Tomáš Rosa: Klientův účet dokážeme ochránit. Musí nám ale pomoci

V rámci například přístupu do internetového bankovnictví banky využívají několik základních způsobů autorizace klienta. Jeden z nich je certifikát instalovaný buď v počítači, nebo lépe na nějakém externím médiu, další je pomocí autorizační SMS zprávy, další je pomocí nějakého tokenu, který generuje příslušné kódy. Která z těchto metod je podle vás nejbezpečnější?

Jenom s dovolením se na začátku projevím jako správný školometský hnidopich a dovolím si konstatovat, že je rozdíl mezi autentizací a autorizací. To, o čem zde teď hovoříme, je autentizace, čili potvrzení identity někoho, byť i ve vztahu třeba k podávané transakci. Zatímco autorizace je v závěru rozhodnutí o tom, jestli ta daná transakce se může skutečně provést, nebo ne, například s ohledem na limity tzv. podpisové vzory apod.

Zkrátka a dobře výsledkem autentizace je, že jsem Tomáš Rosa, výsledkem autorizace je, jestli smím jako Tomáš Rosa provést tu či onu operaci.

Takže hovoříme o metodách autentizačních. A co se týče autentizačních metod, my se snažíme, aby i přes rozdílnou technologickou základnu jejich bezpečnost byla vyrovnaná, takže těžko říct, který je bez uvážení kontextu bezpečnější. Každý se trošku hodí do jiného prostředí.

Pokud bychom se chtěli zabývat opravdu detaily a jít hodně pod povrch, tak bychom mohli rozebírat, který z těch prostředků je vhodný pro který typ klientů. To neděláme, protože bychom jim neskutečně zamotali hlavu. Takže se snažíme, aby v nějakém průměrném prostředí byly všechny metody srovnatelně bezpečné, a také nezávisle na tom upravujeme jejich odolnost.

^REKLAMA

Pokud zjistíme, že se například objevují nové útoky na SMS, tak se snažíme nasadit vhodná technická a technologická opatření, která je budou eliminovat natolik, aby metoda SMS byla stále komparabilní s  ostatními metodami.

Pokud se budeme bavit například o tzv. kryptografických kalkulačkách, tak tam zase hrozí třeba útoky tzv. postranními kanály, kdy se citlivé klíče z těchto zařízení mohou získat přes sledování například spotřeby elektrické energie v okamžiku provádění výpočtu nějakého přihlašovacího kódu. A pokud by se takto zranitelná kalkulačka dostala do rukou útočníka, pak by dokázal překonat jednak ochranu PIN, jednak by se dostal i k nejvnitřnějším klíčům a byl by tím pádem schopen ukrást identitu klienta v plném rozsahu.

To znamená, každá z těch technologií má své potenciální slabiny, a dokud je máme v portfoliu, musíme každou jednu ošetřovat tak, aby jejich výsledná bezpečnost byla pořád vyrovnaná.

Zmínil jste, že podle spotřeby proudu se dá dešifrovat kalkulačka…

To jsou tzv. postranní kanály. Což je, troufnu si říct, jeden z milníků v moderní kryptoanalýze. Objev postranních kanálů se udál ke konci minulého století, konkrétně v letech 1996 – 1999 byly publikovány stěžejní články, zejména tedy výzkumným týmem Paula Kochera.

Paul Kocher mimo jiné tenkrát na čipových kartách ukázal, že pokud sleduje spotřebu elektrické energie v okamžiku, kdy karta provádí nějaký kryptografický výpočet, tak je přes metody statistické korelace schopen odvodit přímo konkrétní hodnotu kryptografického klíče, který v té kartě je. Zkrátka a dobře průběh spotřeby energie je korelován s tím, jaké výpočetní operace v čipu probíhají. A ty jsou zase přímo řízeny bity příslušného klíče.

Myšlenka je to jednoduchá a v praxi funguje kromobyčejně dobře. Od té doby se samozřejmě mnoho událo. Dnešní čipové karty jsou na úplně jiné úrovni, než byly čipové karty před tímto objevem. Nicméně tato technika se stále zdokonaluje, a tak je potřeba také stále zdokonalovat veškerá hardwarová zařízení.

