Kybernetická kriminalita je dnes na vzestupu, zatímco klasická kriminalita klesá. A boj s kybernetickou kriminalitou mimo jiné naráží i na to, že není jasné, jakým způsobem s ní bojovat a kterým směrem se na této cestě vydat.
S Urielem Maimonem Inside hovořil zejména na téma bezpečného internetového bankovnictví.
Základním ideálem bezpečnosti byl firewall
„Před patnácti lety byl největší hrozbou bezpečnosti útok z vnějška, a proto vznikl firewall. Svůj účel splnil, ušetřila se spousta peněz a objevil se nespočet příležitostí k podnikání,“ začíná Maimon malým odbočením k historii počítačové bezpečnosti. „Dnes vidíme pouze zhruba 4 % útoků zvenčí, a to právě díky firewallům,“ dodává.
„Největšími hrozbami bezpečnosti jsou v současné době hlavně útoky zevnitř – 49 % z nich má na svědomí ztracený laptop, notebook či jiné zařízení. Pouhých 9 % jsou přímo útoky zevnitř, 10 % ztracené papírové záznamy a 13 % přichází od vnějších partnerů,“ doplňuje výčet nejčastějších a nejmarkantnějších bezpečnostních rizik.
Ideální internetové bankovnictví by nejspíš bylo takové, které používá čistě biometrická zabezpečení. Samozřejmě až do okamžiku, než by vám někdo prst usekl a pořídil si tak váš otisk prstu. Ne vždy je ale vysoká úroveň zabezpečení přijatelná. A to jak na straně uživatele, tak na straně banky či firmy.
Co z toho plyne:
Útoky na bankovní účty a online účty je vhodné zastavit ještě předtím, než nastanou. Pokud to není možné, je nutné zamezit odchodu peněz tam, kam nemají. Podle Uriela Maimona i společnosti RSA je nutné, aby banky používaly monitoring v reálném čase. Takový monitoring, který zjistí vše podezřelé včas.
Organizovaný zločin, to je to, oč tu běží
„Stojíme proti organizovanému zločinu a krádežím identit. Každý měsíc evidujeme na 15 000 útoků tohoto druhu, zatímco když jsme začínali, byly to tak dva útoky,“ upozorňuje.
Podle Maimona už dnes není problémem ani autentizace či autorizace. Mezi náročnější oblasti se neřadí ani šifrování komunikace. Dnešní počítačová kriminalita v oblasti finančnictví a bankovnictví je organizovaná a má charaktery podnikání. „Představte si databázi obsahující 300 tisíc údajů z kreditních karet používanou jako součást útoku na banky ve stovkách zemí,“ dodává.
„Podívejte se na Rock Phish group, phishingový gang, který je podle všeho zodpovědný za zhruba polovinu phishingových útoků,“ uvádí konkrétní příklad.
Jaké internetové bankovnictví je bezpečné?
„Jaký je vztah mezi bankami, které využívají elektronické klíče, a těmi, jež praktikují běžný systém uživatelských jmen a hesel? Implementace silnějšího zabezpečení bankovnictví vede k více ukradeným identitám,“ shrnuje Maimon jeden z hlavních problémů.
Dnešní útoky na elektronické bankovnictví běžně používají metody „man-in-the-middle“. Ty operují s nastrčenými webovými stránkami nebo s tzv. trojskými koni, s jejichž pomocí v reálném čase získávají autorizační a autentizační údaje. Následně, resp. okamžitě poté, je využívají pro přístup k bankovním účtům i transakcím.
