Trendy v internetové bezpečnosti - Dáváme Internetu...

Trendy v internetové bezpečnosti

1


2

OBSAH Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Lupa.cz v roce 2010 Bezpečnost 2010: Staré klasiky v moderním podání .................................................................................................... 4

Bezpečnostní rizika nových webových technologií ....................................................................................................... 8

USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty ....................................................................... 10

Jak ubráníte své soukromí na Internetu vy, když dostali i Pitra? ................................................................................ 13

Karty, kterým svěřujeme své peníze a osudy ............................................................................................................. 16

Stačí evropské zpravodajské služby čelit kyberterorismu? ......................................................................................... 18

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Měšec.cz v roce 2010 Banky moc neumějí zabránit neoprávněnému nakládáni s penězi ............................................................................. 21

Platební karta není trezor, PIN vás vždy neochrání .................................................................................................... 22

AXA Bank podcenila bezpečnost, spořicí účty šlo cíleně blokovat ............................................................................. 24

Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem ...................................................................... 28

Bezpečné platební karty existují, nebojte se platit na internetu .................................................................................. 30

Centrální registr dlužníků: Česká finta, jak napálit zájemce o půjčku ......................................................................... 35

Neautorizovaná transakce: Za zneužitou kartu si podle zákona můžete sami ........................................................... 41

Koupili jsme přes internet Viagru. A málem přišli o peníze ......................................................................................... 44

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Podnikatel.cz v roce 2010 Elektronické občanky se odsouvají na rok 2012 ......................................................................................................... 52

Většina firem sleduje aktivity svých zaměstnanců na internetu .................................................................................. 53

6 pravidel a další rady pro výběr informačních technologií pro firmu .......................................................................... 54

Bez kvalitního zboží a služeb důvěryhodný e-shop neuděláte ................................................................................... 56

Jak proměnit fanoušky na Facebooku ve své zákazníky? .......................................................................................... 57

Jakých přehmatů se při psaní firemního blogu vyvarovat? Poradíme vám ................................................................. 59

5 nejčastějších chyb firemních webů v Česku ............................................................................................................ 61

Osobní e-mail typu „sexyfrajer@“ k podnikání nepoužívejte ...................................................................................... 64

Co všechno musí obsahovat obchodní podmínky e-shopů? ...................................................................................... 66

Zisky z počítačové kriminality předčily zisky z drog .................................................................................................... 68


3

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Root.cz v roce 2010 FTP autorizace na web hostingu v době masového vykrádání hesel ......................................................................... 71

TabNabbing krade přihlašovací údaje nepozorným .................................................................................................... 73

Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS? .............................................................................. 75

Potřebujete obejít CAPTCHA? Zaplaťte si armádu Indů ............................................................................................. 77

Věříte opravdu jen důvěryhodným certifikačním autoritám? ....................................................................................... 79

Odvrácená strana virtualizace .................................................................................................................................... 80

Viry pro Linux existují, nejsou ale příliš velkou hrozbou ............................................................................................. 82

Jak někomu ukrást doménu? ...................................................................................................................................... 83


4

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Lupa.cz v roce 2010

Bezpečnost 2010: Staré klasiky v moderním podání

Pavel Čepský

Uplynulý rok nepřinesl žádná převratná rizika, s nimiž bychom se již dříve nesetkali, spíše oživil původní hrozby. Která nebezpečenství nám pila krev a čím si útočníci zajistili další z úspěšných let?

Antivirová řešení pro mobily různých kvalit a od nejrůznějších dodavatelů jsou tu s námi již nějaký ten pátek, kromě klasické kontroly dat zvládnou také například ochranu přístupu do mobilu v případě jeho odcizení. Otázkou zůstává, nakolik jde o lákadla výrobců antivirů a z jaké části je mobily opravdu nutné chránit. Koncový uživatel by vždy měl nejprve zvážit, jestli ochranu svého mobilu vůbec potřebuje. Pokud v něm neuchovává citlivá data (například poštu, důležité dokumenty apod.), je často zbytečné podobnou ochranu vůbec zvažovat.

Jaká rizika chytrým mobilům vlastně hrozila? Nejdiskutovanějšími jsou mobilní viry, které však stále představují poměrně exotickou kategorii zneužití, nemálo lidí má totiž infekci virem spojenou hlavně s klasickými počítači, o možnosti infekce mobilních telefonů často neuvažují. Například již přibližně před šesti lety však spatřil světlo světa červ schopný šíření pomocí Bluetooth, který infikoval chytré mobilní telefony se Symbian OS.

Uvedený škodlivý kód pro smartphony nesl označení Cabir.A a naděje na svou replikaci vkládal do SIS souborů, které přes Bluetooth rozesílal na další, v okolí dostupná zařízení. Ve skutečnosti Cabir neobsahoval žádné škodlivé rutiny, pouze po zapnutí telefonu ohlásil svou přítomnost zobrazením krátké zprávy. Z parazitů Bluetooth nelze nezmínit například Commwarrior a Mabir.A. Mabir.A rozesílá soubory s názvem caribe.sis, takže se na první pohled tváří jako původní Cabir. Monitoruje však dále také všechny příchozí SMS i MMS zprávy a jako odpověď automaticky odesílá infikovaný soubor caribe.sis.

Nejen v uplynulém roce 2010, ale i do budoucna by nás mohly čekat těžké mobilní dny vinou těsného spojení (nejen) smartphonů s Internetem, dnes už je v řadě případů těžké sledovat datový provoz, který neustále připojený mobil na cestách provází. V tomto případě samozřejmě přímo nemusí jít o zneužití samotnými útočníky, ale spíše uživatelovu nepozornost.

Kdo má na míru šitý datový tarif, toho vysoký účet nečeká, pokud ale firma v hromadném paušálu nebo jednotlivec individuální smlouvě „datuje“ na čas či má striktní limit, mohou se dodatečně přenesená data pořádně projevit. Na pozadí komunikující aplikace, opakovaná aktualizace pošty v zahraničí a další nešvary nakonec mohou do peněženky sáhnout mnohem hlouběji, než by to zvládl kdejaký virus… Právě zde je velký rozdíl v důležitosti různých druhů ochrany mezi počítačem a mobilním telefonem. Kromě virů ale uživatele mobilů čas od času ohrožují také spamové reklamní a podvodné zprávy, které mohou obsahovat odkaz přímo na web. Jedná se o takzvaný SMiShing, nicméně nejde o příliš časté riziko.

Detekce viru Cabir v mobilním telefonu. Zdroj: F-Secure


5

Nebezpečný fotbal a kopaná s uživateli

Mistrovství světa ve fotbale v Jihoafrické republice již dávno skončilo, z drtivé většiny proklínané vuvuzely a často nudné pokoukání jsou ty tam. Z pohledu počítačového a síťového nadšence je zde však ještě jeden důležitější konec, a sice odliv vlny spamu, která byla během šampionátu zaznamenána. Spam je tu s námi v obrovském množství stále, nicméně jeho navýšení bylo ve zmíněném období více než jen drobným zesílením.

Společnost Symantec v červencové zprávě o stavu spamu a phishingu zveřejnila, že počet e-mailů, které měly mistrovství světa ve svém předmětu, vzrostl až devětkrát oproti mistrovství světa ve fotbale 2006. Nejčastěji se v této souvislosti objevoval e-mail s názvem „FIFA World Cup South Africa… bad news“, navíc se zvýšil i počet herních webů a sázkových společností, které se chtěly přiživit na popularitě světového šampionátu.

Podle citované zprávy z webu společnosti Symantec je zřejmé, že podvodníci volí předměty falešných e-mailů v řadě případů podle toho, jaké jsou aktuální titulky hlavních zpráv. Právě tento trend v souvislosti s nedávno skončivším mistrovstvím světa proto zformoval následující zajímavou tabulku – jedná se o deset nejčastějších předmětů nevyžádaných zpráv, které se přesně shodovaly s titulky renomovaných zpravodajských serverů.

Nevyžádaná pošta samozřejmě není pouze jedinou cestou, kterou se podvodníci snaží nalákat nic netušící a často přespříliš důvěřivé oběti, své pozice na výsluní se nevzdává ani klasický phishing. Tvůrci podvodných phishingových stránek vsadili nejen na falešné informace o aktualitách z mistrovství světa, ale snažili se také uživatele nalákat prostřednictvím podvržených značek různých sázkových kanceláří. Hlavní motivací se zde staly původní legitimní nabídky, speciálně týkající se Mistrovství: uživatelé se často registrovali jen u příležitosti výhodných podmínek v průběhu šampionátu, a tak pak podvodníci zkoušeli loudit údaje pod hlavičkou různých sázkovek.

Ačkoliv podobné útoky mohou být na první pohled sofistikované, nechybí ani opravdu velice pochybné techniky, na které je opravdu těžké skočit. Jedním z takových případů je falešná zpráva s informací o výhře 110 milionů dolarů v loterii související s mistrovstvím světa. Kolik uživatelů se na takovou vějičku může nachytat? Navíc, když si cílová stránka žádá vložení adresy a heslo, teprve poté je přesměrování vedeno na domovskou stránku původní společnosti, úvodní přihlašovací údaje mezitím putují přímo k podvodníkovi. Klasické, jednoduché schéma, které se v různých variantách opakuje donekonečna, ale tvůrcům za pokus vždy stojí.

Vývoj spamu v květnu a červnu vzhledem k celkovému objemu e-mailových zpráv Zdroj: Symantec

Nebezpečí v malých porcích, zato všemi způsoby

I když se z dlouhodobého pohledu útočníci a podvodníci snaží co nejvíce zjednodušit své nekalé rejdy, ale zato je o to víc zefektivnit, nechybí ani občasné přeháňky pokusů, jež vyžadují více technického umu. Jednou z oblíbených variant je optimalizace kódu stránek s malwarem tak, aby se při hledání umístily co možná nejvýše. Takové malé záškodnické SEO dokáže (stejně jako u klasických stránek) pořádně ovlivnit, kolik obětí se nachytá.


6

Ačkoliv nebezpečná hledání zcela jistě nepatří mezi ta, která byste používali od rána do večera, je i přesto zajímavé, že jen každý stý výsledek dokáže uživatele dopravit na bezpečnou stránku. U klasických odkazů a hledaných výrazů je samozřejmě procento mnohem nižší, a tak stále můžeme vyhledávačům v tomto ohledu věřit. Dlouhodobě nejnebezpečnějšími tématy v hledání jsou lechtivé fotky nebo videa celebrit, podcenit ale nelze ani klasiku v podobě vyzvánění na mobily zdarma nebo hry či sady bezplatných animovaných smajlíků.

Online zneužití touhy po slavných celebritách, ať už ryze českých nebo těch světových, není jen doménou vyhledávání, stačí vzpomenout na několik dalších technik. Nestárnoucí klasikou se v tomto ohledu staly lákavé nabídky fotek některých z nich, případně i utajovaná videa apod. Specialitkou jsou pak roboty automaticky šířené odkazy skrze instant messaging, kdy navíc dochází ke zneužití seznamu kontaktů jednotlivých uživatelů, a tak každý další příjemce může získat pocit, že zpráva pochází od dobrého známého. U nás, v Česku, naštěstí nejde o tak velký problém, nicméně v anglicky mluvících zemích nemusí být tak těžké následovat podvodný odkaz „Watch this: www.bit.ly/abc :)”, který se tváří, že přišel od někoho ze seznamu kontaktů.

Uvedené zkracování URL prostřednictvím specializovaných služeb není použito náhodně, jedná se totiž o jednu z oblíbených praktik. Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod.

Hledání je jednou z nejčastějších akcí, které na webu provádíme. Jedná se o tak automatizovanou činnost, že často ani nesledujeme, jaký odkaz ve skutečnosti následujeme, kam vede. Univerzální obranou se tak do značné míry stává dobré rozmyšlení před finálním kliknutím, případně použití zdarma dostupných rozšíření prohlížečů pro hodnocení nalezených výsledků. Vějičky útočníků mohou být sebelepší, nicméně stále je pouze na nás, s jak velkým úspěchem se setkají. A proto jim to raději příliš neusnadňujme.

Zkracování odkazů patří mezi oblíbené pokusy útočníků, služba sama nebezpečná není

Stahujeme riziko sami

Jak již bylo zmíněno, drtivá většina kolující pošty stále spadá do kategorie nevyžádané, a tak jsou síťové dálnice nadále přehlcené zbytečným provozem tohoto typu. Více než každá devátá zpráva z deseti by měla mít spamový příznak, potají také doufáme, že právě náš filtr nevyžádané pošty zafunguje s maximální účinností. A pokud nemáme filtr vlastní, spoléháme se na výchozí filtry poštovního serveru, k němuž jsme připojeni. I když jde o blokování nevyžádané pošty a nikoliv omezení jejího šíření, filtry naštěstí tuto akci zvládnou velice dobře. Doufejme však, že nám to bude stačit i v případě narůstajícího trendu, prozatím se dlouhou dobu pohybujeme právě kolem devadesátiprocentní hranice.

Proč je vlastně kolem spamu tolik povyku? Jedním z důvodů je samozřejmě fakt, že nás může otravovat, nicméně hlavní problém je s jeho zneužitím v podobě přístupové cesty do milionů počítačů. Spam totiž nesmíme chápat jen jako otravnou reklamu, ale jako opravdu hromadně rozesílanou poštu, jež se stává prostředníkem pro šíření virů a balamutění uživatelů. V tomto je hlavní nebezpečí nevyžádané pošty především u začínajících uživatelů.


7

V posledních letech mají uživatelé Internetu stále větší zájem o online video nebo stahování hudby, a tak toho útočníci pořádně využívají. Jakmile je začínající uživatel omámen megabity rychlosti svého připojení, často hodí bezpečnostní zábrany stranou a velice rád například i vypne antivir, firewall, případně nainstaluje podivné rozšíření prohlížeče, jen aby podle instrukcí tvůrců podvodných stránek získal slibovaný trhák zdarma. A že se mu to nakonec nepodaří? Co na tom, jde hledat jiný zdroj. Mezitím už ale pomaličku číhá nově pozvaný malware v jeho počítači…

Za drtivou většinou úspěšných útoků a podvodů stojí uživatelská nepozornost, zbrklost, nevědomost, případně kombinace všech uvedených faktorů. Bezpečnostní software zvládne zatáhnout za onu pomyslnou záchrannou brzdu, nicméně zpravidla je hlavní tíha na bedrech a rozumu samotného uživatele. Ve firemní síti jim s trochou štěstí politiku nadiktuje tamní správce, ale doma si pak vše vynahradí surfováním s minimem bezpečnostních barikád. Bohužel.

Nesmrtelný Conficker

Ptali jste se někdy sami sebe, který škodlivý kód je vlastně v nedávné historii dlouhodobě nejúspěšnější? O mistrovský titul v této oblasti bojuje několik zástupců, respektive rodin malwaru, nicméně osobně bych sem zařadil Conficker. Rozmanitost zneužití Confickeru, resp. jeho záludných následků, vybočuje z řady běžných virů nebo jiných pokusů o útok.

Před koncem roku 2008 došlo k objevení a prvnímu zneužívání zranitelnosti Microsoftu, která mohla v operačních systémech Windows otevřít cestu pro vzdálené spuštění kódu a jíž se věnoval security bulletin s pořadovým označením MS08–067. Ačkoliv tak byla záplata k dispozici, v druhé polovině ledna dalšího roku se rychlostí blesku začal šířit škodlivý kód, který danou zranitelnost zneužíval.

Neblaze proslulým hlavním hrdinou malwarového thrilleru se stal červ Conficker (též známý jako Downadup), jenž během poměrně krátké doby nakazil více než deset milionů počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož oprava se distribuovala pomocí automatických aktualizací ještě před největším rozmachem.

Zhruba po dobu tří týdnů, od prvního rozšíření v prosinci 2008 po polovinu ledna 2009, si Conficker vybudoval slušnou základnu pro případné další útoky. Původní prognózy se ale naplnily i dál, Confickeru a jeho různým variantám pravidelně každý měsíc patří některá z předních příček malwarových hitparád. Takřka po dvou letech je v různých mutacích stále velice aktivní (srovnejte s jiným škodlivým kódem), na počátku přitom byla ona „prkotina“ s nezáplatovanou zranitelností.

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat pouze o rozesílání spamu nebo hromadné útoky, včele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Conficker již dva roky představuje nejrozšířenější hrozbu a můžeme směle odhadnout, že nás neopustí ani v roce 2011.

Domovské stránky pro stažení LOIC při boji za WikiLeaks


8

Ještě horké WikiLeaks

Jednou z důležitých kauz nedávné doby se stala válka na mnoha frontách kolem serveru WikiLeaks, kterému postupně odepřely služby Visa, MasterCard a například i PayPal. Odříznutí od peněz bylo ze strany zmíněných obhajováno porušením podmínek, nicméně v pozadí zůstává hořká pachuť dalšího nátlaku. WikiLeaks chvíli vypadalo jako projekt, který bude pohřben zaživa, avšak hned se ozvala řada serverů po celém světě s nabídkou hostování obrazu aktuální databáze citlivých informací.

Servery společností Visa, MasterCard a PayPal se pak ocitly pod palbou útočníků, kteří měli jediný cíl: zablokovat jmenované služby jako mstu za nekalé jednání proti WikiLeaks. K těmto útokům se přihlásila hackerská skupina Anonymous, jejíž (samozřejmě anonymní) členové uvedli, že se jedná o informační válku za to, aby byl internet nadále svobodný. Také proto celá akce získala označení Operation Payback, nikdo se nijak neskrýval s tím, že jde o skutečnou odplatu.

Organizovaný DDoS útok ukázal další možnou cestu, po které se lze vydat. Stačí „pouze“ najít uvěřitelnou a obhajitelnou teorii, tou si podložit útok a nalákat ovečky. Narychlo vytvořená skupina pak může s minimem nákladů a během pár chvil odstavit servery, do jejichž zabezpečení a chodu provozovatelé investovali nesrovnatelně větší sumy. DDoS útoky z botnetů, na jehož tvorbě se dobrovolně podílejí sami uživatelé, nepatří mezi každodenní rutinu. Kauza boje za WikiLeaks ale jasně ukázala, že mohou být úspěšné, v budoucnosti se terčem může stát kterýkoliv server, hlavní podmínkou je nadšení samotných uživatelů.

