úterý 11. února 2014

Kam kráčí elektronické bankovnictví?

V posledních dvou letech lze pozorovat nárůst útoků na internetová bankovnictví po celém světě. Vektory útoků i jejich dokonalost se pomalu ale jistě zdokonalují a čím dál tím více personalizují. Banky se snaží nedávat tento problém moc najevo, protože by to mohlo v očích veřejnosti poškodit to nejcennější, co mají, jejich důvěryhodnost. Celý trh tak řeší zásadní problém – jak zabránit útočníkům obelhat klienty a na jejich úkor se obohatit. SMS kanál je s příchodem úžasně chytrých smartphonů naprosto kompromitován a nelze ho považovat za spolehlivý. Některé banky dokonce blokují přístup do svých internetových bankovnictví z mobilních zařízení. Co se totiž asi stane, pokud se nakažené zařízení napojí na stránky bankovnictví, provede platbu, přijme tajně zaslanou SMS a kód z ní potvrdí?

Co lze ale v této oblasti nabídnout? Kalkulačky na transakce zůstaly v minulém století, dnes již toto řešení žádní zákazníci nepřijmou. Komu by se chtělo zdlouhavě ťukat transakce… Jaké jsou ale další možnosti, kde hledat ten svatý grál v autorizaci plateb? Dlouho jsem si říkal, že možnost není, útočníci mají navrch a není s tím možné nic moc dělat. Tokeny jsou pro management moc drahé a jinou metodu lze napadnout. Tento víkend se ale situace změnila, na konferenci NMI jsem dostal zajímavý nápad.

Máme-li tu BYOD – Bring Your Own Device, proč bychom tu nemohli mít BYOT – Bring Your Own Token? Je totiž také v zájmu uživatelů, aby byli partnerem své bance při zabezpečení, ale ta jim za tuto službu musí samozřejmě oplátkou něco nabídnout. Začněme třeba tím nejtěžším – to sice tím, že si banky ujasní mezi sebou standardy tak, aby nebylo potřeba kupovat při přechodu od jedné banky k druhé nový token. Uživatel by jen přehrál certifikáty a fungoval by dál. Dalším vstřícným krokem by mohla být sleva na poplatcích, třeba ve výši ceny tokenu.

Co by měl takový token umět, aby si ho chtěl uživatel koupit? Určitě by měl mít Bluetooth. Co nemá Bluetooth, není cool a jakoby nebylo. Dalším bonusem může být NFC, které se plíživě rozšiřuje v zařízeních kolem nás. Posledním must-have technologickým požadavkem by měl být USB port – když dojde baterie, nebo prostě jen nemáte žádnou bluetooth-NFC čtečku, použijete USB, které má dnes i můj vysavač. Token do něj vložíte a jednoduše si konto vyluxujete.

Ale vážně, posledním a nejdůležitějším prvkem celého tokenu je magické tlačítko. Proč magické? Tímto tlačítkem a jen ním se token přiměje k tomu, aby poslal informaci o autorizaci. Hlavním důvodem jsou různé remote útoky, které čekají na zapomenutou kartu s certifikáty ve čtečce. Tlačítko je elegantní a levná varianta, jak tento útok znemožnit. Vítaným doplňkem tokenu by byla čtečka mikro SIM karet s certifikáty, nebo čtečka otisků prstů, čímž by se vlastně z dvoufaktorové autentizace stala rovnou třífaktorová.

Kolik by ale tento token musel stát, aby si ho lidé pořídili? Z mého pohledu je 1000 kč hranice pro rozhodnutí. Pokud by mi token nabídl bezpečný přístup do banky, možnost přihlášení do počítače, držel by mé certifikáty k serverům a nabídl třeba i nějaké zajímavé služby navíc, uvažoval bych i o 1500 kč. Obávám se ale, že to je cena, na kterou se uvedený token nikdy nedostane, ač jsem si našel několik zajímavých – odkazy jsou pod článkem. Navíc jsem trochu fanda do nových technologií, většina populace bude mít finanční práh výrazně níže.

Firma Inmite se na konci loňského roku pochlubila svým tokenem Airbond, který by měl být za zajímavou cenu, bohužel však má ze všeho výše uvedeného jen Bluetooth. To je sice cool, ale použití to velice omezuje a to je škoda. Třeba se k nim má myšlenka dostane a ještě svůj pohled na věc přehodnotí a dočkáme se skutečně použitelného zařízení. Vycházím z veřejně dostupných informací o tom, jak přívěsek bude fungovat, tedy že bude zajišťovat bezpečné přihlášení do mobilního bankovnictví.

