Aktuálně se začíná mluvit o tom, že není jednoduché chovat se úplně legálně. Těžko to mohu posoudit, protože jsem to ještě nezkoušel. ;-) Dobře, nechme vtipů. Fakt je, že se těžko dokážu vžít do kůže běženého uživatele, protože jím prostě nejsem. Nedělá mi problémy klepnout na ikonu Ověření pravosti Windows, ale také nenarazím, když si mám přehrát DVD z USA.
Dnes jsem měl ovšem možnost bezprostředně sledovat, jaké to je, když pro vás nejsou počítače nejsou denním chlebem, vodou i peřinou. Sledovaný objekt ovšem nebyla průměrná sekretářka, to by průzkum asi moc průkazným neučinilo. Řekněme, že to byl úspěšný majitel dvou obchodů s textilem (abych zase nebyl úplně konkrétní). Po našem vcelku obchodním jednání se mě zeptal, zda bych mu nepomohl dostat se do Citibank. Trochu mě to vyděsilo. Připadalo mi, že si ani jeden nežijeme tak špatně, abychom museli jít vykrást banku. Ukázalo se, že pán chce jen pomoci s přístupem ke svému internetovému bankovnictví.
Malá odobčka: velká část bank působících v ČR v minulých měsících zjistila, že ochrana jejich internetových bankovnictví není tak skvělá, jak klientům po dlouhá léta sugerovali. Ty potrefené banky poznáte podle toho, že způsoby autentifikace v této době mění nebo nedávno změnily.
Pochopil jsem, že dříve s k Citi přihlašovalo jakýmsi číslem a H-PINem, což pánovi vyhovalo a teď mu poslali jakousi kalkulačku a dopis, že ji má začít používat. Z něho mi to celé nepřipadalo nijak složité, tak jsem souhlasil, že pomohu. Otevřeli jsme společně webové stránky, kterými se přihlašoval dříve a tam bylo, že si nyní musí založit nový účet, ke kterému se bude přihlašovat uživatelským jménem a heslem. Souhlasili jsme tedy s vytvořením. V tu chvíli to po nás chtělo číslo kreditní karty a „PIN, které používáte pro výběr peněz z bankomatu“. Nevěřil jsem vlastním očím. To bude nějaký phising, ne? Kolikrát banky omílají stále dokola: PIN nikdy a nikomu. Ovšem URL bylo bezpochyby správné a certifikát webové stránky též. Pečlivě jsem to přezkoumal a svěřil jsem se s obavami pánovi. On ovšem pronesl, že to bude dobré a údaje zadal.
Poslali jsme tedy přes internet kompletní údaje postačující k vyluxování jeho účtu a byli jsme vyzváni k volbě nového uživatelského jména a hesla. Takové ty typické odporné požadavky typu písmena A číslice apod. Pak také dvou otázek a odpovědí typu jméno matky za svobodna a obvod kolem pasu vašeho křečka. Vše úspěšně absolvováno, účet vytvořen. V dopise psali, že ke spárování kalkulátru s účtem se musíme na účet příhlásit a tam zadat jeho S/N. Jenže při přihlášení to chce krome nového jména a hesla ještě jakýsi jednorázový kód. Vyslovil jsem úvahu, že by ho asi měl generovat ten kalkulátor. Zkusili jsme ho zapnout a on na nás jen vybafnul NEW PIN -----. Pán oponoval, že přece ještě není spárovaný, tak se nemůže pro přihlášení použivát, že by to byla hlava XXII. Navrhl jsem tedy zavolat na podporovací Citilinku.Tam po nás chtěl operátor jakýsi další PIN a zase číslo karty. Pak nás pochválil, jak jsme si hezky založili uživatelské jméno a heslo a optal se nás na číslo kalkulátoru z jeho zádíček. Pomocí něho spároval kalkulátor s účtem (!). Pak řekl, že si přes to NEW PIN máme zvolit PIN pro kalkulátor a on nám pak ten jednorázový kód bude generovat. Což opravdu dělal (a snad stále dělá), takže pán se dostal na svůj účet a moc mi děkoval jak jsem mu pomohl (trochu mě hryzalo svědomí, že nemá moc za co). Ještě jsem mu nastavil v Exploreru záložku do Oblíbených a to už byl v sedmém nebi.
