Hlavní navigace

Slepá ulička legality

26. 3. 2007 23:47 (aktualizováno) koppel

Aktuálně se začíná mluvit o tom, že není jednoduché chovat se úplně legálně. Těžko to mohu posoudit, protože jsem to ještě nezkoušel. ;-) Dobře, nechme vtipů. Fakt je, že se těžko dokážu vžít do kůže běženého uživatele, protože jím prostě nejsem. Nedělá mi problémy klepnout na ikonu Ověření pravosti Windows, ale také nenarazím, když si mám přehrát DVD z USA.

Dnes jsem měl ovšem možnost bezprostředně sledovat, jaké to je, když pro vás nejsou počítače nejsou denním chlebem, vodou i peřinou. Sledovaný objekt ovšem nebyla průměrná sekretářka, to by průzkum asi moc průkazným neučinilo. Řekněme, že to byl úspěšný majitel dvou obchodů s textilem (abych zase nebyl úplně konkrétní). Po našem vcelku obchodním jednání se mě zeptal, zda bych mu nepomohl dostat se do Citibank. Trochu mě to vyděsilo. Připadalo mi, že si ani jeden nežijeme tak špatně, abychom museli jít vykrást banku. Ukázalo se, že pán chce jen pomoci s přístupem ke svému internetovému bankovnictví.

Malá odobčka: velká část bank působících v ČR v minulých měsících zjistila, že ochrana jejich internetových bankovnictví není tak skvělá, jak klientům po dlouhá léta sugerovali. Ty potrefené banky poznáte podle toho, že způsoby autentifikace v této době mění nebo nedávno změnily.

Pochopil jsem, že dříve s k Citi přihlašovalo jakýmsi číslem a H-PINem, což pánovi vyhovalo a teď mu poslali jakousi kalkulačku a dopis, že ji má začít používat. Z něho mi to celé nepřipadalo nijak složité, tak jsem souhlasil, že pomohu. Otevřeli jsme společně webové stránky, kterými se přihlašoval dříve a tam bylo, že si nyní musí založit nový účet, ke kterému se bude přihlašovat uživatelským jménem a heslem. Souhlasili jsme tedy s vytvořením. V tu chvíli to po nás chtělo číslo kreditní karty a „PIN, které používáte pro výběr peněz z bankomatu“. Nevěřil jsem vlastním očím. To bude nějaký phising, ne? Kolikrát banky omílají stále dokola: PIN nikdy a nikomu. Ovšem URL bylo bezpochyby správné a certifikát webové stránky též. Pečlivě jsem to přezkoumal a svěřil jsem se s obavami pánovi. On ovšem pronesl, že to bude dobré a údaje zadal.

Toto opravdu není phising

Poslali jsme tedy přes internet kompletní údaje postačující k vyluxování jeho účtu a byli jsme vyzváni k volbě nového uživatelského jména a hesla. Takové ty typické odporné požadavky typu písmena A číslice apod. Pak také dvou otázek a odpovědí typu jméno matky za svobodna a obvod kolem pasu vašeho křečka. Vše úspěšně absolvováno, účet vytvořen. V dopise psali, že ke spárování kalkulátru s účtem se musíme na účet příhlásit a tam zadat jeho S/N. Jenže při přihlášení to chce krome nového jména a hesla ještě jakýsi jednorázový kód. Vyslovil jsem úvahu, že by ho asi měl generovat ten kalkulátor. Zkusili jsme ho zapnout a on na nás jen vybafnul NEW PIN -----. Pán oponoval, že přece ještě není spárovaný, tak se nemůže pro přihlášení použivát, že by to byla hlava XXII. Navrhl jsem tedy zavolat na podporovací Citilinku.Tam po nás chtěl operátor jakýsi další PIN a zase číslo karty. Pak nás pochválil, jak jsme si hezky založili uživatelské jméno a heslo a optal se nás na číslo kalkulátoru z jeho zádíček. Pomocí něho spároval kalkulátor s účtem (!). Pak řekl, že si přes to NEW PIN máme zvolit PIN pro kalkulátor a on nám pak ten jednorázový kód bude generovat. Což opravdu dělal (a snad stále dělá), takže pán se dostal na svůj účet a moc mi děkoval jak jsem mu pomohl (trochu mě hryzalo svědomí, že nemá moc za co). Ještě jsem mu nastavil v Exploreru záložku do Oblíbených a to už byl v sedmém nebi.

Takže si to zrekapitulujme. Během deseti minut jsme pro svou ochranu a dokazování své legality použili

  • číslo karty
  • její PIN
  • uživatelské jméno a heslo s kryptografickými nároky
  • ty bezpečnostní otázky typu křeček a svobodná matka
  • jakýsi další PIN, který vytáhl pán z hlavy a evidentně to nebyl PIN od karty
  • PIN kalkulátoru
  • jednorázový token generovaný kalkulátorem
  • sériové číslo kalkulátoru
  • a to nemluvím o tom starém čísle a k němu příslušnému H-PINu

Poněkud překvapen jsem se vracel domů, když mi zazvonil telefon. Volala známá, která je v důchodu, že se bojí šáhnout na svůj počítač. Ptám se proč? Že ji nejde nic otevřít, protože to po ní chce ověřovat jakousi pravost a že ji to vyhrožuje jestli prý něco neukradla a tak vůbec. Uklidnil jsem jí, že ona se přece nemusí ničeho bát, že ona má přece Windows legální (sám jsem jí je před pár lety prodal s novým počítačem). Ptala se jestli si jsem jistý, že to opravdu není nějaký ten červ co o nich pořád mluví v televizi. Ano, madam, jsem si úplně jistý, že to jsou jen vaše milé Windows, co jste si zaplatila.

Když jsem dorazil do kanceláře, tak mě čekal v mailu trouble ticket, že na některých počítačích našeho jiného klienta hlásí Avast, že je trojan v ZipLib.dll, kterou používáme v rámci našeho distribuovaného prodejního programu. Samozřejmě, že ta knihovna byla zdravá jako lunt, ale další hodinu jsem to vysvětloval tomu Avastu.

Proč to povídám, když je to tak nudné? Protože si myslím, že to dobře ilustruje to, že není jednoduché žít podle všech opatření, která by měla chránit ty zlé před těmi dobrými, když ti kteří je navrhují si zřejmě nejsou jistí tím na čí straně stojí a vy jste jen obyčejný pán, který má shodou okolností dva malé obchody s textilem nebo paní v důchodu.

Sdílet

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).