User friendly bankomat
Chodím každé ráno při vstupu do pražského metra kolem bankomatu jedné nejmenované banky. Na modrém displeji se zobrazují názvy souborů:
PE\S4PICT\*.JPG
Místo hvězdičky v cyklu rotují názvy pěti souborů (patrně reklamní grafika). Už jsem viděl lidi, kteří do takového bankomatu strkají svoje karty. Asi si myslí, že to bude jen nepovedený
šetřič obrazovky. Bankomat už nefunguje několik dní. Možná se připravuje na možnost přijímání platebních příkazů. Jsem zvědav, jak se to osvědčí.
Bankomatům se bude vyhýbat příštích šest let jeden Rumun. 1. dubna 2004 se pokoušel manipulovat s bankomatem a zkoušel padělat platební karty. O trestu v odvolacím řízení rozhodl pražský vrchní soud. Soudce jeho čin ohodnotil jako přípravu k trestnému činu padělání a pozměňování peněz. Obhajoval se, že byl v nesprávný čas na nesprávném místě a že je nevinný. Usvědčily ho silné pachové stopy na bankomatu a na miniaturní kameře, která měla zaznamenat PIN případných obětí.
Když se vrátím k možnosti zadávat platební příkazy. Už vidím v blízkosti bankomatů ochotné "pomocníky", kteří se budou nabízet ku pomoci bezradným majitelům karet se složenkou v ruce. Překlep v číslu účtu nebo variabilním symbolu, to je
jedna dvě.
Bill prásknul Bennyho
Na
Igiho stránkách o virech se objevila zpráva, že byl
Benny vyslýchán na Policii ČR. Microsoft by mu rád přišil podíl na tvorbě červa SQL
Slammer. Budeme dál sledovat Bennyho identitu. Skupinu 29A opouští po Whale a dis69 i Ratter.
P2P - sítě určené ke sdílení
V minulé poznámce o IM a o VoIP jsem zmínil, že Skype je postaven na architektuře
P2P. Co to je za architekturu? Na rozdíl od client-server přístupu, který si při kulhající analogii můžeme připodobnit ke kamennému obchodu. Zákazník přijde, okukuje, ptá se, kupuje, reklamuje. Obchodník nabízí, prodává. U P2P může být každý klient také tak trochu serverem. Je to takový bleší trh, každý může kupovat, každý může prodávat. Každý může stahovat, každý by měl i nabízet ke stažení. Výborný článek napsal dnes Igor Jelemenský na
žive.sk.
Supernode u Kazaa a také u Skype je vlastně článkem mezi klienty a centrálním serverem. Supernode počítačem se může stát jakýkoli člen Skype komunity, počítač musí být moderní (žádná šunka, přesnou specifikaci jsem nenašel) a musí mít širokopásmový přístup do internetu. Musí mít též veřejnou IP adresu. Tady by už analogie se zákazníkem, a obchodníkem z prvního odstavce silně kulhaly. Teď mne napadá jen role Kecala v
Prodané nevěstě. Obě rodiny "chrání" svoje děti a Kecal je v pozici prostředníka a přitom nabourává firewally mezi dvěma mladými lidmi, kteří chtějí být spolu a komunikovat. Já říkal, že to bude kulhat.
Kazaa je už několik roků starý systém dobře zvládající výměnu menších souborů (typicky MP3 soubory). Sdílení videa a velkých instalačních balíků je lépe provedené v moderních P2P sítích jako je
eDonkey a hlavně
BitTorrent. Pro internetovou telefonii však Kazaa princip vyhovuje. Problém
pijavic, tedy těch, kteří jen stahují a nic nenabízejí, zde není akutní. U systémů pro výměnu souborů je však leeching, jak se tomuto jevu říká, problém. Vždy je něco za něco. Jestliže něco chci, musím za to něco nabídnout. V případě Skype to znamená nabídnout svůj počítač jako SuperNode pro ostatní telefonisty.