Když člověk poslouchá, co všechno je možné vyčíst, má běžný klient vůbec možnost zabezpečit nebo pomoci bance zabezpečit své internetové nebo mobilní bankovnictví tak, aby bylo neproniknutelné?

Určitě. To je jako byste říkal, že když se podíváte na poslední metody léčení kardiovaskulárních chorob, tak běžný člověk nemá šanci kardiologům pomoct. Ale má – nebude kouřit například.

A klient banky může udělat něco velmi podobného. Napravit chybu kryptologa sice nemůže, od toho jsem tady já, abych to hlídal, ale může mi hodně pomoct tím, že například nebude na svůj počítač bezhlavě instalovat všechno, co najde na internetu. Ať už to pochází z autorizovaných zdrojů, nebo z neautorizovaných. Většina praktických útoků je opřena právě o využití nákazy škodlivým kódem, který se dostane do počítače i mobilního telefonu klienta, A následně vaše zařízení ovládá. Vy už v tu chvíli nejste pánem svého počítače, jste jenom divákem.

Co byste doporučil klientům? Dobře, tedy nebudu instalovat jakýkoliv program, nicméně nějaké programy stejně musím nainstalovat. Co dál by měl klient banky dělat?

^REKLAMA

Ano, já chápu, že je to takové doporučení typu „nekouřit a jíst zdravě“ a že to vypadá velmi primitivně, ale v postatě je to klíčem úspěchu. Má naprosto nezastupitelnou roli. Dávat si pozor, co si na svůj počítač instaluji.

Hned za tím jde, že když už si něco instaluji, tak dovolit instalovat také pravidelné záplaty. Protože ne jenom, že si můžu nainstalovat přímo škodlivý kód, ale ten škodlivý kód se může dostat i do nějaké slabé aplikace, která už instalována je. Může ji v  ovládnout podobně, jako by se třeba do kosmonauta dostal vetřelec. Podobným způsobem se může hacker v podobě vetřelce dostat do kódu jinak zdravé aplikace a v tu chvíli se aplikace stává nebezpečnou.

A aby se to nestalo, tak je potřeba pravidelně instalovat záplaty, které odstraňují slabiny aplikací typu prohlížeče pdf formátu. Ty jsou naprosto notoricky známé tím, že pokud máte zranitelný prohlížeč, tak je možné poslat vám speciálně připravený soubor pdf, který na první pohled není spustitelný soubor. Je na první pohled zkrátka textový dokument, který je ovšem vnitřně upravený tak, že zranitelný prohlížeč na něm jednoduše řečeno vykolejí. A během toho vykolejení začne například kus dokumentu interpretovat jako spustitelný kód. A tam už čeká zavaděč škodlivého kódu útočníka, který takto přes zranitelný prohlížeč nakazí celý váš počítač.

Takže za prvé rozmyslet si, co instaluju, za druhé když už to instaluju, tak se o to starat. A to se týká i operačního systému. Běžně vidíte, že ještě půl roku po tom, co byla vydána nová verze mobilního operačního systému, někdo úplně sveřepě používá verzi starou, pravděpodobně zranitelnou.

Co se mobilních telefonů týče, tak někteří výrobci sami sice posílají záplaty, ale poměrně pozdě oproti vydání aktualizace primárního kódu.

Když se vrátíme k té medicíně a zdravému způsobu života, tak pokud vám někdo prodá zkaženou konzervu, už s tím mnoho neuděláte. Na druhou stranu to není důvodem zanevřít na správnou životosprávu. Takže v rámci toho, co dělat můžete, dělat rozumné maximum a zbytek už je i o štěstí.

Dost často se hovořilo o tom, že bývají napadené některé webové stránky, přes které se může dostat závadný kód do počítače. Hodně se hovořilo například o pornostránkách. Co byste doporučil v tomto směru?

Doporučit nekonzumovat explicitní obsah na internetu je asi velmi krátkozraké. Ostatně jsou dodnes lidé, kteří tvrdí, že internet byl právě k tomuto účelu zřízen. Je o tom i jedna písnička, kterou zde nebudu citovat.

