Bezpečnostní hrozby se skrývají v sociálních sítích, na důvěryhodných webech, ale i v peněžence

Praktická ukázka získání dat z karty, která je v mnoha evropských městech používána jako tramvajenka, nebo možnost proniknout do tajů obchodu s ukradenými platebními kartami, to jsou jen některé z lákadel, které včera nabídla účastníkům konference Trendy v internetové bezpečnosti. Nejvíce útoků pochází z webů, aktuální hrozbu představují trojské koně, stále populární je phishing. Na sociálních sítích budou mít hackeři žně.

Včera se v konferenčním centru City na pražském Pankráci konal už druhý ročník konference Trendy v internetové bezpečnosti, kterou pořádají společně čtyři servery společnosti Internet Info: Lupa.cz, Měšec.cz, Podnikatel.cz a Root.cz. Jejím hlavním smyslem bylo přinést nejnovější informace o aktuálních trendech v oblasti internetové bezpečnosti, zabezpečení elektronických bankovnictví a dalších kritických služeb. Konference se účastnili představitelé softwarových společností vyvíjejících antivirová a bezpečnostní řešení, nezávislí konzultanti, ale také zástupci bankovních institucí.

TIB10 - Aleš Miklík

Aleš Miklík, vedoucí redakcí Internet Info, zahajuje druhý ročník konference Trendy v internetové bezpečnosti.

Kromě přednášek byly pro účastníky připraveny i zajímavé workshopy, na kterých se mohli dozvědět například, jakým způsobem se dostanou peníze z odcizené platební karty až do kapsy zlodějů a jak na Internetu funguje obchod s ukradenými daty. Pavol Lupták technický ředitel a majitel společnosti Nethemba zase na workshopu poukázal na nedostatky zabezpečení některých typů RFID čipových karet a přímo na místě předvedl proces získávání dat z karty, která slouží jako tramvajenka v Liberci.

Podobnou zranitelností trpí ale prý i další karty obsahující čip, které slouží v Česku jako již zmiňované tramvajenky, elektronické peněženky pro placení parkovného nebo studentské průkazy, včetně velmi rozšířené karty ISIC.

Uživatelé, ale i správci sítí bezpečnost podceňují

Dopolední blok přednášek odstartoval Karel Obluk, technický ředitel společnosti AVG, který potvrdil, že většina útoků na uživatelské počítače v segmentu domácích uživatelů pochází z webu. Mezi nejúčinnější metody útoků patří stále phishing a sociální inženýring, kombinovaný s infikovanými stránkami. Podle Obluka mnoho uživatelů ale i zaměstnanců, kteří jsou zodpovědní za bezpečnost firemních sítí, podceňuje skutečnost, že útok může přijít z jakékoliv stránky. Obecně se také podceňují pokusy o infiltraci do chráněných systémů a snaha o krádež citlivých dat.

TIB10 - Karel Obluk

Karel Obluk, technický ředitel společnosti AVG

Blokování stránek se „závadným“ obsahem ochranu sítě neřeší, protože většina útoků pochází z jinak naprosto legitimních stránek. V minulém roce došlo k dalšímu enormnímu růstu množství vzorků škodlivého kódu, přesunu na rootkity a PDF exploity. Výrazně se zvýšil také počet falešných antivirových programů. Více než 50 procent infikovaných stránek ale existuje pouze jeden den. Obluk to přičítá snaze útočníků vyhnout se detekci.

Typickým cílem útočníků je tedy přivést uživatele na své stránky a to pokud možno velmi rychle, infikovat počítač a ukrást citlivá data. Používají k tomu spam, SEO poisoning, zneužívají existující populární stránky nebo významné události. Na Facebooku vzniká obrovské množství nedůvěryhodných aplikací a mnoho uživatelů příliš neřeší, zdali je aplikace podezřelá či nikoliv. Za posledních deset dní narostla výrazně popularita Facebooku jako média pro nalákání uživatele na stránky, které jsou infikované. Do budoucna lze podle Obluka očekávat masovější nasazení rootkitů či útoky na Cloud systémy. „O zisky jde až v první řadě. Zisky z počítačové kriminality předčily zisky z drog,” uzavřel svou přednášku Karel Obluk.

Na prolomení karty stačí anténka, čtečka a software

Následovala přednáška Pavola Luptáka ze společnosti Nethemba, který hned na úvod dal k dobru příhodu, kdy se mu pomocí RFID čtečky za 30 euro podařilo prolomit RFID čip typu MIFARE Classic, který je součástí náramků v některých vodních centrech. V tomto konkrétním případě si mohl Lupták maximálně přidat saunu navíc, kterou ve skutečnosti nezaplatil, aniž by to obsluha bazénu poznala. Totožným systémem jsou ale vybaveny i karty sloužící v několika evropských městech jako tramvajenky, parkovací karty nebo studentské karty, a ze všech těchto karet je potenciálně možné získat citlivá data, a ta by měla pro útočníka určitě větší cenu než jedna sauna.

