Archiv článků: duben 2015

20. 04.

Mohou za vykradené účty uživatelé, nebo špatná práce programátorů?

Pohled zblízka Přečteno 3324 krát

Internetové bankovnictví banky nabízejí již téměř patnáct let. Od té doby se nic ze základních pravidel a podmínek nezměnilo. Opravdu, a sami si to můžete ověřit:

• Internetové bankovnictví používá počítačové programy, za které jejich tvůrci neručí
• Internetové bankovnictví je služba banky
• Peníze, které klient svěřil bance, musí banka ochránit
• Banka má své týmy odborníků. Uživatel je na případný problém sám a počítač je pro něho pouze nástroj na splnění úkolu, nikoliv práce či hobby, jak je tomu u odborníků banky.

Jednoduché čtyři body, které nejsou spojené s konkrétní technologií nebo nejnovějším počítačovým řešením. Jistě, internetové bankovnictví by měla být především zdravě konzervativní služba banky a nikoliv prostor pro předvádění nejmodernějších technologických „vychytávek“.

Mezi ICT odborníky se stále najdou hračičkové, kteří se víc zajímají o nejnovější HW a SW výrobky, než o řešení podstaty problémů. Viděl jsem to již v roce 2002, kdy jsem pomáhal vyšetřovat jeden z prvních případů vykradeného účtu přes internetové bankovnictví a je to vidět i dnes, když vám banka místo skutečného řešení problému nabídne nový antivirový program. Takový přístup se dá přirovnat k rozdávání vitamínů místo skutečného léčení eboly a hledání ohniska infekce.

Internetové bankovnictví není závislé na konkrétním technologickém řešení. Podstatné a nejdůležitější je, aby byly ochráněny peníze, které svěřil klient bance, a aby banka byla schopna rozeznat korektní operaci od podvodu. Nástroje pro rozeznání takových transakcí existují, používají se například v boji proti praní špinavých peněz (AML). Banky a v nich uložené peníze byly, jsou a budou velkou výzvou pro lupiče a podvodníky. Platí to pro klasické pobočky a ještě více pro platební karty a internetové bankovnictví.

V minulých týdnech a měsících se objevily nové případy vykradených účtů přes internetová bankovnictví. Podobné případy zde byly již před 12-13 lety. To je dlouhá doba v životě člověka, je to hodně času pro návrh a vývoj jakéhokoli výrobku. Dvojnásob to platí v případě počítačových programů, kde se vše (prý) vyvíjí velmi rychle, alespoň podle slov zástupců softwarových firem.

V souvislosti s dobou existence problémů spojených s internetovým bankovnictvím mne napadá srovnání s výzvou amerického prezidenta J. F. Kennedyho z května 1961, který řekl, že USA do konce desetiletí dopraví své občany na Měsíc a bezpečně i zpět. Slib daný Kennedym splnila 20. července 1969 posádka Apolla 11. Let na Měsíc, přistání a bezpečný návrat s sebou nesly mnoho nových problémů. V kosmonautice se uplatnily objevem teflon, suchý zip a mnoho dalších technologií a pracovních postupů, které pak našly využití i v běžném životě. Zkuste si sami odpovědět, co je složitější, vypořádat se s novými výzvami z oblasti fyziky, chemie a dalších přírodních věd, nebo přinutit programátory, aby dělali pořádně svoji práci?

Banky se z minulých problémů nepoučily a stále zůstávají u svého tvrzení, že za problémy s vykradenými účty si mohou především jejich platící zákazníci. Znáte nějakého uživatele, který sám a dobrovolně přispěje k vykradení svého účtu? Já jsem takového člověka ještě nepotkal a to jsem se setkal s mnoha poškozenými. Přesto již třináct let hovoří zástupci bank a někteří ICT odborníci o tom, že hlavní příčinou vykradení účtu byla nepozornost uživatele.