Bezpečnostní rizika nových webových technologií

Martin Malý

Nové webové technologie, to nejsou jen úžasné možnosti, video a další funkce. Jsou to i bezpečnostní rizika, která jsou o to nebezpečnější, že jsou málo známá.

Dlouhé klidné období hegemonIE

Nevěřte webdesignérům jejich stížnosti na IE6, neberte slova o „nejhorším prohlížeči vůbec“ nijak vážně. Ve skutečnosti zažili webaři s IE6 bezprecedentní období hegemonie jednoho prohlížeče, které trvalo asi osm let, během nichž se majoritní prohlížeč nijak nezměnil. V překotném vývoji celého odvětví to byl ostrůvek stability. U žádného jiného tak rozšířeného programu neměli vývojáři v poslední době tolik let na odhalení jeho chyb a přizpůsobení se jim.

Ano, IE6 je plný chyb, nelogičností a problémů, ale jeho chyby, nelogičnosti a problémy jsou důkladně zdokumentovány, mnohokrát popsány, a co víc: vývojáři se naučili, jak je ošetřit. Takže dnes pro zručného kodéra nepředstavuje graceful degradation pro IE6 velký problém, protože zná podivnosti tohoto prohlížeče a na každou z nich má připravený „hack“.

Ostatní webové prohlížeče, které přidávají co čtvrt roku novou verzi, sice implementují novinky a opravují chyby rychleji, ale nesou s sebou jiné nebezpečí v podobě nových technologií. Nové technologie totiž mají i nové bezpečnostní díry. Zdaleka nejde jen o chyby v implementaci, ty bývají často rychle opraveny. Jde spíš o vlastnosti, které vyplývají z podstaty věci a které mohou být zneužitelné, pokud je vývojář neošetří. Bohužel – vývojáři se rychleji seznamují s novými technologiemi než s jejich možnými riziky. Kombinace nadšení pro nové věci a bohorovné ignorance možných problémů představuje smrtící koktejl, který si uživatel takového webu často nevědomky vypije až do dna.

Za trest napíšeš stokrát „HTML5“!

Ne, HTML5 opravdu není mantra, kterou musí zlobiví novináři tisíckrát napsat, aby jim šéfredaktor odpustil. Rodina technologií HTML5 představuje rozšíření starého dobrého HTML4 o velké množství nových technologií a postupů, které umožňují zlepšit uživatelský prožitek a přiblížit styl práce s webovými aplikacemi tomu, na který jsou lidé zvyklí z desktopů. O HTML4 platí totéž, co zaznělo v předchozí části: Je tu s námi přes deset let (specifikace verze 4.01 je z roku 1999) a za tu dobu už vývojáři většinou znají možné problémy a věci, které je nutno ošetřit.


9

Samotné HTML jako značkovací jazyk nepředstavuje pro uživatele většinou závažnější bezpečnostní riziko. Asi největším možným problémem je podvržený iframe s falešnou stránkou nebo podvržená adresa, kam se odesílají data z formuláře. Největší nebezpečí (a také nejvíc podceňované) s sebou nese JavaScript, tedy technologie umožňující provádění nějakých akcí přímo v uživatelově prohlížeči.

I když je JavaScript prováděn v „sandboxu“, tedy pouze v prostoru prohlížeče, může představovat velké bezpečnostní riziko. Díky sandboxu nemůže skript na webové stránce přímo přistupovat k souborům ve vašem systému, ale přesto může napáchat poměrně výrazné škody – od poškození dat na webu přes krádež přihlašovacích údajů kamkoli až po odcizení účtů, identit nebo provedení bankovních operací. Přitom škodlivý kód může být vložen na neškodné a důvěryhodné stránce; už zdaleka neplatí, že je třeba lovit v kalných vodách warez a porna, aby člověk vystavil svůj prohlížeč riziku. (Hezká ukázka je například TabNabbing – jako stvořený pro všechny ty uživatele, co si „otevřou ráno zajímavé odkazy do panelů a ty pak procházejí“.

Nejčastější typ útoku se nazývá Cross-Site Scripting a označuje se XSS. Tato zkratka označuje způsoby, jakými lze do důvěryhodné stránky vložit škodlivý skript. Tedy něco podobného, jako vložené skripty nejrůznějších služeb, od počítadel přes analytické nástroje po „like button“, jenomže o nich návštěvník (a často ani správce) neví. Pokud neošetří tvůrce webu možné díry, kudy může útočník provést XSS útok, jsou návštěvníci jeho webu v ohrožení.

Problém mezi židlí a editorem

Opět se vracíme k tomu, co bylo už vyřčeno: Vývojáři se naučili obstojně ošetřovat nejčastější bezpečnostní rizika dosavadních technologií a prohlížečů. Lze říct, že průměrný vývojář ví, co je XSS, uvědomuje si možné riziko, zná nejčastější způsoby útoku a proti nim se brání. Ti lepší si uvědomují, že neznají všechny způsoby, a proto jsou raději opatrnější. Ti horší pak sebevědomě uvěří tomu, že ošetřili všechny způsoby, co znají a jiné způsoby nejsou. Bohužel. Rozhodně není výjimkou potkat vývojáře přesvědčeného o tom, že mu bezpečnostní technika z roku 2004 pomůže proti všem rizikům dnešním i budoucím, a sebejistě věřícího, že žádná jemu neznámá rizika neexistují.

Zeptejte se vývojáře webových aplikací, kolik zná způsobů, jak lze do webové stránky vložit JavaScript. Pokud jich vyjmenuje deset, poohlédněte se po aplikaci od nějakého jiného tvůrce.

Nové webové technologie z rodiny HTML5 přinášejí několik desítek nových způsobů, jak do stránky vložit skript. Nově mohou být skripty v místech, kde dříve nebývaly. Objevily se celé nové technologie, které na první pohled vypadají důvěryhodně a neškodně, ale ve skutečnosti mohou být velmi nebezpečné, pokud je s nimi zacházeno lehkomyslně (např. pokud autor webu považuje SVG za „neškodný vektorový obrázek“ a povolí jeho načítání z cizího webu). Staré existující značky dostaly někdy nové funkce (které mohou být využity pro útok). Přibyly nové značky – například oblíbený tag VIDEO – a pokud povolí autor jejich vkládání bez opravdu důkladné kontroly toho, co v nich je, riskuje bezpečnostní problém…

Jak se bránit?

Nové technologie jsou už zde. Stejně tak i nové prohlížeče, které je podporují, získávají majoritu na trhu. Nejhorší možný postoj, jaký k této změně mohou vývojáři webových aplikací zaujmout (a bohužel také často zaujímají) je ten, že změnu ignorují a věří, že pokud nové technologie oni sami nepoužívají, tak jsou proti jejich rizikům chráněni a v bezpečí. Že když se naučili vyhazovat tag SCRIPT a znaky < a >, tak si s tím vystačí. Podobný pocit je ale smrtelně nebezpečný, protože je to falešný pocit bezpečí. Útočník může zadat například vyhledávací řetězec, který by byl v IE6 či HTML4 bezpečný a který projde „bezpečnostním filtrem“ – ovšem v novém prohlížeči s podporou nových technologií už dotyčný řetězec bezpečný nebude. Výsledkem je kompromitovaná stránka a admin, který je přesvědčený, že k žádné kompromitaci jeho stránek dojít nemůže. Takových je, bohužel, stále víc než dost.

Největším bezpečnostním rizikem je a stále bude sebejistý vývojář. Druhým největším pak sebejistý uživatel.

Pravděpodobně jediným relativně spolehlivým způsobem, jak se může uživatel bránit, je blokování JavaScriptu podle whitelistu – taková obdoba firewallu.

Takovou funkci nabízí např. plugin NoScript pro Firefox. Po vstupu na stránku musíte říct, zda chcete té stránce povolit spouštět skripty nebo ne, a pokud ano, tak jestli vždy nebo pouze jednorázově. Po nějakém čase používání získáte seznam „důvěryhodných webů“, takže při běžné práci ani nepoznáte, že takový doplněk v prohlížeči máte.


10

Poznáte jej při vstupu na neznámou stránku – a leckdy se až podivíte, co všechno jste si dřív do prohlížeče pustili. Až přijdete na nenápadnou stránku, třeba nějakého hudebního festivalu, a NoScript vám zahlásí, že zablokoval skript z domény 1174quz.ru a zakázal podezřelé přesměrování, nebo že jste klikli na tlačítko, které ve skutečnosti nebylo tlačítko a pod ním byl skrytý odkaz na paypal.com/payment, tak vám ta trocha nepohodlí s povolováním nebude připadat tak nesnesitelná.

NoScript plugin pro FireFox

Není potřeba hystericky zahazovat nové prohlížeče a proklínat nové technologie; důležité je nepodlehnout falešnému pocitu bezpečí, plynoucímu z víry, že „žádná neznámá rizika nejsou“.

USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty

Lukáš Tomek

Nemáte-li sloní paměť na hesla, jsou vždy dvě základní možnosti. První je mít všechna hesla stejná, což je cesta sice lákavá, ale z hlediska bezpečnosti smrtící. Druhou je používat nějaké zařízení, které si veškerá hesla zapamatuje a případně i vyplní za vás. Nejpohodlnější jsou bezesporu USB tokeny, dongly nebo chcete-li, klíčenky. Jak fungují? A jsou bezpečné?

Jak skladujete hesla? Asi se budete divit, ale znám dost odborníků na vývoj softwaru, kteří mají vedle monitoru prázdný formulář vyjetý „z Excelu“ a v něm propiskou napsáno několik desítek až stovek hesel. Záda si kryjí tak, že papír čas od času ofotí a někam odnesou. Ti línější mají tabulku uloženou na nějakém externím disku (nepřipojeném k Internetu).

Existují ovšem i technologie, které se snaží hesla někam schovat a v případě potřeby je vytáhnout (či vygenerovat). Jedna možnost je software. Jak je vidět z úvodu, „vysokou“ důvěru v něj vkládají zejména ti, kdo ho sami programují (to mi připomíná, že znám řadu novinářů, kteří se odmítají dívat na televizi). Intuitivně bezpečnější se jeví hardware. Vzhledem k relativní jednoduchosti provedení a plošné dostupnosti rozhraní se začínají místo čteček čipových karet prosazovat USB tokeny (dongly, klíče). Takový USB token nabízí například Certifikační autorita PostSignum QCA (jedná se o iKey 4000 od Rainbow Technologies, které v roce 2004 pohltila firma SafeNet). Některé banky také umí použít token při přihlašování do internetového bankovnictví (třeba UniCredit Bank nabízí kombinaci digitálního certifikátu a mezi jinými Rainbow iKey 2000 či 2032, iKey 2032 používá i Waldviertler Sparkasse). Poněkud odlišný token používá Volksbank (zde ukázka)

Co všechny USB tokeny umí? Typické úlohy jsou:

• přihlášení k pracovní stanici (PC, OS), • přihlášení do intranetu, extranetu, VPN, • autentizace při vzdáleném přístupu,


11

• internetové bankovnictví, e-commerce, elektronické transakce a platby, • přístup do (v podstatě libovolných) internetových aplikací, • ukládání digitálních certifikátů a privátních klíčů, elektronický podpis, • šifrování komunikace (e-maily apod.), • obecně ukládání šifrovacích klíčů, šifrování dat.

RSA 1024-bit a osmibitový procesor

Mezi tokeny jsou poměrně velké rozdíly zejména ve funkci, možnostech a také zabezpečení. Nejjednodušší tokeny obsahují prostě paměťovou jednotku, v chytřejších zařízeních se dá najít procesor, který chrání přístup k datům a obsahuje vlastní OS a aplikační software, nejsložitější tokeny mají zvláštní procesor na kryptografické operace. Komplexní „mašiny“ se nazývají HSM, tedy hardwarové bezpečnostní moduly.

Jiné, velmi jednoduché tokeny prostě generují číslo (třeba každou minutu), které zobrazí na malém „old-stylovém“ černobílém displeji. Číslo následně uživatel jednoduše opíše do autentizačního formuláře (viz klíč používaný Volksbank u internetového bankovnictví). O něco chytřejší varianty těchto klíčů přenášejí vygenerovaný kód do PC třeba přes bluetooth nebo USB.

Pokud jsou klíče na tokenu schovány někde za procesorem a aplikační vrstvou, jedná se o lepší řešení, protože data nejsou přímo a jednoduše přístupná „zvenku“. Vstup do funkcí USB tokenu bývá zabezpečen PINem. Co takový token umí a co je zhruba uvnitř? Tak například zmíněný iKey 2032, který používají tuzemské banky (bližší informace zde).

• přesný název produktu: iKey 2032 USM Smart Token (cena cca 1500 Kč) • kryptografický mikrokontroler: Philips 5032 (8bitový procesor) • zabezpečené úložiště: 32 KB • podpora RSA: 1024 bitů • standardy: PKCS#11, MS-CAPI, PS/SC

Pokud jde o podporu pro Linux, nativně by ji měly mít iKey 3000 a výš (viz notservis.cz a linuxexpres.cz), pro Mac je podpora ve verzi 3000 ve fázi testování. A když už jsme u toho, existují i OpenSource USB token projekty (jeden je zde).

Jak funguje šifrování s iKey řady 2000, najdete co možná jednoduše naznačeno na následujícím obrázku:

iKey řady 2000, šifrování

Jak to vypadá prakticky třeba při odesílání e-mailu? V klíči si při instalaci middlewaru musíte jednak zvolit unikátní PIN, jednak si nechat vygenerovat certifikační autoritou (VeriSign apod.) digitální certifikát. iKey potom vygeneruje privátní a veřejný klíč, veřejný zašle certifikační autoritě (token umí skladovat víc klíčů).

Pak jednoduše token zastrčíte do počítače a otevřete e-mailovou aplikaci. Po napsání zprávy zvolíte možnost podepsání a zašifrování zprávy. E-mailová aplikace se vás zeptá na PIN příslušející tokenu. E-mailový program pošle data do tokenu, kde se přibalí podpis, zpráva je zašifrována, použije se veřejný klíč


12

příjemce a balík zašifrované zprávy, podpisu a jednorázového klíče se pošle příjemci. Příjemce dokáže zprávu rozšifrovat a její totožnost následně určit pomocí certifikační autority.

Pokud jde o autentizaci, jde zde o dvoufaktorový systém: jedním faktorem je „něco, co znám“ (PIN k tokenu) a „něco, co mám v ruce“ (samotný token). Třetím faktorem by mohlo být „co jsem“ (otisky prstů apod.), s ním se zde ovšem nesetkáme.

Laciná konstrukce dlouho nevydrží

Jak se token používá? Uživatelé si ho většinou připojí ke klíčům, takže ho mají stále s sebou. Klíč je samozřejmě nutné mít s sebou – na druhé straně, tím se také zvyšuje jeho fyzické opotřebení. Token se mezi svazky klíčů od kanceláře, domu a auta pomalu odírá a může se i podstatně poškodit. Častým používání se také může při slabší konstrukci vyviklat USB konektor, a pokud budete mít „štěstí“, budete mít nakonec problém přečíst z tokenu data.

Hromadné používání tokenů uživateli testovali v MetaCentru, akademickém gridu superpočítačových center. Od tokenů však nakonec upustili. Jedním důvodem bylo fyzické opotřebení donglů, které vyústilo v jejich nespolehlivost. Mnoho aplikací nepodporovalo token jako úložiště soukromého klíče. Uživatelé museli token nosit neustále při sobě i v případě, že chtěli jen na chvíli opustit počítač. Nebyli také ochotní nosit token všude s sebou a pečlivě ho chránit proti ztrátě, uvádí MetaCentrum na svých stránkách. V praxi pak uživatelé token buď vůbec nepoužívali, nebo ho nechávali trvale v počítači, což popírá jeho bezpečnostní smysl, dodává MetaCentrum.

Pokud tedy plánujete token používat, promyslete také tyto praktické dopady na každodenní používání počítače či třeba firemní sítě.

Útok na vnitřek: stačí nůž, programátor a dvě a půl minuty

Pokud jde o bezpečnost, je k dispozici velice zajímavá studie Attacks on and Countermeasures for USB Hardware Token Devices, jejíž autoři se pokusili iKey 2000 napadnout ze všech možných stran. Z této studie vycházeli také autoři české studie Autentizační hardwarový token nové generace, odvozená prezentace zde, shrnutí zde.

Nejprve možné útoky:

• vzdálené útoky (softwarově na dálku, využití botů apod.), • lokální útok – útočník má token v držení (např. ho odcizil).

První, co nás u kryptografického hardwaru zajímá, je fyzická ochrana. Jde o zamezení přístupu, pevnost, zjistitelnost případného narušení a případná odpověď (například u takového „udělátka“ jako token nejlépe úplné znehodnocení stroje). Výsledky testu nejsou moc slibné: iKey 2000 se dá otevřít kuchyňským nožem a zase složit dohromady za 30 vteřin bez viditelných stop po průniku.

Rozlousknutý iKey 2000

Jak se ukazuje, tokeny od různých výrobců jsou zabezpečeny různě – některé jsou slušně zalepené, jiné se hned rozpadnou, některé mají po otevření pěkně přehledné obvody, které se dají snadno napíchnout, jiné mají obvody alespoň zalité epoxidem. Uvnitř nečekejte žádné složitosti, jde o mikroprocesor, paměť a pár „drátů“ mezi tím. Autoři zmíněné studie zkoumali, jak se dá dostat k uloženým informacím za pomocí domácího vybavení „slaboproudaře“ nadšence.


