Untitled - Vitajte na strÃ¡nkach www.einsty.hostujem.sk

More documents

Recommendations

Info

R E V U ESú vaše on line peniaze v bezpeèí?ÉRA SOCIÁLNEHO INŽINIERSTVA SA VRACIANie, nie som ïalší senzáciechtivý novinár, ktorý sa chcezviez na vlne verejného strachu. Rozhodol som sa napísaosvetový èlánok hlavne z dôvodu udalostí okolo elektronickéhobankovníctva. Ale pekne po poriadku. Viacero bánk u násposkytuje svojim klientom elektronické bankovníctvo vo formáchinternet bankingu, SMS bankingu, phonebankingu a WAP bankingu.Ako prvá zaèala u nás poskytova elektronické bankovníctvocez internet Poštová banka, zakrátko ju nasledovaliTatrabanka a Slovenská sporite¾òa. Neskôr sa pridali ïalšie bankya ïalšie služby, ktoré tvoria celkom pestrú zbierku možností elektronickéhobankovníctva. Pre klienta to znamená, že nemusíchodi do banky, ak potrebuje spravi transakciu, prípadne povýpis z úètu. Elektronické bankovníctvo nám aj zjednodušujeelektronické obchodovanie (za tovar môžete zaplati pomocouslužieb priameho prevodu z obchodu), èo znamená, že na objednaniea zaplatenie tovaru vám staèí pár kliknutí myškou.Nemusíte sa babra s bankovkami a vydávaním, keï vám prídedobierka. No všetko má aj druhú stránku, a to stránku bezpeènosti.Povedal som, že sa nechcem púš a do nejakých ve¾kýchslov a paranoidných vyhlásení (aj keï pár ich nasledova bude),Obr. 1preto vás hneï na zaèiatku musím informova , že naše bankymajú vysoko kvalitné zabezpeèenie. Kde je teda problém?V používate¾och.SOCIÁLNE INŽINIERSTVO ALEBO „RIADENIEVNEMOV“. Sociálne inžinierstvo (niektorí ¾udia presadzujútermín riadenie vnemov, pretože sociálne inžinierstvo je nieèoúplne iné, no termín sociálne inžinierstvo sa z nejakého mneneznámeho dôvodu viac uchytil) je stará hackerská technika.Hacker vytoèí telefónne èíslo klienta a povie: ,,Dobrý deò, JozefMokrý, banka YYY [dosaïte vašu banku], skúšame nový servera ako prominentného klienta by sme vás chceli požiada o testovanienového servera. Jeho doèasná adresa je www.tatrabeta.sk.V prípade, že sa rozhodnete ho vyskúša , dostanete kreditnúkartu VISA zadarmo.“Paranoidná vízia? Možno, no takáto technika sa používalahlavne na získanie prístupových hesiel do internetu ešte v 80.rokoch minulého storoèia. Potom sa na základe rozvoja internetua známych bezpeènostných dier prešlo ku klasickému nabúravaniusa do systémov cez bezpeènostné problémy. Teraz, keïsa tieto problémy èiastoène riešia, hackeri znovu objavili krásutechniky sociálneho inžinierstva, aj keï sa neprevádzkuje ceztelefón.Príkladom elektronického sociálneho inžinierstva v súèasnostije napríklad stránka www.takeover.miesto.sk. Na tejto stránkevám ,,hackeri“ oznámia, že našli chybu vo freemailovýchslužbách post.sk, post.cz a pobox.sk. V prípade záujmu o heslostaèí využi jednoduchú dieru v systéme, ktorá spoèíva v tom, žeak na danú adresu na týchto službách pošlete správu vo formáteváš loginvaše hesloheslo užívate¾a, ktoré chcete získasystém vám automaticky odpovie heslom daného užívate¾a.Samozrejme, ide o podvod, pretože adresy localhost@post.sk,localhost@post.cz a localmachine12@pobox.sk si vytvoril útoèníka jediné, èo sa stane, keï tam pošlete takýto mail, je, že útoèníkzíska vaše heslo. Teda nijaká chyba sa nekoná, vy heslo niekohoiného nezistíte, ibaže autori tejto brilantnej stránky zistiaheslo vaše. Nuž, tak to vo svete chodí: kto druhému jamu kope,sám do nej spadne.ELEKTRONICKÁ POŠTA. Základom elektronickéhosociálneho inžinierstva je elektronická pošta. Hacker pošlepoštu obeti (môže ju odosla aj z vymyslenejadresy, prípadne z adresy vášho priate¾a)a priloží krátky attachment. V texte je napísané,že je to vtipný šetriè obrazovky, alebosa to rozbalí na adresár plný erotickýchobrázkov. To, èo sa stane po spustení, všakneraz obsahuje aj nieèo navyše. Napríkladnainštalovanie trójskeho koòa do vášho poèítaèa,ktorý bude odchytáva heslá a posielaich na nejakú adresu. Banky sa môžusnaži chráni šifrovacími technológiami,všetko je márne, pokia¾ klient zadá svojeheslo a ešte pred zašifrovaním sa odošle ajniekam inam.Ponauèenie: Nikdy neotvárajte spustite¾nésúbory v prílohe. Ak si potrebujete vymeninejaký spustite¾ný súbor s dôveryhodnouosobou, používajte elektronický podpis (napríkladPGP, o ktorom sme už v PC REVUE písali;www.pgp.com).SCAMY. Koncom januára 2001 sa objavila stránka, ktorá sadizajnovo podobala na stránku internet bankingu Tatrabanky.Autori stránky rozposlali množstvo e-mailov, v ktorých Javascriptautomaticky danú stránku otvoril. Stránka žiadala prístupovékódy k internet bankingu z GRID karty. Hneï v úvode rozpitvávaniatohto problému musím poznamena , že Tatrabanka za totoskutoène v žiadnom prípade nemôže, nezodpovedá za to a ani tonie je jej vina. Stránku, ktorá sa vizuálne podobá na internet bankingTatrabanky, môže skutoène jednoducho spravi úplne každý.Takáto zmodifikovaná stránka však neobsahuje bezpeènostnéznaky, ktoré má azda každá banka:1. Stránka má adresu internet bankingu. V prípade Tatrabankyto je napríklad adresa zaèínajúca sa na https://moja.tatrabanka.sk/,prípadne v iných bankách iná (Poštová banka: https://ibpb.pabk.sk/ a pod.).2. Stránka je zabezpeèená protokolom SSL a má platný certifikát.Pri druhom bode sa zastavíme a povieme si o òom nieèo viac.SSL je protokol, ktorý zabezpeèuje šifrovanú výmenu informáciímedzi prevádzkovate¾om servera a klientom. Zároveò všakzabezpeèuje, že stránka, ktorú si prezeráte, je naozaj stránkatej inštitúcie, za ktorú sa vydáva. V prípade, že by ktoko¾vek získaldoménu Tatrabanka.sk a nasimuloval by dizajn stránky, cez4/2001 PC REVUE 17
R E V U Ezabezpeèený protokol by okamžite zaèala svieti správao neplatnom certifikáte. Certifikát je podpísaný certifikaènouautoritou (napr. Verisign), ktorá si overuje, èiinštitúcia, ktorej je certifikát vydaný, je naozaj tá, zaktorú sa vydáva.Tatrabanka aj Poštová banka majú takéto certifikáty.V prípade scamu cez šifrovaný protokol by sa okamžitezobrazilo hlásenie o neplatnom certifikáte, ktoré 90 %¾udí odklepne a pomyslí si: ,,Zase odo mòa nieèo chce,stlaèím Enter.“V prípade pochybností na stránke s certifikátom sanachádza aj tzv. ,,odtlaèok prsta“ alebo fingerprint, èo jekrátky re azec, ktorý identifikuje daný certifikát a nemalby sa zmeni . Možno by bolo dobré odpísa si toto èísloa v prípade pochybností ho neskôr skontrolova .Zhrnutie: Akáko¾vek inštitúcia, ktorá sa vydáva zabanku a nejde cez šifrovaný protokol SSL, prípadneObr. 2nemá platný certifikát, nie je vaša banka. V tomto prípadebanka má všetko zabezpeèené, je na klientovi, èi siochranné znaky všíma. Je to podobné ako pri bankovkách,ktoré majú svoje ochranné znaky. V prípade, že bankovkaniektorý ochranný znak nemá, je neplatná a nepovažujesa za bankovku danej krajiny. Takisto ak nemástránka s internet bankingom platné ochranné znaky, nieje to vaša banka. Je na príjemcovi bankovky, aby si overil,èi je platná, rovnako je na používate¾ovi internet bankingu,aby si overil, èi je stránka internet bankingu pravá.Platnos certifikátu sa dá overi tak, že v dolnej lištebrowsera svieti zamknutá zámka. V prípade, že na òukliknete, zobrazia sa údaje o certifikáte (kto ho vydal,kedy, akú má platnos , jeho odtlaèok prsta a pod.).