Slepá ulička legality

Aktuálně se začíná mluvit o tom, že není jednoduché chovat se úplně legálně. Těžko to mohu posoudit, protože jsem to ještě nezkoušel. ;-) Dobře, nechme vtipů. Fakt je, že se těžko dokážu vžít do kůže běženého uživatele, protože jím prostě nejsem. Nedělá mi problémy klepnout na ikonu Ověření pravosti Windows, ale také nenarazím, když si mám přehrát DVD z USA.

Dnes jsem měl ovšem možnost bezprostředně sledovat, jaké to je, když pro vás nejsou počítače nejsou denním chlebem, vodou i peřinou. Sledovaný objekt ovšem nebyla průměrná sekretářka, to by průzkum asi moc průkazným neučinilo. Řekněme, že to byl úspěšný majitel dvou obchodů s textilem (abych zase nebyl úplně konkrétní). Po našem vcelku obchodním jednání se mě zeptal, zda bych mu nepomohl dostat se do Citibank. Trochu mě to vyděsilo. Připadalo mi, že si ani jeden nežijeme tak špatně, abychom museli jít vykrást banku. Ukázalo se, že pán chce jen pomoci s přístupem ke svému internetovému bankovnictví.

Malá odobčka: velká část bank působících v ČR v minulých měsících zjistila, že ochrana jejich internetových bankovnictví není tak skvělá, jak klientům po dlouhá léta sugerovali. Ty potrefené banky poznáte podle toho, že způsoby autentifikace v této době mění nebo nedávno změnily.

Pochopil jsem, že dříve s k Citi přihlašovalo jakýmsi číslem a H-PINem, což pánovi vyhovalo a teď mu poslali jakousi kalkulačku a dopis, že ji má začít používat. Z něho mi to celé nepřipadalo nijak složité, tak jsem souhlasil, že pomohu. Otevřeli jsme společně webové stránky, kterými se přihlašoval dříve a tam bylo, že si nyní musí založit nový účet, ke kterému se bude přihlašovat uživatelským jménem a heslem. Souhlasili jsme tedy s vytvořením. V tu chvíli to po nás chtělo číslo kreditní karty a „PIN, které používáte pro výběr peněz z bankomatu“. Nevěřil jsem vlastním očím. To bude nějaký phising, ne? Kolikrát banky omílají stále dokola: PIN nikdy a nikomu. Ovšem URL bylo bezpochyby správné a certifikát webové stránky též. Pečlivě jsem to přezkoumal a svěřil jsem se s obavami pánovi. On ovšem pronesl, že to bude dobré a údaje zadal.

Toto opravdu není phising

Poslali jsme tedy přes internet kompletní údaje postačující k vyluxování jeho účtu a byli jsme vyzváni k volbě nového uživatelského jména a hesla. Takové ty typické odporné požadavky typu písmena A číslice apod. Pak také dvou otázek a odpovědí typu jméno matky za svobodna a obvod kolem pasu vašeho křečka. Vše úspěšně absolvováno, účet vytvořen. V dopise psali, že ke spárování kalkulátru s účtem se musíme na účet příhlásit a tam zadat jeho S/N. Jenže při přihlášení to chce krome nového jména a hesla ještě jakýsi jednorázový kód. Vyslovil jsem úvahu, že by ho asi měl generovat ten kalkulátor. Zkusili jsme ho zapnout a on na nás jen vybafnul NEW PIN -----. Pán oponoval, že přece ještě není spárovaný, tak se nemůže pro přihlášení použivát, že by to byla hlava XXII. Navrhl jsem tedy zavolat na podporovací Citilinku.Tam po nás chtěl operátor jakýsi další PIN a zase číslo karty. Pak nás pochválil, jak jsme si hezky založili uživatelské jméno a heslo a optal se nás na číslo kalkulátoru z jeho zádíček. Pomocí něho spároval kalkulátor s účtem (!). Pak řekl, že si přes to NEW PIN máme zvolit PIN pro kalkulátor a on nám pak ten jednorázový kód bude generovat. Což opravdu dělal (a snad stále dělá), takže pán se dostal na svůj účet a moc mi děkoval jak jsem mu pomohl (trochu mě hryzalo svědomí, že nemá moc za co). Ještě jsem mu nastavil v Exploreru záložku do Oblíbených a to už byl v sedmém nebi.