Skype a Kazaa, jak to jde dohromady
Program
Skype, který přinesl do internetové telefonie svěží vítr a který nabral již několik miliónů uživatelů, zlákal i mě. Když za mnou přišly před několika týdny moje dcery, že by chtěli na počítači to
ajsíkjů, odbyl jsem je - to není pro malé děti. Sice si myslím, že
IM i
VoIP mohou používat i děcka pod hranicí 13 let, ale po důkladném
poučení.
Skype má několik předností a také několik problematických stránek. K plusům bych zařadil možnost provozu na MS Windows,
GNU/Linuxu, Mac OS X i Pocket PC. Dále je to snadné nastavení. Uživatel může být za firewallem nebo za překladem síťových adres a přesto mu to bude fungovat. Výborný zvuk - kodek pravděpodobně od
Global IP Sound. A konečně
P2P architektura se šifrovaným přenosem dat (textu, souborů i hlasu).
Niklas Zennström, jeden ze spolutvůrců softu Kazaa i Skype, pracoval kdysi pro
Tele2. Nyní, když se postavil na vlastní nohy, možná začne dělat potíže velkým teleoperátorům. Musí si ovšem dát pozor. Jedním z temných mraků, které se vznášejí nad IP telefonií, jsou státní regulace. Jsou tu ovšem i pochybnosti některých uživatelů, tedy těch řekněme poučených uživatelů.
Připojením stovek miliónů uživatelů
Kazaa si slušně rozšíří základnu potenciálních IP telefonistů. Sharman Networks má ovšem nepříliš dobrou pověst skrze
spyware/adware ve svých produktech. Navzdory ujišťování o
100% čistotě červík pochybností zůstává. Pak je tu problematická uzavřenost protokolu (žádné H.323, žádný SIP). Není ani dokumentována výměna klíčů a následné šifrování (pravděpodobně RSA a AES). Default nastavení umožňuje, aby uživateli mohl volat nebo psát kdokoli. Je proto vhodné zvolit vyžádání autorizace.
Já osobně jsem se s těmito nevýhodami smířil. Stroje s veřejnou IP adresou bez omezení na firewallu mohou sloužit jako prostředníci pro spojení mezi komunikujícími uživateli. Jsou v pozici hubu (v Kazaa speaku Super node) a poskytují svůj výpočetní výkon a kus šířky přenosového pásma na oltář VoIP komunity. Zkuste si na svém personálním firewallu zakázat pro Skype inbound komunikaci. Jednak zjistíte, jak živě je váš Skype oťukáván jinými členy
P2P sítě. Jednak se zbavíte možnosti být Super nodem.
Abych nezapomněl. Dcery jsem před jejich registrací do Skype náležitě poučil;-) Uvidíme, co si z toho odnesly.
Update: Pokud chcete zavolat se čerstvě nainstalovaným Skype na zkoušku, zvolte "číslo" echo123. Nahraný ženský hlas vás vyzve, abyste něco řekli záznamníku na druhé straně. Nakonec je tento záznam zpětně přehrán.
Statická hesla skončí nekončí
Managerské povídačky o potřebě nahradit statická hesla něčím bezpečnějším byly slyšet začátkem listopadu na
konferenci RSA v Barceloně nebo na dnes končícím
IT Forum Microsoftu v Kodani. Hlavní architekt Bill Gates také mluvil o přechodu na biometriku a
čipové karty, jak o tom referuje
ZDNet.
Na takovéto projevy a následné články, které publikují různé zpravodajské servery se nabalí spousta sponzorských odkazů. Problémem klasické autentizační kombinace jméno&heslo není jen to, že hesla jsou mnohdy slabá a že se někteří uživatelé nechají zmást
sociálními inženýry. Větším problémem je to, že těch hesel je už moc. To je ta pravá krize identit, kterou by chtěl Microsoft léčit svým Passportem a Sun federativním
identity managementem. K vytouženému
single sign-on je cesta dlouhá mnoha slepými uličkami dlážděná. V některých uličkách postaví barikády ochránci soukromí v jiných konkurence na trhu. Co na to uživatelé? Ti mají jedno univerzální heslo pro přístup ke všem systémům. Nebo ne?
