DESETNÍK 154/2009 (16. 2. 2009 – 1. 3. 2009)
Můžete mít prvotřídní zabezpečení, nainstalované firewally, nejmodernější antivirové a antiphishingové programy, ale pokud samotný uživatel = člověk i přes jejich důmyslnou ochranu klikne myší na dvě nejčastější tlačítka YES (ano) a CONTINUE (pokračuj), software i technika je na lidské myšlení krátká. Jsme ovce, které se nechávají vést na pastvu a bezmyšlenkovitě klikají na vše, co se na monitoru objeví. Chcete smazat disk? Yes! Chcete odeslat obsah svého účtu do Bangladéše? Yes!
Tak začala prezentace na konferenci o bezpečnosti, kterou spolupořádal i finanční server Měšec.cz.
Firemní mazlíček pro děti
Mnoho uživatelů firemních počítačů si neuvědomuje rizika spojená s používáním firemního počítače v domácnosti. Firemní notebook je často spíše nutností, ale někdy ho firmy dávají jako zaměstnanecký benefit. Proč ho tedy nevyužít i pro hraní her a dát ho k dispozici pro surfování na internetu celé své rodině, že? Zbytečně však dochází k nebezpečí nakažení virtuální infekcí, která dílo zkázy dokoná po připojení do firemní sítě.
Číslo platební karty za pár centů
Čtenáři serveru Měšec.cz pravděpodobně rozeznají rozdíl mezi virem a hoaxem, ale u většiny uživatelů výpočetní techniky tomu tak není. A zatímco zákeřné viry pomalu vymírají, protože jejich efektivita stále klesá, přibývá sofistikovanějších způsobů, které úročí ne na počítač, ale na jeho uživatele-člověka. Pouze člověk totiž dokáže obejít varování a s otevřeným srdcem nabídnout vše, co mu obrazovka přikazuje. Můžeme proto očekávat, že bude přibývat phishingových e-mailů, bude přibývat malwarových programů, které útočí na peněženku uživatele počítače a budou ho vydírat.
Před branou stojí nebezpečné krádeže identit prostřednictvím sociálních sítí, kde mnoho lidí veřejně a otevřeně o sobě sděluje osobní údaje. Už dnes se vyrábějí programy na míru, které mají jediný úkol: ukrást data, informace, identitu. Jejich cena přitom není drahá, botnetová síť spravující detaily o bankovních účtech přijde na 150–300 USD a každý záznam s aktivním účtem má hodnotu 10–100 USD podle bonity klienta. Číslo kreditní karty přijde na 0,5–12 USD a plná identita klienta se prodává za 0,90–25 USD (zdroj: Jan Guzanič, Cleverence). Jiné programy mají za úkol vás vydírat. Naoko vás varují, že máte v počítači virus a pokud si nezaplatíte plnou verzi programu, program (údajný virus) vám začne blokovat počítač. Přitom stačí málo, použít selský rozum. Jenže ne každý nováček na internetu je schopen rozlišit jeho nástrahy, a to podvodníci velmi dobře vědí.
Nejčastější podoby malware
Rootkit,Trojský kůň, MBR Virus (Sinowal, SilentBanker, Limbo2)Keylogger, Sniffer, Screencapturer
Lokální proxy, různé servery
Kampak to klikám?
Když v únoru 2008 začaly chodit lámanou, strojní češtinou psané phishingové e-maily pod hlavičkou České spořitelny, z počátku vzbuzovaly úsměvy. Za několik dnů se čeština zlepšila, to však již Česká spořitelna (nejen) své klienty varovala a zároveň se spustila mediální masáž na téma phishingu. I přes to všechno se stejně našli lidé, kteří na odkaz v e-mailu klikli a údaje vyplnili. Podvodníci však nelenili a poslali další e-mail, ve kterém paradoxně varovali před „nebezpečím phishingu“ a použili logo České spořitelny. Výsledkem byl ještě větší počet lidí, kteří klikli na odkaz vedoucí na stránky podvodníků – stačilo jen použít logo banky.
Příklad podvodného webu online
Všímáte si webové stránky, na kterou se přihlašujete do internetového bankovnictví své banky? Stačí jen drobná změna v písmenu v názvu banky a jste na jiném webu. Změnu přitom není nijak složité provést. Podívejte se na příklad, jak lze snadno přesměrovat návštěvníka banky na vlastní web.
Ani autentizace pomocí SMS není spásou. Máte-li před sebou profesionála, není problém pro něj změnit údaje, které podepisujete a příkaz k úhradě s autorizační SMS, kterou kontrolujete a potvrzujete, odchází na cizí účet. Příklad hacknutého internetového bankovnictví.
Dávat si pozor, na co klikáte, musíte i u českých bank. Z konference o bezpečnosti vyplynulo, že pouze Citibank, Komerční banka a mBank mají internetové bankovnictví do jisté míry odolné proti metodě Clickjacking, která umožňuje překrýt webové stránky jinou vrstvou, na jejímž pozadí interaktivně probíhá jiná operace. Kliknutím pak (aniž to tušíte) potvrzujete různé procesy.
Podvodníkům právo přeje
Internet dávno není anonymní, vystopovat datovou stopu ke konkrétnímu počítači není problém. Když už dojde k nejhoršímu a přes počítač vám někdo ukradne peníze z vašeho účtu, nemusíte se obávat to policii nahlásit. Někteří lidé mají obavy, že policie bude zkoumat legální software a teprve potom, co se stalo. Pravdou je, že policie u počítačů zjišťuje hlavně hardware a firmware, operační systém, instalované programy, vliv uživatelů a neoprávněné zásahy. Když je předmětem trestního oznámení krádež peněz, autorská práva zkrátka nezkoumá.
Problém práva je však jinde. Podle současné české legislativy za zneužití dat hrozí maximálně 2 roky nepodmíněného trestu a vyšetření případu zneužití dat trvá měsíce. Mezi celosvětový problém patří absence postupů a problém nevzdělaného zasahujícího personálu. IT odborníků u policie, vzhledem k výši mzdy a tabulkám na výkonnostní fyzické testy, najdete poskrovnu. Zásadním problémem však je, že digitální důkaz nelze prokázat jako přímý důkaz, pokud ho nelze nezpochybnitelným, forenzním způsobem spojit s člověkem. Musí se totiž prokázat, že konkrétní počítač zneužil konkrétní člověk (co když byl také obětí, která měla v počítači program nainstalovaný někým jiným?)
Paranoia? Spíše obezřetnost
Návrat k písemné dokumentaci a odpojit od internetu. Takový by se mohl zdát závěr konference o bezpečnosti pro paranoika, ale podstata je jiná. Podobně jako lze zneužít písemný příkaz k úhradě napodobením podpisu, podobně lze zneužít příkaz k úhradě poslaný elektronicky. Je potřeba se i na internetu chovat jako v běžném životě. V tramvaji přece také nikdo nahlas neříká, kolik má v peněžence a jaký má PIN k platební kartě.