Takže si to zrekapitulujme. Během deseti minut jsme pro svou ochranu a dokazování své legality použili

  • číslo karty
  • její PIN
  • uživatelské jméno a heslo s kryptografickými nároky
  • ty bezpečnostní otázky typu křeček a svobodná matka
  • jakýsi další PIN, který vytáhl pán z hlavy a evidentně to nebyl PIN od karty
  • PIN kalkulátoru
  • jednorázový token generovaný kalkulátorem
  • sériové číslo kalkulátoru
  • a to nemluvím o tom starém čísle a k němu příslušnému H-PINu

Poněkud překvapen jsem se vracel domů, když mi zazvonil telefon. Volala známá, která je v důchodu, že se bojí šáhnout na svůj počítač. Ptám se proč? Že ji nejde nic otevřít, protože to po ní chce ověřovat jakousi pravost a že ji to vyhrožuje jestli prý něco neukradla a tak vůbec. Uklidnil jsem jí, že ona se přece nemusí ničeho bát, že ona má přece Windows legální (sám jsem jí je před pár lety prodal s novým počítačem). Ptala se jestli si jsem jistý, že to opravdu není nějaký ten červ co o nich pořád mluví v televizi. Ano, madam, jsem si úplně jistý, že to jsou jen vaše milé Windows, co jste si zaplatila.

Když jsem dorazil do kanceláře, tak mě čekal v mailu trouble ticket, že na některých počítačích našeho jiného klienta hlásí Avast, že je trojan v ZipLib.dll, kterou používáme v rámci našeho distribuovaného prodejního programu. Samozřejmě, že ta knihovna byla zdravá jako lunt, ale další hodinu jsem to vysvětloval tomu Avastu.

Proč to povídám, když je to tak nudné? Protože si myslím, že to dobře ilustruje to, že není jednoduché žít podle všech opatření, která by měla chránit ty zlé před těmi dobrými, když ti kteří je navrhují si zřejmě nejsou jistí tím na čí straně stojí a vy jste jen obyčejný pán, který má shodou okolností dva malé obchody s textilem nebo paní v důchodu.

jouda
jouda (neregistrovaný)
27. 3. 2007 8:53 Nový

Je to docela síla

Je to docela síla. Jestli není řešení v tom akceptovat pouze otevřené technologie bez těchto balastů, které otravují ty poctivé a nepoctiví to vždy nějak "cracknou". p.s. docela dobrou autentikaci má eBanka

alfi
alfi (neregistrovaný)
27. 3. 2007 11:22 Nový

no to snad není pravda - citibank opravdu učí své zákazníky

no to snad není pravda - citibank opravdu učí své zákazníky, aby na webu zadávali číslo platební karty i s pinem.. https://czechrepublic2.online.citibank.cz/CappWebAppCzech/producttwo/capp/action/enroll.do

asi jdu připravit nějaký phishingový mail, vždyť je úplně normální tyhle info na webu po zákaznicích chtít - tak proč by mi je neměli vyplnit? :-(

Roj
Roj (neregistrovaný)
27. 3. 2007 11:45 Nový

Ta "stranka Citibank" byla ve skutecnosti pharming a to cislo

Ta "stranka Citibank" byla ve skutecnosti pharming a to cislo, na ktere jste volali, bylo cislo z te pharmingove stranky. Tam sedel kluk, ktery se vydaval za podporu Citibangu, ve skutecnosti prislusnik gangu. Ucet ma majitel v tuto chvili jiz v minusu.

P_V
P_V (neregistrovaný)
27. 3. 2007 11:47 Nový

Na to nelze odpovědět než parafrází klasika:

Na to nelze odpovědět než parafrází klasika:
"Tyhle piny a antiviry každého jen otravují, já bych všechny ty počítače a internety zakázala."

adamkopp
adamkopp (neregistrovaný)
27. 3. 2007 13:02 Nový

Bohuzel ne

[3] Bohuzel ne. To by mi tak nevadilo.

