Temat: Bezpieczna bnakowość internetowe - proszę o wyrazenie opinii
Przemysław O.:
Z moich obserwacji wynika, że banki zdecydowanie nie pozostają obojętne i dokładają wszelkich starań, aby klient czuł się bezpiecznie. Niezbędnym elementem do zachowania bezpieczeństwa po stronie klienta jest jednak również zdrowy rozsądek i stosowanie się do zasad korzystania z rozwiązań bankowości internetowej.
Cóż, raczej ciężko byłoby stwierdzić że banki nic nie robią w temacie bezpieczeństwa jednakże moje obserwacje jakoś niespecjalnie wskazują jakieś szczególne ich zaangażowanie w coś więcej niż chęć własnego zysku, bezpieczeństwo w pewnym stopniu zrzucając na użytkownika. Przykłady z ostatniego czasu:
- w jednym z banków do pewnego czasu wszelkie płatności internetowe wymagały autoryzacji SMS-em, niedawno ktoś raczył zdecydować że przelewy do zdefiniowanych odbiorców autoryzacji wymagać nie będą. Teoretycznie sprawa wagi niewielkiej, ale jednak jest pewnym maleńkim kroczkiem wstecz.
- w drugim z banków od ok 2000 roku autoryzacje przeprowadzane były za pomocą tokena, ostatnimi czasy możliwość ta owszem istnieje, lecz bank stara się za pomocą ogromnej ilości spamu (bo jak to inaczej określić), oraz wprowadzając wątpliwie nieuzasadnione opłaty za używanie tokena, przekonać użytkowników do zmiany formy autoryzacji transakcji na SMS-ową. W mojej opinii to akurat jest znaczący krok wstecz i ewidentne przerzucenie odpowiedzialności na klienta, gdyż w końcu to on teraz ma się martwić o zasięg, czy też o zabezpieczenie urządzenia mobilnego. Na dzień dzisiejszy wielu użytkowników korzysta jak wiemy z urządzeń opartych na androidzie, a ten to można lubić bądź nie, ale akurat nazwać systemem bezpiecznym to już wymagałoby jednak pewnej dozy fantazji. Pomijając same "szpiegowskie" właściwości systemu, to ilość softu służącego to przechwytywania SMS-ów jest ogromna. Stwierdzenie że to użytkownik ma zadbać o swój sprzęt, nie twierdzę że jest pozbawione racji, ale pewne wątpliwości jednak budzi.
Niedawno gdzieś czytałem raport z badania bankowych aplikacji na urządzenia mobilne służących do obsługi konta w którym zawarte informacje również nieco intrygują jeżeli chodzi o bezpieczeństwo:
" Z badań Ariela Sancheza z IO Active Labs przeprowadzonych na 40 aplikacjach należących do 60 największych banków świata wynika, że 40 proc. programów nie sprawdza autentyczności używanych certyfikatów SSL, a 20 proc. komunikuje się bez żadnego szyfrowania."
Tak więc sprawa starań banków o bezpieczeństwo wcale nie jest taka oczywista...
Tymczasem klienci często wcale nie czytają umów, które podpisują w bankach, by następnie pisać skargę, że coś wydarzyło się inaczej niż się spodziewali.
Przykładem może być regres zakładu ubezpieczeń towarzyszący usługom bancassurance, na który zwracał uwagę jakiś czas temu Rzecznik Ubezpieczonych.
Temat umów bankowych czy ubezpieczeniowych i zapisów w nich, mógłby z powodzeniem służyć za osobny wątek i może tego nie roztrząsajmy ;) Choć akurat w zeszłym tygodniu udało się jakiejś grupie klientów MBanku czy Millenium wygrać sprawę odnoście kosztów kredytów hipotecznych, więc nie twierdźmy jednak że co tam bank da do podpisania to jest święte ;)
Podzielając pogląd Doktora Janusz Zawiły - Niedźwieckiego, chciałbym zwrócić uwagę, że rozwiązania techniczne są skomplikowane, drogie, nie w pełni skuteczne, dlatego w mojej opinii rozsądniej jest poszukiwać rozwiązań prawnych i organizacyjnych.