Dlouhý vedení a touha
Ta
anekdota ze života jedné menšiny, která si pohrává se slovem asimilovali mi došla až po několika minutách. Až po odchodu od počítače, když jsem uspával po obědě našeho dvouletého synátora.
Napadla mě podobná hříčka.
Před 15 lety přešlo ze svých domácích ulit do politiky a do veřejného života mnoho lidí s touhou pomoci. Jen nemnozí úspěšně odolávali a nezatoužili po moci. Naštěstí už jsme dál a ti, co mají moc, nemohou počítat s definitivou. Doživotně ji má možná
Lukašenko v Bělorusku, my můžeme počítat se změnou...
Hlava dubová jede po dlouhé době vlakem
Včera ráno jsem měl cestu do Pardubic. Jel jsem k rodičům sám, a tak jsem se rozhodl, že pojedu vlakem. Kdysi jsem jezdil vlakem mezi Pardubicemi a Prahou dost často a vždy jsem měl problém přijít včas na nadráží. A protože i vlaky měly potíže jezdit na čas, byla to zhusta sázka do loterie, jakým vlakem to vlastně pojedu. To bylo v čase mých studií, ale vraťme se do včerejšího rána. Jdu si směrem k nádraží Praha-Libeň, co leží na území Vysočan a někde u
arény, která má být v nejbližších dnech
zasypána hlínou, mi volá Anděl Strážný, že nemám dost peněz na lístek. Mám ale platební kartu a nejasné povědomí, že na některých stanic lze platebních karet použít. Bankomat nikde v okolí, a tak do haly nádraží vcházím s nejistotou. Nebudu napínat,
kartou lze platit ve více jak 30 stanicích po celé republice.
The Registr odhalil Bennyho zaměstnavatele
Včera jsem zabrousil na stránky antivirové (AV) firmy
F-Secure a objevil jsem zprávičku, co odkazovala na
The Register. Člen skupiny 29A zabývající se tvorbou "proof of concept" (tj. demonstrací, že to může fungovat) virů je zaměstnán ve firmě
ZONER software. To ale určitě není AV firma, jak oba zdroje uvádějí. Že by Benny AV engine, na kterém pracuje, dotáhl do stavu, kdy se ZONER stane AV firmou?
Jak je patrné z
Bennyho blogu, na kriminálníka nevypadá. Práce, posilovna, pařba - to je jeho typický trojboj. Skupina 29A nikdy nevytvořila virus, který by byl destruktivní a šířící se. Je pravda, že asi inspirovala skutečné škůdce, kteří její koncepty dotáhli do masově se šířících virových nákaz. Je zajímavé, že AV firmy proti Bennymu brojí. Vždyť ony sami právě takovéto novátory potřebují.
Firefox přikládá do kotle a Ballmer se potí
Opera, ve které vystupují Liška Bystrouška převlečená za
pandu červenou a roztleskávač
Steve z Redmondu, má nové dějství. A že to bude hodně akční, o tom se můžete přesvědčit v malé
ukázce, jak byla zachycena při generální zkoušce. Klíčovými postavami budou bezpochyby vývojáři. Ostatně
zde je zpocený a zadýchaný Steve zaříkává.
Bude velmi zajímavé sledovat vývoj
opery. Publikum fandí jedné či druhé straně. Jak to dopadne?
Vícefaktorová autentizace - odpověď na phishing
Před rokem vznikla pracovní skupina
APWG. Kromě osvěty pro veřejnost a to i tu odbornou publikuje informace o trendech a pořádá semináře. Nutno podotknout, že problémem podvodných mailů jsou nejvíce postiženy banky v anglicky mluvících zemích. Potom služby jako
PayPal a
eBay. Společně se
Citibank jsou mezi rhybáři nejoblíbenější. A samozřejmě jsou postiženi jejich klienti. Problém podvodných mailů přináší různé názory na řešení. Nejdůležitější jsou samozřejmě osvícení uživatelé, kteří spoléhají na zdravý rozum. Ne všichni jsou takoví. Potom se nabízí technická opatření.