Patrick Zandl
Patrick Zandl (neregistrovaný)
27. 3. 2007 14:38 Nový

Připomíná mi to

Připomíná mi to, jak se vždycky snažím zoufale přeskočit na DVD přehrávači ty úvodní reklamy a varování, které se tam tvůrci naučili dávat jako nepřeskočitelné. Zatímco Lost Serie 3 Epizoda 12 z torrentu má reklamu pečlivě vystříhanou a ještě mi k ní ý dobrá přibalil zdarma textík "čeho jste si v tomto díle nemuseli všimnou".

Takže dobrá otázka: proč má "pirátská" věc lepší user satisfaction, než ta "legální"? :)

Michal
Michal (neregistrovaný)
27. 3. 2007 15:07 Nový

Nechapu

Nechapu, proc uz pri vyberu banky nemyslet na bezpecnost ebankovnictvi. eBanku jsem vybral prave z tohoto duvodu a to jeste dlouho predtim, nez zacaly tyhle problemy s pharmingem. Nejsem odbornik, ale bylo mi hned jasne, ze pokud se budu prihlasovat pres heslo ktere mi prijde smskou na zabezpeceny mobil a ktere je platne jen chvili, tak ze zadny problem proste byt nemuze! Na rozdil od ruznych hesel, certifikatu apod u jinych bank. Pripadne ztraty mobilu uz si totiz clovek vsimne :)

poorman
poorman (neregistrovaný)
27. 3. 2007 16:08 Nový

Citi pouzivam uz 18 mesicu

Citi pouzivam uz 18 mesicu. Se sluzbami jsem spokojen, ale internetove bankovnictvi je opravdu "nesikovne". Uz jen to, ze se vse taha ze serveru z USA vam napovi, jak interaktivne se s nim pracuje. Anabazi s prechodem na bezpecnostni kalkulator si uzil kazdy klient. A neznam zadneho, ktery by tim byl nadsen (a znam jich aspon 5). Vzhledem k tomu, ze kod z kalkulacky slouzi pouze k prihlaseni a ne k potvrzovani transakci, neni jeji bezpecnostni prinos veliky. Kalkulator ma navic nesikovny tvar, takze se spatne nosi a vetsina lidi ho nenosi s sebou z obavy pred ztratou - vydani noveho stoji 450kc. Vysledek je vyrazne omezeni pristupu do banky.

Mimochodem, pri povinnem prechodu na bezpecnostni kalkulator musel kazdy klient zaplatit zvyhodnenou cenu 250kc, coz mi prislo nefer.

pc
pc (neregistrovaný)
27. 3. 2007 17:59 Nový

Pri cteni tohoto clanku jsem si vzpomel na "trapne" zabezpeceni

Pri cteni tohoto clanku jsem si vzpomel na "trapne" zabezpeceni, pouzivane ve vetsine nemeckych bank. Na pritup na ucet pres jmeno a heslo, stejne jako Ceska sporitelna. Pro ativni operace je potreba zadat transakcni kod, ktery majitel uctu dostane postou. Seznam transakcnich kodu obycejny seznam 8-cifernych cisel na papire. Zadna aktivace uctu, generovani pinu, zadna elektronicka kalkulacka nebo cipova ctecka. A svete div se: je to bezpecne a jednoduche, ze to zvlada i babicka.

Zed
Zed (neregistrovaný)
28. 3. 2007 8:38 Nový

Kdyby tehdy KB zavedla hned od zacatku overovani u vsech uctu min

Kdyby tehdy KB zavedla hned od zacatku overovani u vsech uctu min. pres pin zaslany na mobil, jako to dela ted, k zadnym okradenym lidem by nedoslo. K cemu je certifikat, ktery si muzete od obeti s nasazeymy trojanem stahnout a heslo, ktere muzete zachytit keylogerem?

christof
christof (neregistrovaný)
28. 3. 2007 9:53 Nový

9> to používala i nějaká česká banka

9> to používala i nějaká česká banka. A tohle řešení existuje už dlouho, a různé elektronické kalkulačky a kódy do mobilu jsou jenom její rozšíření o modernější technologie. Přeci jen, nemusíte s sebou všude tahat ten sešitek s čísly.

