Elektronické bankovnictví a bezpečnost

Komentáře

Transkript

Elektronické bankovnictví a bezpečnost
kryptologie pro praxi
Elektronické bankovnictví a bezpečnost
Na souãasnou nedobrou situaci v bezpeãnosti finanãního sektoru spoleãnû ukazují
analytici svûtov˘ch konzultaãních firem.
Podíváme se proã. Nebyla to kryptologie
a vynález digitálního podpisu, ale internet, kter˘ zpÛsobil, Ïe finanãní trh se v posledních desetiletích od základu zmûnil.
Dále budeme hovofiit jen o bankách, pfiestoÏe zmûna nastala ve v‰ech oblastech finanãních institucí i produktÛ, jako jsou pojistky, hypotéky, elektronické platby, domácí
i firemní platby. Kryptologie jen díky digitálnímu podpisu pomohla bankám v poãátcích, aby se nebály vstoupit na neprobádanou pÛdu internetového bankovnictví
v dobách, kdy mu je‰tû nikdo nevûfiil. Jakmile internet a pozdûji mobilní telefony
ovládly masov˘ trh, zisk smazal v‰echny
obavy a banky pfiijaly mizivé riziko podvodÛ
oproti neskuteãn˘m v˘hodám, které bankovnictví on-line pfiineslo.
Bezpeãnost ‰la stranou. Staré tûÏkopádné
bankovní informaãní systémy nestaãily a za
chodu se vytváfiely nové. Banky fúzovaly
a problémy s informatikou narÛstaly. Slepence se stávaly sloÏitûj‰ími. A tomu odpovídá stav v bezpeãnosti. TûÏko lze nalézt
nûkoho, kdo by mohl v jakékoliv finanãní
instituci fiíci, Ïe ví, jak funguje informaãní
systém a jeho bezpeãnost. V˘jimkou je pouze nûkolik nov˘ch, na zelené louce stavûn˘ch systémÛ tak, jako tomu kdysi bylo
u nás u ebanky. Nicménû jednou snad bude
v‰e integrováno a zabezpeãeno.
Nefiíkáme to proto, abychom získali bankovní zakázky nebo si vylili srdíãko, ale proto, Ïe tento stav zaãíná b˘t problémem. Dosud byla rizika malá, ale banky nyní zaãíná
znepokojovat prudk˘ nárÛst ztrát, internacionalizace útoãníkÛ a geografická rozprostfienost útokÛ. NárÛst ztrát bankovnictví
on-line se v posledních ãtyfiech letech odhaduje na asi 100 % roãnû.
Kuriózní je nedávn˘ pfiípad, kdy si parta lidí z jedné blízké zemû nekryt˘mi v˘bûry z bankomatÛ pfii‰la na miliony v jiné
evropské zemi. PouÏité platební karty byly
pravé, takÏe policie zadrÏené lidi zase propustila. To, Ïe pfii‰li na trik, Ïe z jist˘ch
bankomatÛ lze vybírat donekoneãna hotovost na platné karty, byla bezpeãnostní
chyba banky. ·lo o váÏené klienty, ktefií
bance nic zlého neprovedli! A dal‰í otázka
je, zda to vÛbec byla chyba banky, protoÏe
bankomaty pro ni mÛÏe provozovat jiná
spoleãnost, která si zase najímá jinou spoleãnost na doplÀování penûz, jinou na pfienos transakcí, údrÏbu a administraci. A to
nehovofiíme o tom, Ïe nûkdo jin˘ bankomaty vyrábí, nûkde vznikají superdÛleÏité
klíãe, s jejichÏ pomocí lze s bankomatem
dûlat na dálku cokoliv, a Ïe informaãní
24
systém banky mÛÏe b˘t outsourcovan˘,
atd. Také nehovofiíme o tom, Ïe existují
administrátofii, ktefií nechají v bankomatu
pfiednastavené heslo 1234, jeÏ je vyti‰tûno
v návodu (stalo se). Nehovofiíme ani o tom,
Ïe nûkdo mÛÏe pfiipustit, aby v bankomatu
byl operaãní systém Windows a s ním
i tzv. troj‰tí konû, zachytávající otevfienû
PIN (stalo se).
Když vznikne škoda
Klienty taková situace sice nijak netû‰í, ale
naproti tomu, toto jsou problémy bank.
JestliÏe dojde k nûjakému neoprávnûnému
v˘bûru nebo transakci, pfii nichÏ bychom
mûli pfiijít o své peníze, nemusíme se
vzhledem k v˘‰e uvedenému stavu obávat
trvat na náhradû. Velmi pravdûpodobnû taková ‰koda bude nahrazena. Dosud se tak
postupuje, protoÏe jde skuteãnû o podvody, a nikoliv ze strany klientÛ. JestliÏe by
v‰ak banka nechtûla ‰kodu nahradit (za
podmínky, Ïe jste skuteãnû neudûlali
