Internetové bankovnictví se stalo důležitou službou každé banky a zkušenosti spojené s jeho provozem jsou důležité pro celý obor počítačové bezpečnosti. Podle přístupu k novým hrozbám a podle způsobu jejich řešení je možné velmi dobře odhadnou jak jsou banky, počítačové firmy i státní orgány připraveny na řešení situací, kdy dojde k sofistikovanému útoku na servery nebo počítače jednotlivých uživatelů.
Internetové bankovnictví se používá již víc jak 15 let. To je dlouhá doba v životě člověka i pro vývoj počítačových aplikací. Přesto se stále hovoří o nezkušených a nepozorných uživatelích, kteří jsou prý bezpečnostním rizikem tohoto řešení. Chování uživatelů se dá těžko od základů změnit. Co bylo a je možné změnit, to jsou kontrolní mechanismy v internetovém bankovnictví. Dále bylo a je možné změnit i přístup bank, ICT firem a státních úřadů. Internetové bankovnictví je služba bank, které se rozhodly nabízet své služby “na dálku” prostřednictvím sítě Internet, místo obsluhy klientů na pobočkách. V prostředí internetového bankovnictví i celého oboru počítačové bezpečnosti platí, že pokud se problém pouze odsune a nevyřeší, tak se stejný problém po čase vrátí v mnohem vážnější podobě.
Již v letech 2002 - 03 se objevily v ČR první případy vykradených účtů přes internetová bankovnictví. Na počátku listopadu 2015 se nevyřešený problém vrátil a opět se objevily případy kdy byly platícím klientům z jejich účtů odcizeny peníze.
I s odstupem 12 -13 let mají případy několik společných rysů. Nejvážnější je skutečnost, že základní problém s zajištěním bezpečnosti uživatelských počítačů nebyl ani za 12-15 let vyřešen. Přitom hlavní chyba není v uživatelích, jak se snaží tvrdit někteří „odborníci“, ale v spočívá v samotných základech celého oboru ICT. Na dalších řádcích toto vážnou věc vysvětlím.
V roce 2004, přesněji v čísle 4 časopisu Ekonom jsem psal o jednom z prvních případů vykradeného účtu přes internetové bankovnictví. Hlavní rizika spojená s internetovým bankovnictvím se od té doby nezměnila, stále jsou podvodníci rychlejší než antivirové programy a „IT odborníci“ si to stále odmítají přiznat a nechtějí řešit skutečné příčiny problému.
Už v letech 2002 – 03 někteří „odborníci“ tvrdili, že největší problém představuje uživatel počítače. Možná někteří uživatelé nejsou dokonalí. Jenže již tehdy existovaly počítačové viry, které byly schopné obelstít aktuální antivirové programy. To je základní a hlavní úskalí bezpečnosti internetového bankovnictví, i když bude uživatel pečlivý a obezřetný, tak se může stát obětí sofistikovaného útoku. Tedy na rozdíl od platebních karet s čipem nemusí v případě internetového bankovnictví uživatel nic zanedbat a přesto se může stát obětí útoku počítačového podvodníka.
V případě čipových platebních karet je velká jistota, že bez PINu nemá podvodník šanci se dostat k penězům. Pokud podvodník použije kartu s čipem a hned na první pokus zadá správný PIN, tak je velká pravděpodobnost, že uživatel měl v peněžence vedle čipové platební karty i lísteček s PINem. To je jasná chyba klienta. V prostředí počítačů, mobilů a internetového bankovnictví situace tak jasná nikdy nebyla a není.
Stále se opakující problémy
V posledních 10 - 15 letech dokázali tvůrci počítačových virů, že když chtějí, tak se dokáží dostat i do relativně dobře zabezpečeného počítače nebo lokální sítě. Příkladem může být virus STUXNET, objevení počítačového viru na několika počítačích Nejvyššího státního zastupitelství ČR nebo americkém vládním personálním úřadu OPM, objevení viru Regin v notebooku jednoho z asistentů kancléřky Merkelové, atd.
