v důvěryhodném režimu (kdy nemusíte každý požadavek počítače potvrzovat na mobilu), tak se to zneužít dá zcela automatizovaně bez vědomí uživatele a nevíc to bude všem (včetně případného zkoumání soudním znalcem) připadat, že to udělal uživatel osobně. A ne realizaci tohoto existuje i aplikace. Podmínka na médium s certifikátem a připojení mobilu nemusí být splněna současně. Pouze v případě, že to externí médium je čipová karta, pak musí být časově současně splněna podmínka na přítomnost čipové karty ve čtečce a připojení k mobilu (trošku se to komplikuje v případě, že čtečka má vlastní klávesnici pro zadávání PINu, ale takovou naštěstí používá jen minimum uživatelů).
Nicméně útok tímto způsobem není určen k hromadnému použití, ale vždy bude dělán cíleně na nějakou zaměřenou osobu.
Tento systém nefunguje, pokud je daná SMS posílaná jako šifrovaná pomocí SIM toolkitu (není úplně pravda, ale prakticky to není pak spolehlivě zneužitzelné) od kterého naštěstí (z pohledu útočníka) banky spíše ustupují.

Muzete mit u KB sebelepsi zabezpeceni IB a stejne se neubranite tomu, aby nekdo hodil listek do sberneho boxu. Malokdo ma podpisovy vzor vyrazne odlisny od bezneho podpisu a podstupuje znacne riziko.

No, mam všechno, co lze k elektronickému bankovnictví mít. Několik firewallů zřetězených, filtry, autentikační kalkulačku s časově proměnným kódováním a pro jistotu na kontě pouze minimum a nastavený minimální převodní limity. Přestože používám onu zde často napadanou ČS a její Servis24, nemůžu si stěžovat. Stealtování IP adresy a portů včetně mazání cache modemů je také samozřejmost. Nu a tu kalkulačku mám navíc v sejfu a zásadně jí netahám nikde jinde kromě svého zabezpečeného prostoru. To je svým způsobem paranoia, ale myslím, že i autorizační SMS jsou dobrá volba. Nicméně prolomit se dá všechno a nikdy nemůže říct, že jeho systém je nejlepší. Ale bylo by chybou na to rezignovat.

ano, máte pravdu.
tohle už je opravdu paranoia.

Bezpečnost je závislá na bezpečnosti kombinace operačního systému počítače spolu s antivirovým programem, resp.fireware, a současně totéž u banky.
Byla by to katastrofa, kdyby hackeři překonali tyto bariery. Byl by to konec internetbankingu. Ptám se, aktuální Windows XP a Norton Internetsecurity taky aktuální, jsou spolehlivá ochrana?

Bezpečnost je závislá na bezpečnosti kombinace operačního systému počítače spolu s antivirovým programem, resp.fireware, a současně totéž u banky.
Byla by to katastrofa, kdyby hackeři překonali tyto bariery. Byl by to konec internetbankingu. Ptám se, aktuální Windows XP a Norton Internetsecurity taky aktuální, jsou spolehlivá ochrana?

Zabezpeceni na strane banky je trochu o necem jinem, jsou tam uplne jina reseni a vetsinou i staly dohled nad systemem a pripojenim k internetu. Zcela odlisna situace je u klientu. Panove z Deloitte jsou uplne mimo. Pravdu maji co se tyce zamestnancu, ale chtit po klientech banky pocitacovou gramotnost ci dokonce znalost problematiky internetove bezpecnosti je s odpustenim hovadina. Technicke reseni musi byt takove, aby i podprumerne inteligentni obcan mohl vyuzivat sluzbu urcenou pro sirokou verejnost a nenesl rizika na svych bedrech. Mimochodem, autorizacni SMSky i pres neoblibu u bank (vysoke naklady) jsou mnohem lepsim zabezpecenim nez vsechny antiviry a firewally dohromady. Skoda ze je vetsina bank nevyuziva i pro prihlaseni na ucet..