úmyslnû chybu), mÛÏete s klidn˘m svûdomím banku Ïalovat. ·koda, která bance
vznikla, je mizivá ve srovnání s tím, Ïe by
musela zpfiístupnit svÛj „dokonal˘ informaãní systém“ soudnímu znalci, aby posoudil, Ïe z tohoto „systému“" nemohlo
nic uniknout.
Situaci fie‰í banky v tichosti. V záfií na
ni ale dÛraznû upozornilo nûkolik v˘znamn˘ch americk˘ch a svûtov˘ch institucí, které se specializují na anal˘zu, odhalování a zamezování krádeÏí, podvodÛ
a bankovní kriminality, napfi. Guardian
Analytics, FDIC, Asociace elektronick˘ch
plateb NACHA, Centrum anal˘zy finanãních institucí FS-ISAC, Senátní v˘bor
USA, Gartner aj. Tyto instituce fiíkají, Ïe
„kyberútoãníci“ se stávají velmi pokroãil˘mi, a doporuãují nûkolik základních
pravidel, z nichÏ nûkterá vybíráme.
Doporučení expertů
– Buìte si vûdomi sv˘ch finanãních práv:
DoÏadujte se u své banky její politiky
a opatfiení k ochranû va‰eho úãtu.
– Îádejte svoji banku, aby zv˘‰ila investice do bezpeãnostní techniky: Va‰e peníze jsou chránûny pouze touto technikou. Mnoho institucí nemá v pofiádku
ani základní autentizaãní procedury.
PoÏadujte, aby banka pouÏívala monitoring on-line a proaktivní ochranu
proti podvodÛm a krádeÏím, aby jim
mohla zabránit v reálném ãase.
– Kontrolujte svÛj úãet: v‰ímejte si ãehokoliv neobvyklého a sledujte své platby.
Mnoho bank nabízí klientÛm upozornûní na podezfielé transakce. VyuÏívejte
je a poÏadujte taková varování.
– Starejte se o bezpeãnost svého poãítaãe:
mnoho lidí pfiichází o peníze vlivem své
neopatrnosti. Nestarají se o antivirové
a antimalwarové prostfiedky a nechají
poãítaã napospas ‰kodlivému softwaru,
kter˘ zachytí jejich pfiístupová hesla
a ode‰le je útoãníkÛm. PfiestoÏe je obrana
sloÏitá, a právû proto, Ïe nikdo nemÛÏe
vylouãit zavirování, je naprosto nezbytné
kombinovat pfiístupové heslo s autorizací
pomocí zpráv SMS, autentizaãních kalkulátorÛ apod.
Několik čísel
–
O nejvût‰í krádeÏi údajÛ k platebním
kartám jsme se dozvûdûli letos. Osmadvacetilet˘ Ameriãan Albert Gonzalez
se spoleãnû s nûkolika anonymními
rusk˘mi komplici dostal do databází
velk˘ch obchodních fietûzcÛ (i do jin˘ch systémÛ) a prodával ukradené informace po celém svûtû. ·lo o 130 milionÛ kreditních a debetních karet.
– Zlodûji se zamûfiují jiÏ na krádeÏe za‰ifrovan˘ch i neza‰ifrovan˘ch blokÛ PIN
k tûmto kartám a spolupracují i s lidmi
uvnitfi bank. Nyní jsou bûÏné mezinárodní gangy na padûlání karet pracující
on-line po celém svûtû.
– Jeden koordinovan˘ útok byl zaznamenán v minulém roce, kdy bylo bûhem
nûkolika hodin okolo pÛlnoci 8. listopadu vybráno v bankomatech 9 milionÛ dolarÛ. Do akce bylo zapojeno 100
karet a 130 bankomatÛ ve 49 mûstech
od Moskvy po Atlantu.
V poslední dobû jde organizovanost útokÛ tak daleko, Ïe napfi. klient si vybírá peníze z bankomatu, netu‰í, Ïe probíhá krádeÏ
jak údajÛ z jeho karty, tak i PIN a Ïe tyto
údaje jsou posílány on-line na jiné místo ve
svûtû, kde je za nûkolik hodin vyroben duplikát jeho karty a na nûj vybrána hotovost
z jeho úãtu v tamním bankomatu.
Za v‰emi uveden˘mi útoky je nedÛsledné vyuÏití kryptografie jako jedné
z metod ochrany dat. Jednou je to její ignorování, jindy slabé autentizaãní metody
nebo ochrana komunikace, potfietí nereagování na nové útoky. Také bankomaty by
mohly pfiestat pouÏívat staré moduly,
navrhované pfied nûkolika desítkami let,
a napadnutelné komunikaãní protokoly.
Experti na bezpeãnost se shodují v tom, Ïe
tuto oblast je nutné brzy zcela zmûnit.
Vlastimil Klíma,
nezávisl˘ kryptolog, [email protected]
LITERATURA
[1] Archiv článků kryptologie pro praxi: http://cryptography.hyperlink.cz
ST 11/2009