První oblastí obrany je blokování serverů. Jednak webovských serverů, na kterých jsou věrohodně podvrženy stránky s formulářem pro zadání čísla konta, čísla karty, PINu. Banky si mohou objednat
sledování webu a zachytit čerstvě podvržené stránky. Jednak
poštovních serverů, ze kterých jsou rozesílány podvržené maily.
Lze využít i anti-spamových prostředků. Phishing je totiž podmnožinou spamu. U reklamní navyžádané pošty přicházejí uživatelé také někdy o peníze, ale to jsou drobné ve srovnání s vybíleným bankovním účtem.
Nejúčinější metodou je vylepšit autentizační metodu. Místo klasického tajemství (statického hesla) přidat ještě jeden faktor - token. To je malý předmět, který musí mít klient v držení, aby se mohl přihlásit do své internetové banky. Tokenem může být čipová karta, USB token, mobilní telefon. Využívají se certifikáty, jednorázová hesla. Evropské i naše banky se skutečně snaží dvoufaktorovou autentizaci klientům nabízet. Jinak je to v USA. Uvedu několik argumentů proti tokenům, které se objevili v diskuzi na
APWG.
- Masivní ekonomická a logistická zátěž, kdy se musí vybavit tokenem milióny uživatelů. PayPal - 50M uživatelů. Citigroup - 200M zákazníků ve 100 zemích světa. Americký bankovní sektor zaplavuje svoje klienty nabídkami "free" produktů. Do toho nezapadají měsíční poplatky za bezpečnost, které by zákonitě přišly.
- Uživatel by musel nosit několik tokenů, tak jako musí nosit víc platebních karet. Jednotné řešení a standardizace chybí.
- Některé tokeny jsou také zranitelné vůči rafinovaným metodám. Trojské koně a datový odposlech mohou číhat na nepřipravené uživatele.
- Tokeny, stejně jako peněženky nebo klíčenky se často ztrácí, kradou nebo se jen někam založí.
- Zdá se, že základní internetové technologie směřují ke sbližování prostředků, ke konvergenci. Tokeny reprezentují divergenci, rozdělení komunikačních prostředků.
I vy používáte vícefaktorovou autentizaci ve vaší internetové bance? Tolerovali byste přihlášení pomocí statického hesla?
??lut?? cirkus
Zápisek "Žlutý cirkus" jsem poslal včera odpoledne mailem. Blogger umožňuje tento způsob blogování. Že se sem příspěvek dostal po takové době, ukazuje jedno. Na zaslání rychlé aktuality to asi nebude. Stále platí, když chci něco někomu někam poslat elektronickou poštou, napisu to nejdrive bez diakritiky. Az si overim, ze druha strana umi hacky a carky, můžu je v klidu použít. Já udělal chybu a poslal jsem ten příspěvek z Gmailu s kódováním UTF8. Tato stránka je ve windows-1250, potom je tu ještě standard iso-8859-2, který používá hodně pošťáků. A výsledek? Nečitelné. Je to bolest všech nových věcí (RSS, Atom, Trackback).
Žlutý cirkus
Když jsem se včera vracel domů, zahlédl jsem vpodvečer na pražském Florenci u metra žlutý stánek. Dva muží tam rozdávali kolemjdoucím výměnou za papírek žlutý paperback. Těch Zlatých stránek jim ale hodně zbylo, a tak je před setměním uložili na palety, ty naložili na náklaďák, sbalili stánek a odjeli.
Na Palmovce jsem o hodinu později spatřil na sloupu nalepený plakát: Pravý cirkus Berousek - jediný mluvící kůň na světě. Cirkusy i drátoví telekominíci vyšly z módy. Ani mluvící kůň nezabírá. Žlutý cirkus dostal pokutu 23 miliónů korun od Úřadu a bude zvažovat, zda zaplatí.
Počítám, že odbornící na volání se odvolají. Éra cirkusů a šňůrových sluchátek končí...
Je možnost spoofingu bezpečnostní slabina?
