Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Untitled - Vitajte na stránkach www.einsty.hostujem.sk
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
R E V U Ezabezpeèený protokol by okamžite zaèala svieti správao neplatnom certifikáte. Certifikát je podpísaný certifikaènouautoritou (<strong>na</strong>pr. Verisign), ktorá si overuje, èiinštitúcia, ktorej je certifikát vydaný, je <strong>na</strong>ozaj tá, zaktorú sa vydáva.Tatrabanka aj Poštová banka majú takéto certifikáty.V prípade scamu cez šifrovaný protokol by sa okamžitezobrazilo hlásenie o neplatnom certifikáte, ktoré 90 %¾udí odklepne a pomyslí si: ,,Zase odo mòa nieèo chce,stlaèím Enter.“V prípade pochybností <strong>na</strong> stránke s certifikátom sa<strong>na</strong>chádza aj tzv. ,,odtlaèok prsta“ alebo fingerprint, èo jekrátky re azec, ktorý identifikuje daný certifikát a nemalby sa zmeni . Možno by bolo dobré odpísa si toto èísloa v prípade pochybností ho ne<strong>sk</strong>ôr <strong>sk</strong>ontrolova .Zhrnutie: Akáko¾vek inštitúcia, ktorá sa vydáva zabanku a nejde cez šifrovaný protokol SSL, prípadneObr. 2nemá platný certifikát, nie je vaša banka. V tomto prípadebanka má všetko zabezpeèené, je <strong>na</strong> klientovi, èi siochranné z<strong>na</strong>ky všíma. Je to podobné ako pri bankovkách,ktoré majú svoje ochranné z<strong>na</strong>ky. V prípade, že bankovkaniektorý ochranný z<strong>na</strong>k nemá, je neplatná a nepovažujesa za bankovku danej krajiny. Takisto ak nemástránka s internet bankingom platné ochranné z<strong>na</strong>ky, nieje to vaša banka. Je <strong>na</strong> príjemcovi bankovky, aby si overil,èi je platná, rov<strong>na</strong>ko je <strong>na</strong> používate¾ovi internet bankingu,aby si overil, èi je stránka internet bankingu pravá.Platnos certifikátu sa dá overi tak, že v dolnej lištebrowsera svieti zamknutá zámka. V prípade, že <strong>na</strong> òukliknete, zobrazia sa údaje o certifikáte (kto ho vydal,kedy, akú má platnos , jeho odtlaèok prsta a pod.).Ïalšou dôležitou vecou je to, aby ste v žiadnom prípadeneinštalovali nedôveryhodné certifikaèné autority.Nieko¾ko (<strong>na</strong>pr. spomí<strong>na</strong>ný Verisign) máte <strong>na</strong>inštalovanýchautomaticky (dodávatelia browserov ich inštalujúspolu s prehliadaèom). Pridanie certifikaènej autorityvšak chce od používate¾a asi 5 enterov. V zásade si overte,èi je certifikát podpísaný certifikaènou autoritou, odktorej má banka certifikát. Príklad certifikátu Poštovejbanky je <strong>na</strong> obrázku 1.SCAM TATRABANKY. Scam Tatrabanky pochádzalz americkej adresy <strong>www</strong>.dedicateservice.com (ktorábola pravdepodobne hacknutá) a niè nebolo zabezpeèenéprotokolom SSL. To z<strong>na</strong>mená, že používatelia zadávaliheslá <strong>na</strong> úplne inú stránku, ktorá nespåòala ani jedenz bezpeènostných z<strong>na</strong>kov internet bankingu Tatrabanky.Tatrabanka okamžite zaslala upozornenie klientom a rov<strong>na</strong>koho zobrazila aj <strong>na</strong> stránke svojho internet bankingu(obr. 2 – zároveò <strong>na</strong> òom vidie