0:00
0:00
Astrounat Brázda
Odvaha nejen číst

Rozhovor1. 4. 200828 minut

Krádeže peněz přes internet

Na vaše dotazy týkající se zabezpečení internetového bankovnictví, ochranou před počítačovými gangstery a phishingovými e-maily odpovídal odborník na tuto problematiku Radek Smolík.

Astronaut
  • Autor: Respekt
• Autor: Respekt

Radek Smolík

↓ INZERCE

„V poslední době vidíme jasnou tendenci umisťovat nebezpečný software na bezpečné weby, například na sociální a komunitní," říká Radek Smolík ze společnosti Symantec (článek Karolíny Vitvarové-Vránkové - Držte si konta).

:16Hana FáberováDobrý den. Pane Smolíku, je možné rozesilatele podvodných e-mailů vůbec vypátrat?12:03Radek SmolíkVypatrat rozesilatele je ve vetsine pripadu velmi obtizne. Duvodem neni fakt, ze phishingove servery casto sidli v exotickych zemich (jako Mosambic, Barma, Guam a podobne - v teto souvislosti stoji za povsimnuti vysoky narust phishingovych serveru v Rumunsku, ktere se dnes ocitlo za USA a Cinou), ale predevsim to, ze phisginove maily byvaji rozesilany celkem rafinovanym zpusobem. Pokusim se ho strucne popsat. Utocnik casto neposila phishingove maily pres nejaky hackunty mailovy server, a to proto ze by riskoval jak svoje odhaleni, tak predevsim zablokovani serveru. Ve stale rostoucim poctu pripadu vidime rozesilani phishingu pres tisice hacknutych pocitacu, vetsinou beznych domacich PC s tim, ze pres kazdy z nich jich odejde pouze nekolik, ale v celkovem souctu je to lavina, jak ji znate treba z poslednich utoku v CR. Utocnik toho docili pomoci specialniho kodu (existuji jich desitky tisic), ktery se jmenuje bot (jmeno pochazi z puvodne ceskeho robot). Bot je kod, ktery kdyby dorazil kuprikladu do Vaseho pocitace, tak aniz by tam viditelne neco pachal a daval tak o sobe vedet, zpristupni pocitac vnejsi osobe. Tak dokaze pouzit celou sit podobne ovladnutych pocitacu (technicky tomu rikame reverzni proxy) k tomu, aby pres ne napriklad rozeslal phishing, spam nebo provedla jine neprijemne veci. Tak utocnik dosahne sveho celkem dokonaleho zamaskovani za mnoha cizimi pocitaci. Nicmene, i v techto pripadech se jiz opakovane podarilo strujce phishingovych utoku a bot infekci odhalit. Posledni pripad uspesneho odhaleni, s nimz jsem se seznamil, byl v USA a utocnik uspesne napadl a ochocil si asi 40 000 pocitacu v domacnostech a malych firmach.:18Stanislav VojnarV článku je zmiňováno, že jednou z možných ochran je mít legální software. Je tím myšlem i ten nabízený na různých stránkách coby zdarma ke stažení (freeware)?13:22Radek SmolíkLegalni software urcite freeware zahrnuje a celkem dost legalniho freeware, ktery lze velmi kvalitne pouzivat (za vsechny vzpomenu treba Password Safe pro ochranu hesel). Mezi freeware produkty je take rada nedokonalych i nebezpecnych veci. Vyber je na Vas. Pomoci mohou indikace od ostatnich uzivatelu nebo informace na security forech apod. Podobne existuji rozumna sifrovaci reseni vytvarena GNU komunitou. Soucasne stoji za to, abych se zminil o nejvetsi slabine nelegalniho (rozumejte ukradeneho) software. Tim, ze se k nemu clovek nemuze priznat prichazi zpravidla o nove aktualizace nebo o jejich vcasnost. V takovem pripade je lepsi software, je-li na nich zavisly, vyhodit i tehdy, pokud by z jinych duvodu uzivateli nevadilo nelegalni software mit. Je to totiz vetsinou spise univerzalni zpomalovac pocitace, aniz by nejake skutecne bezpecnostni problemy ucinne resil (a navic muze navodit falesny pocit bezpecnosti a snizit tak opatrnost). Ani legalne zakoupeny software Vam vsak nemusi slusnou bezpecnost poskytnout. Napriklad, jen velmi malo antiviru se muze pochlubit 100% detekci (treba v testech Virus Bulletin) po nepretrzitou dobu. Dnes zacina vznikat cela rada „slepencu“ kdy antivirove spolecnosti, ktere s tim nikdy v minulosti nemely zkusenost, pridavaji ke svym produktum osobni firewally, prevenci naruseni bezpecnosti, antispamy a jine funkce. Snazi se tak zustat na trhu. My jsme tento krok udelali v roce 2000 a mohu tedy zhodnotit, jakou zkusenost nam propojeni bezpecnostnich technologii