13

První poznámka se týká procesorů – je několik typů, které pracují podobným způsobem a dávají se do podobných zařízení, což v konečném důsledku způsobuje, že tokeny jsou „na jedno brdo“. PIN, který dokáže otevřít přístup ke všemu v tokenu, je uložen na „EEPROMCE“ – tyhle paměti jsou notoricky bezpečnostně rizikové a pro výrobce výhodné z toho důvodu, že nepotřebují kolem velkou spoustu „drátů“, aby mohly fungovat. Aby se paměť EEPROM dala napíchnout, rozhodně ji není nutné z plošného spoje vytrhávat, takže po šikovné manipulaci by nemuselo být nic poznat.

Ve studii se na manipulaci s pamětí požívá EPROM programátor Needham's Electronics' EMP-30. V iKey 2000 je použitá paměť 24LC64 (seriál EEPROM), k dispozici je 8 kB. Vtip je v tom, že paměť je rozšiřitelná na 128 kB, a na plošném spoji je na toto rozšíření místo, které nabízí skvělý počáteční bod pro útok. Mimochodem, iKey 2000 bývá zřejmě uvnitř zalit epoxidem, který je potřeba mechanicky nebo chemicky odstranit (pokud se pak dobře složí vnější obal, nemusí být nic vidět).

V EEPROMU iKey 2000 je skladováno jednak 64bitové číslo, které zavádí jedinečnost tokenu, a jednak až 256 ASCII string zvaný MKEY, který tvoří administrátorské heslo tokenu (hlavní PIN). MKEY je přitom zahashovaný MD-5 a potom z půlky „obfuskovaný“ nějakým vnitřním algoritmem. Na ten je potřeba přijít. Udělá se to tak že do EPROMU se pošle známý zahashovaný MKEY (hash dělá při běžném provozu software v PC) a sleduje se, jaký z půlky „zaobfuskovaný“ MKEY z toho vypadne. Při chytře zadaných hodnotách a pár iteracích se dá přijít na vnitřní algoritmus a přihlásit se k iKey jako administrátor (a tím se dostat ve veškerém obsahu uvnitř). Celou tuto operaci lze provést v čase kolem dvou minut.

Krom barbarského útoku se šroubovákem a programátorem lze na iKey 2000 provést také neinvazivní útok – token se prostě připojí k PC a sleduje se komunikace, využívá se Brute-force útok na uhádnutí PINu a podobně. Užitečné je dostat se také k SDK (u iKey 2000 zřejmě není problém). V zásadě je možné zkoumat komunikaci od PC do USB a obráceně, posílat postupně pakety v celém prostoru, aby se našly skryté příkazy (např. různé tovární nastavení a čtení a podobně), případně posílat nevalidní pakety a zkoumat odezvu. K sofistikovaným fintám patří časová a výkonnostní analýza početních operací probíhajících v tokenu (např. různý odběr proudu při sčítání/násobení).

K trikům, které napůl zasahují fyzicky do obvodu, patří třeba starý trik s podchlazením, kdy se zjišťuje, co si paměť pamatuje při odpojení od zdroje. Když to uzavřeme, iKey 2000 případně 2032 je poměrně běžně využívaný na zabezpečení internetového bankovnictví a představa, že si ho někdo na chvíli „vypůjčí“ (znáte to… kam jsem ho jen dal… a druhý den je v jiné kapse… no, jo, proto jsem ho nemohl najít…) a vyrobí si duplikát, s kterým se dostane na stejná místa jako já, není zrovna příjemná… No není lepší tabulka na papíře vedle monitoru?

Jak ubráníte své soukromí na Internetu vy, když dostali i Pitra?

Patrick Zandl

Odposlouchávané hovory na Skype, monitoring osob vybavených mobilem díky mýtným branám na dálnici. Před českou policií třetího tisíciletí není žádného úniku: takhle prý vystopovali i nejhledanějšího českého uprchlíka Tomáše Pitra. Kde je hranice mezi mýtem a současnými možnostmi policie? A můžeme vůbec ještě ochránit své soukromí na Internetu?

Hladinu spekulací o elektronických možnostech české policie rozvířil článek jednoho z nejzkušenějších českých novinářů Jaroslava Kmenty. Článek věnovaný popisu toho, jak česká policie dopadla Tomáše Pitra, přinesl zprávy, ze kterých muselo příznivcům soukromí vstávat hlasy hrůzou na hlavě. V zásadě z něj plynulo, že před českou policií není úniku a její zvědavé uši i oči dosáhnou prakticky kamkoliv do elektronických komunikací a ani šifra AES256 pro ně není překážkou. Ano, bavíme se o téže policii, u které spíše předpokládáme používání prehistorické techniky, převládající psací stroje a datlování jedním prstem.

Mýtné brány sledují mobily?

Pojďme se na některé heroické činy podívat. Jedním z nejzajímavějších tvrzení zmíněného článku bylo následující: Stejně tak lze „kapschový systém“ (provozuje ho firma Kapsch) využít k monitorování mobilů. Když máte zapnutý mobil a projedete s ním pod branou, systém ho dokáže rozpoznat a identifikovat. A informace je následně


14

zpřesněna: Mýtné brány se dají dokonce nastavit tak, že sledují, která auta jezdí za sledovanou osobou například do vzdálenosti sta metrů, tedy zjistit, zda dané auto někdo nepronásleduje.

Článek dále poukazuje na to, že podobný systém je používán v Německu, kde se proti němu ohradil dokonce i soud a toto použití systému zakázal. Tato informace je částečně pravdivá. Německý soud se skutečně na základě stížností občanských sdružení vložil do toho, jakým způsobem německá policie využívá místní mýtné brány. Jenže tady nešlo o to, že by brány byly schopny monitorovat mobilní telefony, umožňovaly sledování vozidel podle poznávacích značek (mechanismus jsem částečně popisoval zde). Bylo možné zadat sledované vozy a systém byl schopen velmi přesně rekonstruovat jejich trasu a pořídit i fotografie vozidel včetně slušných fotografií posádky na předních sedadlech (na zadní už systém neviděl, pokud terorista necestoval kabriem). Kromě toho další program uměl vyhodnotit, zda se kolem sledovaného vozidla nepohybují nápadně často jiná vozidla, tedy například to, zda se na více průjezdních branách neobjevilo v podobném časovém intervalu jako sledované vozidlo i jiné vozidlo. A problém nastal v momentě, kdy spolková policie začala vyšetřovat v souvislosti s terorismem německého občana (navíc tureckého původu), který (jak se následně ukázalo), měl tu smůlu, že měl ve vozidle adaptivní tempomat a cestoval za sledovaným vozidlem ve štrúdlu.

Mohou české mýtné brány kontrolovat mobilní telefony způsobem, jaký předestírá Jaroslav Kmenta? První problém by byl technický: vysledovat hovor podle telefonního čísla není tak jednoduché jako odposlouchávat všechny hovory v oblasti. Předpokládá to odposlechnutí signalizace v síti a spíše také spolupráci s operátorem. Telefonní číslo totiž GSM sítí neputuje zase tak často, síť označuje své účastníky nikoliv telefonním číslem, ale IMSI, ještě častěji pak náhodně vygenerovaným kódem TMSI, jenž se používá právě proto, aby se unikátní identifikátor IMSI dal co nejméně často zachytit v rádiové části sítě. IMSI navíc zná zpravidla jen mobilní operátor, pro něj je to číslo, s nímž páruje služby a jejich účtování včetně veřejného mobilního čísla. Jak hovor putuje GSM sítí, se dozvíte zde.

Teoreticky je ale představitelné, že by si o jeho vydání policie zažádala u operátora. I pak by měla jen velmi málo času na to, aby telefon dohledala, právě z tohoto důvodu totiž řídící jednotka základnové stanice nahradí při první vhodné příležitosti (jako je zapnutí telefonu) IMSI dočasným kódem TMSI, jenž platí jen v rámci určité oblasti a dále se nepředává. Druhý problém by tedy byl legislativní, operátor by musel s předáním informací souhlasit a i pak by šlo o významně náročnější operaci, než je odposlech mobilního telefonu v oblasti, v níž je přítomno odposlechové zařízení (k tomu viz studie Real time cryptoanalysis of A5/1 on PC).

Mýtná brána Kapsch, zdroj: keš na Geocaching.com

Třetí problém je konstrukční. Mýtné brány velmi pravděpodobně nejsou vybaveny GSM/3G rádiem. Tady je třeba si uvědomit, že komunikace v mobilní síti už je dnes obsáhlá záležitost obnášející rozsáhlé frekvenční spektrum 900,1800 a 2100 MHz a i když nemusíme věřit, že by teroristé používali U:fona, bylo by vhodné pamatovat i na pásmo 430 MHz. Na snímcích bran nejsou rozpoznatelné antény a ani na nich není vidět žádný systém, který by mohl sloužit k zakrytí antén pro odposlech. Konstrukce jsou kovové, do nich se antény schovají jen těžko. Pro seriózní sledování a komfortní zachycení signálu a jeho vyhodnocení by přitom bylo třeba monitorovat řádově desetikilometrový úsek, a k tomu již budou potřeba antény větší, než máte v mobilním telefonu. Čím naopak brány jsou vybaveny, je systém fotoaparátů s infrableskem pro snímání vozu, laserový scanner a krátkodosahový radiosystém, které komunikuje s palubní jednotkou mýtného systému. To doplňují kamery, které kontinuálně nahrávají situaci na silnici. Systém je tedy schopen monitorovat ty samé informace jako mýtné brány v Německu: jsou schopny registrovat všechny vozidla projíždějící branami podle registračních značek i podle typů vozidel. A tyto informace mohou být dále vyhodnocovány, je pravděpodobné, že tu existuje možnost sledování určitého vozidla.


15

Jak vznikla informace o tom, že jsou sledovány mobilní telefony osádky vozidla projíždějícího branami? Podle našeho zdroje z řad policie, který si nepřál být jmenován, je to dezinformace, kterou policie vypustila účelově proto, aby zaprvé zakryla skutečný postup, jímž Pitra vypátrala a jenž byl údajně mnohem méně technický a mnohem triviálnější a „staromódní“. A za druhé také proto, aby znervóznila i ostatní sebejisté zločince.

Zatímco operativní odposlechy mobilních telefonů lze považovat za možné a to i bez součinnosti s operátorem, takovéto sledování pohybu mobilních telefonů mýtnými branami považuji zatím spíše za účelovou dezinformaci.

Odposlouchávaný Skype

Druhým šokem pro mnohé mohla být informace, že česká Policie odposlouchávala Skype a monitorovala obsah zdejší konverzace. Kmenta ve článku jasně uvádí: Stejně tak použili specialisté generátor slov, který umí najít v nepřeberném množství odposlouchávaných hovorů ta správná (třeba všechny debaty, v nichž padne jméno Pitr)… A dokázaly odposlouchávat i spojení přes Skype…

Hlavní výhradou proti odposlechům Skype je způsob jeho ochrany (pojednán zde) – hovor je šifrován algoritmem AES o délce klíče 256 bitů, což je dnes považováno za více než dostatečné (další detaily). Navíc hovor mezi dvěma účastníky v síti Skype je směřován přes jednotlivé node a je tedy těžké jej zachytit (jinak je tomu při volání do telefonní sítě). Z toho bychom mohli vyvozovat, že informace o odposlechu hovorů na Skype jsou báchorkami. Jenže na druhou stranu již v minulosti se objevily informace, že firma Skype má nadstandardní možnosti a tyto pak svěřuje do určitých rukou. Pod tlak se dostala už před pěti lety, kdy se ukázalo, že teroristé s oblibou komunikaci přes Skype používají a americké tajné služby zatlačily. Výsledkem tlaku údajně je rozhraní pro vládní přístup k odposlechu komunikace na Skype, které je přístupné policejním orgánům jednotlivých zemí. Zda tomu tak je, případně jaké jsou k tomu podmínky, nebylo nikdy zveřejněno a můžeme se o tom jen dohadovat, nicméně již několikrát v minulosti se ukázalo, že komunikace přes Skype nebyla překážkou.

První rozruch spustilo Wikileaks, které počátkem roku 2008 publikovalo informace o tom, že německá firma Digitask má pro místní policii prolomit SSL a Skype. Další ránu důvěře ve Skype dalo o půl roku později prohlášení rakouské policie, že pro ni Skype nepředstavuje problém. Tehdy bylo požadováno otevření kódu Skype proto, aby se zjistilo, zda neexistuje backdoor, který umožní firmě zprostředkovat odposlechy (veškeré klíče Skype zná, pro ni to nebude problém), Skype se to ani neobtěžoval komentovat a rozruch nakonec vyšuměl.

Podle našich zdrojů má česká Policie opravdu možnost odposlouchávat komunikaci na Skype s tím, že online monitoring hovorů funguje poněkud jednodušeji, než bylo popsáno. Analýza probíhá u textových zpráv, které si vyměňují uživatelé sítě Skype, přičemž se počítá s tím, že alespoň nějaké informace, které by mohly způsobit poplach, projdou jako textové vzkazy před zahájením hovoru. Analýza hovoru zatím online neprobíhá, probíhá až offline ze záznamu podezřelých hovorů. Ty jsou podezřelé právě klíčovými slovy v textové konverzaci nebo tím, že jde o sledované účty v síti Skype. Zda ale jde o oficiální možnost poskytovanou firmou Skype nebo prolomení Skype, nevíme, ale přikláněl bych se k první možnosti.

A co vy? Jste v pohodě?

Samozřejmě, že neděláte nic nelegálního, ale dost možná se vám nelíbí už jen z principu, aby policie jen tak preventivně procházela vaši komunikaci. Problém totiž bohužel není v tom, že byste hovořili o něčem nelegálním, jako v tom, že až příliš často se stává, že účelově unikají odposlechy, záznamy a informace z probíhajících vyšetřování. A nikdy se nic nedokáže, viník se nenajde a není potrestán. Za takové situace samozřejmě na jednu stranu můžete optimisticky věřit, že někomu nebude stát za to si u policie zařídit únik vašich materiálů, na druhou stranu můžete jednat takříkajíc preventivně a maximálně celou věc slídilům ztížit.

Dnes nejefektivnějším řešením je za prvé důsledné používání šifrování u komunikace, která má rozvážně zvolený stupeň důležitosti. Za druhé je vhodné důsledné používání bezpečných a zabezpečených protokolů tak, aby se vaše hesla a uživatelská jména nepřenášela sítí nekódovaná. Ne snad proto, aby nebylo možné se nabořit do vašeho účtu, s tím si hacker pravděpodobně nějak poradí, když už o to půjde, spíše proto, aby nebylo jednoduché monitorovat vaše aktivity.

A do třetice stojí za úvahu používání VPN, tedy vzdáleného připojení do jiné sítě a komunikace skrze ni. Celé připojení VPN bývá (různě) silně zabezpečeno a například pokud se připojujete přes veřejný WiFi hotspot, je to pro vaši anonymitu i bezpečnost prakticky nutné.


16

Vzhledem k monitorovacím tendencím se není čemu divit, že nabídky anonymizujících VPN se objevují stále častěji, a i když nemůžeme říci, že zrovna případ Tomáše Pitra by svědčil o nějaké sofistikované elektronické sledovačce, i u nás jejich použití začíná být stále aktuálnější. V dnešní době už za několik dolarů měsíčně zajistí VPN velmi podobný rychlostní komfort, na jaký jste zvyklí se svým stávajícím připojením, a navíc k němu přidá i bezpečnost. I když, i v případě použití VPN si budete muset rozmyslet, jak komunikovat, protože VPN sice pomůže ochránit komunikaci mezi vámi a VPN serverem, co z něj ale odešlete, už půjde ve formátu vámi použitého protokolu – plain heslo pro FTP bude ze serveru již posláno jako čitelné.

Karty, kterým svěřujeme své peníze a osudy

Pavel Čepský

Úspory pod polštářem dnes schovává už jen málokdo, vše svěřujeme digitálnímu světu. Karty, a nejen ty platební, se tak stávají častým cílem útočníků, případně prostředkem krádeže identit. Jaké formy autentizace nám vlastně různé typy karet nabízejí a jaká bude jejich budoucnost?

Platební karty i jejich různé další varianty používá dnes již prakticky každý – ať už jde o placení v obchodech, výběry z bankomatů nebo online nákupy. Bereme je jako samozřejmost, velice často jsou však podceňovány trable a nebezpečí, která jsou s nimi spojena. Na některé nedostatky a možná řešení do budoucna upozornila v nedávné době společnost RSA, a to prostřednictvím svého dokumentu Secure Payment Services: Card Data Security Transformed, který si po následování odkazu můžete v původním anglickém znění kompletně prolistovat.

Nový dokument RSA shrnuje, jak nová generace služeb pro zpracování plateb využívá výhod, jež přináší šifrování dat během veškerého zpracování a novější technologie nazývaná tokenizace. Šifrování dat znepřístupňuje čísla karet tak, že je zakóduje do zpětně dekódovatelného formátu. Tokenizace čísla karet zcela nahrazuje schéma zabezpečenými zástupnými údaji, které nelze použít k podvodným nákupům, avšak stále obchodníkům umožňují sledovat a analyzovat nákupní chování zákazníků u každé platební karty. Ve výsledku jsou tedy v případě zachycení zloději čísla karet nezneužitelná.

Nová generace služeb pro zpracování plateb – architektura. Zdroj: RSA

Outsourcing jako výzva do budoucna

V oblasti uchovávání dat o platebních kartách podle citované zprávy obchodníci čelí stále větším výzvám – nároky na informační technologie rostou, stupňují se i požadavky poskytovatelů karet a strategie zlodějů platebních karet jsou stále důmyslnější. V této situaci představuje dokument model outsourcingu zabezpečení dat o platebních kartách označovaný jako „zabezpečené platební služby“. Zabezpečené platební služby převádějí ochranu informací o kartách na externí poskytovatele služeb. Vylepšují tak zabezpečení údajů o elektronických kartách a zároveň


17

obchodníkům umožňují ušetřit čas, komplikace a náklady spojené s dosahováním bezpečnostních standardů vyžadovaných poskytovateli karet.