Pokud máte nezabezpečený počítač, tak se můžete nakazit přes libovolnou stránku. To je jedno, kam útočník infekční kód dá. Samozřejmě pornostránky se nabízejí, protože jsou prostě magnetem. Na druhou stranu byl jsem svědkem toho, že byly infikovány stránky inzerátů se štěňaty. Byly infikovány i stránky, na kterých si maminky vyměňují zkušenosti s tím, co nejlépe zabírá na opruzeniny batolat.

Útočníkovi je to jedno, on primárně není moralista a nechce vás trestat za to, že se díváte na erotické filmy, a tím pádem nakazit zejména tyto stránky. On chce nakazit jakékoliv stránky, které mají vysokou návštěvnost. Takže ta cesta nevede ani tak přes odříkání, jako přes udržování počítače v nějakém solidním záplatovaném stavu.

Samozřejmě můžu si trošku rozmyslet, na které stránky přistupuju. On je velký rozdíl mezi stránkami, které nabízejí obsah řekněme za definovaných, placených podmínek, tak tam si můžete říct, že si asi správce toho serveru ohlídá, aby stránky byly v pořádku, protože příjem má z něčeho jiného. Na druhou stranu pokud jsou to stránky, které slibují neuvěřitelné věci zcela zdarma, tak bych začal přemýšlet, jaký je asi obchodní cíl takového serveru a na čem vydělává.

A odtud je už jenom krůček k tomu, že vás napadne, že třeba může zrovna vydělávat na tom, že zpřístupňuje bránu pro infekci počítačů klientů, kteří na takovéto stránky přistupují. Ale to zdaleka opět nemusíme hovořit jenom o explicitním obsahu, to se týká například stránek, které nabízejí přístup na filmy. Stránky, které nabízejí k dispozici zdarma ke stažení filmy, sotva se dostanou do kin. Jaký je jejich obchodní cíl? Tam zatím něco musí být.

A budiž řečeno, že další tzv. infekční vektor, čili cesta k nákaze vašeho počítače, kromě slabých prohlížečů formátu typu pdf, vede právě přes slabé video prohlížeče. Vy se třeba budete skutečně dívat na film, který běží sotva dva dny v kinech, ale ten film bude doslova prošpikován infekčním kódem, který se bude snažit zneužít jednu každou zranitelnost vašeho přehrávače, který máte.

Totéž se týká neautorizované distribuce knížek, totéž se týká neautorizované distribuce programů jako takových. Říkal jsem ne jenom důvěryhodné programy, ale i z důvěryhodných zdrojů. Jsou aplikace, které jsou velmi drahé, například v oblasti stavebního inženýrství se používá spousta takových aplikací. A většinou si lidé řeknou: „Proč já bych za to platil desetitisíce, když si to můžu tady stáhnout na internetu?“ No ale abyste tam nedostal ještě něco, co v té aplikaci zrovna nechcete.

V rámci rad, které banky pouštějí spolu s internetovým nebo mobilním bankovnictvím, je něco, co jste zatím nezmínil, a to antivirus. Ten není tak významný?

Antivirus je velmi zajímavé téma. To je asi jako „Jezte vitamíny“. Nemůžu říct, že by antivirus nebyl důležitý. Určitě je. Když ale diskutujeme o antivirech, je potřeba rozdělit oblast na dva světy. A to na osobní počítače a mobilní zařízení.

Co se osobních počítačů týká, tam si myslím, že antivirus je rozumné instalovat prakticky implicité. To znamená bez nějakého hlubšího rozjímání si vybrat produkt, který mi vyhovuje, a ten používat. Neboť může opravdu významným způsobem posílit operační systém proti útokům, a i jim zabránit.

V oblasti mobilních zařízení, co se týče hlavních operačních systémů, tak tam nebyl autory těchto systémů dán k dispozici tak nízkoúrovňový, otevřený přístup, aby antivir mohl být stejně silný a rázný jako na osobním počítači.

Zatímco na osobním počítači se antivirus může instalovat přímo do jádra systému, běžet s administrátorským oprávněním, zkrátka být pánem, na běžném mobilním telefonu je jen jednou z mnoha aplikací a nemá příliš šanci na tom něco změnit. A vzhledem k tomu, že mobilní telefon sám o sobě implementuje ještě řadu ochran, kdy se snaží zabránit tomu, aby jedna aplikace mohla útočit na druhou, tak vlastně nevědomky brání i antiviru v tom, aby mohl druhou aplikaci chránit.