„Kybernetická kriminalita má jediný zásadní problém, nedostatek bílých koňů. Získané peníze je potřeba bezpečně dostat na cílové místo. Bílý kůň je klíč k výběru peněz.“
Jedním z problematických prvků bezpečnosti v internetovém bankovnictví je samozřejmě člověk. „Moje matka nikdy nebude kompetentní,“ upozorňuje Uriel Maimon. A dodává, že její banka sice má čtečku autentizačních karet, ale ve skutečnosti to stejně nic nezaručuje.
se specializuje na ochranu on-line identit a digitálního vlastnictví. Patří k významným producentům bezpečnostních technologií pro internet. A je také průkopníkem v oblasti silné autentizace a šifrování. Založena byla v roce 1982 autory tzv. šifrovacího algoritmu RSA – Ronem Rivestem, Adim Shamirem a Leonarden Adlemanem. Sídlo společnosti je v Bedfordu v americkém státu Massachusetts a pobočky v Austrálii, Irsku, Izraeli, Velké Británii, Singapuru, Indii, Číně, Hong-Kongu a Japonsku. Od roku 2006 patří RSA společnosti EMC.
Nejlepší by byla biometrická ochrana
Jména a hesla, elektronické klíče, autentizace prostřednictvím mobilních telefonů – to vše patří k problematickým řešením. Podle Maimona vždy platí tzv. „silver-bullet-mentality“ – jedna věc nikdy neřeší všechny problémy. Biometrická identifikace by byla podle všeho nejlepší, ale vedle objektivního snížení rizika podvodů by musela být nákladově efektivní, nasaditelná v přijatelném čase a kompatibilní napříč systémy a institucemi.
„RSA se snaží o něco jiného, zastavit peníze získané podvodem předtím, než opustí banku, případně zastavit útoky ještě předtím, než se do banky dostanou,“ tvrdí Maimon. „Jedno řešení skutečně není pro všechny, pokud máme doporučit nějaké konkrétní, musíme analyzovat a najít vhodný mix,“ dodává.
V otázce monitoringu transakcí je RSA, respektive Uriel Maimon, poněkud skoupý na slovo. Nicméně jedno je podstatné. Některé české banky již používají monitorování transakcí, které právě RSA dodává.
Boj a marný boj
Kybernetická kriminalita je dnes na vzestupu, zatímco klasická kriminalita klesá. A boj s kybernetickou kriminalitou, podle Maimona, mimo jiné naráží i na to, že není jasné, jakým způsobem s ní bojovat a kterým směrem se na této cestě vydat.
Výše zmíněná Rock Phish group podle některých pochází z Ruska, podle jiných z Rumunska. Ke své činnosti využívá klasické bot-net aktivity, jež slouží jak k rozesílání phishingových mailů, tak k poskytování stránek pro sbírání údajů od napadených. Jejich hlavním cílem nicméně nebyly klasické instituce, ale eBay a PayPal – tradičně nejlukrativnější cíle internetových útoků – zejména pro přímé propojení s čísly kreditních karet a finančními operacemi.
Bojovat proti aktivitám Rock Phish group je v praxi velmi komplikované. V držení mají dostatek počítačů, takže pokud budete postupně likvidovat jednotlivé webové stránky, není pro tuto skupinu problém stejně rychle zprovoznit nové – podle analýz z roku 2008 jsou schopni využít až 400 nových IP adres během jediného týdne.
Zodpovědnost a řešení je plně na straně banky
„Nepořizujte si banku, která vám nevrátí podvodně ztracené peníze,“ říká ostře Uriel Maimon. „Jediný, kdo má chránit zákazníka, je banka. A má k tomu extra důvod: on-line přístupy a transakce.“
„Bezpečnostní opatření musí podporovat podnikání,“ upozorňuje Maimon i na jeden z dalších problémů spojených se zabezpečením elektronického bankovnictví. Což ve skutečnosti naráží na další starý známý problém. Příliš složitá bezpečnostní opatření nepřinášejí odpovídající výsledky, místo toho vedou k nechuti je používat, případně jsou příliš nákladná na pořízení a udržování. Náklady na vyšší bezpečnost tak mohou paradoxně být vyšší než rizika případných ztrát při nižší úrovni zabezpečení.
„Současná krize přináší zvýšený počet podvodů,“ dodává.
Daniel Dočekal
daniel.docekal@kpc-group.cz/inside