v PC prineslo, jak se tato zkusenost vyvijela a nakolik je nutne pro kvalitni vysledek. Ani trochu si tady nechci delat reklamu, a proto Vam to nepisi. Je to holy fakt, ktery budete znat i ze sve vlastni prace. Vetsinou, kdyz neco delate poprve, ma to ten vysledek, ze pak vite, jak byste to delal podruhe. V jinych oborech se to zasadne nelisi. Doporuceni: zkusenosti uzivatelu provereni vyrobci kombinovaneho bezpecnostniho software. Bavime-li se o domaci PC, pak by mel poskytovat antivirus, firewall, prevenci naruseni ze site, prevenci naruseni operacniho systemu, antiphishing, ochranu hesel a co je stale dulezitejci - ochranu domaciho routeru (specialne ted vidim na nasich bezpecnostnich sondach pripravu, a staly narust poctu, velkych utoku proti domacim ADSL routerum - to je ta krabicka, pres kterou je stale vice uzivatelu trvale online - zvlastne pak znacky D-Link).:40Karel U.Platí si tedy skutečně velké firmy „své“ hackery, keří se snaží existující antivirovou ochranu prolomit? Myslím v Česku. A prověřuje se nějak to, zda potom svých zkušeností nezneužijí?12:33Radek SmolíkObčas dostavam otazku, zda si sve hackery neplatime i my sami, abychom treba prodali vice svych bezpecnostnich programu. Mohu rici, ze by to bylo nejenom nemoralni, ale i neekonomicke vyhazovani penez. Autori viru totiz pracuji zdarma, velmi kvalitne, rychle, dobre a radi. Nikdy ve sve bezpecnostni kariere jsem nezjistil jediny podobny pripad, a to ani nikde jinde ve svete. Prolomeni antivirove ochrany je pro antivirovou spolecnost pouze zvysenim nakladu a poskozenim jmena. Jednak jsou jeji zakaznici vystaveni infekci a jednak musi firma rychle investovat do aktualizace. Nic z toho nemuze byt pro antivirovou spolecnost zadouci. Naopak, je dnes uplne bezne, ze autor viru predem svuj kod otestuje na vsech dostupnych (a cerstve aktualizovanych bezpecnostnich programech i operacnich systemech). Ani to mu vsak nebyva moc platne. Lepsi bezpecnostni software je uz tak silne proaktivni, ze nezavisi na vcasnych aktualizacich nebo na nich zavisi jenom minimalne (to se ale netyka beznych antiviru - ty jsou na aktualizaci zavisle temer ve sto procentech pripadu).
Vy se ale mozna ptate na neco jineho: „Zda jsme videli pripady, kdy by si hackera najala nektera z firem proti sve konkurenci nebo by si ho najali kriminalnici na ukradeni dat, ktera mohou zneuzit?“ Pokud jsem to pochopil spravne, pak odpoved je ANO a vidime to casto. Nekolik pripadu bych znal i z CR. Napriklad pri konfliktu a naslednych soudnich sporech okolo televize Nova byly ve prospech jedne strany pouzivany (dokonce i pri vysetrovani a soudnim rizeni) udaje ziskane hackerem z postovniho systemu strany druhe. Timto zpusobem se snazila jedna strana dokazat, ze jeji vytlaceni z obchodnich aktivit bylo predem pripravovano za pomoci lidi uvnitr televize. Hacker byl pro tento ucel predem najat. Druhym pripadem jsou kriminalnici, kteri si plati hackery stale casteji. Hacker zpravidla umi data ukrast, ale neumi se sam zpenezit jinak nez tim, ze je proda v internetove aukci (tyto aukce sleduji uz leta) kriminalnim spolecnostem, ktere z nich „vyndaji“ skutecne penize. Vezmete treba falesnou identitu (ty jsou dnes prodavany na 3. pricce), ktera je k mani za 1000 dolaru. Jejim spotrebitelem je treba nekdo, kdo se snazi uniknout nastupu do vezeni nebo nepozorovane cestovat mezi staty, ci nelegalne v nich pracovat. Tento clovek potrebuje falesnou identitu a doklady, nejlepe na nekoho skutecne existujiciho, s podobnou postavou, oblicejem aj. Ma-li hacker k dispozici jmeno, prijmeni, rodne cislo, bydliste (to mu u nas da take identifikaci dani, socialniho a zdravotniho pojisteni), fotografii (pripadne si ji muze poridit pres webovou kameru), podobne udaje o manzelovi (manzelce) a detech, pak stavajici prumerna cena identity z EU - cca 1000 dolaru - neni prilis vysoka pro nakupujiciho, ale dost vysoka pro hackera, aby si vydelal. Kriminalni prostredi je vsak tim, kdo ma ke koncovemu spotrebiteli pristup a take ovlada zpusoby, jak data zneuzit, jak vyrobit falesne doklady a podobne.