Nemá smysl přemýšlet a diskutovat o tom zde je některý operační systém bezpečnější než ostatní. Počítačoví podvodníci opakovaně prokázali, že se dokáží dostat do Windows, Androidu, Linuxu, Mac iOS, atd. V případě některých OS je napadení složitější, v jiných jednodušší, ale do všech komerčně dostupných operačních systémů se počítačoví podvodníci a viry dokáží dostat.
Díry ve Windows
Od roku 2011 jsem dělal analýzy zveřejněných slabin v nejrozšířenějším operačním systému. Hlavním cílem mého zkoumání bylo nalézt odpověď na otázku, jak se mohl sofistikovaný virus dostat do počítače nebo firemní sítě, když uživatelé byli obezřetní a dodržovali všechna doporučení.
V průběhu roku 2010 bylo zveřejněno 80 chyb v operačním systému Windows 7, z toho 54 chyb bylo společných s verzemi Windows Vista a XP. Dokonce 31 chyb bylo společných pro verze od Windows 2000 až po verzi 7. V roce 2011 se jednalo o 83 slabiny, které byly společné pro Windows 7, Vista i XP. V roce 2012 se z 50 slabin týkalo 44 i předchozích verzí Windows Vista a XP.
Takže víc jak 180 slabin a zadních vrátek bylo v operačním systému minimálně 10 let. To už je dost dlouhá doba proto naučit se programovat a vytvořit sofistikovaný virus, který antivirové programy neodhalí.
V případě prohlížečů, modulu JAVA nebo Flash byla a je situace podobná. Někdo by mohl namítnout, že se jedná o stará data. Dnes (v prosinci 2015) je již půl roku k dispozici Windows 10. Jenže za necelý půlrok již bylo zveřejněno víc jak 30 slabin v této verzi operačního systému, které jsou společné s předchozími verzemi Windows 8.1, 8, 7 a Vista. Jedná se o chyby, jejichž detailnější popis najdete, když do vyhledávačů zadáte číslo některé z chyb, například CVE-2015-2433, CVE-2015-2465, CVE-2015-2518, CVE-2015-2553 a další.
Z toho je patrné, že přístup velkých SW firem se v čase nemění. Navíc útok přes zatím neznámou slabinu (0 day attack) velmi často unikne pozornosti i antivirů a dalších bezpečnostních programů, takže běžný uživatel nemusí nic zanedbat a přesto se do jeho počítače nebo telefonu může dostat hacker.
Pozice bank
V případě čoudících naftových motorů se právníci neváhali pustit do sporu se společností VW. Ano, podvádět se nemá. Podle mne by to mělo platit jak v prostředí naftových motorů, tak i v prostředí SW a především operačních systémů.
Banky, ať české nebo jejich zahraniční majitelé by mohli tlačit na výrobce, aby zvyšovali kvalitu svých výrobků – operačních systémů. Takový přístup by pomohl bankám, internetovému bankovnictví a zprostředkovaně i celému oboru ICT.
I za současného stavu nejsou banky rozhodně bezbranné. Po každém přihlášení uživatele k účtu zůstanou v bankovním systému stopy. Stačí rychle a správně vyhodnotit údaje o počítači uživatele, místě odkud se přihlašuje a jakou operaci provádí. Z takových údajů je možné s velkou pravděpodobností určit co je jednání uživatele a co je činnost podvodníka, který se vydává za uživatele. Podobně je možné jasně vystopovat i cestu peněz. Jenže je to pracné a drahé. Mnohem jednodušší je přesvědčit vedení banky, že problém je v nezkušených uživatelích.
V takových podmínkách se snadno může stát případ jako v listopadu 2015, kdy byly uživatelce ukradeny z účtu statisíce korun přes aplikaci v chytrém telefonu, i když takovou aplikaci před tím uživatelka pro obsluhu nikdy nepoužila a obsluhovala svůj účet přes klasické PC ve své pracovně. Banka měla takové informace ve svém systému a přesto řešila reklamaci velmi chladně (taktně řečeno).
Projev J.F. Kennedyho „We Choose to go to the Moon“ a program Apollo
V případě internetového bankovnictví i cyber bezpečnosti to vypadá, jako by 15 let bylo málo k vyřešení stále se opakujících problémů s počítačovými viry a bezpečností. Co když se v tomto oboru dělá od počátku něco špatně? Zkusme si porovnat program Apollo a SW programy.
