TOP

Platforma kybernetické bezpečnosti

Bezpečnost pro každého (6. díl)

Ne vždy je možné zaplatit hotovostí nebo kartou. Zvláště v případě plateb po internetu je ale existence takového řešení nutností. Co dělat v případě, kdy si chcete objednat nějaké zboží z druhého konce světa? Jak vyřešit takový problém? Řešení přišlo spolu se zabezpečením komunikace na internetu.

Platby po internetu

S používáním internetu došlo ke snaze využít i jeho možnosti pro možnost platby za zboží. Uvedená technologie silně povzbudila ekonomiku a dnes je svět bez možnosti online plateb téměř nepředstavitelný. Samotné platby po internetu je možné rozdělit na tři skupiny. 3-D Secure, tedy placení platební kartou, internetové peněženky, tedy platební systémy (které se „nabíjejí“ z klasického účtu) a kryptoměny.

3-D Secure

3-D Secure je systém, který vytvořila firma Arcot System a později tento systém využila jak společnost VISA, tak společnost Mastercard a další. Výsledkem bylo nasazení komplikovaného protokolu, který má bohužel z hlediska fungování jisté nedostatky. Ty jsou dlouhodobě odbornou komunitou kritizovány, pro zájemce je vysvětlení problémů 3-D Secure popsáno v samostatném odstavci na konci článku. Pro zjednodušení, odborníci vyžadují, aby identifikace a ověření plátce, obchodníka a banky bylo nerozlučně svázáno s danou platbou. Současný protokol to neumožňuje a díky oddělení jednotlivých kroků je možné tento proces napadnout.

Dalším problémem jsou různé metody plateb. Správně by měla být použita pouze banka plátce, která by měla ověřit transakci. To je výhodné pro občany EU, kde v tomto ohledu platí striktní pravidla a banka je povinna ověřit jejich platbu pomocí nějakého tajného údaje, v ideálním případě zasláním jednorázového kódu.

Nevýhodou tohoto protokolu je velká složitost, oddělení identifikace a ověřování uživatele a samozřejmě nedostatek důvěryhodnosti. Například není možné zjistit, jak moc je obchodník slušný, pro uživatele je náročné ověření identity obchodníka a banky, uživatel nemá možnost ověřit, jak se s jeho daty nakládá. Navíc, banky často outsourcují svoje služby, takže je obtížné zjistit, zda ověření platby probíhá na „správném“ místě. Další komplikace vycházejí z principů současné internetové komunikace, která závisí na certifikačních autoritách, poskytování jmenných služeb atd.

Internetové peněženky

Platební systémy, mezi které patří například GoPay, MoneyBookers, PayPay, PayPal, PaySec a další. Tyto systémy se zpravidla nabíjejí z klasického účtu nebo platební karty a slouží jako nezávislé platební systémy. Jejich vznik využil mezeru na trhu, kdy byly za platby po internetu účtovány obrovské částky a dnes se díky tomu jedná o stabilní produkty, které přispěly k všeobecné dostupnosti internetových plateb. Vlastníci těchto systémů fungují jako nezávislý arbitr, na druhou stranu je jistým rizikem vlastnictví informací o všech transakcích, které je možné marketingově využít.

V porovnání s klasickou platební kartou s možností plateb po internetu mají internetové peněženky jednu výhodu. Tato výhoda spočívá v situaci, kdy je uvedená peněženka nabíjena převodem z účtu (není provázána s kreditní či debetní kartou). V případě útoku na platební systém nebo tuto peněženku je možné přijít pouze o část finančního obnosu, deponovanou v této peněžence. Navíc, slušný provozovatel neoprávněnou platbu detekuje jako finanční únik a zpravidla ji dostanete zpět.

Kryptoměny

Určitě jste to už slyšeli. Peníze jsou mrtvé, v budoucnosti se bude obchodovat pouze přes nějaké kryptoměny. Co to vlastně je? Jedná se o jakési virtuální peníze, které jsou postaveny na matematických principech, přesněji na kryptografických principech. To neznamená, že by byly bezpečnější, jen trpí odlišnými problémy než peníze, na které jsme zvyklí. To, co je důležité, stejně jako o ostatní peníze, je nutné se i o kryptoměny starat. To znamená pořídit si dobrou peněženku, do banky se tyto peníze uložit nedají. Stejně jako u klasických peněz si musíte dát pozor, jak s nimi zacházíte.