Rozwiązania organizacyjne jak najbardziej, jednakże z rozwiązaniami prawnymi to bym jednak polemizował i to obojętnie czy ma to być prawo cywilne, karne czy też boskie. Bądźmy poważni, przestępcy raczej to nie obchodzi za specjalnie. Tym bardziej że nie robią takich rzeczy gimnazjaliści z Neostrady raczej i ich odnalezienie wcale nie jest takie oczywiste, bo wbrew medialnym doniesieniom, anonimowość w internecie można sobie jednak w różne sposoby zapewnić, a i ślad po przelanych pieniążkach można zgubić.
Na jak duże ryzyko narażony jest klient bankowości mobilnej, który dokłada wszelkich starań, aby nie paść ofiarą ataków hakerskich?
Na ogromne, czasy infekowania systemów plikiem .exe minęły dawno i bezpowrotnie, dziś może się to stać choćby za pomocą reklamy wyskakującej na z pozoru bezpiecznej stronie, przy najlepszym zabezpieczeniu antywirusowym.
Wracając do tematu wirtualnej maszyny... czy jest sens się w to bawić biorąc pod uwagę że istnieją na rynku przeglądarki które działają w odseparowanym środowisku ? Ciężko ocenić... choć powątpiewam nieco.
Edit:
"Kup router z USA, podsłuch NSA dostaniesz gratis
Stany Zjednoczone od lat ostrzegają przed kupowaniem routerów produkowanych w Chinach, gdyż zawierają one backdoory - narzędzia, które pozwalają na podsłuchiwanie całego ruchu sieciowego przechodzącego przez chiński router. Okazuje się, że amerykański rząd robi to samo...
Propaganda w Stanach okazała się tak skuteczna, że chiński producent sprzętu Huawei zdecydował się na opuszczenie tamtejszego rynku. Ren Zhengfei - prezes i założyciel firmy powiedział, że jeśli Huawei ma przyczynić się do pogorszenia stosunków pomiędzy Chinami i USA, to pozostawanie na amerykańskim rynku nie jest tego warte. Warto też dodać, że nikt nigdy nie przedstawił żadnych obciążających dowodów przeciwko Huawei.
W przypadku amerykańskich producentów sprzętu sieciowego - routerów, modemów, serwerów, etc, sytuacja jest nieco inna. W swojej książce pt. No Place To Hide (Brak Kryjówki), Glenn Greenwald przedstawia bardzo ciekawy raport amerykańskiej Agencji Bezpiczeństwa Narodowego z 2010 roku, z którego wynika, że agencja jest w stanie wejść w posiadanie dowolnego urządzenia do komunikacji sieciowej wyprodukowanego w Stanach, zainstalować na nim swoje narzędzia szpiegowskie, wsadzić je z powrotem do opakowania producenta i wysłać do sklepu/końcowego odbiorcy.
Ciekawe jak na te doniesienia zareagują Chińćzycy? Może w ramach walki o swobody obywatelskie Amerykanów Huawei powróci na tamtejszy rynek?"
Źródło:
http://www.chip.pl/news/bezpieczenstwo/monitorowanie-i...
Jeżeli dostęp ma NSA to raczej trudno wykluczyć możliwość, że nikt inny tegoż dostępu nie ma. I teraz załóżmy iż jakiś jegomość raczy połączyć się ze swojego smartphone za pomocą aplikacji bankowej przy użyciu domowej sieci Wi-Fi. Aplikacja ta komunikuje się bez żadnego szyfrowania w tym zapewne wysyła jakieś dane uwierzytelniające. W razie włamu ciężko chyba byłoby uznać iż to użytkownik nie zachował rozsądku ?
Ten post został edytowany przez Autora dnia 14.05.14 o godzinie 13:40