TIB - Pavol Lupták

Pavol Lupták, Nethemba

Lupták také hovořil o zranitelnosti systému pražských SMS jízdenek nebo nových pasů s biometrickými údaji, i z těch prý lze za určitých okolností získat data podobným způsobem (pokud znáte tzv. MRZ kód, který se skládá z data narození, data exspirace a čísla pasu) jako v případě tramvajenky. Na rozklíčování zašifrovaného otisku prstu ale můžete zapomenout.

Nethemba navíc aplikaci, která umožňuje karty s čipem RFID MIFARE Classic cracknout, zveřejnila na svých stránkách, za což si na následném workshopu Lupták vysloužil kritiku od Radomíra Kozlera z Plzeňských městských dopravních podniků (PMDP), které kartu s tímto čipem používají nejen jako tramvajenku, ale i jako elektronickou peněženku. Lupták a další účastníci konference v sále ale namítali, že je lepší na problém upozornit dříve, než někdo údaje z karet začne v tichosti získávat a zneužívat.

Na kartě by mělo být uloženo co nejméně údajů

V následné panelové diskusi Radomír Kozler prohlásil, že nosiče budou zneužitelné vždy, a proto by se provozovatelé měli zaměřit spíše na bezpečnost vnitřních systémů. Kozler také přiznal, že v současné době karty PMDP zneužitelné jsou, ale je prý otázkou, zdali se útočníkovi například vyplatí navýšit si kredit, když bude karta do tří dnů od tohoto kroku zablokována, navíc hrozí pachateli stejný postih jako v případě padělání peněz.

Diskutující se také shodli na tom, že by kredit neměl být ukládán přímo na kartu. Podle Radka HoléhoVýpočetního a informačního centra ČVUT v Praze by se dala většina problémů s RFID MIFARE Classic vyřešit online komunikačními systémy mimo danou kartu, což může být ale v místech se špatným pokrytím problém.

TIB - panel RFID karty

Zleva: Radomír Kozler (PMDP), Radek Holý (ČVUT), Pavol Lupták, (Nethemba), Filip Pospíšil (Iuridicum Remedium). Martin Opatrný z pražského magistrátu musel těsně před začátkem panelu odejít, prý si ho vyžádal sám primátor.

Filip Pospíšil ze sdružení Iuridicum Remedium zase upozornil na jiný problém. Podle něj potenciální zneužitelnost kartových systémů tkví také v tom, že sbírají o uživatelích příliš mnoho dat a mapují jejich chování. Technologie RFID MIFARE Classic byla původně použita i u, v poslední době tolik diskutované, pražské Opencard, později však byla nahrazena bezpečnější variantou MIFARE DESFire, kterou zatím není možné prolomit. Přesto je mezi Pražany stále ještě asi tisíc karet s původním čipem.

Sečteno a podtrženo provozovatelé kartových systémů by měli přejít na bezpečnější MIFARE DESFire a/nebo na karty nic jiného než UID, neboli unikátní sériové číslo.

Komerční nasazení NFC nejdříve v roce 2011

Po krátké občerstvovací přestávce se chopil slova Miroslav Richter ze společnosti T-Mobile, který hovořil o současných možnostech využití technologie NFC, která umožňuje komunikaci mezi mobilním telefonem a dalším zařízením na velmi krátkou vzdálenost. Tento systém je kompatibilní s již zmiňovaným MIFARE. Pro zabezpečení komunikace se v případě NFC používá SIM karta. Díky NFC může mobilní telefon fungovat například jako jízdenka nebo po připojení speciální karty umožní realizovat platby za zboží u obchodníka.

TIB

V sousedním Polsku už běží pilotní projekt, na kterém spolupracuje Polbank a MasterCard. Umožňuje platit částky až do výše 12 eur bez nutnosti dodatečné autorizace. „Zatím není NFC v praxi nasazeno zejména proto, že provozovatelů je velmi mnoho a všichni se musejí dohodnout na společném řešení, které bude pro všechny finančně zajímavé,“ prohlásil Miroslav Richter. NFC zatím v České republice tak zůstává ve fázi pilotních projektů, komerční nasazení je očekáváno nejdříve v průběhu příštího roku.

Aktuální hrozbou jsou trojské koně

Podle Davida PikálkaČeské spořitelny je stále nejslabším článkem bezpečnosti internetového bankovnictví klientská stanice a uživatel. Většina uživatelů si prý není jistá nastavením a bezpečností svého PC. „Nástroje sice existují, ale lidé si s nimi nevědí rady,“ myslí si David Pikálek. Prozradil také, že dopady phishingu, kterému ČS čelila v roce 2008, na klienty byly sice veliké, reálné škody byly ale naštěstí malé. Současnou hrozbou číslo jedna jsou podle Pikálka trojské koně.