Takže si to zrekapitulujme. Během deseti minut jsme pro svou ochranu a dokazování své legality použili
Poněkud překvapen jsem se vracel domů, když mi zazvonil telefon. Volala známá, která je v důchodu, že se bojí šáhnout na svůj počítač. Ptám se proč? Že ji nejde nic otevřít, protože to po ní chce ověřovat jakousi pravost a že ji to vyhrožuje jestli prý něco neukradla a tak vůbec. Uklidnil jsem jí, že ona se přece nemusí ničeho bát, že ona má přece Windows legální (sám jsem jí je před pár lety prodal s novým počítačem). Ptala se jestli si jsem jistý, že to opravdu není nějaký ten červ co o nich pořád mluví v televizi. Ano, madam, jsem si úplně jistý, že to jsou jen vaše milé Windows, co jste si zaplatila.
Když jsem dorazil do kanceláře, tak mě čekal v mailu trouble ticket, že na některých počítačích našeho jiného klienta hlásí Avast, že je trojan v ZipLib.dll, kterou používáme v rámci našeho distribuovaného prodejního programu. Samozřejmě, že ta knihovna byla zdravá jako lunt, ale další hodinu jsem to vysvětloval tomu Avastu.
Proč to povídám, když je to tak nudné? Protože si myslím, že to dobře ilustruje to, že není jednoduché žít podle všech opatření, která by měla chránit ty zlé před těmi dobrými, když ti kteří je navrhují si zřejmě nejsou jistí tím na čí straně stojí a vy jste jen obyčejný pán, který má shodou okolností dva malé obchody s textilem nebo paní v důchodu.
no to snad není pravda - citibank opravdu učí své zákazníky, aby na webu zadávali číslo platební karty i s pinem.. https://czechrepublic2.online.citibank.cz/CappWebAppCzech/producttwo/capp/action/enroll.do
asi jdu připravit nějaký phishingový mail, vždyť je úplně normální tyhle info na webu po zákaznicích chtít - tak proč by mi je neměli vyplnit? :-(
Připomíná mi to, jak se vždycky snažím zoufale přeskočit na DVD přehrávači ty úvodní reklamy a varování, které se tam tvůrci naučili dávat jako nepřeskočitelné. Zatímco Lost Serie 3 Epizoda 12 z torrentu má reklamu pečlivě vystříhanou a ještě mi k ní ý dobrá přibalil zdarma textík "čeho jste si v tomto díle nemuseli všimnou".
Takže dobrá otázka: proč má "pirátská" věc lepší user satisfaction, než ta "legální"? :)
Nechapu, proc uz pri vyberu banky nemyslet na bezpecnost ebankovnictvi. eBanku jsem vybral prave z tohoto duvodu a to jeste dlouho predtim, nez zacaly tyhle problemy s pharmingem. Nejsem odbornik, ale bylo mi hned jasne, ze pokud se budu prihlasovat pres heslo ktere mi prijde smskou na zabezpeceny mobil a ktere je platne jen chvili, tak ze zadny problem proste byt nemuze! Na rozdil od ruznych hesel, certifikatu apod u jinych bank. Pripadne ztraty mobilu uz si totiz clovek vsimne :)
Citi pouzivam uz 18 mesicu. Se sluzbami jsem spokojen, ale internetove bankovnictvi je opravdu "nesikovne". Uz jen to, ze se vse taha ze serveru z USA vam napovi, jak interaktivne se s nim pracuje. Anabazi s prechodem na bezpecnostni kalkulator si uzil kazdy klient. A neznam zadneho, ktery by tim byl nadsen (a znam jich aspon 5). Vzhledem k tomu, ze kod z kalkulacky slouzi pouze k prihlaseni a ne k potvrzovani transakci, neni jeji bezpecnostni prinos veliky. Kalkulator ma navic nesikovny tvar, takze se spatne nosi a vetsina lidi ho nenosi s sebou z obavy pred ztratou - vydani noveho stoji 450kc. Vysledek je vyrazne omezeni pristupu do banky.