Zni-li Vam to jako z „bondovky“, pak vezte, ze tyto aktivity jsou v internetu bezne. Momentalne jsou na prvni pricce v aukcnich prodejich bankovni ucty (oproti lonsku predbehly kreditni karty, jelikoz vybirani penez z nich je snazsi a rychlejsi, jeho uspesnost je vyssi), na druhe pricce jsou kreditni karty a na treti ukradene identity (podobne to vypada, kdyz se na to podivam z pohledu vydaju na reklamu, s niz hackeri prodej ukradenych dat na aukcich podporuji). Je v podstate cerna ekonomika s daty.:31MikroPokud by se už někdo dostal k mému účtu, je vůbec nějak možné obejít nebo zfalšovat autorizaci heslem, které pro každou transakci dostávám od banky na můj mobil?13:34Radek SmolíkAno, bohuzel je to celkem snadne. Za prve, lze si pres Vase bankovni udaje nastavit, aby tyto kody chodily na jiny mobil (casto prave pres oklamani uzivatele phishingovym webem - zalezi to ale na tom, jakou mate banku, doporucuji Vam overit si tuto moznost u sve vlastni). Horsi je, a uz jsme to uspesne vyzkouseli, ze zejmena z lepsich mobilu neni problem si kody a certifikace preposlat. V CR je uz delsi dobu k dispozici chorvatsky software (nemylim-li se, stoji necelych 21 tisic), ktery k Vam dorazi jako mail a nasledne jsou vsechny Vase hovory logovany, odesilana jejich cisla, preposilany SMS a telefon lze prepnout jako mikrofon, pres ktery lze na dalku sledovat a nahravat Vasi komunikaci s lidmi okolo (je-li mobil dostatecne blizko). Jina metoda, rovnez jsme ji overili, je pres nebezpecne Java programy (vetsina manazerskych mobilu, vcetne Blackberry to podporuje) ci trojske kone na mobilnich O/S). Jak to funguje? To, co zadavate na klavesnici (treba bankovni PIN) je mozne tonove sejmout. Kazdy ton vyda za tri bity dat. Kdyz Vam nasledne utocnik cilene zavola (treba jako omyl), pak zatimco s Vami hovori odesle jeho kod z Vaseho mobilu tony, ktere on si na druhe strane zase prevede na data. Dokazali jsme namerit rychlost 5,67 bitu/sec, ktera na PIN a podobne kratke udaje v pohode staci. Na preposlani kontaktu nebo mailu by to bylo malo. Ochrana proti tomu? Davat si pozor na platformy Symbian ci Windows mobile, Blackberry je z tohoto hlediska lepsi (kdyz uz byste manazersky telefon chtel). Pro bankovni aplikace je lepsi mit starsi a jednodussi mobil. Hlidat si bluetooth a mit bezpecnou konfiguraci. Pouzivat bezpecnostni software pro mobilni platformy, nekolik dobrych existuje. Nejlepe, zvolit si banku, ktera Vam umozni pouzit tzv. „kalkulacku“. V CR je to CityBank. I kdyz to par korun stoji, pokud se Vam nechce chodit do banky, je to rozhodne nejbezpecnejsi zpusob autentikace a verifikace.:51Olda J.Mají poskytovatelé (provozovatelé) komunitních a sociálních webů povinnost chránit data svých návštěvníků a uživatelů?13:44Radek SmolíkSocialni weby jsou velky, teprve se rodici, vektor utoku. Za poslednich 6 mesicu roku 2007 jsme jich videli pres web (vektor za chvili vysvetlim) 11 231 (oproti 6963 v prvnich 6 mesicich roku 2007). Vidite ten narust. Horsi je, ze jenom 457 systemu z nami sledovanych spravci webu zaplatali proti bezpecnostni chybe a v prumeru jim zaplatani trvalo 52 dnu (oproti 57 dnum za prvni pololeti 2007). Je tedy plne namiste hovorit o webovem vektoru jako trendu.