Je to něco, jako kdybyste si najal bodyguarda a nepustil ho do bytu. On se může jen dívat zvenku, jak vás v tom bytě někdo mlátí. A to je asi tak to, co může dělat antivirus na běžném mobilním zařízení – pasivně monitorovat, že se asi něco děje. Vstoupit do toho děje může jen velmi obtížně.

Jsem tedy trochu rezervovaný, nakolik má smysl na mobilním zařízení antivirus instalovat. Stále si myslím, že nějaký smysl tam je, ale řekněme, že je to opravdu spíše detektor toho, že už se něco děje. Není to jako na osobním počítači ochranný štít, který aktivně odráží útoky v okamžiku, kdy na vás dopadají.

Hodně špatného může vzejít z falešného pocitu bezpečí. Pokud se na antivirus na mobilním zařízení budete spoléhat, tak se spíš vystavujete útoku, protože vaše chování nebude odpovídat tomu, jak jste chráněn.

V případě, že útočník projde skrz ochranu a dostane se k osobním údajům, autentizačním údajům klienta a provede nějakou transakci, co byste doporučil lidem, kteří zjistili, že jejich účet byl takto zneužit?

V první řadě kontaktovat banku, překvapivě. Systémy jsou dneska postaveny tak, že o každém takovém pokusu je učiněno mnoho auditních záznamů, a tak banka v danou chvíli dokáže nejlépe začít vyšetřovat, co se vlastně stalo a jak se to stalo. Pokud se zjistí, že skutečně došlo k nějakému útoku, tak samozřejmě podává i trestní oznámení. Následně vstupují do hry orgány činné v trestním řízení standardním způsobem apod.

Podat trestní oznámení rovnou na policii vám samozřejmě nemůže nikdo zakázat, ale toto oznámení, pokud se zjistí, že k něčemu došlo, bude podáno tak jako tak. A čím dříve se to začne vyšetřovat přímo v bance, tím lépe pro klienta.

Jaká je šance, že pokud byl účet napaden, klient získá zpátky peníze? Ať už od případného pachatele, když se ho podaří dostihnout a třeba zexekuovat, nebo zadržet peníze někde na cestě, nebo jako náhradu od banky.

Já bych teď velmi rád potěšil všechny klienty konstatováním něčeho, jakože 100%, ale uvedu jiný výraz a to sice velmi vysoká. A vysvětlím proč.

Souvisí to s  matematickou podstatou ochrany informace, se kterou zde od základu pracujeme, a tím, že musíme předpokládat i takový způsob útoků, kdy útočník předstírá, že je oběť. Klient může sám o své vůli odeslat peníze ze svého účtu a následně situaci narafičit takovým způsobem, aby vypadal jako oběť někoho, kdo mu ty peníze někam poslal. A v okamžiku, kdy by za takové situace, dostal plnou refundaci od banky, tak vlastně ukradl ty peníze ve výši toho obnosu, který si předtím sám z účtu odeslal.

A takovýto útok je, jakkoliv vypadá bizarně, v oblasti počítačové kriminality naprosto validní a stává se. Takže já říkám přesněji „velmi vysoká šance na vrácení peněz“ právě proto, že musíme napřed vyloučit situaci, že útočník sám předstírá, že je obětí.

Jakou radu byste dal lidem, kteří chtějí co nejvíc bezpečný přístup k bance? Kromě těch, co už jste zmiňoval – aktualizovaný software, dát pozor na programy, které si člověk stahuje a stránky, které navštěvuje.

Určitě by se mohli informovat, v případě, že používají například mobilní telefony k přístupu ke svému účtu nebo k přihlašování se přes webové rozhraní, které architektury a konkrétní modely jsou více bezpečné než ty druhé.

Například pokud chtějí používat biometrii, tak jsou poměrně velké rozdíly v tom, jak dobré biometrické senzory jednotlivé přístroje mají a navíc jak ta biometrická autentizace vůbec na tom telefonu probíhá.