V září 1962 řekl americký president J. F. Kennedy, že do konce desetiletí dokáží Spojené státy dopravit svého občana na povrch měsíce a zpět na Zemi. V programu Apollo museli vědci, inženýři a manažeři vyřešit mnoho nových úkolů z oblasti fyziky, chemie, ale třeba i z oblasti řízení velkých projektů. Výsledkem úsilí bylo úspěšné přistání lunárního modulu Apollo 11 na povrchu Měsíce a následně i bezproblémový návrat celé posádky zpět na Zem. To vše zvládli za 8 let.
Tvorba počítačových programů je čistě lidská práce. Není nutné se vypořádat s gravitací nebo kosmickým zářením jako v případě programu Apollo. Chyby v programech jsou způsobené špatnou prací konkrétních lidí nebo celých firem.
Špatný pohled „odborníků“
V programu Apollo nebo i v tak pozemských věcech jako je konstrukce mostů, automobilů nebo letadel vždy konstruktéři hledají nové cesty a nová řešení. Říká se tomu technický pokrok a zákazníci to vyžadují. Navíc je samozřejmé, že tvůrci jsou odpovědní za to, že most nespadne, automobil bude brzdit, hračky nebudou obsahovat škodlivá změkčovadla, atd.
V případě návrhu a tvorby operačních systémů a dalších programů prosadili PR zástupci tvůrců SW názor, že lépe a kvalitněji to nejde naprogramovat a největší bezpečnostní riziko pro „jinak dokonalé“ systémy představují uživatelé.
Když porovnáte na jedné straně názory „odborníků“, že uživatelé jsou nepozorní a jsou největším rizikem pro internetové bankovnictví i počítačovou bezpečnost a na druhé straně fakt, že tvorba SW je čistě lidská práce, tak mi z toho vychází jediné, buď odborníci na IT bezpečnost nejsou, tak velkými odborníky a nepochopili souvislosti v ICT oboru nebo situaci chápou ale běžným uživatelů, politikům, majitelům firem a novinářům záměrně lžou. V každém případě se jedná o mnohem vážnější situaci než v případě kouřících naftových motorů.
Výstižný pohled
Nedávno v jednom z rozhovorů Zdeněk Troška citoval Helenu Růžičkovou "říkala: Všechna nedorozumění, neshody a problémy vznikají tím, že věci nepojmenujeme pravým jménem. Pořád lžeme, obelháváme sebe i ostatní, mlžíme, chodíme kolem horké kaše a zbaběle se schováváme za slovíčka, která nic neřeší a všechno jen komplikují. Pod zdáním mnohdy horečné práce se skrývá jen mlácení prázdné slámy. A když někdo řekne nebo udělá něco popravdě, jsme buď (jako) zděšeni, co si to vůbec dovolil, anebo pod špatně skrývanou závistí dotčeni, že jsme s tím nepřišli první.“
Výstižné označení mnoha problémů okolo nás a dvojnásob to platí v prostředí počítačů, Internetu a jejich zabezpečení. V běžném, ne-počítačovém světě i v celého oboru počítačové bezpečnosti platí, že pokud se problém pouze odsune a nevyřeší, tak se stejný problém po čase vrátí v mnohem vážnější podobě.
Před lety jsme začali používat dotykové mobilní telefony s vlastními operačními systémy a výkonem, který je často větší než výkon několik let starých stolních PC, ale jejich zranitelnost je úplně stejná jako u stolních počítačů. Stále častěji počítače řídí výrobní linky nebo zásobníky chlóru, případně ethylénu. Automobilky nám ukazují vozy, které dokáží jezdit bez zásahu řidiče a budou ovládány pouze počítači. To jsou novinky, které mohou být úžasným pomocníkem nebo záludným nepřítelem.
Stále se opakující problémy s vykradenými účty přes internetová bankovnictví, dále chyby, které byly v několika po sobě jdoucích verzích operačního systému aniž by byly opraveny a navíc názory „odborníků“, že lépe není možné vytvářet SW jsou obrovskou hrozbou a je třeba konečně nalézt skutečné řešení, protože pokud se problém pouze odsune a nevyřeší, tak se stejný problém po čase vrátí v mnohem vážnější podobě.
