Pro pohodlí čtenářů by to tam asi mohlo být zmíněno. Ale každý na to může přijít sám.
Stačí si položit otázku: Mám internetové bankovnictví, které funguje tak a tak. Co se stane, když někdo sleduje můj počítač pomocí keyloggeru a je tedy schopen zaznamenávat obrazovky i stisknuté klávesy?
Příklad: certifikát nestačí, útočník s keyloggerem má můj certifikát a zná jeho klíč (heslo). Ověření přes SMS je odolné - útočník může požádat o transakci, ale nemůže si ji potvrdit.
Ověření přes SMS bude odolné jen do té doby, než se začnou mezi zloději šířit přístroje na odposlech mobilní komunikace, podobně jako se dnes šíří čtečky magnetických proužků. Nebo stačí, aby si někdo okopíroval vaši SIM kartu a zapnul kousek od vás rušičku mobilního signálu.
Jediné zabezpečení SMS totiž vyplývá z GSM protokolu.
To je sice možná (trochu zveličená) pravda, ale útok louskáním GSM už je o dost složitější. Riziko pro nás, běžné uživatele s pár korunami na účtě, je naštěstí mizivé :)
Hurvinek by to mel slozitejsi, poslouchat mobil opravdu tezke neni. Totiz, kdyz budu dostatecne blizko (stovky metru), nepotrebuju ani nabourat GSM, staci poslouchat ten konkretni mobil.
Ověření přes SMS bude odolné jen do té doby, než se začnou mezi zloději šířit přístroje na odposlech mobilní komunikace, podobně jako se dnes šíří čtečky magnetických proužků.
1. Jak už bylo napsáno výše, tohle zloděj pro pár tisíc dělat nebude.
2. Pokud se bude jedna o milióny, tak asi nebudu používat oveření přes SMS. ;-)
No a u ověření přes GSM Banking by tenhle problém být neměl, protože je, pokud vím, přenos zpráv šifrovaný.
Ne tak docela. Overovani pres sms je v sifrovane podobe a sms desifruje az aplikace sim toolkit na vasi sim karte. A pokud je mi znamo, zatim nejde takovou sim kartu zkopirovat i s aplikaci. Takze dotycnemu sice sms prijde ale v nepouzitelne podobe. Tohle je fakt hodne neprustrelne.
Keylogger umoznuje predat utocnikovi vse, co vytukate na PC klavesnici. Takze castecne (riziko prodlevy) odolna jsou jednorazova hesla (napr. pres SMS nebo kalkulator). Bezpecne jsou napr. sifrovaci karty (napr. nedobytne USB tokeny s SSL klicem) a nejlepe s vlastni integrovanou numerickou klavesnici na zadani passphrase (ochrana pri odcizeni). Je to jedna z nejsilnejsich autentizacnich metod, bohuzel jeji cena a rozsirenost v nabidce bank je pro normalniho cloveka ponekud neprijatelna.
Když někdo odposlechne jednorázový kód, je mu zcela k ničemu. Jde použít jen jednou a mění se dle platby. Takže při změně částky či čísla účtu je jiný.
Různé USB tokeny jsou sice hezké, ale musíte mít podporu OS a někdy i prohlížeče, jinak je to jen drahý přívěšek na klíče. S autentizační kalkulačkou se nemusíte bát přístupu na bankovnictví ani z neznámého počítače a funguje to i v lynxu.
Pokud se jedná o inteligentní čipovou kartu, kdy vlastní certifikát nemůže opustit kartu a odpověď se šifruje přímo na kartě, odposlech na dnešní úrovni techniky není možný.
Pokud se jedná o kartu, která pouze obsahuje certifikát, pak není rozdíl oproti certifikátu na disketě nebo disku a zákeřně pozměněný software počítače jej zkopíruje.
Vas optimismus nesdilim. Dnes muzete pomoci specialnich metod reversniho inzenyrstvi ziskat z jakekoliv karty cokoliv. Tyto "utoky" jsou provadeny ve spickove vybavenych laboratorich. Z cipu je odstranen plastovy kryt, napriklad pomoci par z kyselin. Takto "nahy" cip muzete analyzovat pomoci laserovych paprsku (miniaturnimi laserem vypalenymi otvory), teplotniho vyzarovani, ... Proti temto utokum na temer "atomarni" urovni v podstate neni obrany.
Kdyz jsme u toho sifrovani, jako priklad lze uvest chybu v algoritmu COMP 128, ktery se pouzival k ochrane udaju na SIM karte. Za cca. tri hodiny bylo mozno kartu rozkodovat a udelat jeji klon
V podstatě jsme každý den svědky, kterak zloděj krade chipovou kartu, podrobí ji výzkumu ve špičkově vybavené laboratoři, na základě zjištěných dat vyrábí kopii a tu hodlá použít, aby narazil na limit pro použití u obchodníka nebo terminálu. Např. hash se dá taky vypočítat a SSL komuniace odposlechnout a modifikovat, ale vrásky to nikomu nedělá - proč asi.
