18. 5. 2007 23:50 (aktualizováno)
fio
Na uvod – rozhodne nejsem schopen posoudit jak jsou vase uspory bezpecne ulozeny v tomto ustavu, protoze zde hraje roli prilis mnoho faktoru. Hodnotit rizika muzete z nekolika hledisek a jejich kriticnost zhodnotit sami. Dulezite pro vas muze byt, ze penize jsou pojisteny stejne jako v bance, pod dohledem stejne instituce jako banky, nicmene je jasne ze tento ustav nema stejne kapitalove zazemi jako nejvetsi ceske banky (ovsem vetsi != lepsi). Na druhou stranu narozdil od nejvetsich ceskych bank nas (=danove poplatniky) fungovani teto spolecnosti nestalo miliardy korun, nalitych do jejich chrtanu na kryti rizikovych uveru a podvodu, coz se pocita jako kladny bod darwinovskem survival of the fittest.
Uvodni odstavec zminuji proto, ze zabezpeceni internetbankingu ma smysl posuzovat ve chvili, kdy samotne ulozeni penez ve financnim ustavu je bezpecne. Zajimava je tez informace, ze internetbanking spustila jako prvni v CR (ve stejnem roce jako Expandia Banka), nicmene tato verze internetbankingu byla v roce 2003 nahrazena novejsi verzi. Zkusenosti s provozem a odladeni bankovni aplikace muze byt tedy na vyssi urovni nez u lecktere retailove banky.
Co se da z pohledu uzivatele vsechno zjistit?
– servery FIO bezi na FreeBSD a Apache (backendovy system je pro nas neviditelny tedy nehodnotim)
– identitu serveru pro webove rozhrani je overena certifikatem Equifaxu(GeoTrustu), ostatni pouzivaji drazsi a prestiznejsi certifikaty Verisignu. V pripade podepisovaci aplikace je pouzita vlastni certifikacni autorita FIO a root certifikat je soucasti podepisovaci aplikace
– komunikace je sifrovana AES-256, coz je jiste dostatecne, narozdil od jinych financnich ustavu (i napr. „internetova“ eBanka pouziva jako vetsina bank zastarale RC4 128, i kdyz drive tam take pamatuji AES)
– frontend aplikace vypada jako sada cgi skriptu, a z tohoto se pravdepodobne tedy nejedna o nejake radobymoderni technologicke vystrelky (za stovky tisic peneznich jednotek)
– podepisovaci aplikace je jednoducha polo-radkova utilita, odpovidajici velikosti bezne unixove radkove utilite (mene kodu = pst. mensiho mnozstvi chyb)
– pro provadeni peneznich operaci jsou potreba dva (ne uplne nezavisle) kanaly: uzivatelske id a heslo zadane v prohlizeci (pres SSL) a podepisovani transakce klicem chranenym dalsim heslem. Zde je pozitivni, ze bezi zcela mimo proces prohlizece.
Celkove zabezpeceni autorizace a autentizace lze hodnotit jako slabsi v porovnani s pouzitim jinych hardwarovych zarizeni – kalkulacky, privatni klic ulozeny na cipu (zde neznam nikoho, kdo by to v CR podporoval pro Linux), sifrovane SMS, ktere diky uplne nezavislosti druheho kanalu v kombinaci s jmenem heslem mohou poskytovat vyssi uroven zabezpeceni a poskytovat ochranu pred nekterymi beznymi typy utoku (keyloggery). Jako protivaha je zde cena a (a nekdy prakticnost) takoveho reseni, ktere jako zakaznik posleze zaplatim (za kalkulacku, cipovou kartu, posilane sifrovane SMS aj.). Narocnejsi (cti paranoidnejsi) uzivatele mohou byt nespokojeni s kombinaci jmena/hesla a podepisovani soukromym klicem, nicmene je to rozumne reseni za minimalni naklady (narozdil od drive bankami pouzivaneho zabezpeceni pouze heslem, nyni vetsinou nahrazene nezabezpecenou SMS zpravou)
Jsou veci, ktere by se z hlediska bezpecnosti daly vytknout. Podepisovaci aplikace si uzivatele stahuji pres internet pres neovereny a nezabezpeceny kanal, takze pokud si aplikace neoveruje svoji integritu sama a ani uzivatel nema moznost provest kontrolu, je zde riziko podvrzeni neautorizovane aplikace, ktera muze napr. odeslat vas privatni klic kamkoliv (pak je ovsem stale nutne ziskat prihlasovaci heslo k danemu uctu).
FIO se rozhodlo neimplentovat pro klienty celou PKI infrastrukturu, nevydavaji tedy klientum certifikaty, ale pouziva se zde podepsani zpravy soukromym klicem. Chybi zde tedy funkcnost expirace certifikatu (a dle mne pro tento ucel zbytecna) revokace. Je tedy na uvazeni a discipline uzivatele, zda si soukromy klic bude sam menit.
Novejsi verze aplikace generuje privatni klic chraneny AES-256 sifrou, ktera je bezpecnejsi nez drive pouzivana 3DES, zde by bylo vhodne si klic znovu zasifrovat pres AES:
openssl rsa -in fiosign.key -out fiosign.aes.key -aes256
Po otestovani funkcnosti soukromeho klice fiosign.aes.key bychom asi meli klic chraneny 3DES znicit.
Velice pozitivne lze hodnotit, ze na prihlasovaci strance internetbankingu se misto reklam na vlastni produkty objevuji pro mene zkusene uzivatele pravidla pro bezpecnou praci s Internetbankingem, zde maji ostatni financni instituce co dohanet, zvlaste ty, ktere se masivne snazi odehnat uzivatele z prepazek do viru internetu se svym internetovym bankovnictvim.
Dalsi ne zcela beznou, ale uzitecnou funkci internetbankingu je moznost zjisteni IP adresy pocitace, ktery se naposledy prihlasil na ucet. Jako pozitivni (z hlediska bezpecnosti) je tez vynucovani zmeny hesla v internetbankingu, vcetne zobrazovani maximalni delky platnosti.
Jistym faktorem nikoliv bezpecnosti, ale pravdepodobnosti utoku na klienty (zvlaste phisingovych), je krome urovne zabezpeceni i mnozstvi klientu, jejichz mensi mnozstvi je vyhodou oproti statisicovym poctum nekterych bank.