„Zabezpečené platební služby mohou přinést významné výhody. Jsme přesvědčeni, že do roku 2015 přejde k modelu outsourcovaných služeb velké množství obchodníků,“ tvrdí Craig Tieken, viceprezident pro správu produktů pro obchodníky ze společnosti First Data. „Zodpovědnost obchodníků v souvislosti s ukládáním údajů o platebních kartách neustále vzrůstá. Tato nová centralizovaná úložiště však obchodníkům dovolují podržet si veškeré marketingové a provozní výhody spjaté se sledováním informací o kartách a zároveň se zbavit velké části rizika tím, že ze svého prostředí pro karty odstraní jejich čísla. Díky tomuto posunu vznikne nový oborový standard bezpečného zpracování transakcí se všemi typy platebních karet.“

Ponechme nyní stranou detaily možná inovativního přístupu, který je v dokumentu popsán a volně k dispozici prostudování, a podívejme se na bezpečnost karet v celé její šíři. S touhou útočníků po penězích v posledních letech stoupá také obliba obchodu s odcizenými údaji o platebních kartách, za několik dolarů je na webu možné zakoupit jejich čísla i s dalšími detaily. Také do této oblasti se promítá trend větší organizovanosti počítačové kriminality, za podobnými útoky a podvody totiž nestojí jednotlivci, ale početné skupiny – podle odhadů je zhruba 90 % všech zcizených údajů výsledkem akce většího počtu lidí.

Karty jako součást komplexního zabezpečení

Jakými cestami se vlastně útočníci a podvodníci k údajům dostávají? Cílené pokusy na malou skupinu uživatelů nejsou příliš efektivní, a tak černou práci odvede specializovaný malware, jenž odchytává komunikaci a navštívené webové stránky, a jakmile dojde k transakci, vyslídí požadované údaje a ty pak pošle svému tvůrci. Setkat se samozřejmě lze také s metodami sociálního inženýrství, které nevyžadují přílišné technické znalosti, nicméně přínos nebývá natolik velký. Také proto jsou útoky prostřednictvím specializovaného škodlivého kódu doplňovány jednorázovými průniky do vnitřních systémů organizací, které informace ukládají a případně je nemají dostatečně zabezpečené.

Podle různých tipů karet se můžete setkat s rozličnými ochranami, přístupovými kódy (nejčastěji klasický PIN) počínaje. Terminály a platební místa, kde stačí s klasickou kartou jen dostatečný zůstatek na účtu a podpis podle podpisového vzoru, jsou velice menšinovou výjimkou. Karty, teď nejen platební, mohou plnit různou funkci autentizace a případně i následné autorizace k jednotlivým úkonům:

• Jednofaktorová autentizace (token) – v tomto případě karta svému uživateli slouží opravdu pouze jako propustka nebo povolenka k různým úkonům, nejsou vyžadovány žádné další parametry vstupu. Nejčastěji se s tímto můžete setkat u karet sloužících ke vstupu do vymezených oblastí, kdy je karta sice svázána se svým majitelem, nicméně její použití jinou osobou není jinak dál chráněno.

• Dvoufaktorová autentizace (token + heslo) – nejčastější případ využití karet při platbách v reálném i online světě, kdy je vlastnictví karty jednou podmínkou, k tomu je však ještě zapotřebí znát utajenou informaci, například PIN nebo jiný kód. Mimo svět plateb se můžete setkat také s dvoufaktorovou autentizací, v níž jsou token nebo heslo nahrazeny biometrickým otiskem, tedy třebas variantami token-otisk prstu a heslo-otisk prstu.

• Třífaktorová autentizace (token + heslo + biometrika) – nejsilnější kombinace zabezpečení ze strany vstupů uživatele, se kterou se však v praxi příliš nelze setkat. Vyžadovány mohou být buď všechny tři faktory, nebo například jen dva z nich pro správnou autentizaci.


18

Biometrické zabezpečení vašeho notebooku může mít podobu čtečky otisku prstu

Důvěřujete online platbám?

Uvedené přístupy zabezpečení karet řeší možnosti uživatelského vstupu při provádění transakcí nebo rozhodování přístupu, a tak nezahrnují další bezpečnostní opatření, kam patří například šifrování údajů. Platby přes internet nebo výběry z bankomatu jsou z drtivé většiny zástupci kategorie dvoufaktorové autentizace, a tak právě tato oblast vyžaduje největší pozornost, jak na straně platícíhoklienta-koncového uživatele, tak z pozice obchodníka.

Krádeže informací o platebních kartách ale nemusí představovat pouze jeden přímý cíl prohnaných útočníků, stejně tak se stávají prostředkem při kompletních krádežích identit. Pokud už dojde k průniku do interního systému, který uchovává zpracované údaje o platebních kartách, získají útočníci zpravidla také detailní informace o držiteli takovéto karty. Stejně je tomu i v druhém z výše zmíněných případů, tedy také malware se může zaměřit na získání většího množství podrobností.

Ze strany internetových uživatelů, kteří web používají k platbám, zprvu hlavní problém spočíval v důvěře k těmto transakcím. Tak jako vždy, nedůvěra byla překonána a digitální peníze nyní v různých formách létají z jednoho konce světa na druhý, s více či méně spolehlivými mezikroky zabezpečení.

Své šance se chopili i tvůrci bezpečnostních programů pro koncové uživatele, prakticky každý komerční bezpečnostní balík se nyní chlubí ochranou před podvodnými platbami a krádežemi identit.

Stačí evropské zpravodajské služby čelit kyberterorismu?

Pavel Urbanec

Kybernetické útoky na počítačové sítě armády, ministerstev a dalších institucí přiměly americkou administrativu k náboru tisíců IT specialistů a vytvoření samostatného oddělení v rámci Národní bezpečnostní agentury (NSA), které podřizuje jednotnému velení bezpečnostní, armádní a zpravodajské složky. V EU sice existuje podobná agentura, nicméně nemá tak pevnou pozici a pravomoci. To může vést k nižší efektivitě boje proti kyberterorismu.

Americký bezpečnostní systém a jeho nedílná součást – zpravodajské služby – prožívají v několika posledních letech nebývalé přeskupení sil. Kybernetické útoky na počítačové sítě strategických segmentů USA (vojenství, energetiku, bankovnictví, ústavní činitele aj.) vedené ze všech koutů světa přiměly tamní instituce jednat.

Vláda náboruje tisíce specialistů IT, do jejich výcviku investuje miliony dolarů. Vznikl nový útvar – United States Cyber Command, který je součástí amerického strategického velení (U. S. Strategic Command). Je řízen přímo vládní bezpečnostní agenturou NSA, jejímž úkolem je koordinace ostatních bezpečnostních sil, včetně kontrarozvědných a výzvědných služeb. Ředitel NSA předkládá opatření v oblasti kybernetické bezpečnosti přímo prezidentovi USA. Ten má právo rozhodnout o kybernetickém útoku proti počítačovým systémům jiných zemí a je dokonce vybaven pravomocí zavelet k útoku jako první a nečekat na úder protivníka.

Pomyslné tlačítko k takovému útoku nosí stále s sebou a jeho režim je podobný režimu tzv. atomovému kufříku. Aniž si veřejnost možná všimla, posunula tato opatření postoje ke kybernetickému terorismu na kvalitativně novou úroveň. Jaké vyhlídky čelit takovým hrozbám má EU, resp. Česká republika, a evropské zpravodajské služby?


19

Jsou zpravodajské služby za kyberprostor vůbec odpovědné?

Globální rozměr kybernetického konfliktu a charakter protiopatření, která přesahují informační území vlastního státu, bývá možná nadsazeně přirovnáván ke třetí světové, tentokrát „kybernetické“ válce. Faktem však je, že napadání důležitých počítačových systémů (např. jaderných elektráren) může ochromit chod země a bezpečnost jejích občanů.

V legislativě většiny zemí světa bývá takový stav nazýván jako útok na suverenitu a bezpečnost dané země. A to jsou oblasti, za které jsou zpravodajské, chcete-li tajné služby, všude na světě odpovědny. Ty demokratické dokonce ze zákona. Je otázkou času, kdy se právní pojem „kybernetická suverenita“ objeví v legislativě některých zemí.

Zdá se ale, že Američané si to přesně v tomhle smyslu vyložili již teď a bez většího váhání učinili zpravodajské služby za kybernetickou oblast odpovědné. Jestli z toho vedení těchto služeb má radost nebo ne, je jiná věc.

Možnosti koordinace zpravodajských služeb EU

Jestliže strategie kybernetické bezpečnosti v USA jde cestou soustřeďování sil a podřizuje jednotnému velení bezpečnostní, armádní a zpravodajské složky, je v rámci EU situace poněkud jiná. Partnerem americké NSA v oblasti kybernetické obrany by měla být evropská agentura ENISA, která vznikla z Nařízení Evropského parlamentu a Rady ES č. 460/2004 (PDF, 486 kB) ze dne 10. března 2004 o zřízení Evropské agentury pro bezpečnost sítí a informací.

Její zaměření, odpovědnost a pravomoci jsou bohužel v jejích zakládacích listinách deklarovány spíše poradenským a konzultantským směrem; její činnost je zaměřena především na spolupráci s průmyslovými odvětvími v oblasti bezpečnosti hardwarových a softwarových produktů, s opakovaným důrazem na propojování a koordinaci nejednotného hospodářského trhu a informačních infrastruktur.

Napojení agentury na bezpečnostní složky EU je přitom nezřetelné. Sami představitelé této evropské agentury přiznávají, že se v této fázi stále ještě spíše potýkají především s nejednotnou legislativou v jednotlivých členských zemích EU, a to nejen v oblasti kybernetické bezpečnosti.

Jen velmi zřídka se objeví informace o tom, že se evropské zpravodajské služby snaží tento trend zvrátit a jsou na čele ve snahách stav napravit, či dokonce v této věci koordinovat svou činnost. Jestliže se po roce 1990 zpravodajské služby v Evropě postupně domluvily na spolupráci v oblasti boje proti terorismu a organizovanému zločinu, můžeme jen doufat, že se potkávají a spolupracují i nyní na poli boje proti kybernetickým hrozbám.

I kdyby to tak bylo, existuje reálný předpoklad, že nedostatečně pevná pozice a pravomoci evropské agentury ENISA nebudou stačit na účinnou koordinaci evropských zpravodajských služeb. Zdaleka nemůže dosáhnout efektivity pevně legislativně „zakotveného“ Cyberkomanda a podobných institucí ve struktuře bezpečnostní agentury NSA, která současně koordinuje americké zpravodajské služby.

Postavení českých zpravodajských služeb

České zpravodajské služby odpovědnost za obranu kyberprostoru ze zákona přímo nemají. S trochou fantazie ji lze vidět pod obecným úkolem zabezpečování informací ohrožujících bezpečnost (BIS, ÚZSI) a zabezpečení obrany (Vojenské zpravodajství). Dobrou zprávou je, že se podle výročních zpráv a oficiálních internetových stránek naše zpravodajské služby problému kybernetické bezpečnosti nevyhýbají a berou ho vážně. Faktem ale zůstává, že jim zákon přímou odpovědnost za tuto oblast neukládá. Spolupráci s partnerskými službami EU tím pádem také ne.

Pro ilustrativní dokreslení dopadů současného stavu uvnitř EU jsou příznačné okolnosti nedávného významného úspěchu české vědy na poli kybernetické bezpečnosti. Experti ČVUT spolupracují od roku 1999 s Američany na několika důležitých projektech, mimo jiné na kybernetické bezpečnosti letecké a námořní dopravy. USA společný projekt po celou dobu financují. Výsledky výzkumu budou využity k zabezpečení amerického letového i námořního provozu. Na tyto úspěchy může být Česká republika právem hrdá, informace o nich obletěly celý IT svět. Evropští úředníci asi méně, není to totiž český úspěch pod „modrou“ vlajkou.


20

Troufnu si předpokládat, že to není vina české ani americké strany. Podíl evropské agentury ENISA na tomto projektu není známý. Útěchou doufejme jen, že se aplikované poznatky českých vědců oklikou do EU alespoň zčásti v tichosti vrátí, v podobě těch vojensky využitelných prostřednictvím NATO. Ty nevojenské potom v podobě drahých komerčních produktů. Možná je ENISA teprve potom dostane na stůl k vyzkoušení, posouzení a distribuci do členských zemí.

Zdá se, že systém obrany EU proti kybernetickým útokům a koordinace bezpečnostních složek a zpravodajských služeb pokulhává za ráznými kroky odpovědných institucí USA. Nejednotná bezpečnostní a informační struktura jednotlivých členských zemí EU stejně tak jako jednostranná orientace evropské agentury ENISA na ochranu komerčního trhu by mohly znamenat již v blízké budoucnosti vážný bezpečnostní, ale i ekonomický problém spojené Evropy.


21

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Měšec.cz v roce 2010

Banky moc neumějí zabránit neoprávněnému nakládáni s penězi

26. 2. 2010 0:00 Gabriela Klimánková

Potřebujete bankovní účet, kde čerpání finančních prostředků je podmíněno písemným pokynem dvou a více osob. A máte problém.

Pan Novák se bude rozvádět. Se svou ženou se starají o dítě, kterému chtějí kromě výživného ještě spořit na studia. Poohlíží se proto po takovém spořicím produktu, který by umožnil čerpání prostředků pouze na základě společné dohody manželů. Jak jsme ale zjistili, není tato služba zdaleka samozřejmostí.

Kde službu nenajdete

Podmínit výběr úspor souhlasem více než jedné osoby vůbec neumí 1. investiční záložna, Akcenta, Citibank, ING Bank, LBBW Bank, mBank, Metropolitní spořitelní družstvo, Poštovní spořitelna nebo Raiffeisenbank. Tyto subjekty často nabízejí možnost společného založení např. spořicího nebo termínovaného účtu, disponovat s prostředky pak ale mohou obě osoby nezávisle na sobě.

Například Evropsko-ruská banka umí vázaný souhlas pouze, pokud by se jednalo o předčasný výběr před smluvenou lhůtou. V případě, že se jedná o standardní ukončení výpovědní lhůty nebo termínovaného vkladu, jsou prostředky zpravidla připisovány zpět na běžný účet klienta, potvrdila serveru Irina Korčminská, marketingová specialistka Evropsko-ruské banky.

Zástupkyně 1. investiční záložny a Metropolitního spořitelního družstva zase potvrdily, že ačkoliv jejich stávající systém službu neumožňuje, v budoucnu s ním záložny počítají.

Ano, ale….

V některých případech je možné při sjednávání smlouvy o produktu nastavit podpisový vzor na dvě osoby. Potíž ale vzniká v souvislosti s jediným majitelem, který účet vlastní. Samozřejmě lze k našim produktům nastavit i obsluhu účtu dvěma disponenty. Nelze ale vyloučit, aby měl majitel účtu možnost kdykoliv dispozici změnit, potvrdil František Novák, předseda představenstva Záložny Creditas.

V tomto případě už je tedy potřeba jistá dávka důvěry, kterou by chovala druhá osoba vůči majiteli účtu. V opačném případě tato forma služby postrádá smysl. Takto vám vázaný souhlas prostřednictvím nastavení podpisového vzoru poskytne také GE Money Bank a Komerční banka.

Alternativou je blokace prostředků ze strany majitele účtu, resp. ve vinkulaci ve prospěch třetí osoby. Ta by musela souhlasit s odblokováním a výběrem peněžních prostředků, uvádí jako další možnost Milan Kříž za GE Money Bank.

Ve standardní nabídce se služba příliš nenachází

Služba podmíněného souhlasu s výběrem prostředků nepatří většinou mezi standardní nabídku. Pár výjimek se ale najde.

Peněžní dům umožní klientovi u jakéhokoli vkladového produktu nastavit dispoziční oprávnění pro dvě (a případně i více) osoby současně. U spořicích účtů a termínovaných vkladů ale možnost převodu prostředků závisí na stanovené výpovědní lhůtě, uvedla pro server Měšec.cz Andrea Riedlová, ředitelka spořitelního družstva Peněžní dům. Nabídka této služby dokonce zákazníkům nabízí několik variant, jak podmíněný souhlas využívat.

Službu můžete využít prostřednictvím internetového bankovnictví, písemného příkazu k úhradě a při výběru v hotovosti. Při odesílání transakcí převodem z účtu by měli oba dva disponenti přístup k nahlížení na účet, ale


22

transakce zadaná prostřednictvím internetbankingu první osobou bude čekat, dokud ji neautorizuje i druhá osoba, upřesnila Riedlová s tím, že písemný příkaz k úhradě může s podpisem obou rodičů přinést jen jeden z nich a při výběru v hotovosti se musí dostavit oba společně. Případně je možné postupovat tak, že osoba „A“ k výběru hotovosti z uvedeného účtu přinese prohlášení osoby „B“, že souhlasí s výběrem konkrétní částky z uvedeného účtu. Podpis na tomto písemném prohlášení by byl kontrolován dle nastaveného podpisového vzoru, dodala Riedlová.

Podmínka využití této služby je ošetřena v podpisovém vzoru k účtu, kde je specifikována „podmínka pro nakládání s peněžními prostředky“. Výběr mohou povinně podepisovat např. vždy dva disponenti společně nebo může být definována skupina více disponentů. Taktéž může být nastavena např. podmínka připojení speciálního hesla k podpisu, potvrdila nabídku služby také Lucie Hálová z tiskového oddělení Volksbank.

Nastavení společného souhlasu s nakládání s prostředky na účtu potvrdila také ČSOB, Banco Popolare a Raiffeisenbank im Stiftland.

Kde flexibilita nechybí?

To, že služba není standardní součástí nabídky, neznamená, že ji nikdy nemůžete nakonec přece jen využít. Standardní služba to není, ale na přání klienta jsme schopni toto poskytnout, potvrdila Vendula Žaloudíková ze společnosti Fio, družstevní záložna. Dodala také, že buď se k souhlasu mohou všechny oprávněné osoby dostavit na pobočku, nebo přinést úředně ověřený souhlas k výplatě prostředků.

Na přání zákazníka po individuální dohodě možnost podmíněného souhlasu potvrdili také zástupci Oberbank, Moravského peněžního ústavu, UniCredit Bank, WPB Capital a České spořitelny. V drtivé většině je možné odsouhlasit pohyb s prostředky pouze na pobočce za účasti všech oprávněných osob.