Když už jsem v tom kopání do firem, jsem velice zvědav na to, co vypadne z renomovaných konzultačních firem z velké čtyřky, které se v současné době podílí na projektech hledání grálu, promiňte, autorizačního mechanismu pro přímé kanály, ve většině bank.

Zajímavé tokeny, bohužel většina bez ceny:

https://store.yubico.com/store/catalog/product_info.php?products_id=72&osCsid=9t9o28fn2qbg4ktpgu4l6enao4

http://www.nfcworld.com/2013/08/14/325483/certgate-and-reiner-sct-team-up-for-nfc-bluetooth-and-se-token/

http://www.amphion.biz/Privaris_PlusID_75-details.aspx

neděle 9. února 2014

New Media Inspiration 2014

Před časem mi jeden známý poslal emailem odkaz na zajímavou konferenci na téma bezpečnost a nová media. Neváhal jsem, vyjednal si proplacení ve firmě a na akci se přihlásil. Při vkládání do kalendáře jsem měl dojem, že se někde stala chyba – Outlook zarytě tvrdil, že je akce v sobotu. V pátek před akcí jsem si prohlédl seznam přednášek a vytvořil seznam, abych viděl co nejvíce toho, co mě zajímá.

Ráno bylo krušné, kdo proboha vstává v sobotu 7 hodin ráno! Cestou na Staroměstskou jsem po cestě mnoho lidí neviděl, ač se udělalo úžasné počasí. Na místo dorážím v 0805, ač iDOS tvrdil, že přijedu v 0820, prázdné metro asi jezdí rychleji. Po chvilce hledání zjišťuji, kde se konference koná, jdu se ale ještě na chvíli projít kolem. V 0820 už ale neodolávám, také se trochu klepu zimou, a vstupuji do historické budovy filozofické fakulty. Navádějí mě výrazné ukazatele k registračnímu stolečku, kde dostávám visačku, poukázku na oběd, tajemný QR kód a program přednášek.

Program začínal ve velkém sále v devět hodin úvodním slovem pořadatelů, po nichž následoval A.Gibson se svým keynotem. Pokud Aarona neznáte, jde o jednoho z klíčových developerů projektu Tor. Našel jsem si vhodné místo v uličce, popíjel kávu od Starbucks, která byla ráno k dostání, a studoval, co QR kód znamená. Čtečka mi prozradila 55 Hot, ale co s tím? Spuštěná smyčka projektoru prozradila, že musím najít druhou osobu se stejným kódem, zajímavá soutěž.

Jak se blížil čas zahájení, tak se pomalu sál plnil. V devět už byl slušně obsazen, většinu tvořili studenti, kteří měli na vstup výraznou slevu. Ale i tak, byla sobota ráno. V krátkém úvodním slově zaznělo poděkování partnerům, pravidla QR hry i podrobnosti k programu a systému sli.do, který se staral o schraňování otázek pro přednášející. Oficiální twitter hashtag #NMI14. No a pak už to začalo…

První příspěvek byl k tématu konference jako stvořený, provedení ale pokulhávalo. Částečně díky organizátorům, částečně díky prezentátorovi. Ten totiž neměl žádné slidy, ale předčítal svůj příspěvek ze svého notebooku, v textu se často ztrácel, mluvil monotónní rychlou angličtinou a navíc díky častým gestům nemluvil do mikrofonu. Pořadatelé se zase postarali QR hrou o to, že mnozí účastníci místo sledování příspěvku raději přes twitter-facebook lovili svou druhou polovičku. A když keynote skončil 20 minut před plánovaným koncem, rozhostilo se trapné ticho. Žádná otázka. Situaci zachránil šéfredaktor root.cz, který položil několik otázek. Diskuze se pak trochu rozrostla, ale i tak byl tento příspěvek asi nejen pro mne, zklamáním.

Dalším na řadě byl p.Rohel, ředitel NCKB, který se snažil představit svůj úřad. Jeho větu: “Nezajímá nás obsah, chceme, aby Vám fungoval internet”, si budu dlouho pamatovat. S některými jeho názory bych si ale dovolil polemizovat, byly v přímém kontrastu prvního příspěvku. Další prezentaci měla p.Hrubešová ze SPIRu. Bohužel odsuzovala regulaci sběru cookies, navíc její argumenty byly velice vratké. Volně řečeno: “Pokud chcete, aby byly zprávy zadarmo, musíte mít cookies.”. Dotazů bylo víc, ale došel čas. V dnešní době se cookies používají jen jako doplněk komplexního sběru informací o uživateli, rozhodně nejsou stavebním kamenem. Adblock je účinným pomocníkem proti zobrazování webové reklamy, cookies, necookies.