Ta
chyba není tak závažná, ale protože se jich Microsoftu nashromáždilo už
několik, začíná mlžit. Mluvka si připravil pro tuto příležitost následující výmluvu: "
MS si uvědomuje bezpečnostní problém zveřejněný minulý týden umožňující podvržení (spoofing) adresy, kterou vidí uživatel ve stavovém řádku. Uživatel by mohl vidět adresu ve stavovém řádku, když na link najede myší. Po odkliknutí linku by se uživatel dostal na podvrženou adresu. Při naše pátrání jsme dospěli k názoru, že toto není bezpečnostní slabina". Konec citátu.
Bezpečnostní slabina by to nebyla v případě, že se uživatel nenechá opít rohlíkem, který vytvořil autor viru nebo
rhybář. Protože je nejrozšířenější operační systém společně s většinovým webovským prohlížečem uhnízděn na spoustě nechráněných, neopečovaných počítačů, ze kterých se mohou stát zombie stroje, může dominátor trhu tvrdit, že bezpečnostní slabinou jsou uživatelé. Jak si je vychoval, takové je má. Na pořadu dne je ale závažnější,
dalo by se říct kritická, chyba. A je k dispozici i exploit. A uživatelů, kteří ještě nemají MS Windows XP SP2, ale mají MS Windows, je stále dost a dost.
Jak se dají rychle bezpečnostní slabiny odstranit, když se zvolí chytrá strategie průniku mezi uživatele ukazuje nedávný problém
Gmailu. Několik dní po opravě mají opečováno všichni uživatelé.
Cestovní doklady s chytrými čipy i v Evropě
"
Je to otázka bezpečnosti. Vynalézavost teroristů je dosti velká, jeden prvek by se dal obejít," vysvětlil ministr vnitra Bublan. Přitom ještě v červnu došlo k dohodě mezi ministry evropských zemí, že do dvou let povinně zavedou pouze jeden biometrický prvek, zatímco druhý by byl dobrovolný. USA tlačí na 25 zemí, se kterými dnes mají bezvízový styk, aby biometrické pasy měly do 26. října 2005. Původní termín vypršel právě minulý týden. Sama americká administrativa však teprve nyní rozjíždí projekt na zavedení biometrických údajů. V USA se připravuje aplikace s digitální fotografií v čipu. Evropa je papežštější než papež?
Do konce tohoto roku má být hotova technická specifikace pro cestovní doklady evropských zemí. Od té chvíle mají plynout lhůty pro zavedení digitální fotky (18 měsíců) a otisku orstů (36 měsíců). Stanoviska jednotlivých zemí nebyla jednotná. Většina prosadila
tento návrh, ale třeba Švédsko, Finsko, Estonsko a Lotyšsko nechtěli otevírat diskuzi o druhém biometrickém identifikátoru. Proč zrovna v těchto zemích hrozí nyní podle Američanů možnost teroristického útoku? Naopak Německo následováno Brity chce přitvrdit a uchovávat i digitální obraz duhovky.
Paměť čipu bude minimálně 32 KB, ale spíš bude prosazována velikost 64 KB. To bude stačit na foto 2 otisky prstů a textové informace. Biometrika bude tedy ze začátku sloužit k verifikaci (dotaz typu "jedna ku jedné"). To je ověření, že držitel pasu (čipu) je osobou, jejíž údaje jsou v dokladu. Nedochází k dotazu do centrální databáze. Souběžně však bude vznikat databáze o miliónech osob, identifikace (dotaz typu "1-n") by ovšem nebyla spolehlivá. To by muselo být zaznamenáno všech deset digitálních otisků prstů a digitální fotografie by musela být doplněna o soubor naskenovaných charakteristik obličeje. Otázkou zůstává zabezpečení integrity a důvěrnosti dat. Budou dat digitálně podepsána (kým)? Američané se rozhodli nešifrovat. A co Evropané?
Jak je vidět, vesmírní lidé a úředníci z
Úřadu pro ochranu osobních údajů budou mít o zábavu postaráno. Přečtěte si něco o předávání osobních údajů o pasažérech v letecké dopravě ze zemí EU do USA. Je to na konci
tiskové zprávy.