Platební karta není trezor, PIN vás vždy neochrání

25. 2. 2010 0:00 Jiří Hovorka

Se ztrátou peněženky přijdete o hotovost, s kartou zloděj získá pouze kousek plastu. Omyl. Britští inženýři umějí karty „zblbnout“, akceptují pak jakýkoli PIN. Podívejte se na video.

My se dnes zaměříme na problematiku bezpečnosti platebních karet, která se na výše zmíněné konferenci také probírala. Nečekejte však tentokrát hloubkovou analýzu. Účelem dnešního textu je upozornit na to, že i v dnešní době čipových platebních karet, které banky a vydavatelé karet prezentují jako maximálně bezpečnou službu, existují reálná rizika zneužití.

Informovanost pomáhá v prevenci. Dnes budete naočkováni proti neopatrnému zacházení s vlastní platební kartou.

S ukradenou kartou hurá na e-shopy

Nejbezprostřednější nebezpečí zneužití karty číhá při její ztrátě či krádeži. V takovém případě je nejlepším možným řešením okamžitá blokace karty. Připomeňme, že od listopadu platí s novým zákonem o platebním styku nová pravidla, která přikazují bankám provést blokaci karty zdarma. S blokací opravdu nečekejte, nespoléhejte se na to, že ji časem najdete někde zastrčenou. Dáte tím čas případnému zloději.

Můžete si říct: proč mám kartu blokovat a následně žádat o novou za poplatek za vystavení, když se může stát, že za týden kartu najdu. Stejně je čipová, takže se zloděj bez PIN k mým penězům nedostane. Taková myšlenka je velmi hazardní. Možností zneužití má zloděj i tak několik.

Spousta platebních karet dnes zároveň plní funkci internetových karet. Při placení přes internet nesmí být PIN vyžadován. K potvrzení transakce stačí číslo karty, její expirační datum a CVC, CVV či CID kód, tedy všechno údaje, které jsou na platební kartě k přečtení. Neautorizované transakce kartou jsou sice ze zákona pojištěny, ale až od částky přesahující 150 EUR.

Druhá možnost zneužití se nabízí přes magnetický proužek, který je stále ve výbavě drtivé většiny karet s čipem. Při jeho použití není při platbě vždy vyžadován PIN, ale k ověření transakce někdy stačí podpis (zkuste si udělat malý


23

průzkum, kolik prodavaček a prodavačů jej skutečně kontroluje). V Česku je tato možnost u některých obchodníků blokována, protože platba kartou je vždy prováděna nejdříve přes čip. To umožňuje nadstandardní vybavenost českých obchodníků EMV POS terminály (tedy těmi, které umějí s čipy pracovat). Statistika společnosti Visa Europe uvádí, že za minulý rok proběhlo v Česku 88 % transakcí kartami Visa právě přes tyto terminály. V zahraničí jsou tato procenta většinou nižší. Česko získalo díky pozdnímu zavádění systému platebních karet výhodu v modernějších čipových technologiích, riziko tu ale stále je.

Laptop, pár drátů a zadávat můžete libovolný PIN

Na to, že ani samotný systém EMV založený na ověřování transakcí pomocí PIN není bezchybný, upozornil nedávno tým inženýrů z University of Cambridge. Objevili trhlinu v komunikačním protokolu, který střeží bezpečnost plateb přes čipové karty. Domnívám se, že je to jedna z nejzávažnějších chyb v platebních systémech, která kdy byla objevena. A to se touto problematikou zabývám již pětadvacet let, říká k tomu v pořadu britské televize BBC profesor Ross Anderson.

Což o to, teorie se objevují, ale do praxe mívají často daleko. Vědci však nezaháleli a své domněnky dokázali převést v praxi. Sestrojili (podle jejich vyjádření) poměrně jednoduchý mechanismus, kterým za použití čtečky, laptopu, ztracené karty, falešné karty, pár drátů a speciálního software umějí oklamat platební terminál tak, že je úplně jedno, jaký PIN zadáte. Podrobnosti můžete shlédnout v reportáži BBC. Ta je sice v anglickém jazyce, ale i ze samotného videa si uděláte dobrý obrázek o sestrojeném mechanismu.

VIDEO

Je zřejmé, že běžný smrtelník si podobný aparát sám nesestrojí (pokud nemá zrovna Edisonův talent), ale jak upozorňují samotní vědci, zloději karet mají mnohem lepší vybavení než oni. Není pro ně tedy problém podobný mechanismus sestrojit. Navíc tak, aby nebyl tak těžkopádný jako ten, který vzniknul v Cambridgi. To ale předpokládá, že zločinci o tomto způsobu ví, což není jisté. Vědci samozřejmě neuvolnili celé své know how.

Nikdy nedávejte kartu z ruky

Na konferenci Trendy v internetové bezpečnosti v únoru 2010 vystoupil také Rastislav Turek. IT odborník, který se primárně zabývá bezpečností webových aplikací. Velký přehled má také o platebních kartách a celém systému jejich fungování. Na serveru Digit.cz s ním minulý týden vyšel velmi zajímavý videorozhovor právě na naše dnešní téma.

Člověk běžně používající platební karty má po přehrání půlhodinového záznamu chuť zlikvidovat své plastové pomocníky. Turek referuje mimo jiné o přístupu bank a vydavatelů karet ke známým problémům. Jejich řešením není skutečné vypořádání se s problémy, ale uvalování informačních embarg na chyby, na které odborníci na bezpečnost platebních karet upozorňují.

Uživatelům platebních karet radí jednu zásadní věc. Při placení kartou ji nespouštějte z očí. Zařízení na získání identifikačních údajů z karty, tzv. skimmery, vykonají svou funkci velmi rychle a bezdotykově. Člověk operující s vaší kartou ji jen musí dostat do pole působnosti tohoto zařízení. Proto buďte obezřetní a při podezřelé manipulaci s vaší kartou se ozvěte. Získané informace jsou okamžitě distribuovány přes velice sofistikovanou síť prodeje takovýchto údajů. Na podobné praktiky narazíte především v zahraničí. Nejobezřetnější buďte ve Spojených státech a v Moskvě. Dát v Moskvě kartu z ruky je adrenalin, říká Turek.


24

Cena údajů o platebních kartách získaná přes skimmery na černém trhu (v USD)

Původ platební karty Typ platební karty Cena (% ze známého dispozičního limitu)

Základní cena (když není znám dispoziční limit)

USA kreditní 3-10 25 - 500

USA debetní 3-10 25 - 200

Británie kreditní 3-15 50 - 500

Británie debetní 3-15 25 - 250

Ostatní státy EU kreditní 3-15 50 - 500

Ostatní státy EU debetní 3-15 25 - 250

Zdroj: prezentace Rastislava Turka

Turek dále doporučuje mít k bankovním účtům nastavenou službu, která v reálném čase informuje o transakcích, které na něm probíhají. V případě provedení podezřelé transakce se o ní dozvíte okamžitě a můžete ihned reagovat, což zvyšuje vaše šance na úspěšnou reklamaci.

Také se pozastavuje nad tím, že v případě plateb, které jsou autorizovány přes PIN, leží důkazní břemeno při reklamacích na zákazníkovi banky. Ve Spojených státech a v Británii už legislativa přesunula dokazovací povinnost na stranu bank.

Závěrem podotkněme, že podle údajů společnosti Visa Europe činí v Česku poměr zneužití/prodej 0,007 %. Znamená to tedy, že na 1000 utracených Kč přes platební karty připadá 7 haléřů, které vzejdou z operací se zneužitými kartami. Krádeže v řádech promilí potvrzuje i Rastislav Turek a Karel Kadlčák, předseda Bezpečnostního výboru Sdružení pro bankovní karty. Nejsme tedy na divokém západě, kde se člověk musel obávat o každý svůj dolar. Je však dobré myslet na to, že platební karta není trezor.

AXA Bank podcenila bezpečnost, spořicí účty šlo cíleně blokovat

15. 2. 2010 0:00 Dalibor Z. Chvátal

Vstup do Česka se AXA Bank příliš nepovedl. Ani ne po týdnu měli klienti blokovaný přístup přes internet a banka musela rychle řešit lepší zabezpečení aplikace.

Přestože AXA Bank svůj vlajkový produkt v podobě AXA spořicího účtu oznámila až na tiskové konferenci 2. 2. 2010 v Praze, již v pátek 29. 1. 2010 bylo možné na jejich webových stránkách o otevření spořicího účtu požádat.

Postup otevření účtu je velmi snadný, nemusíte nikam chodit a nečekáte ani na kurýra. Jednoduchá žádost, vyplněná na webových stránkách AXA Bank, se vytiskne, doloží se potřebné dokumenty (kopie dokladu totožnosti a kopie bankovního výpisu nebo smlouvy registrovaného účtu pro první vklad) a vše se odešle poštou na brněnskou adresu AXA Bank. Nedílnou součástí spořicího účtu je internetové bankovnictví a volitelně lze vydat debetní kartu Visa Electron.

Účet poštou do týdne

Snaživí klienti již ve čtvrtek 4. 2. 2010 dostali z ostravské pošty zásilku s potvrzením otevření spořicího účtu AXA Bank včetně čísla účtu, kam lze zasílat úspory. Ve Smlouvě o poskytování bankovních služeb se uvádí, že její nedílnou součástí jsou i Obchodní podmínky (včetně Produktových podmínek a Technických podmínek) a Ceník. Pokud o účet požádáte přes internet, obchodní podmínky a ceník v zásilce nenajdete, nicméně při žádosti podané přes internet zaškrtnutím potvrzujete, že jste tyto dokumenty přečetli a seznámili se s nimi. Navíc máte možnost si obojí kdykoli vytisknout.


25

Pokud jste požádali o debetní kartu k účtu, přijde vám elektronická karta Visa Electron. Podle informací blízkých AXA Bank jsou cizoměnové transakce touto kartou zúčtovány oficiálním kurzem Visa Europe, tj. bez marže AXA Bank. To potěší ty, co chtějí kartu s dobrými kurzy, ale na druhé straně, spořicí účet má přece spořit a ne utrácet, ne? Rozhodnutí je na klientovi.

Hlavním lákadlem AXA Bank je úrok, který může být až 3 % p. a. Funguje to takto: standardní úrok je 2,5 % p. a., ale pokud váš průměrný zůstatek na účtu neklesne pod 40 000 Kč ročně, dostanete bonus ve výši 0,5 % p. a., celkem tedy 3 % p. a.

Úraz jen na smrt

Ojedinělou dokoupitelnou službou je pojištění smrti následkem úrazu. Za měsíční poplatek jste pojištěni na částku odpovídající aktuálnímu zůstatku účtu ke dni úmrtí, ale max. 500 000 Kč. Výše poplatku je stanovena procentně podle zůstatku na vašem účtu k poslednímu dni v měsíci. Minimálně zaplatíte 9 Kč, max. 109 Kč, přesně pak 0,25 % p. a. ze zůstatku.

Příklad: na účtu máte 40 000 Kč: 40 000×0,0025 = 100 Kč ročně / 12 měsíců = 8,33 Kč měsíčně. Minimální poplatek však je 9 Kč měsíčně. Zda se vám pojištění vyplatí, musíte zvážit. Ale za 100 Kč měsíčně se dá sehnat lepší úrazové pojištění včetně trvalých následků přes milion korun při progresivním plnění.

Internetové bankovnictví AXA Bank nezvládla

První klienti AXA Bank si mohli obratem vyzkoušet službu internetového bankovnictví. Součástí první zásilky z banky je i uživatelské číslo, kterým se do internetového bankovnictví přihlašujete. Nejprve si musíte účet aktivovat. Už tento proces je však velmi nešťastný, protože rozlišení aktivačního okna je defaultně nastaveno tak, že uživatelé notebooků a monitorů s rozlišením 1024×768 musejí být velmi vynalézaví, aby našli tlačítko pro potvrzování operace. A když se jim to podaří, uvidí jen jeho nepatrný obrys, na nějž se při trošce šikovnosti a použití tlačítka F11 dá kliknout. Běžný uživatel počítače však na to nepřijde, a pokud máte netbook, jste rovnou ztraceni. Tvůrci internetového bankovnictví nejspíše počítali s tím, že 17palcový monitor je dnes absolutním standardem.

K aktivaci účtu a následné autentizaci se použije mobilní číslo, které jste uvedli při zřízení účtu. Na to je dobré pamatovat, protože při zřízení účtu vás AXA Bank nijak neupozorňuje, že vám na uvedený mobil budou chodit autorizační SMS.

Když se poprvé přihlásíte na účet, dozvíte se, že poslední přihlášení proběhlo 01. 01. 1970 00:00:00 hod. Na banku jde opět o velmi amatérský přístup.

První klienti AXA Bank v době publikace článku stále mají zablokovaný přístup k účtu. Několik na sobě nezávislých vtipálků totiž objevilo slabiny internetového bankovnictví AXA Bank a své zkušenosti popisovali na mFóru.

Snadno zjistitelné uživatelské číslo spustilo vlnu blokací

Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelská čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky. Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili. V jednom případě však klient banky dostal hned minimálně 27 autorizačních SMS. Ani on zpočátku netušil, proč mu náhle začaly SMS z banky přicházet. Nejprve se domníval, že jde o chybu, ale zhruba po čtvrté zprávě si je začal zapisovat. Probíhalo to takto:


26

Text SMS:

Váš autorizační kód pro Internetové bankovnictví AXA Bank: xxxxxx Reference: xxxx Vaše AXA Bank

Autorizační kód Reference Datum Čas

50620 2311 6.2.2010 9:50:28

328864 2412 6.2.2010 10:34:26

733545 2320 6.2.2010 10:36:15

263720 2321 6.2.2010 11:12:34

785640 2414 6.2.2010 11:23:41

363688 2322 6.2.2010 11:23:48

876637 2323 6.2.2010 11:23:52

615315 2324 6.2.2010 11:23:56

840242 2325 6.2.2010 11:24:00

44514 2326 6.2.2010 11:24:04

663547 2415 6.2.2010 11:27:49

685048 2416 6.2.2010 12:04:26

883213 2417 6.2.2010 12:04:31

222467 2418 6.2.2010 12:04:35

628787 2327 6.2.2010 12:27:19

241387 2419 6.2.2010 12:27:32

816715 2420 6.2.2010 12:27:36

762302 2421 6.2.2010 12:27:40

584658 2422 6.2.2010 12:27:46

118847 2423 6.2.2010 12:28:09

345714 2424 6.2.2010 13:42:08

475764 2425 6.2.2010 13:45:07

753135 2328 6.2.2010 14:26:19

652877 2332 6.2.2010 20:53:09

482544 2333 6.2.2010 20:59:48


27

Bankovní účty v ohrožení nebyly

Samotný vstup k účtu přes internetové bankovnictví nebyl nijak ohrožen, autentizace pomocí SMS zde odvedla skvělou práci. Nicméně několika desítkám nových klientů vtipálci znepříjemnili život, zablokovali přístup k účtu a banka si trhla pořádnou ostudu.

Na mFóru, kde se podrobně rozebíraly příčiny nefunkčnosti internetového bankovnictví, klient AXA Bank popisuje problém s bezpečností takto:

Dokážu si velmi dobře představit skript, který:

1) projde všechny uživatelská ID a sesbírá platná, každých 24 hodin projde zbývající (někdo si mohl aktivovat),

2) druhý skript, všechny zablokuje a každé 2h prověřuje a případně opět zablokuje.

Internetové bankovnictví týden mimo provoz

Ale není nutné vyrábět hned skript. Kdo chtěl klienty AXA Bank potrápit, mohl uživatelské ID vyťukat ručně a přístupy začít blokovat. Tento popisovaný problém nastal v období od pátku 5. 2. do soboty 6. 2. 2010. V pondělí dopoledne již AXA Bank rozeslala svým klientům tento e-mail:

Vážený pane, vážená paní,

dovolujeme si Vás informovat, že v sobotu, dne 6.2.2010 odpoledne a večer rozeslal systém internetového bankovnictví autorizační sms kódy omezené skupině stávajících klientů, aniž by došlo k jakékoli činnosti ze strany klienta. Z bezpečnostních důvodů jsme ihned poté znemožnili přístup na stránky s přístupem do internetového bankovnictví.

Za toto nedopatření se Vám omlouváme a ujišťujeme Vás, že nedošlo k neoprávněnému vstupu na klientské účty ani ke zneužití klientských dat. V současné době pracujeme na obnovení služeb internetového bankovnictví vyloučení podobných událostí v budoucnu. Do opětovného spuštění internetového bankovnictví můžete využít pro obsluhu Vaše účtu naše telefonní centrum, a to bez poplatků, na čísle +420 292 292 292 v pracovní dny mezi 9. a 17. hodinou.

Děkujeme Vám za pochopení.

S pozdravem

Vaše AXA Bank

Od pondělí 8. 2. 2010 se internetové bankovnictví AXA Bank odmlčelo a klienti se při přihlášení dozvěděli sdělení jako na tomto obrázku:


28

Banka musela rychle vylepšit zabezpečení

Infolinka banky klienty informovala, že probíhá update internetového bankovnictví z důvodu vylepšení jeho služeb, podobně psala i některá média. Skutečný důvod však byl jiný. AXA Bank musela velmi rychle najít způsob, jak posílí bezpečnost při přihlašování. Jedním z návrhů v diskuzích bylo uvedení data narození (ochrana před náhodným generováním ID člověkem) nebo implementace captcha (ochrana před automatizovaným vyhledáváním ID). V pátek 12. 2. 2010 ve večerních hodinách bylo internetové bankovnictví AXA Bank opět spuštěno a přibylo povinné uvedení data narození. Nyní tedy již nehrozí blokování přístupu k účtu náhodným klientům AXA Bank, ledaže by šprýmař věděl, komu ID klienta patří. Zjistit následně datum narození není tak složité a stačí k tomu třeba telefon nebo obchodní či živnostenský rejstřík.

