Hm. Další "expert" na elektronické bankovnictví, který si plete certifikát a soukromý klíč a který neví, že z čipové karty NELZE (při správném navržení aplikace) soukromý klíč softwarovými prostředky exportovat. Lze jen v době, kdy je karta ve čtečce a uživatel ověřil PIN, například podepsat kartou jiný příkaz, než zadal uživatel. Samozřejmě jen pokud útočník plně ovládá klientův počítač a nainstaloval do něj opravdu geniální software.
Pokud vím, už asi před pěti lety byla navržena metoda louskání RSA šifry na základě analýzy, za jak dlouho šifrovací token dokáže zašifrovat předkládáné vzorky dat. Prakticky ale zatím takový útok nebyl zaznamenán. A pokud se nemýlím, moderní tokeny s tím počítají.
Je to přesně tak. Navíc asi bude i dost obtížné dostat soukromý klíč i z normálního disku pokud byl označen za neexportovatelný a je chráněný heslem. Každopádně úsilí věnované ke krádeži certifikátu s klíčem z čipové karty nebo i HDD bude asi potřeba nesrovnatelně větší než zjistit číslo účtu a zfalšovat podpis na papírový příkaz o čemž skoro nikdo nepřemýšlí, ale spousta lidí vyhazuje do koše výpisy z účtu a kopie účtenek z kreditky s podpisem nebo papírových příkazů s podpisem.
Mimo jiné v článku bylo uvedeno jedno důležité pravidlo: Je to jen otázka času a peněz. Osobně nejsem ani počítačový odborník ani žádná kapacita v oblasti kryptologie, ale přesto se domnívám, že skutečně neexistuje žádný absolutně bezpečný způsob zabezpečení a je jen otázkou, zda se útočníkovi vyplatí nabourat se přes určitý stupeň ochrany s určitými náklady, když potom zisk může být nižší než, co do toho sám vrazí. Nehledě ani na to, že čím vyšší bude nutný vstupní kapitál, tím menší okruh lidí k potřebným technologiím bude mít přístup atd. atd.
"z čipové karty NELZE (při správném navržení aplikace) soukromý klíč softwarovými prostředky exportovat"
- na základě čeho tvrdíte, že to NELZE? Vzhledem k tomu, co všechno JE možné, bych se nedivil, kdyby stažení informací z čipové karty bylo pouze VELMI OBTÍŽNÉ. Se správným zařízením lze zjistit z kolísání odběru proudu, jaké procesy běží na počítači. Tak proč by nešlo zjistit, jaké procesy běží na čipové kartě?
> Se správným zařízením lze zjistit z kolísání odběru proudu
Se správným hardwarovým zařízením to jistě lze. Věřím tomu, že se správným hardwarovým zařízením je možné z čipové karty (velmi obtížným způsobem) vydolovat soukromý klíč. Softwarovými prostředky to ale nejde. (Nepodepisuje se v počítači, ale přímo na kartě, to je principiální rozdíl oproti řešení, kde je soukromý klíč uložený na běžném USB kolíčku.)
No, pokud vím, tak ty kryptografické tokeny jsou udělány tak, že při narušení obalu se čip s nahraným kličem zničí. A bez vyjmutí čipu to přečíst nejde (a i potom velice obtížně).
Stejně, jako kopírování důvěrných informací ze SIM Toolkitu SIM karty. O některých teoretických útocích na SIM Toolkitové bankovní aplikace jsem už slyšel, ale žádná nespočívá v tom, že bych ze SIM něco dokázal zkopírovat....
Omlouvám se za nepřesnou formulaci - nelze zkopírovat data z karty, ale informaci, kterou nese, lze zneužít. Viz např.
"pokud není možné zneužít přímo čipovou kartu, tak je možné velice elegantně zneužít komunikaci mezi počítačem a čtečkou karet [...] Na jedné straně je čipová karta bezpečným úložištěm pro citlivá data a na druhé straně je možné tato data zneužít." http://www.lupa.cz/clanky/jsou-cipove-karty-bezpecne/
V článku se píše: "Nebezpečí klasických SMS zpráv je nasnadě. Stačí ponechat nechráněný mobilní telefon u počítače a "kolemjdoucí" nenechavec si může velmi snadno přijít k vašim penězům."
Připustím-li, že nechám v práci ležet nezamčený mobil vedle PC z důvodu, že se jdu třeba vyčůrat, pak stále nechápu, jak by "kolemjdoucí", tj. náhodná osoba, mohl zneužít můj účet. Musel by: 1. znát login a heslo k mému PC, 2. vědět u které banky mám účet, 3. znát můj login a heslo pro vstup do internetového bankovnictví, 4. okamžitě se rozkoukat v této aplikaci, 5. to vše zvládnout během 2 minut nepovšimnut kolegy. Je nasnadě, že se od svého PC odhlašuji (kolik minut nabíhají Windows XP? ), že webovou adresu do internetbankingu nemám mezi "oblíbenými" a že hesla k PC nemám na lístečku na stole či v mobilu. Doufám, že autor nepředpokládá, že někdo používá internetbanking v internetové kavárně a zároveň tam nechává ležet mobil. Anebo že se lidem po bytě promenují "kolemjdoucí".
Článek je poněkud blábolivého charakteru, jakmile se objeví nějaký problém (vykradení účtů pomocí internetového bankovnictví) roztrhne se s experty pytel.
Pro své účely jsem si potenciální útočníky rozdělil do tří kategorií:
1. "Zvědavý kolega" tj. osoba s průměrnými zalostmi IT, zde stačí k ochraně ty nejjednodušší prostředky, heslo atpd.
2. "Hacker" tj. soukromá osoba s nedprůměrnými znalostmi a vybavením, tady doufám, že důsledné používání všech běžných způsobů ochrany může být účinné
3. "Tajná služba" tj. organizace disponující maximálními možnými znalostmi a prostředky. Zde nemá cenu se chránit, předpokládám, že zůstatek na mém běžném účtu je pro ně nezajímavý.
Takže: standardní způsoby ochrany, na běžném účtu jen nezbytné množství peněz a pevná víra, že to stačí :-)
Tomu se dá snadno zabránit tím, že by s bankou kromě normálního hesla bylo domluvené i nouzové, se kterým by se systém navenek tvářil, že vše probíha v pořádku, ale ve skutečnosti by se zaměřila IP adresa a na místo by mířilo policejní komando. A žádné peníze by se nepřevádely, dokonce by se banky mohly mezi sebou domluvit, že převod by se fiktivně objevil i na účtě příjemce.
Bohužel žádná česká banka takovýto katastrofický scénář nenabízí.
Proc by mel koukat moc na telku? Nerikam ze je to bezne, ale v minule firme jsme meli kazdy dva kody od alarmu dveri ... jeden "normalni" a druhy pro pripad "vyhruzky nasilim" , ktery sice nespustil viditelny alarm, ale okamzite spustil poplach na PCO...
Ta anketa je úplně blbá - šifrované x nešifrované SMS.
Pro celkovou bezpečnost jsou stejně důležitější systémový opatření než jediná sebelepší překážka. Proto je nejlepší kombinovat víc jednodušších opatření (třeba potvrzování pomocí smsky) než se zaměřit čistě na certifikáty a další věci na PC. Když si nakonec udržujete na běžném účtu jen částku nezbytně nutnou (stejně to není úročený), tak vám může být bezpečnost ukradená. Až těch pár desítek tisíc ukradnou, je to větší problém pro banku.