Webovy vektor funguje nasledovne. Utocnik infikuje duveryhodny web (casto komunitni nebo socialni - za 90% techto utoku v USA staly v poslednich 6 mesicich roku 2007 prave dva takove servery) tak, aby se nakazila kazda obet se zranitelnym prohlizecem, ktera k nemu pristoupi. Horsi je, ze utoky jsou cim dal tim vice staveny ne na zranitelnostech prohlizecu (MSIE jich mel ve druhem pololeti 2007 18 s prumernym oknem pro patch v delce 14 dnu, Mozilla Firefox jich mel 88 ale s prumernym oknem pro patch v delce jenom 3 dny) ale na zranitelnosti mobilnich plug-in kodu (java applety, active-x komponenty apod.). Ve stejnem obdobi jsme techro zranitelnosti videli 239 (vidite ten nepomer proti prohlizecum!). Jakmile je infikovan Vas pocitac, nebezpecny kod hleda lokalne ulozene webove stranky (Vase privatni, napriklad). Pokud je najde, infikuje je rovnez a jakmile je nahraje na web, zacnete svymi strankami infikovat svoji rodinu, pratele a dalsi, kdo tam chodi. Tak vec pokracuje dal a vznika webovy vektor.
Tady je duvod, proc se to deje okolo komunitnich a socialnich webu (weby fanousku kapel, sportovnich muzstev, weby pro zeny ci muze, vyznavace rocku, pejskare, alternativni lecitelstvci, lesbicky, gaye a jine). Sem lide prichazeji „mezi sve“, ztraceji opatrnost, duveruji si, chatuji, informuji se o svych nazorech, naviguji na sve vlastni webovky apod. Proto vidime takovy narust prave v teto oblasti. Samozrejme, infikovanym prohlizecem pak jednoho dne pujdou i do sve internetove banky ci jinam…
Spravci webu maji zpravidla odpovednost za ochranu osobnich udaju, pokud jim nejake sdelite (lepe je to nedelat, ale to zalezi na Vas). Nakolik odpovedne se tomu venuji, to necham Vasemu posouzeni. Viz treba muj udaj o tom, jak zaplatavaji zname zranitelnosti svych webu, ktery jsem uvedl vyse. V kazdem pripade by ale spravce podobneho webu nemel mit moznost, aby Vase data kamkoliv dale predal.:51R. VilímekJak často je třaba aktualizovat antivirovou ochranu? A podle čeho se má uživatel orientovat při výběru, když dnes již existuje tak bohatá nabídka? Děkuji za odpověď.13:57Radek SmolíkOhledne orientace doporucuji toto. Holy antivirus je dnes bezpecnostne nesmysl, mozna pred 5 lety… Mel byste mit k dispozici integrovanou funkci antiviru, osobniho firewallu, prevence naruseni bezpecnosti ze site, prevenci naruseni bezpecnosti operacniho systemu, antiphising, ochranu ukaldanych a zadavanych hesel, ochranu domaciho ADSL routeru a pripadne kontrolu USB disku (to vse je dnes o nekolika ruznych vyrobcu k dostani i na ceskem trhu, cena dobreho reseni se bude pohybovat okolo 2000 Kc). I kdyby to pro Vas bylo moc, muzete udelat radu dalsich uzitecnych veci: nepracovat pod uctem administratora, mit silne heslo (alespon 8 znaku, kombinace malych a velkych pismen, specialnich znaku a cislic - heslo „Pepa“ je spatne, heslo „kU,A5c6^sB“ je dobre), mit legalni operacni system a nastavenu automatickou aktualizaci, nevkladat citlive osobni informace do zadnych webovych formularu a komunikovat s bankou treba pres telefonicke bankovnictvi. Pak muzete neco usetrit za bezpecnostni software a riziko bude stale pod rozumnou kontrolou.