AXA Bank spouští svoji reklamní kampaň až v těchto dnech, za jediný týden se však zapsala jako banka, která podcenila šikovnost i náročnost českých uživatelů internetu. Nebylo etické jen tak z legrace blokovat přístupy k internetovému bankovnictví klientům AXA Bank a rozebírat to ve veřejných diskuzích. Korektní by bylo upozornit banku na tuto chybu jinou, neveřejnou cestou a teprve poté problém zveřejnit. AXA Bank však může být ráda, že kabát z ostudy nosila jen 14 dnů. Kdyby se na problém přišlo až v době, kdy do banky plují miliony z úspor střadatelů, očista jména banky by tak laciná nebyla. A vysvětlujte pak běžnému člověku na ulici, že přístup přes internet je bezpečný.

Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem

30. 4. 2010 0:00 Jiří Dvořák

Platební karty jsou velmi oblíbené a banky dělají takřka vše na jejich ochranu. Přesto je proti některým podvodům obrana mizivá a je potřeba bránit se na více místech najednou.

Libanonská smyčka

Technické zařízení způsobí, že se karta nedostane do bankomatu, ale ani zpět k držiteli karty. Na libanonskou smyčku je většina českých bankomatů odolná, takže se s ní už běžně nesetkáte. V blízkém okolí bankomatu je pachatel, který bankomat sleduje a postiženému držiteli karty ochotně nabídne pomoc při vyproštění karty. Pomoc se "nezdaří" a než je karta držitelem zablokovaná, má pachatel volné ruce k jejímu zneužití.

Obrana: Pokud karta uvízne a nelze ji vytáhnout ven, neopouštět bankomat, kartu ihned telefonicky zablokovat a ideálně z místa přivolat pracovníka banky, ostrahu nebo policii.

Dotekové senzory

Zatímco u skryté kamery zabráníte vyzrazení PIN přikrytím rukou, u dotykových senzorů vám to nepomůže. Senzory se instalují přímo na klávesnici bankomatu nebo také na vstupní dveře samoobslužných zón, kde se identifikujete zadáním kódu. V České republice jsou poměrně vzácné, ale to neznamená, že se jim vždy vyhnete. Obrana je těžká, pokud daný bankomat neznáte, jen málokdy odhalíte nepravé součástky na něj instalované.

Obrana: Problematická. Je nutné pozorně sledovat bankomat a vyzkoušet jeho základní části, zda nejsou odnímatelné nebo špatně přidělané.

Skrytá kamera

Cílem skryté kamery je zjistit PIN ke kartě, velmi často se kamera využívá současně s libanonskou smyčkou nebo skimmingem.

Obrana: Je potřeba skrýt PIN při jeho zadávání např. druhou rukou.


29

Padělky karet

Padělek platební karty je následkem zjištění údajů o kartě výše a níže uvedenými metodami. Kromě padělků, které pachatelé vyrábějí bez existence bankovního účtu, jsou v drtivé většině padělané karty napojené na skutečný účet nějakého majitele, který často nemá ani potuchy o zneužití své karty. Platební karty obsahují mnoho kvalitních zabezpečovacích prvků, které snadno odradí amatéry. Proti organizovaným skupinám jsou však plastové karty bezmocné, protože pachatelé disponují stejnou technologií jako výrobci karet. Tady pak nastupuje vyhodnocování transakcí pomocí programu, které dokáže v jistých případech odhalit podezřelé transakce a včas držitele karty informovat o jejím možném zneužití.

Obrana: Problematická, v zásadě jen s pomocí vyhodnocovacího systému podvodů ze strany banky.

Vyrobte si svoji kartu

Zneužití pomocí internetu

Přestože internet bývá považován za nebezpečný, opak je pravdou a jde jen o to, co všechno na sebe na internetu prozradíte. Nejčastěji ke zneužití karty na internetu dojde vlastní neopatrností vyzrazením údajů o kartě. Na internetu se však s oblibou používají i padělané karty, resp. karty odcizené.

Mnohem závažnější je špatné zabezpečení databáze obchodníka, skrze kterou pak pachatelé mohou získat "živé" karty nic netušících klientů.

Obrana: Platby kartou přes internet a bez fyzické přítomnosti karty trvale zablokovat a povolit je jednorázově při potřebě takto platit. Žel, jen málokteré banky toto umějí.

Skimming neboli kopírování

Pomocí skimmingu dojde ke zkopírování magnetického proužku z karty a kartu lze během několika málo minut použít na druhém konci Země třeba pro výběr hotovosti nebo pro platbu u obchodníka. Takto se nezkopírují kódy CVC, resp. CVV, ale někteří obchodníci na internetu je nevyžadují, takže pak není problém platit ani se skimmovanými kartami.

Obrana: Problematická, v zásadě jen s pomocí vyhodnocovacího systému podvodů ze strany banky.

Phishing neboli rhybaření

Pachatel pomocí phishingu útočí na lidskou důvěřivost. Nejčastěji pomocí e-mailu vám zašle zprávu, která má za cíl navodit důvěru, že zpráva je od vašeho vydavatele karty a nutně je potřeba ověřit vaše osobní údaje včetně kódu PIN. Velmi krátce po zadání údajů je vyroben padělek karty a během několika minut účet na kartě je "vyluxován".

Obrana: Na podobné výzvy, zprávy a e-maily nereagovat.

Pharming

V zásadě jsou dva způsoby, jakými dochází k pharmingu. Prvním a nejjednodušším způsobem je napadnout počítač klienta banky, například pomocí škodlivého programu. Uživatel počítače se poté přihlásí obvyklým způsobem do internetového bankovnictví a internetový prohlížeč se tváří, že je vše v pořádku. Škodlivý program však způsobí, že dojde k přesměrování na podvodnou stránku a jsou-li údaje řádně vyplněné, cesta k účtu je otevřená.

Obrana: Pravidelně aktualizovaný počítač, kvalitní antivirový program, nestahovat a neklikat na to, co neznám

Druhou možností je napadnout DNS servery, a to tak, že při zadání např. www.nějakábanka.cz dojde k přesměrování na IP adresu pachatele s podvodným webem, ale vy přitom máte pocit (a doslova to i vidíte), že jste na stránkách své banky.

Obrana: Kvalitní zabezpečení internetového bankovnictví. Útočník poté maximálně uvidí stav vašeho účtu, ale neprovede transakci.


30

Spoofing neboli napálit a převézt

Smysl spoofingu je v tom, že určitá část počítačové sítě se bude skrývat za jinou identitu a zároveň bude sbírat z místních serverů a sítí citlivá data, která mohu být pachateli zneužita.

Obrana: Komunikaci šifrovat.

Trashing neboli vybírání odpadků

I tato forma podvodů má jediný cíl: získat citlivá data a ta zneužít nebo použít k vydírání. Úkolem trashingu je získat citlivé informace, které jsou pro pachatele zajímavé. Mezi ně patří zvláště zdrojové kódy, přístupová hesla apod.

Obrana: Dokumenty řádně skartovat včetně dokumentů elektronických.

Prostá krádež

Jednoduchá krádež je nejsnazší způsob, jak vám zneužijí platební kartu. Než kartu stihnete zablokovat, pachatel s ní zkusí platit v místech, kde není vyžadován PIN. Nejčastěji jde například o čerpací stanice (zvláště Shell a Benzina).

Obrana: Aktivovat si SMS při každé operaci kartou, dokoupit si pojištění proti zneužití karty, transakce reklamovat.

Bezpečné platební karty existují, nebojte se platit na internetu


Panika či obavy ze zneužitých karet je zbytečná podobně jako tvrzení, že neexistuje bezpečná platební karta. Existují způsoby, jak platit kartou bez obav i na internetu.

Když dojde k masivnímu úniku čísel platebních karet, vždy se najdou odborníci, kteří rádi poukážou na vysoká rizika při používání karty a nedostatečně zabezpečené sítě zpracovatelů karetních transakcí. Výsledkem následných diskuzí je poté konstatování, že žádnou platební kartu nelze stoprocentně zabezpečit a chybí už jen dodat, že je lepší používat hotovost. Jenže obojí je omyl.

Existuje mnoho způsobů zabezpečení jak samotných platebních karet, tak samotných karetních transakcí. Mezi poslední trendy patří bezpečnostní norma PCI DSS, která stanovuje různě náročné standardy pro zpracovatele karetních transakcí i obchodníky. Podobně existuje čipová technologie, která je již odolná proti kopírování, resp. klonování (je několik typů čipů). Jenže i sebelepší zabezpečení vždy bude mít jednu zásadní trhlinu – člověka. I dobře zabezpečený zpracovatel karetních transakcí bude mít vážný problém, když spolupachatelem při úniku dat bude právě osoba dozorující na bezpečnost. Tento lidský prvek bohužel nelze nijak předem odhalit, a proto je potřeba přistupovat k bezpečnostní otázce platebních karet z více stran.

Bezpečná karta existuje

Mezi časté omyly patří suché konstatování, že žádná platební karta není bezpečná. Každá bezpečnost jakéhokoli finančního prostředku je však kompromisem mezi bezpečností a použitelností. Čím větší zabezpečení, tím nižší komfort při používání. Navíc, i bezpečnost se vyjadřuje v číslech, a pokud náklady na její implementaci převyšují náklady ze ztrát způsobených podvody, je jasné, co zvítězí. U platebních karet tomu není jinak. Podvody existují, ale stále tvoří pouhá promile ze všech objemů transakcí. Jistě, jakýkoli únik dat je mediálně zajímavé téma a určitě není dobrou známkou pro karetní byznys, ale nic to nemění na tom, že spíše než na internetu vám zneužije kartu člověk v běžném obchodě (autor článku má svoji zkušenost z jednoho českého hypermarketu).

Nicméně vraťme se k bezpečnosti karet. Skutečně bezpečnou kartou v našich podmínkách je pouze taková karta, která je plně elektronická, neumožňuje platby na internetu či bez přítomnosti karty a při jakékoli transakci vyžaduje autorizaci pomocí PIN (mimochodem, je k dalšímu zamyšlení, že o disponování s deseti či statisíci na úctě rozhoduje čtyřmístný kód). Tyto podmínky splňují pouze dvě platební karty: Maestro a Vpay. Bezpečnost je však vykoupena vyšším počtem míst, kde těmito kartami jednoduše nezaplatíte a v případě karet Maestro společnost


31

MasterCard stejně uvažuje o tom, že v České republice jimi také umožní placení na internetu, pokud obchodník bude podporovat 3D Secure (ovšem z českých karet to žádná nepodporuje). Pokud byste chtěli kartu Vpay, musíte si pro ni nejblíže do Německa.

Ale ani ostatní platební karty na tom nejsou tak zle, průšvih je hlavně v tom, že někteří vydavatelé karet neumožňují zablokovat pro transakce bez přítomnosti karty, takže stačí znát pouze jejich číslo a cesta k penězům je otevřená. Ano, transakci lze reklamovat a napadnout, nicméně se nevyhnete následným komplikacím a časovým ztrátám.

Ke zneužití karty potřebujete hlavně dva údaje: číslo karty a platnost. Pro platby na internetu potřebujete většinou ještě tzv. CVV nebo CVC kód, ale ne všude je to pravidlem, typicky tento kód není nutný u některých amerických nebo australských obchodníků.

Platební karty ve spojení s internetem jsou často skloňovány a vzbuzují mnoho obav i otázek. Pokud chcete mít jistotu, že o své peníze při platbě kartou na internetu nepřijdete, zkuste se porozhlédnout po níže uvedených kartách.

„Internetové“ virtuální karty k účtu nebrat

Samotná virtuální či internetová karta k běžnému účtu bezpečnost nijak neřeší, jde jen o jiný přístupový kanál k vašim penězům, který lze zneužít úplně stejně jako vaši debetní kartu k účtu. Jinými slovy jsou to vyhozené peníze.

Na internet s kreditní kartou

Ideální je používat pro platby na internetu kreditní kartu. Když dojde k případnému zneužití, nejsou to vaše peníze, ale peníze banky, což vás nijak existenčně neohrožuje a máte dostatek času vše vyřešit.

Nejbezpečnější kartu má Cetelem

Nejlepší zabezpečení z českých karet pro platby na internetu má pouze virtuální karta Cetelem, která je bezplatným doplňkem kreditní karty Cetelem. Pro každou transakci se používá unikátní plovoucí CVC kód a datum platnosti, zároveň je nutné zadat i přesnou částku transakce včetně měny. Pokud dojde ke třem neúspěšným pokusům o platbu kartou, karta se automaticky zablokuje a je potřeba kontaktovat zákaznické centrum (transakce se samozřejmě neprovede).

Samotná platba není sice uživatelsky příjemná, ale to je daň za bezpečnost. V praxi se provádí takto: přihlásíte se do klientské zóny Cetelem, zvolíte platbu virtuální kartou, ta má neměnné číslo. Zadáte přesnou výši částky na dvě desetinná místa včetně měny transakce. Obratem se dozvíte orientační částku, která bude zúčtována středovým kurzem MasterCard. Po potvrzení transakce dostanete na registrované mobilní číslo SMS s jednorázovým CVC kódem a datem platnosti. Poté máte 2 hodiny na provedení platby, než dojde ke zneplatnění údajů. Platbu však můžete zneplatnit kdykoli sami.

Cetelem navíc eviduje i neprovedené platby (pokusy o platby, resp. neúspěšné autorizace), takže se snadno online dozvíte, kdo, kdy a v jaké výši si chtěl z vaší virtuální karty strhnout peníze. To se mu pochopitelně nepovede.

Snaha o zneužití virtuální karty Cetelem v praxi vypadá takto:

Přehled autorizací za posledních 45 dnů 27.03.10 16:12 Zamítnuto 745,82 Kč EASYJET; LUTON, BEDS; GB 25.03.10 13:35 Zamítnuto 7316,52 Kč TRENITALIA – VENDITA O; ROMA IT; IT 24.03.10 19:22 Zamítnuto 1148,14 Kč WP-HOSTELWORLD.COM; ONLINE; IE 24.03.10 19:20 Zamítnuto 249,48 Kč WP-HOSTELWORLD.COM; ONLINE; IE 14.03.10 08:25 Zamítnuto 50,27 Kč T STARK FUNDRAISING LL; Whitmore Lake; US 14.03.10 08:24 Zamítnuto 189,98 Kč YANDEX-PAY; MOSCOW; RU 14.03.10 08:23 Zamítnuto 1899,84 Kč YANDEX-PAY; MOSCOW; RU 07.03.10 23:53 Zamítnuto 951,79 Kč STORE-OF-MEDICINE; BAKU; AZ


32

Platba virtuální kartou Cetelem

Virtuální karta Cetelem má i nevýhody. Zaplatíte s ní pouze ve 35 měnách, které zná, a kartu nelze použít k platbám typu mail order a telephone order. Službu PayPal však již podporuje.

Velmi bezpečné karty má mBank

Mít jakoukoli kartu mBank znamená mít vynikající nástroj, se kterým můžete kdykoli libovolně měnit nastavení typů a výše transakcí. Pro platbu na internetu mBank sice nevyužívá sofistikované řešení jako Cetelem, na druhé straně obratem po platbě lze snížit limit na nulu. Anebo si můžete nastavit limit přímo na částku, jakou platíte. Velkou výhodou mBank je i to, že internetové bankovnictví je snadno dostupné z prohlížeče v mobilním telefonu (např. Opera mini), takže limity karet lze nastavovat opravdu kdekoli.

Podobně i mBank eviduje neúspěšné pokusy o autorizaci transakce, ty vám mohou přijít obratem jako placená SMS, anebo následující den e-mailem ve službě mPush. mBank se sice nemůže pyšnit tak výbornými kurzy při platbě v cizině jako Cetelem, ale zase má uživatelsky příjemnější ovládání limitů karet.

Podrobné nastavení karet mBank

S předplacenou kartou platíte bez obav

Předplacené karty nejsou tak dokonalým nástrojem pro platby na internetu, ale jejich kouzlo spočívá v tom, že případný pachatel může zneužít pouze výši dobitého kreditu na kartě. Ten zpravidla není nijak vysoký. Problém je v tom, že na českém trhu předplacené karty nikdo nevydává, takže je potřeba porozhlédnout se v zahraničí.


33

Izraelská Visa je zadarmo

V Česku málo známá bezplatná služba WWWcard izraelské banky Israel Discount Bank nabízí jednoduchou a účinnou virtuální kartu Visa, kterou získáte během 5 minut. K prvnímu i následnému dobití karty použijete jakoukoli kartu Visa, vždy však musí jít o jednu a tu samou kartu. Až vás virtuální karta přestane bavit, můžete ji obratem zrušit a přebývající peníze se vám automaticky vrátí na vaši českou kartu Visa, kterou jste izraelskou předplacenku dobili.

Německá MasterCard pomůže i pro Ryanair

V Německu se za poslední rok roztnul s předplacenými kartami pytel, ale jejich cena nejde pod 20 EUR za rok. Až na jednu výjimku, kterou je předplacená karta MasterCard od německé banky Wirecard. Službu jsem podrobně popsal již loni ve článku Levné letenky Ryanair při platbě kartou Visa Electron končí. Máme řešení. V posledních týdnech však pozoruji časté výpadky služby při registraci karty novými klienty – internetové stránky velmi často uvádějí informaci, že služba v tuto chvíli není dostupná pro zákazníky z České republiky, jindy naopak fungují bez potíží.

Jak platit bezpečně

Pokud pro platbu na internetu je požadována jediná možnost – a to karta – jde to udělat stále bezpečně:

1) Kontroluji zabezpečení obchodníka – nezadávám číslo karty do prázdného pole jen tak, je nutná zabezpečená stránka.

2) Kontroluji si další informace o obchodníkovi, např. adresu sídla, telefonické kontakty, googluji na internetu apod.

3) Pokud si jsem jakkoli nejistý, platbu neprovedu, anebo použiji jednu z bezpečných karet uvedených výše.

Jak probíhá platba kartou a kdy se strhne?

Často slyším otázky, že někdo zaplatil kartou, ale platba se mu strhla až třeba za měsíc. Velmi totiž záleží na tom, kdy obchodník odešle informaci o transakci do své banky. Teprve poté jeho banka řekne karetní asociaci, že skutečně byla provedena platba (která do teď byla třeba jen blokovaná) a asociace tuto informaci předá vašemu českému vydavateli karty. V drtivé většině případů je u elektronických transakcí platba stržena do 5 pracovních dnů, ale stává se, že se platba může „toulat“ i měsíc.