Zástupci bank si neuvědomují, že i oni jsou v pozici zákazníka, který používá nebo přesněji je nucen používat děravé operační systémy. Pokud by se banky a další velcí zákazníci chovali jako sebevědomí uživatelé, tak by musel být problém s virovými útoky a útoky na internetová bankovnictví dávno vyřešen. Bohužel, banky se tak nechovají a přenášejí odpovědnost na toho nejméně zkušeného v celém řetězci, tedy na běžného uživatele. Pokud by takto přistupovali ke své práci i lidé, kteří dohlíželi na let Apolla 13, tak by se posádka v pořádku na Zem nevrátila.

I mezi bankovními službami se najdou řešení, kde banky přistupují k problémům s podvody jinak než v případě internetbankingu. Jedná se například o platební karty s magnetickým proužkem. Skimming, tedy kopírování karet s magnetickým proužkem, je známá věc. V tomto případě banky řeší reklamace a dokáží rozeznat podvod od korektní transakce.

V prostředí počítačů a mobilů jsou podobně slabá místa, jako je magnetický proužek na platební kartě. Mezi ně patří operační systém a prohlížeč, které obsahují stále mnoho skrytých vad a zranitelností. Druhým slabým místem, které s tím prvním úzce souvisí, je stále existující reálné riziko, že se do počítače, tabletu, mobilu nebo jiného zařízení dostane bez vědomí uživatele škodlivý program. Okamžik zavlečení viru do počítače je velmi podobný skimmingu, tedy situaci, kdy je falešnou čtečkou kopírována platební karta a klient si úprav na bankomatu nevšimne. I v počítači se stane, že uživatel provede nějakou operaci (otevře soubor, navštíví stránku) a na pozadí se provede ještě další operace navíc. Je to velmi podobné situaci, kdy vloží kartu do upraveného bankomatu a ten mu vydá peníze, ale současně se okopírují data z magnetického proužku na kartě.

Skimming a počítačové viry byly známé již před 12-13 lety a banky měly dost času najít řešení (nový antivirák řešením není) a úplně odstranit nebo velmi snížit problém s počítačovými viry. Pokud bylo možné za osm let zkonstruovat raketu, expediční modul a tisíce drobných detailů pro cestu na Měsíc, tak by bylo možné se za podobně dlouhou dobu vypořádat i s počítačovými viry. Při cestě na Měsíc se vědci a konstruktéři museli vypořádat s nástrahami, které jim přichystala příroda. V případě počítačových programů se musíme vypořádat s nástrahami, které nám přichystali svojí špatnou prací analytici a programátoři.

Děravý operační systém nebo prohlížeč je možné opravit, bude to chvilku trvat, ale je to možné. Daleko vážnější a těžší budou změny v tom, jak lidé uvažují o počítačových programech a sítích.

Dnes jsou již spolehlivě prokázány schopnosti počítačových virů se dlouhou dobu ukrývat v počítačích běžných uživatelů i firem a bank. Je jasné, že antivirové programy v současné podobě neodhalí včas profesionálně připravený útok na počítače uživatelů.

Pro mnoho „odborníků“ na ICT bezpečnost představuje současná situace velké dilema. Pokud přiznají, že problém není pouze na straně běžného uživatele, bude to znamenat, že zákazníkům v minulých letech lhali. Pokud budou dále trvat na statu quo, mohou spoléhat na to, že uživatelé nebudou mít dost odvahy, aby začali kritizovat kvalitu počítačových programů a dalších s tím spojených služeb, včetně internetového bankovnictví. Po zkušenostech, jak se banky stavěly k problémům s vykradenými bankovními účty v minulých třinácti letech, není možné sázet na to, že iniciátory změn budou ICT firmy nebo banky. Změnu musejí chtít uživatelé. Platící uživatelé.

P.S.
Zaručený elektronický podpis určený pro komunikaci občanů se státními úřady používá stejné technologické základy jako většina internetových bankovnictví. Takže je i stejně zranitelný a důvěryhodný. Příčina problémů je stejná jako v případě internetového bankovnictví – „odborníci, kteří přesně vědí, jak to mají dělat ostatní a do jejich práce jim nikdo nemá mluvit.“

Jiří Nápravník
Autor vyhledává a řeší problémy v ICT i v klasické výrobě

02. 04.