K vyberu software, resp. vyrobce: nejlepe nekdo overeny dlouhou praxi, s co nejvyssi detekci (viz treba dlouhodobe testy na www.virusbtn.com) a produktem, ktery kombinuje shora uvedene vlastnosti.:46Milan StankoPane Smolík, máte přehled, jak rychlý vývoj v této oblasti je? Monitorujete to nějak? A pak by mne zajímalo, jestli se šíření této kriminality vztahuje třeba k nějakým událostem. Myslím, jestli například když banka uvede na trh nějaký nový finanční produkt, tak je to signál pro hackery, aby toho využily ve svůj prospěch. Existuje takový vztah?14:05Radek SmolíkZatim nevidime primy vztah mezi specialnim produktem a utoky proti nemu (byly i takove pripady, ale netykaly se bank, slo kupr. o telefonicke souteze v radiich a pamatuji si priklad hackera, ktery tak vyhral ferrari pote, co zablokoval ostatni hovory). Spise vidime utoky proti konkretnim aplikacim (jako je treba internetove bankovnictvi, platebni servery typu Paypal, webove aukce a shopy a podobne). Monitorujeme to docela presne. Jinak, zpetna vazba hackeru na zmeny techto aplikaci je velmi rychla. Priklad, zname treba trojske kone jako Bancos nebo Anserin, ktere se umeji „formatovat“ pro Vasi banku. Az zjisti, ktera to je, stahnou a nasadi si sablony, ktere jim umozni vykradat data ve spravnem formatu a poradi a pak je odeslat (toto je jeho cislo uctu, na toto cislo plati, je to tato castka, sem vlozil certifikaci, na uctu mu zbylo jeste atd.). Za poslednich 12 mesicu snad neni ani jedna ceska a slovenska bankovni domena, proti ktere bychom to nevideli a banky o tom casto informujeme. Kdyz banka aplikaci zmeni, je odezva velmi rychla. K tomu, co jste oznacil za udalosti, bych jeste rekl. Typicky se jedna o soubeh udalosti - nejdrive je test (toto obdobi jsme zde meli v rijnu a listopadu lonskeho roku), pokud uzivatele (treba na phishing) reaguji „dostatecne a spravne“ (pro utocnika) a banky samotne nic moc nepodniknou, pritom se jedna o zemi z EU (odkud lze v aukci s ukradenymi daty ucet prodat az 100× draze nez treba z Indie), pak je definovana udalost, ktera to spusti. Udalosti tedy ano, bankovni aplikace a jejich zabezpeceni ano (u nas treba jenom dve banky nabizeji bezpecnou autentikaci pres elektronickou kalkulacku (City Bank a RB/eBanka, coz je take chyba uzivatelu, kteri je k tomu casto vedou), pokud jde o konkretni produkty, pak zatim ne.:42D. LevýNejsem přítelem internetového bankovnictví, přesto se zrovna rozhoduji, že si zřídím účet u MBanky poté, co nás Česká spořitelna lží vmanévrovala do Osobního účtu a my platíme více než předtím. Možná mi pro rozhodnutí pomůže, když mi, jako odborník, odpovíte na otázku, zda sám ovládáte účet přes internet. Děkuji za odpověď.14:16Radek SmolíkVubec bych se neorientoval jenom podle platby za ucet nebo internetove bankovnictvi, i kdyz s Vami souhlasim v tom, ze hodne z techto poplatku je nemoralnich. Je to jenom jeden z udaju. Zde je muj vlastni nazor - nikdy bych nezvolil banku, ktera ma jako login cislo uctu (v CR to nejmene dve maji), nikdy bych nezvolil banku, ktera ma certifikat ulozen na pevnem disku, diskete nebo USB disku (je to soubor, ktery by Vam rychle mohl byt ukraden - ani to v CR nechybi), nikdy bych nezvolil banku, ktera by me poslala certifikacni udaje jako nesifrovanou SMS (to v CR take najdete). Co bych zvolil? Banku, ktera pouziva elektronickou kalkulacku (nejbezpecnejsi autentikace a overovani) - najdete ji v City Bank (myslim ze za 450 Kc) a v BR/eBanka (zbytecne draho, za vice nez 1000 Kc), az na druhe misto bych dal GSM banking a certifikat ulozeny na chipove karte (to nektere nase banky maji take). Do mekciho reseni bych nesel, zvolil bych jiny zpusob ovladani uctu nez pres Internet. MBanku Vam z tohoto hlediska nedoporucuji, i kdyz Vase hlediska a duvody rozhodnuti mohou byt jine.:38PeterV clanku Respektu som boli uvedene rady ohladom zabezpecenia. Chcem sa spytat na konkretne softverove produkty (platene, popripade free, ak su kavlitne) na detekciu podozrivych stranok a firewall (alebo staci ten vo windows?). Ako antivirus pouzivam ESET NOD 32, riesi tento softver aj problem so spywarom? V clanku bolo uvedene, ze nie je vhodne pouzivat napr. internetovy bankovy ucet pri spustenom ICQ. Staci teda ICQ vypnut, alebo…?dik14:23Radek SmolíkDoporucuji tento postup:
1) Overit si, zda mate vsechny posledni aktualizace antiviru a operacniho systemu.
2) Overti si, zda mate zapnuty osobni firewall, pripadne antispyware a antiphishing.
3) Vypnout vsechny ostatni programy komunikujici s internetem (ICQ, Skype, apod.)
4) Zavrit prohlizec (pokud byl otevren) a spustit ho uplne znovu (neni od veci vymazat v nem docasne ulozene soubory).
5) Nikdy nejit do banky na cizi podnet (mailem, telefonem ci jinak podany).
