To čo ma však práve teraz dorazilo (preto píšem tento blog aj mierne emočne rozhodený), je však to, že v rámci modernizácie a zvýšenia bezpečnosti pri mojich transakciách bola zrušená GRID karta (kartička kódov) a autorizácia platieb prebieha prostredníctvom kódu odosielaného SMS správou na môj telefón.
Poviete si, kam s tým smerujem, lebo veď to dáva význam, GRID karta je predsa prežitok a hlavne tá sms naozaj zvýši bezpečnosť. A ja plne súhlasím. Ale...
Pri dnešnom zadávaní platieb som však túto sms nedostal a platba odišla bez akejkoľvek autorizácie.
No mierne povedané ma "nasral" text na obrazovke, v podaní serveru, že moja autorizácia bola vyhodnotená ako dostatočne bezpečná a nie je ďaľšia autorizácia potrebná... PROSÍM????
Kde to tí páni experti žijú?
Volal som, samozrejme na kontakt centrum, aby som si overil že je všetko v poriadku. A odpoveď? Samozrejme že je všetko v poriadku. Niekto alebo skôr niečo vyhodnocuje údaje prihlásenia a rozhodne či treba autentifikáciu, alebo nie.
Pani na kontakt centre bola milá a snažila sa mi vysvetliť že je to v poriadku, a až ma zamrzelo, keď som ju v polovici vety zastavil, ale neskutočne ma iritovali tie "tabuľkové" reči. Keď som sa spýtal na základe čoho je bezpečnosť vyhodnotená, oznámila mi že oni to nevedia, lebo potom by to už také bezpečné nebolo.
Tak ako laik vám o tom niečo poviem. A opravte ma ak sa mýlim.
V rámci prihlasovania je samozrejme dôležité meno a heslo. Meno je v prípade VUB banky rodné číslo. Smutné. A veľmi ťažko zistiteľné. Heslo, tak to je už iná káva. Samozrejme. Toto nekomentujem. Momentálne jediný bezpečnostný prvok.
Poďme ďalej.
1.) IP adresa - jedinečná adresa počítača prihláseného na sieť. Vo väčšine prípadov je dynamická, čo znamená že ak sa od internetu odpojíte (v určitých prípadoch musíte odpojiť router - tú krabičku s blikavými svetielkami a možno aj anténkou - cez ktorú sa počítač/telefón/tablet na internet pripája) a ak to spravíte je pravdepodobné že vaša predchádzaúca IP adresa bude pridelená niekomu inému. - NIE BEZPEČNÉ
2.) MAC adresa - obdoba IP adresy v sieti. Je unikátna (alebo by mala byť) pre každý sieťový adaptér. Možno to zjednodušiť ako adresu počítača. Ak má váš notebook WIFI a káblové pripojenie, pre každé z nich je táto adresa iná. Na internete však nájdete kopec softvéru, ktorý túto vie zamaskovať a zmeniť bez toho aby ste o tom čokoľvek museli vedieť. To znamená že ju môžete ľahko odcudziť. - NIE BEZPEČNÉ
3.) Cookies - súbory, ktoré sú ukladané v počítači pri spojení s takmer akoukoľvek webou adresou. Slúžia na jednoduychšiu identifikáciu, zrýchlenie komunikácie a ukladanie medziúdajov. Často sa uložia na disku a samé sa nevymažú. Tiež sú používané na zaznamenávanie aktivity počítača na internete. (Oficiálne na marketingové účely). Okrem iného sa s ich použitím dá zistiť či už ste webovú stránku naštívili predtým. Vzhľadom na to, že tento súbor je uložený v počítači, dá sa zmeniť, upraviť, kopírovať, preniesť. - NIE JE BEZPEČNÉ
4.) Verzia a typ operačného systému, názov užívateľského konta, typ a verzia prehliadača - Áno, aj toto zisťujú webové stránky pri ich návšteve. Prečo? Oficálne preto, aby zabezpečili kompatibilitu chodu tej ktorej aplikácie, nachádzajúcej sa na internete. - NIE JE BEZPEČNOSTNÝ PRVOK
Určite tých prvkov môže byť viac, ale nepochybujem o tom, že minimálne jeden z týchto prvkov je zaradený aj v spomínanom softvéri ktorý rozhoduje o bezpečnosti relácie s mojou bankou.
To že používa zabezpečený certifikát na spojenie s bankou ma neukľudní.
Ak teda vezmeme do úvahy vyššie napísané, ja ako laik, vám viem vyrobiť virtuálny počítač ktorý bude mať vlastnosti a identifikáciu vášho počítača pri ktorom sedíte. Iba za predpokladu, že mám vyrobenú webovú stránku a tátop tieto informácie o vás, bez vášho vedomia, získa. Nepotrebujem vírusy ani nič podobné, toto všetko je legálne.
Jediné čo budem musieť zistiť je vaše heslo. To je celkom málo na vybielenie účtu, nemyslíte????
Tam mi už môže pomôcť šikovný trojan umietnený vo vašom počítači.
Ja ako laik by som mohol mať problém so získaním vašej IP adresy, pretože táto je momentálne aj geograficky podmienená. To znamená že niekto z BA by nemal dostať IP adresu ako niekto z KE. Ale to nie je vždy pravidlo. Dôležitý je poskytovateľ internetu a jeho spôsob pripájania sa na uzol. Ale ako píšem, ja som len laik.
A zjavne ničomu nerozumiem....