Ïalšou dôležitou vecou je to, aby ste v žiadnom prípadeneinštalovali nedôveryhodné certifikaèné autority.Nieko¾ko (napr. spomínaný Verisign) máte nainštalovanýchautomaticky (dodávatelia browserov ich inštalujúspolu s prehliadaèom). Pridanie certifikaènej autorityvšak chce od používate¾a asi 5 enterov. V zásade si overte,èi je certifikát podpísaný certifikaènou autoritou, odktorej má banka certifikát. Príklad certifikátu Poštovejbanky je na obrázku 1.SCAM TATRABANKY. Scam Tatrabanky pochádzalz americkej adresy www.dedicateservice.com (ktorábola pravdepodobne hacknutá) a niè nebolo zabezpeèenéprotokolom SSL. To znamená, že používatelia zadávaliheslá na úplne inú stránku, ktorá nespåòala ani jedenz bezpeènostných znakov internet bankingu Tatrabanky.Tatrabanka okamžite zaslala upozornenie klientom a rovnakoho zobrazila aj na stránke svojho internet bankingu(obr. 2 – zároveò na òom vidie aj zámku v Mozille vpravodole, ktorá oznaèuje šifrované spojenie s platným certifikátom).Toto je na banku dos nezvyèajné a Tatrabankamá za to u mòa plus, pretože takéto hlásenie vyvolávav neznalých používate¾och okamžitú paniku, aj keï nevedia,že chybu spravili v podstate oni (teda používatelia),a nie banka. Banka len klientov na túto skutoènos upozornila.MOBIL BANKING. Podstatou pri mobil bankingu jeto, aby transakcie boli autorizované aj inakšie ako pomocouèísla odosielate¾a. Èíslo odosielate¾a SMS správy satotiž dá pomerne ¾ahko zmeni , napríklad ak nejaký operátorpovolí kompletný prístup k svojmu SMS centru (zahranièníoperátori to robia napríklad pre väèších klientov), prípadneexistuje na sieti aj nieko¾ko brán, ktoré dovo¾ujúposiela správy so zmeneným èíslom odosielate¾a.Nemám dostatok informácií o tom, ako sa u nás autorizujúSMS bankingy jednotlivých bánk, Poštová bankaa Tatrabanka však okrem telefónnehoèísla používajú ajautorizáciu pomocou PIN-u.Pri WAP bankingu (ktorýzatia¾ poskytuje pod¾a mojichinformácií iba Poštovábanka) sa používa protokolWTLS, èo je obdoba SSL/TLSpre mobilné telefóny. V spomínanýchbankách máte takistomožnos autentifikácieaktívnych operácií všetkýchdruhov elektronického bankovníctvapomocou tokenu(èo je zariadenie, ktoré vygenerujeodpoveï na unikátnuotázku, takže ide o tzv. jednorazovéheslá).BANKA NA SLOVEN-SKÝ SPÔSOB. V podstatevšetky banky na Slovensku majú dostatoèné zabezpeèenie,za ktoré by sa nemuseli hanbi ani v zahranièí.Unikátom je však Devín banka, ktorá poskytuje internetbanking, ktorý nie je zašifrovaný pomocou SSL. V princípeto znamená otvorenú dieru do systému, pretože:1. Prístupové heslá idú cez sie nešifrované, ktoko¾vekich môže po ceste odchyti , môžu sa zaznamena dologov proxy servera a pod.2. Keïže iný protokol ako SSL nemôže zaruèi autenticitustránky, je táto banka úplne otvorená DNS spoofingovýmútokom. Útoèník sfalšuje DNS odpoveï servera apresmeruje klientov na svoju stránku, kde vyžiada od¾udí všetky prístupové heslá, prípadne ich automatickyon line zneužije. Klient sa o tomto útoku nedozvie,pretože stránka nemá nijaké ochranné znaky (ako napr.certifikát SSL), takže