Jakým způsobem se přes internet mohou k našim údajům dostat nepovolané osoby?

Internet je často démonizován, faktem je, že spíše vám kartu zneužije prodavačka v obchodě než pachatel na internetu. Ale obecně lze konstatovat, že pokud číslo karty nedáte či neuvedete na podvodné nebo špatně zabezpečené stránky, šance zneužití na internetu je mizivá. Pokud číslo karty nemáte natvrdo uložené v počítači a ten není špatně zabezpečený, tak v zásadě nic nehrozí.

Je rozdíl v platbách v České republice, v EU a ve světě?

V ČR jsme začínali stavět na zelené louce a jsou zde tlaky na poslední bezpečnostní standardy. Proto platit kartou na českém internetu je v zásadě bezpečné. V zahraničí včetně vyspělých zemí Evropské unie se však tyto standardy se aplikují postupně. Například pro německé cestovní kanceláře je stále normální, že se číslo karty pošle e-mailem, což by pro každého šéfa bezpečnosti karet v bance znamenalo infarktový stav. A samozřejmě je to chyba, číslo karty lze ještě akceptovat ve faxu, ale v e-mailu nemá co dělat.


34

Vyplatí se založit si speciální účet či kartu pouze na internetové platební operace?

Je zbytečné mít speciální bankovní účet. Samotným číslem účtu nic neprozradíte, pokud člověk není paranoidní. Pokud to s placením na internetu myslíte vážně, můžete použít i běžnou kartu, zvláště při používání na českém internetu. Ideální je používat kreditní kartu, protože používáte peníze banky a ne svoje. Výjimku tvoří některé zahraniční weby s problematickým obsahem, kde lze bezpečně použít pouze speciální kartu, která má pro každou transakci unikátní, neopakovatelné údaje. Dalším řešením je používat takovou kartu, kterou lze po každé transakci na internetu „zamknout“ pro tyto platby.

Bezpečné karty

Transakce na internetu nebo bez přítomnosti karty lze libovolně nastavovat nebo jsou blokované:

• AXA Bank – všechny debetní karty

• Cetelem – kreditní karty

• Česká spořitelna – všechny karty

• ESSOX – kreditní karty

• GE Money Bank – všechny karty

• Home Credit – kreditní karty

• Komerční banka – všechny karty

• LBBW Bank – všechny karty

• mBank – všechny karty

• Raiffeisenbank – pouze debetní karty

• UniCredit Bank – všechny karty

Karty, kde nemůžete ovlivnit blokování transakcí pro internet

S těmito platebními kartami zaplatíte na internetu i na dálku, ať se vám to líbí nebo ne:

• Citibank – všechny karty s výjimkou karet Maestro

• ČSOB – všechny debetní i kreditní karty (včetně partnerských bank a Poštovní spořitelny)

• Diners Club – všechny karty

• Raiffeisenbank – všechny kreditní karty

Se kterými českými kartami lze obecně platit na internetu?

• AXA Bank – Visa Electron

• Cetelem – MasterCard (pouze virtuální karta)

• Citibank – všechny karty kromě Maestro

• Česká spořitelna – všechny karty kromě Maestro

• ČSOB – všechny karty kromě Maestro

• Diners Club – všechny karty

• ESSOX – pouze MasterCard Unembossed vydaná pro zákazníky T-Mobile

• Fio – všechny karty kromě Maestro


35

• GE Money Bank – všechny karty kromě Maestro

• Home Credit – nové MasterCard Unembossed (zvláště karty Premia)

• Komerční banka – všechny karty kromě Maestro

• LBBW Bank – MasterCard

• mBank – všechny karty

• Oberbank – MasterCard

• Raiffeisenbank – všechny karty kromě Maestro

• Raiffeisenbank im Stiftland – MasterCard

• UniCredit Bank – všechny karty kromě Maestro

• Volksbank – všechny karty kromě Maestro

• Waldviertler Sparkasse von 1842 – všechny karty kromě Maestro

Centrální registr dlužníků: Česká finta, jak napálit zájemce o půjčku

6. 8. 2010 0:00 Jiří Hovorka

Výpis z úvěrového registru je žádaným zbožím a vyplatí se jej občas zkontrolovat i preventivně. Pokud požádáte o výpis z falešného registru, můžete peníze vyhodit rovnou oknem.

Za vznikem úvěrových registrů stojí jednoduchá myšlenka. Banky (které si jako první založily vlastní registr) chtěly na maximální možnou míru eliminovat úvěrová rizika, a tak začaly svá vlastní data o klientech sdílet s konkurencí. Tím se vyhnuly situaci, kdy neúspěšný žadatel v jedné bance (neúspěšný z důvodu dřívějšího nesplácení či splácení úvěru s výrazným prodlením) jednoduše přešel ke konkurenci – a ta mu úvěr poskytla. Nutno podotknout, že úvěrové registry nejsou českým výmyslem, ale že fungují po celém světě.

Po založení registrů tak mají nyní banky či úvěrové společnosti přehled o všech úvěrech (i o těch nečerpaných – kontokorentu, kreditní kartě apod.), které mají případní žadatelé u konkurence. Tedy u té konkurence, která svá data v registrech sdílí. Do registrů nejsou zapojeni drobní poskytovatelé úvěrů (kteří na tom své podnikání často zakládají) a nenajdete v nich ani většinu družstevních záložen. Do registru úvěrů se však můžete dostat i pouhou žádostí o úvěr.

V Česku jsou tyto údaje sdíleny v následujících registrech: Bankovní registr klientských informací (BRKI), Nebankovní registr klientských informací (NRKI), registr SOLUS a Centrální registr úvěrů (CRÚ). Nyní si je blíže představíme.

Pozor na falešné úvěrové registry

Pokud se ztrácíte v problematice úvěrových registrů, pak si zapamatujte následující jednoduchou poučku: v Česku fungují čtyři oficiálně uznávané registry. Tak zvaný Centrální registr dlužníků České republiky (CERD) není oficiálním úvěrovým registrem! Jde o „registr“, jehož poskytovatelem je americká společnost CERD SYSTEM LLC, za kterou stojí kontroverzní český podnikatel Jiří Jehlička.

Bankovní registr klientských informací (BRKI)

Tento registr funguje v Česku od roku 2002 a stručně lze jeho funkci popsat jako vytváření databáze o úvěrové historii fyzických osob. Založilo ho pět v Česku působících bank, které dodnes vlastní provozovatele BRKI

3903


36

společnost CBCB – Czech Banking Credit Bureau, a.s. Jde o Českou spořitelnu, ČSOB, GE Money Bank, Komerční banku a HVB Bank Czech Republic. Vedle bank v něm údaje o svých klientech sdílí také stavební spořitelny.

Jestliže vás zajímá, zdali máte v BRKI zápis, pak můžete zažádat o výpis. Získat ho lze třemi způsoby. První možností je zaslat žádost o výpis poštou, kde musí být notářsky či úředně ověřen podpis, aby se na údaje v registrech nemohla dotazovat neoprávněná osoba. Druhou možností je osobní návštěva Klientského centra v Praze (Na Vítězné pláni 1719/4,Praha 4). Poslední možnost je podat žádost o výpis prostřednictvím elektronické pošty na e-mailovou adresu [email protected]. Elektronické podání žádosti o výpis musí být podepsané pomocí digitálního podpisu, vysvětluje výkonná ředitelka CBCB Zuzana Pečená.

Přes datovou schránku výpis získat nelze. Důvodem je to, že pokud má klient datovou schránku, tak pravděpodobně disponuje kvalifikovaným certifikátem, který mu umožňuje digitální podpis, a tudíž může využít výše uvedeného postupu s e-mailovou adresou, objasňuje důvody Zuzana Pečená.

Standardně je výpis vyhotoven do 30 dnů, můžete však požádat o variantu Expres, kdy při návštěvě Klientského centra získáte výpis okamžitě, nebo vám při „žádosti na dálku“ bude zaslán do 24 hodin. Za expresní variantu zaplatíte 200 Kč, za pomalejší 100 Kč. V případě zaslání výpisu poštou jsou k ceně výpisu připočteny poštovní poplatky, dodává Zuzana Pečená.

Kteří klienti budou vedeni v registru BRKI?

V registru budou vedeny fyzické osoby (občané i živnostníci), které u některé banky – účastníka registru – čerpají nebo čerpali úvěr (tzn. i kontokorent), nebo se pohybují v povoleném pásmu záporného zůstatku na běžném účtu, anebo mají kreditní kartu. V registru budou také vedeny fyzické osoby, které o úvěr či o vydání kreditní karty teprve žádají. V budoucnu budou v registru pravděpodobně i klienti (občané, živnostníci, společnosti), kteří uzavírají smlouvu s leasingovou společností nebo nakupují na splátky prostřednictvím některého poskytovatele spotřebitelských úvěrů. Budou tam klienti dobří i špatní. (Zdroj: CBCB)

Uživateli BRKI jsou tyto společnosti:

1. Česká spořitelna, a.s.

2. Československá obchodní banka, a.s.

3. GE Money Bank, a.s.

4. UniCredit Bank Czech Republic, a.s.

5. Komerční banka, a.s.

6. Raiffeisenbank a.s.

7. Hypoteční banka, a.s.

8. Citibank Europe plc, organizační složka

9. Českomoravská stavební spořitelna, a.s.

10. Stavební spořitelna České spořitelny, a.s.

11. Wüstenrot-stavební spořitelna a.s.

12. LBBW Bank CZ a.s.

13. Wüstenrot hypoteční banka, a.s.

14. Raiffeisen stavební spořitelna a.s.

15. Modrá pyramida stavební spořitelna, a.s.

16. Volksbank CZ, a.s.

17. Oberbank AG pobočka Česká republika

18. Waldviertler Sparkasse von 1842 AG

19. BRE Bank S.A


37

20. Všeobecná úvěrová banka a.s., pobočka Praha

21. Raiffeisenbank im Stiftland eG pobočka Cheb, odštěpný závod

Nebankovní registr klientských informací (NRKI)

NRKI funguje od července roku 2005 a je ekvivalentem BRKI jen s tím rozdílem, že sdružuje informace o klientech nebankovních společností. Provozovatelem registru je společnost LLCB – Leasing & Loan Credit Bureau, z.s.p.o., založená následujícími leasingovými a splátkovými společnostmi: ČSOB Leasing, GE Money Auto, GE Money Multiservis, CAC Leasing, Santander Consumer Finance, ŠKOFIN, Leasing České spořitelny, s Autoleasing.

Podmínky získání výpisu z tohoto registru jsou stejné jako u BRKI. Stejně tak je databáze tohoto registru aktualizována měsíčně. Negativní zápis získáte v obou registrech v případě, že jste ve více než 3měsíčním prodlení se splátkou úvěru.

Uživateli NRKI jsou tyto společnosti:

1. ČSOB Leasing, a.s.

2. GE Money Auto, a.s.

3. GE Money Multiservis, a.s.

4. UniCredit Leasing CZ, a.s.

5. Santander Consumer Finance a.s.

6. ŠkoFIN s.r.o.

7. Leasing České spořitelny, a.s.

8. s Autoleasing, a.s.

9. RCI Financial Services, s.r.o.

10. D.S. Leasing, a.s.

11. PSA finance Česká republika s.r.o.

12. s Autoúvěr, a.s.

13. Credium, a.s.

14. Toyota Financial Services Czech s.r.o.

15. UNILEASING a.s.

16. S MORAVA Leasing, a.s.

17. D.S. Leasing Full Service, s.r.o.

18. AGRO LEASING J.Hradec s.r.o.

19. IMPULS-Leasing-AUSTRIA s.r.o.

20. Diners Club Czech, s.r.o.

21. Factoring České spořitelny, a.s.

22. Raiffeisen Leasing s.r.o.;

23. NLB Factoring a.s.

24. SG Equipment Finance Czech Republic s.r.o.

25. COFIDIS s.r.o.

26. CETELEM ČR, a.s.

27. Home Credit a.s.


38

Registr SOLUS

SOLUS funguje jediný jako tzv. negativní registr, který založily a data si v něm vyměňují převážně banky, finanční společnosti a mobilní operátoři. Předávají si v něm vzájemně informace o dlužnících. Oproti registrům BRKI a NRKI představuje pro banky a další finanční instituce tu výhodu, že ukazuje na případnou zhoršenou finanční situaci jejich klienta mnohdy dříve (např. při neplacení účtu za telefon) a mohou ve spolupráci s ním zabránit vzniku případných dalších dluhů (např. snížením splátek). Registr SOLUS je totiž více než registrem úvěrovým registrem dlužníků.

Členská společnost zařazuje dlužníka do registrů SOLUS zpravidla po neuhrazení tří po sobě jdoucích splátek. Výjimky tvoří začátek smluvního vztahu, kde lze dlužníka zařadit do registrů SOLUS již po dvou neuhrazených splátkách, a na konci smluvního vztahu, kdy je dlouhodobě neuhrazena jedna poslední splátka. Klienta společnost zařazuje také v případě, kdy pro neplacení došlo k zesplatnění úvěru nebo odstoupení od smlouvy, upřesňuje podmínky zápisu do registru tajemník sdružení SOLUS Jan Stopka.

SOLUS vede dva úvěrové registry – spotřebitelský a podnikatelský. Výpis z registru můžete získat dvěma způsoby. Může vám přijít klasicky poštou nebo ve formě SMS zprávy. Vždy je o něj ale třeba nejprve požádat písemně na k tomu určeném formuláři. Podpis na něm musí být úředně ověřen. O možnost SMS výpisu budete žádat pouze jednou, poté už vše můžete zařídit přes mobil. Zájemci je po písemné žádosti vygenerováno unikátní číslo SIN, na základě kterého může kdykoliv v budoucnu získávat SMS výpis zjednodušenou formou, jen na základě SMS, upřesňuje Jan Stopka.

Výhodu SMS výpisu je rychlost – odpověď (výpis) vám přijde během jedné minuty, výpis poštou zasílá SOLUS obratem (zákonná lhůta je 30 dnů. Za SMS výpis zaplatíte 99 Kč, za poštovní výpis 136 Kč (cena již zahrnuje poštovné. Ani zde nepochodíte s datovou schránkou. Jednak o to zatím není zájem a rovněž je to procesně nepraktické, říká k možnosti výpisů přes datovou schránku Jan Stopka.

Seznam členů společenství SOLUS:

1. BRE Bank S.A., organizační složka podniku

2. CCS Česká společnost pro platební karty s.r.o.

3. CETELEM ČR, a. s.

4. Citibank Europe plc, organizační složka

5. COFIDIS s.r.o.

6. Credium, a.s.

7. Českomoravská stavební spořitelna, a.s.

8. Československá obchodní banka, a.s.

9. Český Triangl, a. s.

10. ČSOB Leasing, a.s.

11. E.ON Česká republika, s.r.o.

12. ESSOX s.r.o.

13. Home Credit a. s.

14. Komerční banka, a.s.

15. LBBW Bank CZ a.s.

16. MAKRO Cash & Carry ČR s.r.o.

17. MobilKom, a.s.

18. Modrá pyramida stavební spořitelna, a.s.

19. PROFI CREDIT Czech, a. s.

20. Raiffeisenbank a.s.

21. RCI Financial Services, s.r.o.


39

22. Santander Consumer Finance a.s.

23. s Autoleasing, a.s.

24. Telefónica O2 Czech Republic, a.s.

25. T-Mobile Czech Republic a.s.

26. UniCredit Bank Czech Republic, a.s.

27. UniCredit Leasing CZ, a.s.

28. VB Leasing CZ, spol. s r.o.

29. VLTAVÍN leas, a.s.

30. Vodafone Czech Republic a.s.

Centrální registr úvěrů (CRÚ)

Jde o pro nás nejméně zajímavý registr úvěrů, protože soustřeďuje informace o úvěrových závazcích fyzických osob podnikatelů a právnických osob, údaje o běžných spotřebitelských úvěrech a hypotékách v něm tedy nenajdete. CRÚ je spravován Českou národní bankou a údaje do něj povinně zasílají všechny v Česku působící banky.

O výpis mohou podnikatelé požádat písemně prostřednictvím určeného tiskopisu, který rovněž můžou poslat mailem či přes datovou schránku. Vždy musí být žádost opatřena úředně ověřeným podpisem případně zaručeným elektronickým podpisem. Poplatek za vystavení výpisu činí jednotných 400 Kč a výpis obdržíte do 30 dnů od podání žádosti.

Pozor na „Centrální registr dlužníků“

Na úvěrových registrech a jejich zdánlivé nepřehlednosti parazituje jeden soukromý projekt, který ale postupuje v mezích zákona, a proto nezbývá, než si před ním dávat pozor. Řeč je o Centrálním registru dlužníků České republiky, který má své podnikání postaveno na registraci do něj (za 1000 Kč na rok), a který slibuje provedení výpisu z registru dlužníků (za 300 Kč při doručení poštou).

Pokud si tento výpis zaplatíte a následně s ním půjdete do banky pro úvěr, zjistíte, že jste naletěli. Banky i všechny další finanční instituce sdružené v BRKI a NRKI se od tohoto soukromého projektu distancují. S Centrálním registrem dlužníků (CERD) BRKI ani NRKI žádným způsobem nespolupracují. Jeho aktivity jsou podle BRKI a NRKI problematické a pro zákazníky finančních institucí zavádějící, říká výkonný ředitel LLCB Karel Kolář.

Výpis, který od CERD dostanete, totiž v žádném případě neobsahuje data bank a dalších finančních institucí, pro které jsou údaje v registrech klíčové. CERD pouze vytváří takový dojem, i když je maximálně databází, kterou mezi sebou sdílí zaregistrovaní účastníci systému. Nedopouští se však ničeho nekalého.