6) Nemit banku, ktera ma cislo uctu jako login, certifikat ulozeny disku, diskete… (nejlepsi je elektronicka kalkulacka, v CR treba CityBank nebo RB/eBanka)
7) Nepracovat pod uctem administratora a zasadne volit tezka hesla se specialnimi znaky, cislicemi, malymi a velkymi pismeny (alespon 8 znaku dlouha)
ESET resi i problem se spywarem, ale neresi problem s hesly, domacim routerem a phishingem (v tomto ohledu jsou lepsi softwary)Obecne, jakmile uvidite mail, kterym s Vami komunikuje jakakoliv instituce a ta Vas vybizi k zadani nejakych osobnich ci citlivych udaju, smazte ho a informujte tuto instituci o tom, ze se podobna vec deje.:01JiříDobrý den, chtěl jsem se Vás optat na rizika spojená se spuštěným ICQ, MSN, Skypu během používání internetového bankovnictví.14:47Radek SmolíkDobry den, jedina spravna odpoved je, ze pokud pracujete s internetovym bankovnictvim, pak zadna jina aplikace nez Vas prohlizec by ve stejne dobe nemela mit povolen pristup na Internet. Slusne bezpecnostni aplikace Vam to umozni udelat pomoci sady pravidel. Vytvorite si v nich takova pravidla pro osobni firewall, ktera zakazi vse, krome DNS a prohlizece (opravdu pokrocile osobni firewally umi rozlisovat jeste hloubeji a umi take pravidla automaticky a spravne tvorit). Cokoliv jako chat v jinem okne prohlizece, ICQ prenasejici soubory, v liste minimalizovany Skype a pod. je spatne. Hlavne proto, ze po techto kanalech lze nejen instalovat, ale take ridit trojske kone. Navic kazda takova pripojena aplikace predstavuje dalsi riziko neosetrenych zranitelnosti.Problem je v tom, ze jednou z nejhorsich aplikaci z tohoto hlediska je sam prohlizec. Vezmeme treba Internet Explorer - za poslednich 6 mesicu roku 2007 mel 17 zavaznych zranitelnosti a prumerna doba do uvolneni patche byla 13 dnu, Mozilla Firefox jich mel zua stejnou dobu 88, i kdyz s podstatne kratsi dobou patchovani, ktera byla 3 dny.Resil bych to soubehem nekolika opatreni:1) Nepracovat pod uctem administratora, ale vytvorit si dalsi s nizsimi opravnenimi.
2) Pouzivat vsude tezka hesla typu „gT;hNc=d3“ a ne hesla jako „mamka“ nebo dokonce hesla prazdna.
3) Pravidelne (nejlepe automaticky) aktualizovat operacni system a prohlizec
4) Vybrat si banku s kvalitni bezpecnosti (nejlepe elektronicka kalkulacka, GSM banking a chipova karta s certifikatem muze na druhe misto) a vicefaktorovym potvrzovani transakce. Nikdy ne cislo uctu jako login.
5) Pouzit rozumny bezpecnostni software, ktery pokryje alespon antivirus, osobni firewall (obousmerny), prevenci proti naruseni ze site, prevenci proti naruseni operacniho systemu, antiphishing, ochranu vkladanych loginu a hesel, kontrolu USB medii a ochranu domaciho ADSL routeru. Na trhu je jich nekolik v cenach pod 2000 Kc.
6) Nemuzete-li udelat neco podobneho, pak zvolit treba telefonicke ovladani uctu.:42Jan JiříkChtěl bych se zeptat, jak je možné zjistit, že jsem se stal členem botnetu? V článku je uvedeno, že se třeba jen trochu zpomalí počítač. Existují i zřejmější projevy toho, že se můj počítač stal „otrockým“?15:00Radek SmolíkVidim, ze jste vnimavy ctenar. Stoprocentni jistota neexistuje, ale lze si veci castecne otestovat.Napriklad, zakazi vsechny komunikace s Internetem (pomoci osobniho firewallu, a ten musi umet zastavit i odchozi nejenom prichozi provoz - pokud ho nemate, pak je sance minimalni a dale bych to ani neresil). Pak je zacnu velmi selektivne a opatrne povolovat, jakmile se o ne budou aplikace hlasit, abych zjistil, co vlastne tento pozadavek ma (bot potrebuje komunikaci s vnejsi konzolou utocnika).Nebo, overim si, ktere vsechny procesy u me bezi (pomoci rootkit detektoru, ktere jsou i jako freeware) a jake knihovny za nimi na disku stoji. U neznamych procesu si pres vyrobce knihoven zkontroluji, jestli jsou autenticke (samozrejme, skanovani antivirem ani specialne neuvadim). Nepotrebne