PC Press
O nama
O nama
Pretplata
O nama
Postanite saradnik PC-ja
Kontakt sa redakcijom
PC Press
Novi broj
Novi broj   
Pretrazivanje
Arhiva
Arhiva   
PC Online
PC Plus   
Specijalna izdanja
Komentari Komentari
PC #104 : Oktobar 2004 TehnoGuru

 Naslovna  Sadržaj 
Dejan Ristanović  

Bezbednosni refleksi

Firme koriste sisteme za elektronska plaćanja, a i kućni korisnici dobijaju priliku da račune plaćaju iz fotelje. Prenos novca preko Interneta zahteva pojačanu opreznost i poštovanje osnovnih bezbednosnih pravila. A tu smo na nuli...

Po ko zna koji put se priča da će naši poslanici naći vremena da usvoje predlog Zakona o elektronskom potpisu i da će na taj način biti stvoreni preduslovi za razvoj e-commerce-a. U realnosti, elektronsko poslovanje već funkcioniše – malo koja firma još šalje kurira po izvod, pošto je mnogo lakše preuzeti podatke preko Interneta. Moguća su i plaćanja, uglavnom među firmama – retke su banke koje nudi takvu uslugu pojedincima, pravdajući se nepostojanjem regulative. Pravi razlog je strah koji dele banke i korisnici – ako ja nešto kucam na računaru pa time platim, zar ne bi mogao isto to da otkuca i neko drugi, pa da mi ukrade novac? Srećom, razvijeni su bezbedni sistemi elektronskog plaćanja, ali oni deluju samo dok ih čovek ne „pokvari“. A razvoj pravilnih „bezbednosnih refleksa“ traži vreme...

Pretpostavljam da ste svi dobili e-mail poruku sa adrese nalik na accounts@citibank.com u kojoj piše da je potrebno da se ulogujete na stranicu povezanu sa vašim računom radi provere, sprečavanja zloupotreba ili neke druge naoko važne operacije. Poruka deluje autentično, ima CityBank logotip u zaglavlju a i link u njoj vodi na www.citybank.com/nešto. Ili barem tako izgleda – link zapravo vodi na stranu smeštenu na ko zna čiji server, koja izgleda kao strana sa www.citybank.com i služi za to da broj računa, lozinke i druge podatke pošalje lopovima koji će onda otići na pravi sajt banke i uraditi nešto što vam se nikako ne bi svidelo. Da li neko naseda na ovakve poruke? Verovatno, jer u protivnom ne bi stizale u tolikom broju, ali većini primalaca „bezbednosni refleks“ kaže da je poruka očito lažna i da banka ne bi na taj način komunicirala sa njima. A onda...

Sertifikat za zanoviti

Deponenti smo jedne od banaka koja za elektronsko plaćanje koristi Pexim-ov FX klijent. Sve skupa solidno funkcioniše, ali me je pre nekog vremana iznenadio e-mail u kome piše: „Poštovani korisniče, obaveštavamo vas da certifikat na ime Dejan Ristanovic ističe tad-i-tad te ga je potrebno zanoviti. Omogućili smo vam da certifikat zanovite bez dolaska u banku, dovoljno je da sa stranice te-i-te preuzmete program Enrollment i da ga startujete..."

Liči li ova poruka na „virus“ iz CityBank-a? Po sadržini liči, ali je po formi mnogo manje ubedljiva. Nema logotipa, ne dolazi sa adrese banke, pa čak ne upućuje na sajt čije bi ime ličilo na ime banke – pošiljalac je sc@24x7.co.yu a link vodi na www.24x7.co.yu. Da li je na pomolu prva velika pljačka u Srbiji zasnovana na elektronskom plaćanju? Paradoksalno, sve je izgledalo toliko neubedljivo da je moralo biti autentično – prevarant bi se potrudio da napravi nešto što izgleda daleko manje lažno. Zato sam pogledao www.24x7.co.yu preuzeo Enrollment Wizard, ulogovao se na svoj PC kao korisnik minimalnih prava i startovao ga. Pa šta bude.

Enrollment Wizard je odmah zatražio da ubacim smart karticu u čitač i da otkucam svoj PIN kod. To je, naravno, prevazišlo moj prag poverenja, pa sam prekinuo proceduru i poslao e-mail banci sa pitanjem da li je u pitanju autentična procedura „zanavljanja“ (zašto li je bilo potrebno izmisliti novu reč? Ili prosto softver nije dobro lokalizovan sa slovenačkog?) sertifikata. Naravno, odgovor nisam dobio (koja još domaća firma odgovara na e-mail? Mislim, osim ponekad PC Press-a), pa sam sledećeg dana pozvao telefonom. Da, kažu oni, sertifikati treba da se obnavljaju, što se radi tim programom. I tako prođem kroz proceduru i apliciram za novi sertifikat koji je, ruku na srce, već sledećeg dana stigao.

Bezbednost i navike

Mada u konkretnom slučaju nije bilo bezbednosnih problema, od procedure može samo da vam se digne kosa na glavi. Da je neko uložio malo truda u pripremu aplikacije i sajta koji deluju autentično, mogao je da opljačka velike pare od firmi, pošto ljudi kod nas očito ne znaju pravila bezbednog elektronskog poslovanja. Zapravo, u banci su mi rekli da sam prvi ko se raspitivao o autentičnosti – korisnici su uglavnom imali problema sa prenošenjem fajla i instalacijom programa na starijim računarima.

Saznao sam i to da su smart kartice tipa Schlumberger dovoljno „pametne" pa nikada neće dati privatni ključ, ma na koji način on bio zatražen, što znači da je kucanje PIN-a uvek bezbedno. Neke druge kartice imaju samo memorijski čip pa ne obezbeđuju ovu dodatnu bezbednost. Sve to nije preterano važno za ovu diskusiju – problem je u korišćenoj proceduri.

Pexim bi u najmanju ruku morao da stavlja digitalni potpis na e-mail poruke i pri tom bi taj potpis morao jasno upućivati na banku čiji ste klijent. Bolje bi bilo da upozorenja ne stižu elektronskom poštom, koja je nesigurna, već da se update softvera i obnavljanje sertifikata obavlja kroz sam FX klijent. Najzad, ni Windows ne update-ujete zato što vam je stigao e-mail od Microsoft-a, već vam sam Windows javi da su izašle „zakrpe" i ponudi njihov prenos sa proverenog sajta, a zatim i automatsku instalaciju. Pri tom su fajlovi koji se prenose digitalno potpisani a instalacija neće ni početi ako se bilo koji od elektronskih potpisa ne slaže sa očekivanim. To je neka vrsta bukvara bezbednosti elektronskih transakcija, do koga su u svetu došli posle mnogo godina i mnogo zloupotreba. Izgleda da mi nismo spremni da učimo na tuđim greškama i da ćemo morati da prođemo sličnim, teškim putem.