I když vy používáte, a je to čím dál víc populární, k přihlašování a případně i potvrzování transakcí biometrii typu otisk prstu, obraz tváře nebo obraz oční duhovky, tak z hlediska těch kryptografických protokolů, kterými já se zabývám, pracuji stále s kryptografickými klíči. Akorát, že toto jsou klíče zvláštního druhu, ke kterým vám dovolí mobilní zařízení přistupovat jako k aplikaci teprve v okamžiku, kdy se úspěšně biometricky ověříte.

Z mnoha důvodů, legislativních a hlavně bezpečnostních, veškerá biometrická operace probíhá čistě na vašem mobilním zařízení. My si v bance dnes neshromažďujeme vaše otisky prstů, ani fotky obličeje, nic takového. To všechno probíhá lokálně na vašem zařízení a toto zařízení v okamžiku, kdy vše proběhne dobře, je ochotno dovolit naší aplikaci používat nějaký velmi speciální kryptografický klíč.

Způspb ochrany tohoto velmi speciálního kryptografického klíče se však model od modelu příslušných mobilních zařízení může lišit. Takže například na to je dobré si dát pozor. Pokud už tedy chci biometrii používat, projedu si Googlem internet a vyhnu se zařízením, u kterých bylo mnohokrát ukázáno, že jejich biometrické senzory se dají nějakým způsobem překonat.

Ono do určité míry s laboratorním vybavením a přístupem experta se dá překonat leckterý senzor, ale některé vyloženě snáz a některé se dají i naprosto obejít právě tím, že získáte přímý přístup k tomu velmi speciálnímu kryptografickému klíči, který vás nakonec reprezentuje.

Takže abych to shrnul, výběr techniky, následně rozhodnutí o tom, co na tu techniku dám, následně starání se o to, co jsem tam dal. To jsou asi tak tři technicky zaměřená pravidla, kterými nám klient může opravdu pomoct.

Kromě technicky orientovaných doporučení nám ještě velmi pomůže, pokud budou klienti kriticky hodnotit veškeré zprávy a pokyny, které dostávají přes otevřené kanály, jako je e-mail, SMS, telefon, ale i klasická pošta. V nejrůznějších formách útoků založených na sociálním inženýrství se útočníci, vydávající se za někoho jiného, snaží přes tyto kanály z klientů vymámit buď údaje o platebních kartách, nebo rovnou přístup na jejich účet.

Rovněž i škodlivý kód se může šířit jednoduše tím, že útočník klientovi přímo doporučí, aby si nějaký falešný program stáhl. Platí jednoduché pravidlo – pokud se mi nezdá to, co po mě někdo chce, nedělám to a případně se snažím příslušnou instituci (nemusí jít jen o banku!) kontaktovat jiným kanálem a ověřit si, o co jde.

Jakého největšího útoku jste byl svědkem, ať už přímým, nebo nepřímým, na data klientů?

Dokud jste neřekl data klientů, tak bych vám řekl asi 11. září, i když jenom v televizi. Co se týče obnosu, finanční částky, tak to se omlouvám, to vám nepovím, protože to nevím. Setkávám se s detaily pouze v technologické části a zase jiní kolegové vyšetřují příslušné finanční transakce, protože i v bance se uplatňují poměrně přísná bezpečnostní opatření mezi jednotlivými útvary. Co nepotřebujeme znát, to neznáme.

Asi nejrafinovanější v poslední době jsou stále útoky přes autentizace pomocí SMS. Ta je v palbě už několik let. Snažíme se ji stále zdokonalovat tak, aby i přes nějaké slabiny byla stále použitelná pro klienty. Pokud bychom se domnívali, že není, tak bychom ji nedávali k dispozici vůbec.

Nebyl jsem toho přímo svědkem, ale o tom útoku jsem četl, kdy byl napaden přímo mobilní operátor a útočníci si byli schopni přesměrovat si z jeho sítě jakoukoliv SMS jakéhokoliv klienta. Tedy i autentizační, tedy i milostné, tedy i obchodní, jaké je jenom napadlo. Tak to bylo asi zatím největší, co do masovosti napadení tohoto systému, protože tam skutečně byl zranitelný každý, kdo byl v síti jistého jednoho z operátorů v Německu.

Děkuji za rozhovor.