Podobné dokumenty

Akcelerace datového centra

Akcelerace datového centra Akcelerace zahrnuje funkce odlehãení serveru a auto-adaptivní komprese, které byly navrÏeny tak, aby zdvojnásobily v˘konnost webov˘ch aplikací pro vzdálené a mobilní uÏivatele. Tyto funkce zaji‰Èuj...

Více

52 ChuČovka od Helixu - elektronkov˘ hybridní - Carhifi

52 ChuČovka od Helixu - elektronkov˘ hybridní - Carhifi do prostoru. Tím vÛbec nefiíkáme, Ïe by ve zvuku chybûly jemné detaily, zcela naopak: Helix nesmlãí ani tu nejjemnûj‰í drobnokresbu ve zvuku, ani nejti‰‰í zasyãení, díky svému teplému zvuku se v‰ak ...

Více

Pozvánka na klubovou výstavu

Pozvánka na klubovou výstavu LOVCI STÍNÚ RICHARD GERE, TERRENCE HOWARD. Lháfii. Podvodníci. Playboyové. Zlodûji. Novináfii? TEN VEâER MERYL STREEP, TONI COLLETTE, NATASHA RICHARDSON, VANESSA REDGRAVE. Matka na sklonku Ïivota, od...

Více

Databázové servery pro nejvy‰‰í nároky a pro zpracování jak

Databázové servery pro nejvy‰‰í nároky a pro zpracování jak zpracování a ukládání dat pfied pfiíchodem SQL a relaãních databází. IBM tak podává dal‰í dÛkaz toho, jak si pfiedstavuje podporu zákazníkÛ a ochranu jeho investic. To je dobré si uvûdomit právû dnes,...

Více

SAMIkapanen

SAMIkapanen Nejmen‰í hráã t˘mu Carolina Hurricanes, osmadvacetilet˘ Sami Kapanen, je pro své muÏstvo tak dÛleÏit˘, Ïe si ho stfieÏí dokonce i na hotelovém pokoji. I tak by se totiÏ dalo vysvûtlit zji‰tûní, Ïe h...

Více

Lindros - Pro Hockey

Lindros - Pro Hockey Sám dobfie ví, co odpoãinek a trpûlivá rekonvalescence obná‰í. Krom ‰esti otfiesÛ mozku si pfietrpûl je‰tû jedno pomûrnû váÏné zranûní. Za dramatick˘ch okolností skonãil v nemocnici s poranûnou plící....

Více

Psychiatrick˘ korupăní prŰmysl

Psychiatrick˘ korupăní prŰmysl pfiijal 860 000 USD na „provizích“ za doporuãování pacientÛ. Tento skandál vyvolal ve Spojen˘ch státech dominov˘ efekt, pfii nûmÏ fiada dal‰ích soukrom˘ch ziskuchtiv˘ch psychiatrick˘ch léãeben zaplati...

Více

Adam Oates je stroj na body s ohromujícím citem pro

Adam Oates je stroj na body s ohromujícím citem pro RON WILSON ¤ÍKÁ, ÎE by se Adam Oates mohl v bodovém Ïebfiíãku posunout je‰tû v˘‰. „Ale právû proto, Ïe se obûtuje pro obranu, spoustu bodÛ mu uteklo. Samozfiejmû, Ïe pro t˘m je neoceniteln˘.“ Oates...

Více