adamkopp
adamkopp (neregistrovaný)
28. 3. 2007 10:15 Nový

Jenze oni tehdy opravdu verili, ze maji neco lepsiho

[10] Jenze oni tehdy opravdu verili, ze maji neco lepsiho. Naprosto stupidni bylo i jen to, ze klic meli mimo systemove bezpecne uloziste. Navic to dorazili vlastnim bankovnictvim zavislym na Jave. KB no more. Ovsem CS se stastickym jmenem a heslem je tenkrat hrave prekonovala. I ted bych jim neveril. Maji to tak prekomplikovane a poskladane z ruznych technologii, ze najit diru nemuze byt moc tezke. Faktem je, ze bankovnictvi nemusi byt tak bezpecne jako domaci servrik ;-) Kdyz jim cmajznete 10 M, tak po vas pujdou jak po Mlynarovi, tak to snad ani nikdo nezkousi. Zato nechte si doma neupdatovane Windows bez firewallu ...

dfds
dfds (neregistrovaný)
28. 3. 2007 15:07 Nový

jeste trochu jiny uhel.

jeste trochu jiny uhel..

ze jsou uzivatele idioti je jasne.. ale ze banka ve snaze tomu zabranit odrizne cast klientu je podle me neakceptovatelne.. zijeme v globalnim svete.. proc pri prechodu na nove veci je casto (jako napr. u KB) potreba navsteva pobocky - sparovani mobilu a uctu - co kdyz jsem v zahranici, co kdyz nemam mobil - reseni na toto mozna je ale klienta stoji nekolik set korun - ctecka a karta - navic jde potencialne opet o derave reseni - navic se ztratou mobility.. dostanu slevu? ne...

Tor
Tor (neregistrovaný)
28. 3. 2007 19:08 Nový

Vsichni tu chvali eBanku, ale ja jsem s nimi zazil taky peknou story

Vsichni tu chvali eBanku, ale ja jsem s nimi zazil taky peknou story. Kdyz jsem chtel k uctu ziskat certifikat pro komunikaci pres eKomunikator, vsechno potrebne jsem vygeneroval, poslal a sel do pobocky s USB klicenkou a vsemi potrebnymi soubory. Jake vsak bylo me prekvapeni, kdyz pani v eBance odmitala USBcko pouzit pro prenos potrebnych souboru, pry abych jim nezaviroval system. Po dlouhem domlouvani zavolala nekam na centralu, tam ji nekdo ustne povolil tu mou klicenku pouzit. Predal jsem tedy USB dame za prepazkou, ale nastalo prekvapeni c.2. Pani nesla moje USB klicenka zastrcit do prislusneho konektoru. Marne jsem ji vysvetloval, ze slovo U je prevzato od Universal, marne jsem se ji nabizel, ze ji ten disk pomohu zastrcit do konektoru, proste me donutila, abych si odskocil do kancelare, prehral vsechno na disketu, kterou jsem horko tezko sehnal, a nahral na ni data pouze diky tomu, ze disketovou mechaniku mame pouze na starickem serveru. Prisel jsem do banky, pani si stahle prislusne soubory (s disketovou mechanikou umela jen co je pravda) a na disketu mi nahrala soubory urcene pro me (tedy ten slibovany certifikat). Samozrejme po prichodu do kancelare byla disketa prazdna :-(. Zavolal jsem tedy pani do banky a zeptal se co s tim a vite co mi nabidla? Ze mi je ochotne posle na e-mail umisteny na seznam.cz ;-). Stalo se leta pane 2006 v srpnu na pobocce v MB.

tomas
tomas (neregistrovaný)
29. 3. 2007 15:06 Nový

Ad [14]

Ad [14]: Nevím, jak to má ebanka, ale obecně je snad certifikát něco co nemusí být tajené, ne? Něco jako "Podepisuju, že pán s tímhle ksichtem je Karel" - co je potřeba hlídat před kopírováním je ten ksicht, ne to potvrzení.