Povolení zabíjet aneb Proč je uvažovaná povinnost nosit reflexní prvky kontraproduktivní

Pohled zblízka Přečteno 23604 krát

Vratislav Filler z iniciativy Auto*Mat pro Aktuálně.cz komentuje vládní návrh, podle kterého by chodci museli být ve stanovených případech povinně opatřeni reflexními prvky.

Více »

Blogeři abecedně

A Aktuálně.cz Blog · Atapana Mnislav Zelený B Baar Vladimír · Babka Michael · Balabán Miloš · Bartoníček Radek · Bartošová Ela · Bavlšíková Adéla · Bečková Kateřina · Bednář Vojtěch · Bělobrádek Pavel · Beránek Jan · Bernard Josef · Berwid-Buquoy Jan · Bielinová Petra · Bína Jiří · Bízková Rut · Blaha Stanislav · Blažek Kamil · Bobek Miroslav · Boehmová Tereza · Brenna Yngvar · Bureš Radim · Bůžek Lukáš · Byčkov Semjon C Cerman Ivo Č Černoušek Štěpán · Česko Chytré · Čipera Erik · Čtenářův blog D David Jiří · Davis Magdalena · Dienstbier Jiří · Dlabajová Martina · Dolejš Jiří · Dostál Ondřej · Dudák Vladislav · Duka Dominik · Duong Nguyen Thi Thuy · Dvořák Jan · Dvořák Petr · Dvořáková Vladimíra E Elfmark František F Fafejtová Klára · Fajt Jiří · Fendrych Martin · Fiala Petr · Fibigerová Markéta · Fischer Pavel G Gálik Stanislav · Gargulák Karel · Geislerová Ester · Girsa Václav · Glanc Tomáš · Gregorová Markéta · Groman Martin H Hájek Jan · Hála Martin · Halík Tomáš · Hamáček Jan · Hampl Václav · Hamplová Jana · Hapala Jiří · Hasenkopf Pavel · Hastík František · Havel Petr · Heller Šimon · Herman Daniel · Heroldová Martina · Hilšer Marek · Hladík Petr · Hlaváček Petr · Hlubučková Andrea · Hnízdil Jan · Hokovský Radko · Holásková Kamila · Holmerová Iva · Honzák Radkin · Horáková Adéla · Horký Petr · Hořejš Nikola · Hořejší Václav · Hrabálek Alexandr · Hradilková Jana · Hrstka Filip · Hřib Zdeněk · Hubinger Václav · Hülle Tomáš · Hušek Radek · Hvížďala Karel CH Charanzová Dita · Chlup Radek · Chromý Heřman · Chýla Jiří · Chytil Ondřej J Janda Jakub · Janeček Karel · Janeček Vít · Janečková Tereza · Janyška Petr · Jelínková Michaela Mlíčková · Jourová Věra · Just Jiří · Just Vladimír K Kania Ondřej · Karfík Filip · Karlický Josef · Klan Petr · Klepárník  Vít · Klíma Pavel · Klíma Vít · Klimeš David · Kňapová Kateřina · Kocián Antonín · Kohoutová Růžena · Kolaja Marcel · Kolářová Marie · Kolínská Petra · Kolovratník Martin · Kopeček Lubomír · Kostlán František · Kotišová Miluš · Koudelka Zdeněk · Koutská Petra Schwarz · Kozák Kryštof · Krafl Martin · Krása Václav · Kraus Ivan · Kroupová Johana · Křeček Stanislav · Kubr Milan · Kučera Josef · Kučera Vladimír · Kučerová Karolína · Kuchař Jakub · Kuchař Jaroslav · Kukal Petr · Kupka Martin · Kuras Benjamin · Kutílek Petr · Kužílek Oldřich · Kyselý Ondřej L Laně Tomáš · Linhart Zbyněk · Lipavský Jan · Lipold Jan · Lomová Olga M Máca Roman · Mahdalová Eva · Máchalová Jana · Maláčová Jana · Málková Ivana · Marvanová Hana · Mašát Martin · Měska Jiří · Metelka Ladislav · Michálek Libor · Miller Robert · Minařík Petr · Mittner Jiří · Moore Markéta · Mrkvička Jan · Müller Zdeněk · Münich Daniel N Nacher Patrik · Nachtigallová Mariana Novotná · Návrat Petr · Navrátil Marek · Němec Václav · Nerušil Josef · Niedermayer Luděk · Nosková Věra · Nouzová Pavlína · Nováčková Jana · Novák Aleš · Novotný Martin · Novotný Vít · Nožička Josef O Obluk Karel · Oláh Michal · Ouhel Tomáš · Oujezdská Marie · Outlý Jan P Pačes Václav · Palik Michal · Paroubek Jiří · Pavel Petr · Pavelka Zdenko · Payne Jan · Payne Petr Pazdera · Pehe Jiří · Peksa Mikuláš · Pelda Zdeněk · Petrák Milán · Petříček Tomáš · Petříčková Iva · Pfeffer Vladimír · Pfeiler Tomáš · Pilip Ivan · Pitek Daniel · Pixová Michaela · Plaček Jan · Podzimek Jan · Pohled zblízka · Polách Kamil · Potměšilová Hana · Pražskej blog · Prouza Tomáš R Rabas Přemysl · Rajmon David · Rakušan Vít · Ráž Roman · Redakce Aktuálně.cz  · Reiner Martin · Richterová Olga · Robejšek Petr · Rydzyk Pavel · Rychlík Jan Ř Řebíková Barbora · Říha Miloš · Řízek Tomáš S Sedlák Martin · Seitlová Jitka · Schneider Ondřej · Schwarzenberg Karel · Sirový Michal · Skalíková Lucie · Skořepa Michal · Skuhrovec Jiří · Sládek Jan · Sláma Bohumil · Slavíček Jan · Slimáková Margit · Smoljak David · Sobíšek Pavel · Sokačová Linda · Soukal Josef · Soukup Ondřej · Sportbar · Staněk Antonín · Stanoev Martin · Stehlík Michal · Stehlíková Džamila · Stránský Martin Jan · Strmiska Jan · Stulík David · Svárovský Martin · Svoboda Cyril · Svoboda Jiří · Svoboda Pavel · Sýkora Filip · Syrovátka Jonáš Š Šebek Tomáš · Šefrnová Tereza · Šimáček Martin · Šimková Karolína · Šindelář Pavel · Šípová Adéla · Šlechtová Karla · Šmíd Milan · Šoltés Michal · Špalková Veronika Krátká · Špinka Filip · Špok Dalibor · Šteffl Ondřej · Štern Ivan · Štern Jan · Štětka Václav · Štrobl Daniel T Táborský Adam · Tejkalová N. Alice · Telička Pavel · Těšínská Tereza · Titěrová Kristýna · Tolasz Radim · Tománek Jan · Tomčiak Boris · Tomek Prokop · Tomský Alexander · Trantina Pavel · Tůma Petr · Turek Jan U Uhl Petr · Urban Jan V Vacková Pavla · Václav Petr · Vaculík Jan · Vácha Marek · Valdrová Jana · Vančurová Martina · Vavruška Dalibor · Věchet Martin Geronimo · Vendlová Veronika · Vhrsti · Vích Tomáš · Vlach Robert · Vodrážka Mirek · Vojtěch Adam · Vojtková Michaela Trtíková · Výborný Marek · Vyskočil František W Walek Czeslaw · Wichterle Kamil · Wirthová Jitka · Witassek Libor Z Zádrapa Lukáš · Zaorálek Lubomír · Závodský Ondřej · Zelený Milan · Zeman Václav · Zima Tomáš · Zlatuška Jiří Ž Žák Miroslav · Žák Václav · Žantovský Michael Ostatní Dlouhodobě neaktivní blogy