|
|
bezpecne internetove bankovnictvi?
|
6.6.2005 21:21
Tom
|
Jak jiste vite, ceske banky nas krasne masiruji pohadkami o tom jak je jejich internetove bankovnictvi bezpecne. Je tomu ale opravdu tak?
Na prvni pohled se muze zdat, ze ano. Banky uzivaji robustni klice, kodovany prenos, verim, ze web maji take zabezpeceny. Tvrdi svemu uzivateli ze se mu nemuze nic stat.
A presto se jiz pred casem objevil priklad ze internetove bankovnictvi preci jen neni tak bezpecne. Jednalo se o situaci, kdy neopravnena osoba si ziskala pristup k pocitaci klienta. Tak mohla cist znaky z jeho klavesnice.Zkopirovat si klic a hurra vybrat ucet.
Ci je to vina? Klienta, ktery diky sve neznalosti si nezabezpecil system, nebo banky, ktera ve sve hrdosti masirovala klienta ze se nemusi niceho bat?
Podle me jsou na vine oba. A banka jiz nemuze rikat ze jeji system je bezpecny, protoze jeji chyba byla v posouzeni celeho procesu internetoveho bankovnictvi.
Banka zabezpecila prenos, zabezpecila vstup(heslo, klic), ale na co jiz zapomnela je samotny uzivatel a jeho pocitac. Ti jiz v systemu nefiguruji a banka jaksi spoleha na jejich znalosti a dovednosti, ktere v pripade vetsiny uzivatelu nejsou valne.
Pokud ma klient zavirovany pocitac a ma k nemu pristup treti osoba, cely system bezpecnosti internetoveho bankovnictvi pada. Je to jako by jste si sli vybrat penize do banky a nekdo by se vam dival pres ramena (odkoukal vase heslo, cislo uctu) a bance to bylo jedno.
Je to jako by jste si dali penize do banky do trezoru, ktery nema jednu stenu a kdokoliv si tam muze z ulice prijit, i pres dokonaly heslo a ochranke pred trezoem. (zezadu je volno). Dali by jste si do takove banky penize?
Jak tento problem resit?
Navrhoval bych vytvorit jako klic a branu k internetovemu bankovnictvi bootovatelne CD s vlastnim OS (treba na bazi linuxu). Tim se omezi nainstalovane viry a zadni vratka, sjednoti se vstup klientu k internetovemu bankovnictvi a zabezpeci se i uzivatel samotny.
Co vy na to? |
|
|
|
|
Re: bezpecne internetove bankovnictvi?
|
6.6.2005 22:23
Ondřej Čečák
|
A presto se jiz pred casem objevil priklad ze internetove bankovnictvi preci jen neni tak bezpecne. Jednalo se o situaci, kdy neopravnena osoba si ziskala pristup k pocitaci klienta. Tak mohla cist znaky z jeho klavesnice.Zkopirovat si klic a hurra vybrat ucet.
Ci je to vina? Klienta, ktery diky sve neznalosti si nezabezpecil system, nebo banky, ktera ve sve hrdosti masirovala klienta ze se nemusi niceho bat?
Obavam se, ze to je pomerne jednoznacne -- toho, kdo ponese nasledky, definuje smlouva, ktera je pri zrizeni sluzby uzavirana. A pokud to je v dusledku viru, vina pada ve vetsine pripadu na uzivatele/spravce systemu.
Kdyz jsem zakladal bankovni ucty, tak kdyz o tom tak premyslim, tak pouze v Citibank se mluvilo o bezpecnost (zadne emaily od banky kvuli rhybareni alias physingu a podobna doporuceni, informacni brozurka atd.)
A banka jiz nemuze rikat ze jeji system je bezpecny, protoze jeji chyba byla v posouzeni celeho procesu internetoveho bankovnictvi.
V zadnem pripade se nechci moc zastavat bank, ale tohle zda se neni jejich vina. Je to stejne jako u platebnich karet -- pokud klient prozradi PIN (=tajnou informaci), ztraci zaruky. Sice snad u jedne z nasich bank se muzu pojistit take proti prozrazeni PINu (mam chipovou neembosovanou platebni kartu, takze ho zadam skoro porad), ale to je spise vyjimka potvrzujici pravidlo.