nemá prakticky možnos zisti , èikomunikuje s Devín bankou alebo s útoèníkom.Pomocou internet bankingu a tzv. DNS spoofingu jepomerne jednoduché získava heslá klientov. Devínbanku viacero bezpeènostných odborníkov oznaèilo zapotenciálne nebezpeènú.Dúfam, že som vám neznechutil elektronické obchodovanie.Je ove¾a ¾ahšie sfalšova ruèný podpis ako prelomiprotokol SSL. Ak budete dba na pokyny vašich bánka dodržiava pár zásad, elektronické obchodovanie je bezpeènejšieako obchodovanie v reálnom živote. Ve¾aš astia!Juraj Bednár18 PC REVUE 4/2001
Page 3 and 4: O B S A H85 FWA ako telekomunikaèn
Page 5 and 6: N O V I N K YV poète mobilov medzi
Page 7 and 8: N O V I N K Yduktmi èeské registr
Page 9 and 10: R E V U EBudúcnoslaserových tlaè
Page 11 and 12: R E V U EROZHOVORAko sa robí CDV t
Page 13: R E V U EFarebný „rýchlik“ od
Page 17 and 18: R E V U ETab. 2 Porovnanie predaja
Page 19 and 20: H A R D W A R Esú totiž chúlosti
Page 21 and 22: H A R D W A R Eteste dostali vo vä
Page 23 and 24: 28 PC REVUE 4/2001Kategória 1 - pa
Page 25 and 26: 30 PC REVUE 4/2001Kategória 2 - pa
Page 27 and 28: H A R D W A R EÈO SME TESTOVALI. D
Page 29 and 30: H A R D W A R EVýsledky v jednotli
Page 31 and 32: H A R D W A R ETESTOVALI SME:POÈÍ
Page 33 and 34: H A R D W A R ETab. 1 Technické a
Page 35 and 36: H A R D W A R EMYŠ A KLÁVESNICA.
Page 37 and 38: H A R D W A R Etém už máte kúpe
Page 39 and 40: H A R D W A R EADEC Office 800ATOS
Page 41 and 42: H A R D W A R EHP Brio BA410Konštr
Page 43 and 44: H A R D W A R ETrilline HOBBY 3100P
Page 45 and 46: H A R D W A R EHÅBKOVÁ RECENZIAHP
Page 47 and 48: H A R D W A R EHP LaserJet HPLaserJ
Page 49 and 50: Olympus Camedia 2040 Zoomn Remake s
Page 51 and 52: Tlaèiarne znaèky Brothern Nové m
Page 53 and 54: Evidence poèítaèù 2001n Správa
Page 55 and 56: SCALA iplay Studion Trocha grafick
Page 57 and 58: S O F T W A R Eznakoch, pri rozpozn
Page 59 and 60: S O F T W A R ESharewarové okienko
Page 61 and 62: S O F T W A R EDownload URL: ftp://
Page 63 and 64: S O F T W A R Enej plochy, uloži n
Page 65 and 66:
S O F T W A R EDiskStaten Majte svo
Page 67 and 68:
S O F T W A R EVo¾ba Sound Output
Page 69 and 70:
S O F T W A R EBe Operating Systemn
Page 71 and 72:
I N F O W A R ET E C H N O L Ó G I
Page 73 and 74:
I N F O W A R Eèiek a firiem sa uk
Page 75 and 76:
I N F O W A R Esionalite. Spoloèno
Page 77 and 78:
Ako zvládnu rastúciobjem dát v I
Page 79 and 80:
I N T E R N E TNa potulkách svetom
Page 81 and 82:
Ako zefektívni vlastné riešenie
Page 83 and 84:
I N T E R N E TINTERNET ako prenoso
Page 85 and 86:
n ROZHOVOR: Matej Držík alias Wir
Page 87 and 88:
L I N U Xunignore from date subject
Page 89 and 90:
S E R V I SVírusový radarZaèiatk
Page 91 and 92:
Tipy a triky pre WindowsFLEXIBILNEJ
Page 93 and 94:
M E D I A C L U B - C D - R O MAIPO
Page 95 and 96:
S E R V I SN O V Ý S E R I Á LAct
Page 97 and 98:
P R O G R A M U J E M ESprávaSW_HI
Page 99 and 100:
P R O G R A M U J E M EJeho typ Iko
Page 101 and 102:
P R O G R A M U J E M Eoznam nehovo
Page 103 and 104:
P R O G R A M U J E M EVýpis proce
Page 105 and 106:
P R O G R A M U J E M EInicializova
Page 107 and 108:
P R O G R A M U J E M EMalé ve¾k
Page 109 and 110:
P R O G R A M U J E M Emenným èí
Page 111 and 112:
BurzaHARDWAREPredám Pentium Celero
show all

Untitled - Vitajte na strÃ¡nkach www.einsty.hostujem.sk

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?