Ale k čemu? Když si vezmu, že pošťačka bez jakékoliv znalosti PC má stejné možnosti zjistit údaje o mých transakcích, jako ten, kdo mi nabourá PC a okopčí certifikát i heslo, tak si myslím, že není důvod zavádět SMS i pro přihlášení. Jí totiž stačí, když mi nedoručí výpis, doma si ho rozbalí a "pokochá" se mými transakcemi a zůstatkem.

PS: Teda, já už mám výpisy v elektronické podobě, ale to neplatí o 90% jiných klientů bank.

Já jen poukazuji na to, že k pouhému přihlášení do internetového bankovnictví není třeba zvyšovat bezpečnost za cenu zvýšených nákladů, pokud z toho hrozí obdobné riziko jako ze ztráty papírového výpis.

Doporucoval bych si nastudovat neco o listovnim tajemstvi a o postizich, ktere pri poruseni postacce hrozi. Navic na spouste IB ruznych bank lze po prihlaseni delat ruzne veci bez dalsiho potvrzeni SMSkou jako konfigurace uctu, objednani/zruseni sluzeb ci stazeni nekolikalete historie, coz se s jednim vypisem ukradenym na poste neda vubec srovnavat.

Ach jo. Nehloubejte, prosím nad nesmrtelností chrousta.

Nabourat se do něčího IB a zneužít ho je taky trestné. Ukrást auto je taky trestné. A lidi to přesto dělají.

Jen jsem ilustroval, že pokud je k provádění transakcí v IB nutné využívat autorizaci přes jednorázové kódy zasílané v SMS, které byly označeny za poměrně nákladné, potom je podle mého mínění zbytečné, aby byly používány také k přihlašování, protože ten, kdo se dokáže nabourat do IB a vlézt mi na účet se může dozvědět jen tolik, kolik se může dozvědět neskonale jednodušeji a bez znalostí hackingu nepoctivá poštovní doručovatelka (jedna z desetitisíc poctivých) nebo parchant, který tužkou šťourá dopisy ze schránek v paneláku.

Pokud se jedná o IB, které umožňují nastavení účtu a další věci bez potvrzujících SMS, potom jsou špatné a je vhodné u nich zvolit jiný způsob zabezpečení.

Tak jinak.. Pravdepodobnost, ze mi nepoctiva postacka rozbali vypis z banky a zneuzije zjistene informace je asi tak milionkrat mensi, nez ze se mi do IB dostane nekdo pres trojana s keylogerem. Pokud bude hacker z nejaky exoticky zeme, tak ho trestni stihani urcite trapit nebude. Nemluve o tom, ze zjistene informace asi nebude nejaka zlocinecka skupina zjistovat jen proto, ze se pokochaji vypisem a zaplacou nad mym platem v kolbence. Posledni utok na klienty CS si evidentne nedelal zalusk na vybileni uctu. Jednoznacne slo o ziskani osobnich udaju. Procpak by to asi nekdo delal?

Osobní údaje jsou jistě cennou komoditou, ale musíte na ni mít kupce.
Navíc získané z tak nesourodého vzorku, jako je skupina lidí, kteří nedbají dostatečně na zabezpečení svého IB, tak mi nějak uchází, kdo by je mohl smysluplně využít. To už i telefonní seznam má větší vypovídací schopnost.Navíc se tyto informace dají získat mnohem méně rizikově, méně časově náročně a také ve větším rozsahu než nabouráváním jednoho každého IB.
Já jstem tedy skeptický, co se týče vaší dedukce a přikláním se k tomu, že tyto útoky mají především za úkol získat přístupy k účtům za účelem jejich vykradení.

http://syslog.eu/archives/41-eBanka-cz-unik-soukromych-informaci.html

Dira??? Trochu silne slovo. Ale je to neprijemne a meli by to rychle opravit.

Podle me to dira v systemu take je - dira, kterou unikaji privatni informace. Znam lidi, co si tam pisou "velmi osobni" poznamky ;-)

nejrozumější je nepouštět na internet nikoho, kdo jej nepotřebuje k práci