Dalším byl M.Feix ze Seznamu, který podpořil předchozí prezentaci. EU prý nařizuje vznik neodvolatelného zaměstnance, který se bude starat o bezpečnost osobních dat. Kdo ale zabrání tomu, aby to byl současně CEO? Dalším požadavkem je hlášení úniků dat do 24 hodin, je to horší varianta, než se snažit vše tutlat? V diskuzi mne pobavila otázka na únik dat ze Seznamu. Odpověď byla, že ze Seznamu nikdy žádná data neunikla. Buď je p.Feix idealista, nebo neví, jak to v reálu funguje. Každá společnost, která funguje určitou dobu, se stane obětí úniku dat. Pokud o tom neví, tím hůř. Možná to ale Seznam.cz nechce šířit, což plně chápu.

Pan Šlerka pak v prezentaci Just metadata ukázal, jak jsou metadata silná. Inspirující zamyšlení zaznělo na konci, jak budete data analyzovat, pokud budete mít plnou informaci? Budou Vám k dispozici všechny dostupné transakce, telefony apod? Po výborné prezentaci jsem odešel na oběd, který byl zajištěn v klubu K4 v Celetné ulici. Výborná svíčková! Lituji, že jsem si nezapsal jméno cateringové služby, ale to hovězí se úplně rozpadalo na jazyku, prostě pohádka. jen si vzpomenu, přidal bych si.

Po obědě jsem se přesunul do sálu 300, kde p.Simkanič popisoval své zkušenosti s vydáním vlastní knihy. Velice mne překvapilo, že sál byl slušně zaplněn, stejně jako skutečnost, že 11 procent lidí, kteří si jeho knihu v elektronické podobě stáhlo, zaplatilo. Úžasné. Pak vystoupil p.Cibulka s příspěvkem o mapování a predikci kriminality. Velice kvalitní přednáška, kterou ale sledovalo velice málo lidí, přitom toto téma je velice vděčné. Že Policie vypsala tendr na predikci kriminality jsem četl, ale že v textu zmiňují přímo SPSS od IBM, je ukázka pokračující mizérie a korupce při zadávání veřejných zakázek v naší kotlině. (http://www.slideshare.net/panciba/mapovn-kriminality-nmi-14)

Přesunul jsem se do sálu 200, kde právě začal příspěvek na téma Cookieless Monster od p.Schambergera. Nic, co bych doteď nevěděl, projekt Panopticlick je široce znám, stejně tak, jako že na dnešním internetu již mnoho webů tuto techniku používá. V dalším příspěvku internetu věcí Petr Dvořák z Inmite mluvil o bezpečnosti všech komponent, které dnes lze koupit a jsou připojené na internet. Dobře přednesené, ale doufám, že se, vzhledem k ochraně soukromí, google glass moc rychle neprosadí.

Po coffee breaku p.Vagner z Deloitte Advisory zabil přednášku na téma beypečnostní aspekty Bitcoinů. Zabil je správné slovo, protože suchý přednes faktů mne hluboce zklamal. Toto téma je ideální pro dlouhé a vášnivé debaty nejen u piva, navíc vzhledem k absolutní informaci v blockchainu lze sledovat všechny transakce, můžeme mít kompletní informaci (narážím na příspěvek p.Šlerky). Navíc si slidy špatně spočítal a posledních 5 už jen přeskákal. Od člověka z velké pětky jednoznačně zklamání.

V dalším příspěvku p.Chytrý z Avastu posluchače obeznámil s jim dosud neznámými pojmy jako Ransomware či Hesperbot. V sále jsem byl jediný, kdo se hlásil, když se ptal, kdo ví, o co jde. Je potřeba větší osvěty. Dobrý příspěvek pokazil jen určitou indiskrétností na adresu jedné z větších bank, ale odpusťme mu ji.

Přesunul jsem se naposledy, tentokrát do velkého sálu, na příspěvky o zneužití Linkedinu pro nábor a o soukromí na internetu. Linkedin od p.Kadlece byl trochu zklamáním, i když sonda do fungování recruiterů byla zajímavá. Žádné tajné hacky jsme se ale nedozvěděli. V posledním příspěvku dne se Betty Katz z AVG zamýšlela nad soukromím. Inspirativní příspěvek, který opět bohužel nevidělo moc lidí, většina jich odešla již na začátku. V 1730 se p.Simkanič rozloučil a pozval všechny zúčastněné na afterparty do klubu K4. Tím konference skončila a já mohu jen litovat, že jsem podcenil monitoring akcí před půl rokem a nepřihlásil se jako jeden z přednášejících.