procesy vypnu a pokud se me objevuji jako automaticky spoustene znovu, vydam se jim specialne po stope.A takhle bychom mohli pokracovat… Kdyz k tomu pridate kvalitni bezpecnostni software a pravidla „bezpecneho sexu s pocitacem“, pak pravdepodobnost infekce botem silne zredukujete. Boty se vetsinou instaluji s pravy System (res neosetrenou zranitelnost, takze hodne casto patchovat) nebo prolomeny ucet administratora (takze nepracovat pod uctem administratora ale pod uctem s nizsimi pravy).:22Eda ŠebekMůj dotaz se týká trojského koně. Je tedy v článku správně uvedeno, že trojský kůň prohledá obsah počítače a nebo hacker pomocí trojského koně prohledá obsah?15:08Radek SmolíkTrojske kone delaji radu ruznych veci. V zasade funguji takto - prijdou nepozorovane (trebna pres nezaplatanou zranitelnost O/S, prohlizece apod.) nebo si je uzivatel instaluje sam, pod dojmem, ze je to nova super-aplikace, kterou chce (proto se jim rika trojsky kun - Trojane to udelali stejne). Toho, co pak trojske kone standardne umi, je celkem velka skala, bezne:– zpristupnit zvenci Vas kompletni souborovy system, at si kazdy vezme, co libo
 - zpristupnit zvenci Vasi obrazovku, web kameru (vcetne moznosti poridit snimek)…
 - odesilat ven vsechny stisknute klavesy (hesla, loginy, kody apod.)
 - zkopirovat a odeslat obsah USB disku a diskety (protoze tam lide s oblibou davaji hesla, certifikaty apod.)
 - vyhledavat soubory pravni, ekonomicke, kalkulace, bankovni certifikaty na discich a ty odesilatPokrocile bankovni trojske kone (jako Infostealer.Bancos) se dokonce umi pomoci sablony nastavit pro konkretni banku a odesilat data spravne v jejim specifickem formatu internet bankingove aplikace (tohle je jeho cislo uctu, tohle je cislo uctu, na ktery plati, tohle castka, kterou prevadi, sem napsal certifikat, tohle je zustatek, ktery mu na uctu zbyl atd.)Oboji z Vasi otazky je spravne. Trojsky kun muze obsah automaticky hledat sam a odesilat ho (to je dnes mnohem castejsi), ale existuji i trojske kone, ktere daji pristup hackerovi, a ten si najde, co sam uzna za vhodne (nebo provede neco jineho, treba pres Vas zautoci jinam).:33HonzaMuzete objasnit vyrazy „prevence naruseni bezpecnosti ze site“ a „prevenci naruseni bezpecnosti operacniho systemu“ a jak si takovou prevenci zabazpecit?15:16Radek SmolíkJedna se o nasledujici:a) ze site
Pri komunikaci Vaseho pocitace s jinymi lze kontrolovat obsah transakci, ktere jsou pres sitovou karty. Tyto transakce probihaji jako serie balicku dat, kterym rikame pakety a v nich lze odhalit celou radu znamych, ale i zcela novych utoku. Kazdy utocnik, ktery by Vas chtel tudy zdolat (treba tak, ze zkusi nejake zranitelne misto, pro ktere jeste nemusite mit zaplatu), bude mit vetsi problem. Dnes existuji i proaktivni reseni (proto to slovicko prevence, ktere funguji i proti zcela novym utokum, aniz by museli mit nejakou aktualizaci predem) a tim smerem doporucuji postupovat.b) operacniho systemu
Vezmeme za priklad treba posledni pharming proti Ceske sporitelne. To je utok, kdy ve Vasem pocitaci utocnik zmeni tabulku, ktere se rika „hosts“ (jsou to male soubory). Tabulka rika, kupr. domena „servis24.cz“ lezi na IP adrese XYZ. Kdyz tam utocnik dat IP adresu (skutecna ciselna adresa v internetu) sveho phishingoveho serveru, pak kdykoliv vy zadate Servis24, dostanete se na jeho podvodny mail. Tato tabulka je soucasti operacniho systemu (stejne jako mnoho dalsich veci) a muze byt pod trvalou kontrolou (stejne jako ony dalsi veci, treba registry, procesy aj.) System prevence by takovou zmenu nedovolil a varoval Vas pri pokusu o ni.Jak to ziskat? Nemohu si zde delat primou reklamu a tak Vam pouze reknu, ze nekolik bezpecnostnich aplikaci, ktere podobne schopnosti (a s nimi i dalsi) maji se v CR bezne prodavaji, jsou i lokalizovany a nejsou nijak extremne drahe (pod 2000 Kc, coz je