aj zámku v Mozille vpravodole, ktorá oz<strong>na</strong>èuje šifrované spojenie s platným certifikátom).Toto je <strong>na</strong> banku dos nezvyèajné a Tatrabankamá za to u mòa plus, pretože takéto hlásenie vyvolávav nez<strong>na</strong>lých používate¾och okamžitú paniku, aj keï nevedia,že chybu spravili v podstate oni (teda používatelia),a nie banka. Banka len klientov <strong>na</strong> túto <strong>sk</strong>utoènos upozornila.MOBIL BANKING. Podstatou pri mobil bankingu jeto, aby transakcie boli autorizované aj i<strong>na</strong>kšie ako pomocouèísla odosielate¾a. Èíslo odosielate¾a SMS správy satotiž dá pomerne ¾ahko zmeni , <strong>na</strong>príklad ak nejaký operátorpovolí kompletný prístup k svojmu SMS centru (zahranièníoperátori to robia <strong>na</strong>príklad pre väèších klientov), prípadneexistuje <strong>na</strong> sieti aj nieko¾ko brán, ktoré dovo¾ujúposiela správy so zmeneným èíslom odosielate¾a.Nemám dostatok informácií o tom, ako sa u nás autorizujúSMS bankingy jednotlivých bánk, Poštová bankaa Tatrabanka však okrem telefónnehoèísla používajú ajautorizáciu pomocou PIN-u.Pri WAP bankingu (ktorýzatia¾ po<strong>sk</strong>ytuje pod¾a mojichinformácií iba Poštovábanka) sa používa protokolWTLS, èo je obdoba SSL/TLSpre mobilné telefóny. V spomí<strong>na</strong>nýchbankách máte takistomožnos autentifikácieaktívnych operácií všetkýchdruhov elektronického bankovníctvapomocou tokenu(èo je zariadenie, ktoré vygenerujeodpoveï <strong>na</strong> unikátnuotázku, takže ide o tzv. jednorazovéheslá).BANKA NA SLOVEN-SKÝ SPÔSOB. V podstatevšetky banky <strong>na</strong> Sloven<strong>sk</strong>u majú dostatoèné zabezpeèenie,za ktoré by sa nemuseli hanbi ani v zahranièí.Unikátom je však Devín banka, ktorá po<strong>sk</strong>ytuje internetbanking, ktorý nie je zašifrovaný pomocou SSL. V princípeto z<strong>na</strong>mená otvorenú dieru do systému, pretože:1. Prístupové heslá idú cez sie nešifrované, ktoko¾vekich môže po ceste odchyti , môžu sa zaz<strong>na</strong>me<strong>na</strong> dologov proxy servera a pod.2. Keïže iný protokol ako SSL nemôže zaruèi autenticitustránky, je táto banka úplne otvorená DNS spoofingovýmútokom. Útoèník sfalšuje DNS odpoveï servera apresmeruje klientov <strong>na</strong> svoju stránku, kde vyžiada od¾udí všetky prístupové heslá, prípadne ich automatickyon line zneužije. Klient sa o tomto útoku nedozvie,pretože stránka nemá nijaké ochranné z<strong>na</strong>ky (ako <strong>na</strong>pr.certifikát SSL), takže nemá prakticky možnos zisti , èikomunikuje s Devín bankou alebo s útoèníkom.Pomocou internet bankingu a tzv. DNS spoofingu jepomerne jednoduché zí<strong>sk</strong>ava heslá klientov. Devínbanku viacero bezpeènostných odborníkov oz<strong>na</strong>èilo zapotenciálne nebezpeènú.Dúfam, že som vám neznechutil elektronické obchodovanie.Je ove¾a ¾ahšie sfalšova ruèný podpis ako prelomiprotokol SSL. Ak budete dba <strong>na</strong> pokyny vašich bánka dodržiava pár zásad, elektronické obchodovanie je bezpeènejšieako obchodovanie v reálnom živote. Ve¾aš astia!Juraj Bednár18 PC REVUE 4/2001