Největší výhodou těchto měn je decentralizace, takže kurz je stanoven v závislosti na zájmu lidí a schopnosti dodržet dohody. Nejsou tu žádné banky, neplatí se žádné poplatky za platby po internetu, vedení účtu a další služby. Naproti tomu není možné po zaslání peněz stornovat platbu, neexistuje žádná třetí strana nebo “vyšší moc”, která umožní vrácení peněz, pokud jste zaplatili nepoctivému obchodníkovi. Tedy s jejím použitím přijímáte plnou zodpovědnost za své činy. Ale na druhou stranu je díky záznamům pojmenovaných blockchain možné vidět poslední transakce, a tak není možné transakci podvrhnout. To vše by nemělo smysl, kdyby tyto peníze nebyly anonymní. Tedy nemůžete určit, komu tyto peníze patří.

Kryptoměny jako je Bitcoin, Ethereum a další jsou tedy zajímavou alternativou. Dnes je možné už spoustu produktů pomocí těchto peněz platit, vzhledem k velkému růstu ceny jednotlivých virtuálních měn se často používají i jako alternativa rizikových investic. Jsou obtížně sledovatelné, tím pádem využívané i k nelegální činnosti. Banky se dnes na jejich základě snaží připravit nové produkty stejně, jako to bylo s platbami po internetu.

Ochrana

Rozebírat zde kreditní a debetní karty a základní finanční gramotnost je (doufám) nošení dříví do lesa, každopádně pro finanční bezpečnost je vhodné rozumně kombinovat produkty. Nejlépe mít samostatný účet pouze pro příjem peněz a rezervu a platební karty mít se samostatnými účty. Používání těchto karet pro operace po internetu je riskantní, každý si musí zvážit sám, jak moc bude ochoten svoje peníze riskovat, databáze platebních karet jsou častým cílem útočníků.

Proč o tom vlastně psát? Dnes jsou platební karty jedním z nejčastějších cílů útoku. Nejenom karty jako takové, ale i informace o nich uložené u obchodníků. Zde by tyto informace neměly být vůbec ukládány, dodnes jsem nepřišel na důvod proč by to obchodník měl dělat. Naštěstí se většina karet pravidelně mění, ale jak ukázal nedávno jeden výzkumník, číslo karty lze predikovat.

Co se týká plateb po internetu, dobrým nápadem je používání virtuálních karet, které je možné „nabít“ nebo povolit pouze pro danou operaci a poté znovu zakázat. Rozumný způsob je pro platby po internetu také použít některé z virtuálních peněženek, ale pouze s nabíjením převodem. Přímé propojení s platební kartou může vést k nežádoucím operacím stejně jako u jakékoliv platební karty.

Přímé propojení bezkontaktních platebních karet (NFC) s možností plateb po internetu je dle mého názoru velkým rizikem. V současnosti je možné do vzdálenosti 15 metrů odposlechnout transakci mezi kartou a terminálem, data z uvedené transakce lze s jistými omezeními zneužít. Řešením je pouze použití kreditních karet, kdy za transakce ručí a odpovídá banka, na druhou stranu právě pro kreditní karty platí „Dobrý sluha ale zlý pán“.

U kryptoměn je obrana z principu provozu náročnější. V základě se jedná o pravidla daná zdravým rozumem. Platit jen lidem, kterým mohu věřit, ideálně malé částky. V případě platby většího obnosu pak využít služeb arbitra, u kterého můžete deponovat obnos a v případě doručení produktů nebo služeb dojde k zaúčtování. Takový arbitr se vlastně chová jako dočasná banka.

Problémy 3-D Secure

3-D Secure je technický, nikoliv kryptografický, protokol pro ověřování plateb. Tento rozdíl je jemný, pro velké množství lidí nepodstatný. Technický protokol se skládá z informací, které jsou ověřovány. Bohužel jenom technicky. Kryptografický protokol se skládá z informací, které jsou matematicky provázány a je výpočetně obtížné nebo dokonce neuskutečnitelné tento protokol napadnout (změnit částku, měnu, odesílatele, příjemce, znovu provést transakci atd.). Pokud se při ověření pravosti použijí jednorázová hesla pro každou transakci (zaslaná například přes SMS), jedná se o účinné ověření. Dále, používání iFrame (vložené stránky) neumožňuje klientovi zjistit, zda jsou veškeré přenášené údaje pomocí systému 3-D Secure šifrovány.

Zdroje:

http://www.cl.cam.ac.uk/~rja14/Papers/fc10vbvsecurecode.pdf

https://www.58bits.com/thesis/3-D_Secure.html

Autor: Jan Dušátko