Jsme oběti vlastního pohodlí?

Glosa
26
Jsme oběti vlastního pohodlí?

Poslední doba je zvláště bohatá na nejrůznější bezpečnostní incidenty. Za všechny vybereme tři zajímavé, které mají jednoho společného jmenovatele. Lidská pohodlnost a snaha neudělat byť jen jedno jediné kliknutí navíc je v jasném rozporu se snahou o co nejlepší zabezpečení. Jenže komu není rady…

Do banky na jedno kliknutí. Pro všechny

Tu aféru snad zaznamenal každý. Mluvilo se o ní v televizi a psalo se o ní v novinách. Není divu, vždyť také „uloupená“ částka šplhala do statisíců, což se nepodaří leckterému zakuklenci, který napochoduje na pobočku banky s brokovnicí. Plán to přitom nebyl nijak složitý. Aplikace pro nahrávání hovorů stažená z oficiálního zdroje dostala s poslední aktualizací nemilý dáreček: naučila se vytvořit neviditelnou vrstvu nad cílovou aplikací, tedy internetovým bankovnictvím, a snímat přihlašovací údaje. Společně s přístupem ke zprávám SMS, které slouží jako ověřovací klíč, dostane útočník plný přístup k účtu v napadeném telefonu.

Je to zdvižený prst pro všechny uživatele, jak snadno mohou být napadeni. Nemusíte mít rootnutý telefon. Nemusíte stahovat podezřelé aplikace nebo warez. Nemusíte surfovat na závadných stránkách. Všechno pečlivě aktualizujete. A pak jen odkliknete nějaké aplikaci nějaké oprávnění. Ruku na srdce – kdo z nás pečlivě studuje, k čemu má daná aplikace přístup, zvlášť, když se bezpečnostní politika mění skoro v každé verzi Androidu? Požadavek na vykreslení přes ostatní aplikace přeci není u aplikace nahrávající probíhající hovor nic výslovně podezřelého…

Vzpomínám si, jak jsem zprovozňoval jedno z prvních elektronických bankovnictví pro PC. To obnášelo instalaci osobního certifikátu, instalaci javy, instalaci čtečky čipových karet a další prvky. Zabralo to hodně času, hovorů na infolinku a nervů. Ale vtipkovali jsme, že jsou peníze v bezpečí, když se k nim nedostane ani právoplatný majitel. Dnes jsou si někteří lidé schopní stěžovat, že po nich chce bankovní aplikace v telefonu PIN při každém přihlášení.

A bude hůř. V poslední verzi Windows 10 zpřístupnil Microsoft možnost pracovat se SMS přímo na počítači. Ne že by to nešlo dřív, ale nyní se to nejspíš stane masovou záležitostí. Posílání SMS s kódem přitom mnoho bank používá jako druhý faktor pro zabezpečení přístupu k účtu. Nově tak bude útočníkům stačit kompromitovat pouze jedno zařízení…

1, 2, 3, 4… Jsme bohatí!

Když vám povím, že hacknuli Vodafone, tak si představíte nějakou skupinu vysoce sofistikovaných počítačových specialistů s prvotřídním vybavením. Opak je pravdou: několikrát trestaný muž z Teplic byl toho času nezaměstnaný a z nudy zkoušel v Samoobluze Vodafonu zadávat náhodná telefonní čísla a k nim heslo 1234. A překvapivě uspěl a ne jednou.

Jakmile se dostali k ovládání účtu, nechali si vystavit další SIM kartu, kterou si vyzvedli na prodejně. Tam jeho totožnost nikdo neověřoval, stačila opět znalost čísla a kouzelného hesla 1234. Nově vyzvednutá karta pak posloužila pro převod peněz pomocí prémiových SMS na účty sázkových kanceláří. Celková škoda se vyšplhala na 667 tisíc korun, což soud „odměnil“ třemi roky odnětí svobody.

Mezi poškozenými a operátorem se pak rozhořel spor o povahu hesla 1234. Někteří totiž ani netušili, že nějakou Samoobsluhu operátor nabízí a že ji mají aktivní. Od roku 2012 navíc systém banální kombinace nepovoluje a vyžaduje šestimístné heslo.

Opět ohlédnutí do minulosti. Zařizovat si v devadesátých letech tarif u operátora znamenalo spoustu papírování. Žádné samoobslužné portály nebyly a infolinka vás kvůli většině věcí hnala na pobočku. S občankou v ruce. Nový systém je pro zákazníka pohodlnější a pro operátora levnější. Ale je taky bezpečnější?

Usmívejte se, váš telefon bude svědčit proti vám

Do třetice tu máme výrobce telefonů. Pokud zrovna nesoutěží s ostatními o co nejtenčí rámečky okolo displeje, pak se snaží svým zákazníkům co nejvíce usnadnit používání jejich výrobků. To je bezesporu chvályhodné, ale hned první úkon je odemčení telefonu. Pryč je tak doba hesel nebo odemykacích gest – dnes musí mít i ty nejlevnější telefony alespoň čtečku otisků prstů a všichni vzhlížejí k posledním generacím iPhonů a jeho odemykání pomocí obličeje. Jenomže všechny tyto biometrické vychytávky mají jednu chybu: mohou být použity i proti vaší vůli.

Apple iPhone X face id

Zvláště u Applu je podobný vývoj poněkud paradoxní. Na jednu stranu vynáší do nebes soukromí svých uživatelů, a to i v případě, že spáchají masovou vraždu. Na druhou stranu si policie chodí do pitevny s telefonem pro jeho odemčení a v poslední době se objevují příběhy zločinců, kteří žalují policii, za to, že si jejich obličejem odemkla jejich telefon bez výslovného svolení.

A takto bychom mohli pokračovat dál a dál. Je to zkrátka nepřímá úměra: systém bude buďto jednoduchý, nebo bezpečný. Pokud budeme vyžadovat obojí najednou, brzy se nebudeme stačit divit.

Diskuze ke článku
Pacik
"všichni vzhlížejí k posledním generacím iPhonů a jeho odemykání pomocí obličeje"

Jsem asi divnej, ale na iPhone X jsem radši používal heslo, než odemykání obličejem - bylo to daleko více nepohodlné, a občas se stávalo, že telefon obličej nerozeznal, a spíše doufám, že brzy tuhle hloupost pohřbí a vrátí se k čtečce otisků...
kleinak
Asi jsem také ta třetina, kdo nezamyká telefon, aspoň se mi vrátí z 50% při ztrátě, protože s heslem mi ho už nikdo nikdy nevrátí ani v 1%.
Stejně tam nemám nic co by se dalo zneužít, žádná hesla, jen kontakty a fotografie o které mi jde hlavně.
Takže za mě, já si to heslo nedávám nikdy a už se mi 2x telefon vrátil, všem co mi ho vrátili, děkuji.
Petr Vabroušek
Nemám (a nebudu mít) mobil s přístupem na internet a když čtu podobné články jsem tomu více než rád. Občas mám pocit že čím "chytřejší" telefon, tím hloupější jeho majitel... :-)
Ondra
Mejte za paranoika, ale nikdy jsem si na mobil nenainstaloval jednou bankovni aplikaci, nikdy ho na bankovnictvi nepouzival a ani to nemam v planu... Radeji budu zit v iluzi, ze na desktopu je to bezpecnejsi, uz jen kvuli tomu, ze sms klic dochazi na mobil a jsou tak k tomu potrebna dve zarizeni, ne jedno. To, ze by si ode me z uctu nejaky potencialni utocnik stejne nijak moc nevzal, je vedlejsi ;)

Načíst všechny komentáře

Přidat názor

Nejživější diskuze