castka, ktera lehce zmizi treba ve voziku s potravinami v supermarketu). Chcete-li konkretni informaci, poslete me mail na [email protected]:03UhlířDobrý den,pročítám si Vaše odpovědi a chtěl bych se zeptat, nepoužívá autentizaci tzv. kalkulátorem i Česká Spořitelna?A ještě jedna otázka: jak se díváte na unixový OS, například populární Ubuntu, kde viry z windowsů prostě nejedou? Jsem laik, ale jak si čtu diskuzní fóra, tak mám za to, že tento systém se řadí mezi nejbezpečnější.Děkuji za odpověď14:07Radek SmolíkDobry den, Ceska sporitelna kdysi byla jednim z prukopniku elektronickych kalkulacek u nas. Dnes je tam vsak maji jenom pametnici se starymi ucty, kteri si je tehdy poridili. Nove ke CS nenabizi. Probiral jsem to s panem Lorenzem, ktery sefuje primemu bankovnictvi CP a davam mu za pravdu v tom, ze od kalkulacek (bohuzel) museli ustoupit. Hlavni duvodem byl nezajem (a misty az odpor) koncovych uzivatelu intertnetoveho bankovnictvi CP.Protoze:– samozrejme, kalkulacka neni zdarma a je nutne si ji k uctu zakoupit
 - obcas ji nekde vypere v pracce, ztrati (je chranena PINem) a musi mit novou
 - jine banky statecne reklamovaly, jak to maji levnejsi a uplne bezpecne
 - uzivatele jim to bastili a dokonce tlacili na CP, aby zavedla cislo uctu jako login
 - lide z obchodnich oddeleni pak tlacili na IT a bezpecnost, aby jim vysli vstrica tak to slo porad dokola…Oni totiz, se svym pristupem k veci, maji lvi podil na zmekcovani bezpecnosti internetoveho bankovnictvi u nas (a tim take na pritazlivosti pro utocniky) sami koncovi uzivatele (i kdyz v mych ocich to neospravedlnuje, pokud jim banka ustoupi). Chci tim rici, ze tato rovnice ma 2 strany a nelze vse pricitat jenom bankam (konkretne treba CP, jak se to deje v posledni dobe). Sam si dobre pamatuji, jak me spousta lidi vychvalovala GE Money za to, ze se tam jednoduse prihlesuje pod cislem uctu a nic dalsiho si nemuseji pamatovat (certifikat maji na disku a bylo super, ze si nemuseli kupovat drahou ctecku). Pravidelne slycham podobne „pochvaly“ na MBanku a jine. Je to proste vec informovanosti a vychovy k bezpecnemu chovani na obou stranach. Ted, kdyz se lide na vlastni kuzi presvedcili o tom, jak mohou byt zranitelni, chtel by kalkulacku kazdy (a ja doufam, ze s nimi banky brzy prijdou). Rozhodne jsou bezpecnejsi nez treba GSM Banking (specialne, pouziva-li uzivatel manazersky telefon s podporou Javy a pod.).Ohledne Linuxu (jako treba UBUNTU): Mate pravdu, ze ve vztahu k virum je to tady vyrazne lepsi, i kdyz jich (stale maly pocet) existuje i pro tuto platformu. Absolutni bezpecnost ale neni ani tady (proste neexistuje). Problem je napriklad v tom, ze zde neexistuji bezpecnostni produkty na ochranu proti pharmingu (tj. manipulaci se zaznamy v hosts tabulkach - tento problem je zde stejny jako ve Windows). Lide maji casto sklon bezpecnost Lunixu precenovat (povazovat ji za samozrejnou vlastnost platformy a nezridka Linuxu nerozumi natolik, aby ho byli schopni zabezpecit a zaplatovat jeho diry). Prohlizece (vezmeme za priklad Firefox) zde maji obdobne pocty zranitelnosti jako na Windows (Mozilla Firefox jich mel za poslednich 6 mesicu 2007 plnych 88 s prumernou dobou do uvolneni patche 3 dny). Cela rada nativnich Linux prohlizecu ma problemy s funkcionalitou internet bankinngovych serveru, ktere jsou vyvijeny hlavne pro MSIE (a obcas FF), takze se nelze vyhnout zranitelnostem plug-in kodu.Sam pouzivam hodne GNU, O/S Linux Mandrake ma i cela moje rodina, jako prohlizec u nas vladne FF, vsichni, vcetne me pracujeme s OpenOffice / tak si tim mam i radu osobnich zkusenosti. Jakkoliv jsem v tomto ohledu zrejme „spriznena duse :)“ s Vami, neslevil bych z toho, co jsem publikoval za bezpecne praktiky v tomto chatu, at by platforma byla jakakoli - treba UBUNTU.


Pokud jste v článku našli chybu, napište nám prosím na [email protected].