TIB - David Pikálek

David Pikálek, Česká spořitelna

Neustále roste jejich počet ale úspěšnost detekce antivirovými nástroji je velmi nízká. Pro autorizaci operací provedených prostřednictvím internetového bankovnictví vyžívají klienti ČS nejčastěji autorizační SMS. Vyšší formy zabezpečení používají méně než tři procenta klientů. „PKI je metoda, která je pohodlná a bezpečná. Ale pro uživatele, kteří přistupují do aplikace jednou za čas, je příliš drahá," uzavírá David Pikálek.

Touto přednáškou skončila dopolední část konference. Paralelně s programem v hlavním sálu, ale probíhaly po celý den doprovodné workshopy. Praktická ukázka získání údajů z karty vybavené RFID čipem už byla zmíněna, ale před ní ještě proběhl workshop Daniela Dočekala s názvem Rizika sociálních sítí a Webu 3.0 v praxi. Jak už jste si pravděpodobně všimli na dnešní titulce, přinesli jsme vám obsah tohoto zajímavého workshopu v samostatném článku.

TIB10 - Daniel Dočekal

Daniel Dočekal

Odpolední blok zahájil přednáškou o bezpečnostních prvcích platebních karet Petr SládekUniCredit Group. Na úvod stručně shrnul nejčastější způsoby získávání dat o kartách. Data jsou buď kopírována prostřednictvím mechanického zařízení na ATM nebo POS terminálu, nebo jsou získána prostřednictvím phishingu, případně krádeží dat z databází obchodníků, service providerů nebo bankovních domů. Od roku 2005 do roku 2009 byla přitom z databází ukradena data 250 milionů karet.

Loni byla ukradena data 100 milionů karet v USA a pravděpodobně stovky tisíc ve Španělsku. Škody, které souvisí s podobnými krádežemi, jsou samozřejmě finanční, ale také nepřímé, v ochotě klientů i nadále využívat platební karty.

Nejlepší ochrana – selský rozum

Následoval panel, ve kterém se diskutovalo o nejbezpečnějších formách platby na Internetu, přišla řeč i na v Česku stále neotřesitelně oblíbenou dobírku. Podle Petra Sládka je v současné době nejbezpečnější technologií pro online platby platebními kartami 3D SECURE. „Nejdůležitější bezpečnostní prvek je ale vaše vlastní hlava,“ dodává. Obchodník, který podporuje 3D SECURE, se vůbec nedostane k údaji o kartě, čímž odpadá možnost odcizení dat z jeho databáze. Žádná česká banka ale v současné době karty zapojené do tohoto systému nevydává.

TIB - panel platební karty

Zleva: Richard Matula (Poštovní spořitelna), Vladimír Brož (McAfee), Petr Sládek (UnicreditGroup), Karel Kadlčák (Sdružení pro bankovní karty).

Podle Karla Kadlčáka ze Sdružení pro bankovní karty, může být důvodem i to, že podvody tohoto typu nejsou příliš časté, a proto je investice do nového zabezpečení těžko odůvodnitelná. Vladimír BrožMcAfee zase apeloval na internetové uživatele, aby používali selský rozum a nebrali na lehkou váhu zabezpečení počítače, ze kterého nakupují. „Obliba platby na dobírku v ČR souvisí s nedůvěrou platit za zboží dopředu,“ prohlásil na adresu stále nejpopulárnějšího způsobu platby na českém Internetu Richard MatulaPoštovní spořitelny.

Krade se nenápadně, i malé částky

Svojí trochou do mlýna přispěl i Patrick Zandl, šéfredaktor Lupa.cz, pohovořil o nových metodách okrádání na Internetu. Dnes už se nesetkáváme s hackery, kteří převáděli najednou miliony dolarů a pak skončili za branami věznice. Zloději kradou spíše menší částky, nenápadně, ale dlouhodobě, proto se jejich potenciální obětí může stát téměř každý. Podle Zandla už také zmizeli hackeři, kteří svými útoky chtěli na něco upozornit, dnes jde už jen čistě o peníze.

CIF16

Proč nejsou systémy bezpečné, když platební karty existují několik desítek let? „Hlavním problémem je skutečnost, že tyto systémy jsou komplexní a tudíž také velice těžko testovatelné,“ objasňuje Zandl. Jelikož uživateli platebních systémů jsou lidé, stále dobře funguje sociální inženýrství. Bezpečnostní hrozby se podle Zandla skrývají i v sociálních sítích, kdy uživatelé nedokážou rozlišit, zda odkaz na video posílá opravdu jejich kamarád nebo červ. Co nás letos čeká? „Falešní přátelé na sociálních sítích, nárůst útoků na mobilní platformy a Mac nebo zneužívání zkračovačů adres,“ předpovídá Zandl.

Foto: Tomáš Tesař, Internet Info

Anketa

Myslíte si, že jste dostatečně chráněni proti internetovým hrozbám?

2 názory Vstoupit do diskuse
poslední názor přidán 17. 2. 2010 13:30

Školení Google Analytics pro pokročilé

  •  
    Jak využít nové funkce Google Analytics
  • Vyhodnocování pomocí Multichannel funnels
  • Neopakujte chyby při vyhodnocování dat.

Informace o školení Google Analytics pro pokročilé »