Mimochodem, pri povinnem prechodu na bezpecnostni kalkulator musel kazdy klient zaplatit zvyhodnenou cenu 250kc, coz mi prislo nefer.
Pri cteni tohoto clanku jsem si vzpomel na "trapne" zabezpeceni, pouzivane ve vetsine nemeckych bank. Na pritup na ucet pres jmeno a heslo, stejne jako Ceska sporitelna. Pro ativni operace je potreba zadat transakcni kod, ktery majitel uctu dostane postou. Seznam transakcnich kodu obycejny seznam 8-cifernych cisel na papire. Zadna aktivace uctu, generovani pinu, zadna elektronicka kalkulacka nebo cipova ctecka. A svete div se: je to bezpecne a jednoduche, ze to zvlada i babicka.
[10] Jenze oni tehdy opravdu verili, ze maji neco lepsiho. Naprosto stupidni bylo i jen to, ze klic meli mimo systemove bezpecne uloziste. Navic to dorazili vlastnim bankovnictvim zavislym na Jave. KB no more. Ovsem CS se stastickym jmenem a heslem je tenkrat hrave prekonovala. I ted bych jim neveril. Maji to tak prekomplikovane a poskladane z ruznych technologii, ze najit diru nemuze byt moc tezke. Faktem je, ze bankovnictvi nemusi byt tak bezpecne jako domaci servrik ;-) Kdyz jim cmajznete 10 M, tak po vas pujdou jak po Mlynarovi, tak to snad ani nikdo nezkousi. Zato nechte si doma neupdatovane Windows bez firewallu ...
jeste trochu jiny uhel..
ze jsou uzivatele idioti je jasne.. ale ze banka ve snaze tomu zabranit odrizne cast klientu je podle me neakceptovatelne.. zijeme v globalnim svete.. proc pri prechodu na nove veci je casto (jako napr. u KB) potreba navsteva pobocky - sparovani mobilu a uctu - co kdyz jsem v zahranici, co kdyz nemam mobil - reseni na toto mozna je ale klienta stoji nekolik set korun - ctecka a karta - navic jde potencialne opet o derave reseni - navic se ztratou mobility.. dostanu slevu? ne...
Vsichni tu chvali eBanku, ale ja jsem s nimi zazil taky peknou story. Kdyz jsem chtel k uctu ziskat certifikat pro komunikaci pres eKomunikator, vsechno potrebne jsem vygeneroval, poslal a sel do pobocky s USB klicenkou a vsemi potrebnymi soubory. Jake vsak bylo me prekvapeni, kdyz pani v eBance odmitala USBcko pouzit pro prenos potrebnych souboru, pry abych jim nezaviroval system. Po dlouhem domlouvani zavolala nekam na centralu, tam ji nekdo ustne povolil tu mou klicenku pouzit. Predal jsem tedy USB dame za prepazkou, ale nastalo prekvapeni c.2. Pani nesla moje USB klicenka zastrcit do prislusneho konektoru. Marne jsem ji vysvetloval, ze slovo U je prevzato od Universal, marne jsem se ji nabizel, ze ji ten disk pomohu zastrcit do konektoru, proste me donutila, abych si odskocil do kancelare, prehral vsechno na disketu, kterou jsem horko tezko sehnal, a nahral na ni data pouze diky tomu, ze disketovou mechaniku mame pouze na starickem serveru. Prisel jsem do banky, pani si stahle prislusne soubory (s disketovou mechanikou umela jen co je pravda) a na disketu mi nahrala soubory urcene pro me (tedy ten slibovany certifikat). Samozrejme po prichodu do kancelare byla disketa prazdna :-(. Zavolal jsem tedy pani do banky a zeptal se co s tim a vite co mi nabidla? Ze mi je ochotne posle na e-mail umisteny na seznam.cz ;-). Stalo se leta pane 2006 v srpnu na pobocce v MB.
Přečteno 54 869×
Přečteno 54 750×
Přečteno 52 643×
Přečteno 52 276×
Přečteno 52 104×