Banka zabezpecila prenos, zabezpecila vstup(heslo, klic), ale na co jiz zapomnela je samotny uzivatel a jeho pocitac. Ti jiz v systemu nefiguruji a banka jaksi spoleha na jejich znalosti a dovednosti, ktere v pripade vetsiny uzivatelu nejsou valne.
Je tedy fakt, ze banky moc sve klienty neinformuji (neni napr. moc trivialni overit bezpecne SSL certifikat a to by to mela byt rutina); kazdopadne je treba brat v potaz, ze pokud si uzivatel nedokaze zodpovedne spravovat pocitac, tak je na zvazeni, jestli by to mel fakt delat.
Je to jako by jste si sli vybrat penize do banky a nekdo by se vam dival pres ramena (odkoukal vase heslo, cislo uctu) a bance to bylo jedno.
Tenhle primer asi neni uplne spravny(*), zmenil bych to spise na to, kdyz pujdete k bankomatu s kamaradem. Sice tam je kamera banky, ale myslite, ze ji stale nekdo sleduje a kdyz tam uvidi vic lidi, pujde to resit?
(*) pri vyberu penez nestaci heslo, ale treba podpis, ktery souhlasi s podpisovym vzorem.
Je to jako by jste si dali penize do banky do trezoru, ktery nema jednu stenu a kdokoliv si tam muze z ulice prijit, i pres dokonaly heslo a ochranke pred trezoem. (zezadu je volno). Dali by jste si do takove banky penize?
Tohle mi pripada opet jako spatny priklad. Spise jako kdybyste nosili v zadni kapse, ktera je snadno dostupna zlodejum, druhy klic a heslo pro ochranku ...
Navrhoval bych vytvorit jako klic a branu k internetovemu bankovnictvi bootovatelne CD s vlastnim OS (treba na bazi linuxu). Tim se omezi nainstalovane viry a zadni vratka, sjednoti se vstup klientu k internetovemu bankovnictvi a zabezpeci se i uzivatel samotny.
Bootovatelna CD funguji z ramdisku, takze pokud si vas utocnik vyhmatne po nabootovani, nepomuze vam, ze startujete z media pouze pro cteni. Je spise pravda, ze nebude moci zmenit snadno system, ale muze si udelat automaticky skript, kterym snadno zjisti, ze jste nabootoval.
Navic to kompikuje situaci i vam, nebude se vam snadno zaplatovat pocitac :)
Reseni s branou zni sice zajimave, ale pripada mi s prominutim jako tezky overkill.
Jak tento problem resit?
Co vy na to?
Zkusim to shrnout:
0. Naprosto nutne je dodrzovat zakladni bezpecnosti pravidla, ktere by vydaly na samostatny clanek.
1. Pristupovat z bezpecneho a duveryhodneho pocitace.
2. Overovat s kym komunikuju a sifrovat (bez overeni certifikatu je sifrovani jenom iluzi bezpecenosti).
3. Pracovat s hesly a certifikaty opatrne (nedovolit zneuziti).
4. Pokud banka vyzauje povoleni pristup java appletum na disk, nainstalujte si druhy prohlizec nebo druhy profil a patricne nastaveni provedte v nem. Nedovolte, abyste pouzival na browsovani prohlizec, ktery dovoluje java appletum pristup na cely disk.
5. Omezujte pristup k certifikatum na urovni prav k filesystemu, bezpecne je sifrujte.
|
|
|
|
|
|
|
|
|
Re: bezpecne internetove bankovnictvi?
|
23.6.2005 18:59
Ondřej Čečák
|
naprosto souhlasim, ze odpovednost za pripadne skody je temer vzdy na strane uzivatele, protoze pouziva deravy software (a/nebo nezabezpeceny pocitac apod). Problem je asi v tom, ze pro obycejne uzivatele to je neco naprosto nepochopitelneho. Podivejte se treba na tuto diskuzi. Marny boj a celkem ho chapu. |
|
|
|
|
|
|
KOMENTARZE
|
|
Tylko zarejestrowani użytkownicy mogą dopisywać komentarze.
|
|
Szukanie oprogramowania
|
bootable [55]
linuxsoft.cz | Design:
www.megadesign.cz