Archív pre December, 2008

Internetová bezpečnosť po slovensky

Utorok, December 9th, 2008

Na túto tému bolo popísaných veľa článkov a blogov. Dosť intenzívne sa jej venuje aj Synopsi na svojom blogu. Dnes sa na to skúsim pozrieť očami laika, ktorý nepozná detaily zabezpečenia, a nie ako programator, ktorý sa snaží svoje “diela” zabezpečovať.

Po informácii o malých problémoch so stránkou internetbankingu ČSOB som si povedal, že bežný človek nevie, čo môže riskovať, ak používa nezabezpečený internetbanking. A o čo ide? Ak si v slušnom prehliadači na stránke ČSOB kliknete na linku IB, prehliadač vám zobrazí chybové hlásenie s bezpečnosťou certifikátu stránky, ktorá ním má byť overená.Prehliadač Safari vôbec nenačíta stránku s neplatným certifikátom Ak je prehliadač dôsedný, nedostanete sa k stránke vôbec.

A čo sa stalo? Treba použiť iný prehliadač? Podľa m?a skôr iný internetbanking. ČSOB totiž používa certifikát overený PSCA – Prvou Slovenskou Certifikačnou Autoritou. O nič by nešlo, ak by boli certifikáty PSCA štandardne dodávané vo všetkých prehliadačoch. Na to je ale táto autorita pomerne málo významná. Prehliadač teda nechá na vás, či chcete tejto stránke veriť.

Čo by bolo treba zmeniť? Nie prehliadač, nie banku (keby aspo? IB mali iný :-D ). Riešenie nie je priveľmi nákladné a je celé na strane banky. Stačí zmeniť certifikát za taký, ktorý bude podpísany dôveryhodnou autoritou (VeriSign, Thawte, Go Daddy…). Proti takémuto certifikátu nebude váš prehliadač nič namietať a stránku ním zabezpečenú vám rád zobrazí.

A ako môžete pracovať s certifikátmi?Informácie o zabezpečení Tatra Banky A čo to vôbec certifikáty sú? Jednoducho povedané, sú to akési doklady pravosti stránky. Ak pristupujete k stránke, na ktorej je potrebná zvýšená bezpečnosť (banka, elektronický obchod, prihlasovania), je dobré, ak stránka používa zabezpečený protokol. To, či ho naozaj používa zistíte tak, že v adresnom riadku na začiatku adresy nebude http, ale https. To “s” znamená “secure” – zabezpečený. Stránka je vtedy prenášaná šifrovaná a nikto, kto by bol medzi vami a serverom nemôže odchytiť a zmeniť vaše dáta. Nedostane sa k vašim heslám, číslam kreditných kariet, osobným mailom, nezmení vaše objednávky. Celá komunikácia je šifrovaná za pomoci kľúča, ktorého detaily sú v certifikáte. V tomto certifikáte sú aj detaily o tom, kto ho vydal, kto zaručuje jeho pravosť, aj o tom, komu bol vydaný. To je vaša banka, elektronický obchod a pod.Detaily certifikátu
Ak si chcete pozrieť tieto detaily (čo nie je na škodu), stačí kliknúť na ikonku zámočka (resp. iného indikátora zabezpečenia).

Ak ale nie je certifikát podpísaný autoritou, ktorú prehliadač pozná, musíte vy rozhodnúť, či mu veríte. A tu je zraniteľnosť. Nie je totiž zanedbateľné riziko, že niekto môže zmeniť údaje, ktoré vám boli zaslané. Túto zmenu už nemáte ako zistiť, keďže aj certifikát vám mohol byť nastrčený útočníkom.

Nevravím, že na vás teraz hneď budú útočiť a klienti ČSOB prídu o peniaze. Bolo by ale vhodné, aby banka zmenila svoj postoj k tejto otázke, aby si mohli byť istejší, že je všetko v poriadku.

DOPLNENÉ:

Na moje otázky mi prišlo vyjadrenie od špecialistu helpdesku ČSOB, ktoré zahŕ?alo stanovisko PSCA. To si môžete prečítať v súbore PDF uloženom na mojej stránke. V ?om je vysvetlené, že PSCA je uznávana legislatívou ČR a SR. Takisto ich kore?vé certifikáty uznala spoločnosť Microsoft.

Sám používam Windows a v zozname certifikačných autorít mám I.CA. No aj tak nie je možné načítaťv IE7 stránku internetbankingu ČSOB. A to nehovorím o iných OS a prehliadačoch.

Ak máš čo povedať, bloguj. Neviem, kto to povedal, neviem, či som túto vetu neskomolil. Ale takto nejak chápem úlohu blogu. Dať ľuďom, ktorí ma chcú počuť, vedieť, že som tu, že mám svoj názor a nehanbím sa zaň. Je ťažké zhrnúť, o čom budem písať inak ako "o tom, čo ma baví". Nechcem si dávať fixné hranice, ale nechcem sa tváriť ako odborník na všetko. Tento svet je perfektný a okolo nás je toľko fajn vecí, že je asi hriech o nich nepísať. Tak ja tu doťuknem pár riadkov o tom, čo okolo seba vidím svojimi očami. A prosím: Ak niečo napíšem nešikovne, ak sa zle vyjadrím, ak nechtiac napíšem niečo, čo radšej napísané byť nemalo, prepáčte mi. Prosím... :-)

A čo to mám rád? Fotenie. Obrázky toho, čo pekné sa dá vidieť. Asi žiadne výtvarné umenie ma neoslovuje tak ako práve fotografia. Hudba. Perfektný relax a odstraňovač bolehlavov. Milujem akustickú hudbu, ska-jazz, pop, folk, rock.... Medzi tým, čo počúvam sa nájde Paulo Nutini, Jarek Nohavica, Jack Johnson, Norah Jones, Nerina Pallot a milión ďalších (nebo tak nějak). Film. Vždy poteší pekný príbeh v pohyblivých obrázkoch. Technika. Je to tiež akési umenie, ktoré ukazuje, čo všetko dokážeme, aké sú naše možnosti. Príroda. Ak sú tie predchádzajúce veci umením ľudí, toto je umením Boha. Tu ukázal, žo dokáže (fakt svelý chlap - alebo žena? :-D ).

A ak mám vypichnúť zopár vecí, ktoré mám fakt rád, tu je môj minizoznam:

  • Aďka
  • iPod nano & Koss Porta pro
  • Nerina Pallot: Fires
  • Petti di pollo al forno
  • Leffe blonde
  • Wacom bamboo
  • Nikon D40
  • Garmont Nagevi
  • Tolkien's books
  • Lunch on skyscraper
  • I Am Sam
Grafika by Števo Bačkor running Wordpress