Cesta, jak mít vlastní úvěrový registr, je jednoduchá. Založíte si společnost sídlící na Seychelách (daňové bezpečí), ta si založí dceřinou společnost sídlící v USA (důvěryhodná země) a ta si zřídí organizační složku působící v České republice (my nic, to oni v USA) a bude provozovat třeba Registr dluhů. Nasadíte dobré SEO do vyhledávačů, zřídíte ceník za výpis a máte vyděláno. Klienti se sami chytí. Vy neděláte nic nekalého, protože skutečně poskytnete výpis, že ve vašem registru žadatel o výpis dluh nemá (a ani mít nemůže). Služba je zaplacena a reklamaci nikdo do USA posílat nebude – ani nemůže, když si službu dobrovolně objednal. A ještě perlička na závěr: pokud ji náhodou odmítne zaplatit, můžete ho žalovat, protože souhlasil s podmínkami služby (určitě jen zaškrtl křížek a nečetl je).

Oficiální stanovisko CERD

Centrální registr dlužníků ČR se ohrazuje vůči atakům „redaktorů“ Jiřího Hovorky a Petra Kučery, kteří účelově protlačují a zvýhodňují kartelové uskupení CBCB bez možnosti vyjádření Centrálního registru dlužníků.

Centrální registr dlužníků je největším správcem nesplacených závazků, kde rozsahem několikanásobně převyšuje působnost CBCB – Czech Banking Credit Bureau, a. s. a LLCB, z.s.p.o., jejichž uskupení vzniklo pod kartelovou správou italské skupiny CRIF.


40

S ohledem na tisíce evidovaných poškozených „dlužníků“ těmito skupinami vznikla Asociace registrů České republiky, která se bude zaobírat poškozením spotřebitelů, obcházení bankovního tajemství prostřednictvím privátní společnosti CBCB – Czech Banking Credit Bureau, a.s., která je technologicky a ekonomicky zcela ovládána prostřednictvím CCB – Czech Credit Bureau, a.s. a dále Italským CRIF.

Centrální registr dlužníků jako správce největších protikorupčních systémů v České republice v poslední době inovací a rozšíření protikorupčních systémů čelí vyššímu počtu útoků v podobě neeticky jednostranně vedených článků, na které nemá možnost reagovat.

Je tedy možné, že tyto útoky souvisí s obsazováním kontroverzních osob do silových složek státu, jako je kauza Michala Moroze. Jeho vazby jsou přímo spojeny s osobami s minulostí bývalé STB, ale i jeho bratrem, který figuruje ve společnosti, která od MVČR obdržela několik výhodných státních zakázek.

Centrální registr dlužníků, který bezproblémově funguje v České republice více než 10 let, pod správou následnických subjektů je s příchodem osob, které se pokouší o kartelizaci informačních technologií, vystavován útokům s cílem omezit jeho vysoký rozmach a oblibu a omezit jeho pozici v roli účinného boje s korupcí a kriminalitou.

Upozorňujeme, že není v České republice vyjma Centrálního registru dlužníků jediný efektivní nástroj, který mohou věřitelé na svou ochranu využívat. Protikorupční systém je jediným systémem, který napomáhá odhalovat tu nejzávažnější kriminální činnost bez vlivu politického nebo ekonomickým lobbingu.

Centrální registr dlužníků se jako jediný vždy zasadil o to, aby závažné politické kauzy byly alespoň prověřovány patřičnými orgány, a to napříč celým politickým spektrem. Snaha o poškození tohoto unikátního systému pouze naznačuje, že se mocenské prvky pokouší místo deklarovaného boje s korupcí zbylé účinné nástroje potlačit.

Vyjádření ke sporům se soukromou společnosti CBCB – Czech Banking Credit Bureau, a.s a LLCB, z.s.p.o..

CERD a jeho mezinárodní zástupci vedou spor o užívání obecného názvu BRKI a NRKI, kdy si obě strany nárokují jeho užívání. Centrální registr dlužníků České republiky je toho názoru, že CBCB a LLCB není provozovatelem žádného registru, neboť se jedná pouze o společnosti, které jsou technologicky ovládané „italským“ uskupením CRIF, bez něhož jak CBCB a LCCB nejsou schopné existovat.

Souhlasy UOOU se správou osobních údajů ze strany CBCB a LLCB považujeme za neplatné, neboť z nich není zřejmé, kdo spravuje citlivá klientská data a v jakém rozsahu.

Centrální registr dlužníků má ověřené informace, že CBCB a LLCB je uskupení, které vydává citlivé údaje o klientech partnerských bank NBÚ, BIS a jiným orgánům a subjekty, které jsou v tomto systému evidováni, nemají při udílení souhlasu s nakládáním s citlivými osobními údaji ucelený obraz o tom, jak s jejich citlivými údaji bude nakládáno, a to i na území Itálie (stát v EU, který se těší nejvyšší kriminalitě a počtem korupčních deliktů s návazností na celosvětová mafiánská uskupení).

Centrální registr dlužníků odmítá jakkoliv propagovat subjekty CBCB a LLCB, neboť se technologicky a příjmově jedná o zcela soukromé subjekty pod vedením CRIF. Žádá tedy vybraná média, jejichž novináři neznají problematiku registrů, aby se zdržely reklamních propagačních článků, které mají za úkol potlačit pravidla hospodářské soutěže.

Rudolf Vitkovič, CERD


41

Neautorizovaná transakce: Za zneužitou kartu si podle zákona můžete sami

15. 11. 2010 0:00 Gabriela Klimánková

Dvojsmyslný výklad pojmu neautorizovaná transakce znamená, že poskytovatel karty se většinou zachová tak, jak se mu to hodí. Kde hledat pravdu, když ani oficiální instituce v tom nemají jasno?

Zmatky kolem pojmu neautorizovaná transakce existují už od doby, kdy vešel v minulém roce v účinnost nový zákon o platebním styku. Nejednoznačnost zákona dávala bankám a záložnám prostor, aby si ho vykládaly tak, jak se jim hodí. V drtivé většině proto do svých podmínek ukotvovaly výklad, podle kterého plátce (tedy např. klient banky) měl nést ztrátu z neautorizovaných transakcí do výše 150 eur za transakci. Náklady by tak prakticky nesl jenom klient. Až po čase byla přijata zákonodárci změna, která v zákoně jednoznačně vymezila, že škodu 150 EUR nese plátce za všechny transakce.

My o voze, vy o koze?

Server Měšec.cz jako první nyní zjistil, že ani ve výkladu samotného pojmu neautorizovaná transakce nepanuje jednota. V § 98 Zákona o platebním styku se píše o autorizaci transakce v tom smyslu, že platební transakce je autorizována, jestliže k ní plátce dal souhlas, nestanoví-li jiný právní předpis jinak.

Když se nad tím zamyslíte, dá se zákon vyložit dvojsmyslně. Je neautorizovaná transakce taková transakce, ke které nedal plátce vědomě souhlas? Nebo se jedná jen o to, že neautorizovaná transakce vznikne jen v případě, kdy zadáte špatně PIN nebo například při platbě přes internet zadáte špatně číslo své karty a operace proto neproběhne?

V prvním případě by totiž byla neautorizovaná transakce i taková, kterou např. přes internet zadá někdo, kdo nějakým způsobem získal potřebné údaje z vaší karty a nyní přes ni může vesele nakupovat. Vy byste s operací určitě nesouhlasili, přesto je však bankou provedena. Proč? Banka obdržela všechny platné podklady pro udělení souhlasu s transakcí (platné číslo karty, karta byla krytá apod.) Druhý výklad omezuje existenci neautorizované transakce pouze na mizivé procento situací, kdy zadáte špatně např. PIN nebo číslo své karty, ale operace je stejně (chybou v bance) provedena.

Další odstavec paragrafu smysl věty upravuje: platební transakce může být autorizována před provedením platební transakce, nebo dohodnou-li se tak plátce a jeho poskytovatel, po jejím provedení. Souhlas lze udělit k jednotlivé platební transakci nebo k několika platebním transakcím. Souhlas lze udělit i prostřednictvím platebního prostředku s tím, že forma a postup udělení souhlasu musí být dohodnuty mezi plátcem a poskytovatelem.

Všichni dotčení poskytovatelé finančních služeb tuto „dohodu o souhlasu“ provádějí jednostranně tím, že v obchodních podmínkách specifikují autorizaci zadáním PINu, podpisem nebo autorizačním kódem apod.

Sporné situace pak upravují §115 a §116, kde se konkrétně praví, že plátce (klient) nese ztrátu do výše 150 EUR, pokud byla způsobena použitím ztraceného či odcizeného platebního prostředku nebo zneužitím platebního prostředku v případě, že plátce nezajistil ochranu jeho personalizovaných bezpečnostních prvků. Kdy ale plátce zajistí ochranu údajů a kdy už je to jeho pochybení? Zanedbáváme ochranu údajů například tím, že při platbě v restauraci někdo přečte potřebná čísla z mé karty?

Pokud vám tedy ukradne zloděj platební kartu a stihne s ní například provést transakci přes internet (kde potřebuje zadat pouze čísla z karty), dříve než vy krádež nahlásíte, máte smůlu? Anebo co třeba takový skimming… V tomto případě neplatí, že plátce nezajistil ochranu jeho personalizovaných bezpečnostních prvků a neměl by tedy ztrátu nést. Přesto se vlastně jedná podle obchodních podmínek bank a záložen o autorizovanou transakci, protože potřebné údaje byly zadány. Bez ohledu na drobný fakt, že operaci nezadával klient a ani by k ní nikdy vědomě nesvolil, protože třeba prokazatelně ležel na jednotce intenzivní péče.


42

Oficiální výklady je nejednotný

Na problematiku jsme se zeptali přímo Finančního arbitra České republiky, akademika i zástupců z České národní banky.

Finanční arbitr: odpověď nejednoznačná

František Klufa situaci ohledně výkladu pojmu nijak nevyjasnil. Uvedl sice, že: Dle § 98 zákona o platebním styku je podmínkou autorizace platební transakce souhlas plátce. Tento souhlas může dát plátce buď před provedením platební transakce, nebo po něm. Pro způsob udělení souhlasu je rozhodující dohoda plátce a jeho poskytovatele. Nedostatek souhlasu má za následek, že platební transakce je neautorizovaná, z čehož mohou vzniknout případné další odpovědnostní vztahy mezi poskytovatelem a plátcem. Neautorizovanou platební transakcí se zásadně rozumí transakce, ke které nebyl dán souhlas. § 115 a 116 zákona o platebním styku obsahuje jednoznačné rozhraničení případů, kdy za neautorizovanou platební transakci odpovídá plátci jeho poskytovatel a kdy ztrátu z této transakce nese plátce sám. Rozsah odpovědnosti poskytovatele je v ustanovení § 116 odstupňován v závislosti na různých okolnostech. Víceméně jsme získali jen ocitovaný zákon. Dále ale František Klufa připojil definici neprovedené platby, která se podle Klufy liší od neautorizované platby.

Jestliže byl příkaz (příkazem se pro účely zákona rozumí pokyn účastníka platebního systému s neodvolatelností zúčtování, aby prostřednictvím tohoto systému byly převedeny peněžní prostředky ve prospěch jejich příjemce a aby byly zaúčtovány v souladu s pravidly systému) příkazcem zadán bez všech potřebných identifikačních údajů, banka tento neprovede a poskytne nebo zpřístupní klientovi o této skutečnosti informaci dohodnutým způsobem při nejbližší příležitosti (např. dopis, výpis, avízo aj.). Neprovede-li příkaz banka díky svému pochybení, nese v důsledku neprovedení příkazu vinu i se všemi spojenými souvislostmi ona.

Pokud je ale neprovedená platba něco jiného než neautorizovaná transakce, neměla by být neautorizovanou transakcí operace, kdy špatně zadáte platbu přes internet (např. špatné číslo karty) a operace se proto neprovede. Právě takto ale drtivá většina bank, záložen a poskytovatelů karet neautorizovanou transakci definuje ve svých podmínkách. Situace spíš odpovídá neprovedené platbě.

Názor akademika: odpověď nejednoznačná

Také Zbyněk Kalabis, tajemník katedry bankovnictví a pojišťovnictví Bankovního institutu vysoké školy (BIVŠ), jako výklad pojmu neautorizované transakce použil citaci zákona o platebním styku. Dále však vysvětlil, že autorizace platby je prováděna pomocí podpisového vzoru, PINu u platebních karet, analogických kódů u produktů přímého bankovnictví nebo i povolení inkasa, kdy majitel účtu souhlasí, aby si jeho obchodní partner inkasoval z účtu finanční prostředky do určité výše. Uvedl také, že banka nesmí provést platební příkaz, pokud neobsahuje povinné údaje (bankovní spojení plátce a příjemce, částka + autorizace).

Z toho vyplývá, že pokud klient transakci neautorizoval, jedná se o neautorizovanou transakci – vrácení částky neautorizované transakce je řešeno v § 103 zákona o platebním styku. Odpovědnost „banky“ za neautorizované platební transakce je popsána v § 115 a násl. zákona o platebním styku, řekl serveru Měšec.cz Kalabis. Zamlženou situaci ale svým vyjádřením nijak více neosvětlil. Autorizaci totiž také definuje jako zadání požadovaných údajů do platebního systému.

Česká národní banka: překvapivý výklad

Zcela jiná přišla odpověď od zástupců České národní banky. Obsahuje sice i část, která uvádí, že autorizovanou transakci definuje zákon o platebním styku (platební transakce je autorizována, jestliže k ní plátce dal souhlas, nestanoví-li jiný právní předpis jinak) a že neautorizovaná platební transakce tedy znamená opak.

Když jsme se ale zeptali na výše zmiňované zneužití údajů z platební karty (údaje z karty při platbě přes internet zadány správně, ale majitel karty o transakci neví a rozhodně by s ní nesouhlasil), vyložil Pavel Zúbek z odboru komunikace souhlas plátce z jiného pohledu.


43

Citace České národní banky:

Z ustanovení § 98 zákona o platebním styku vyplývají tři základní předpoklady řádné autorizace platební transakce v souladu se zákonem:

• jedná se o projev vůle osoby plátce, kterým plátce vyjadřuje souhlas s platební transakcí;

• souhlas musí být udělen před provedením platební transakce, ledaže mezi plátcem a jeho poskytovatelem byla domluvena možnost následné autorizace;

• při udělení souhlasu musí být dodržen postup a forma, na nichž se plátce a jeho poskytovatel dohodli.

Přičemž všechny uvedené předpoklady musí být splněny současně. Nedostatek některého z nich má za následek, že platební transakci je třeba považovat za neautorizovanou.

V případě, že k autorizaci platební transakce dochází pomocí platebního prostředku, je rozhodující, zda použití platebního prostředku skutečně vyjadřuje souhlas plátce. Smluvní strany si nemohou sjednat nevyvratitelnou domněnku nebo fikci, podle níž by se jakékoli použití dohodnutého platebního prostředku považovalo za souhlas plátce bez ohledu na to, zda plátce platební prostředek skutečně použil. Takové smluvní ujednání by bylo neplatné. Pokud platební prostředek ve skutečnosti použila osoba od plátce odlišná, jedná se o platební transakci neautorizovanou.

V takovém případě je třeba zkoumat, v jakém rozsahu za tuto transakci odpovídá poskytovatel, případně v jakém rozsahu nese ztrátu z této transakce plátce sám. Ze zákona o platebním styku vyplývá, že poskytovatel, resp. banka může odmítnout provést platební příkaz pouze tehdy, nejsou-li splněny smluvní podmínky pro jeho přijetí, nebo stanoví-li tak jiný právní předpis. Poskytovatel je povinen odmítnout provedení platebního příkazu, stanoví-li tak jiný právní předpis. K přijetí platebního příkazu v takovém případě nedojde.

Výklad poskytovatelů finančních služeb a postoj při reklamaci

Na to, jak lze vyložit pojem neautorizovaná transakce, jsme se ptali i samotných bank, družstevních záložen a vydavatelů karet. Banky, záložny i vydavatelé platebních karet považují nejčastěji transakci za autorizovanou po zadání např. údajů z karty. Detail v podobě skutečného souhlasu majitele karty, který při podvodných transakcích samozřejmě chybí, většina nijak nezohledňuje. Jak by tedy dopadla reklamace transakce platby kartou, kde byly zadány potřebné údaje (CVC2/CVV2, číslo i expirace karty), ale vyšlo by najevo, že operaci nezadal majitel a ani s ní nesouhlasí? I když budete reklamovat, výsledek je více než nejistý.

Zneužití údajů se tedy bere jako vina klienta, který neochránil údaje na své kartě, sdělil serveru Měšec.cz Gabriel Tkáč za Banco Popolare, který zároveň uvedl, že peníze by banka klientovi nevracela. Stejný přístup při řešení reklamace vyplývá také z odpovědi od společnosti Credium a Komerční banky.

Definici neautorizované transakce, kdy není zadán PIN či jiné správné údaje, jsme obdrželi také od společnosti Citibank, Credium, ČSOB, GE Money Bank, Komerční banka, Poštovní spořitelna, Raiffeisenbank, Raiffeisenbank im Stiftland i UniCredit Bank a Volksbank.

Ve stejném smyslu odpověděli také zástupci společnosti Cetelem. Uvedli ale, že pokud by se jednalo o skimming, reklamace by byla uznána. Podobný přístup v případě skimmingu by se dal očekávat u většiny dotázaných.

Zástupci České spořitelny, ČSOB, GE Money Bank, Poštovní spořitelny, Raiffeisenbank i UniCredit Bank uvedli, že v úvahu připadá možnost uznané i neuznané reklamace s tím, že výsledek nelze paušalizovat a k takovýmto případům se banka staví vždy individuálně. Mezi většinou skutečně poškozených klientů se může vyskytnout i osoba dopouštějící se podvodu v podobě pokusu o získání kompenzace za transakci, kterou sama vědomě provedla, odůvodnila opatrný přístup Vendula Žaloudíková z Fio banky.

I ta popsala autorizaci transakce jako zadání požadovaných údajů: Jestliže byl pokyn autorizován výše uvedeným způsobem (PIN, podpis či kombinace obojího a dále číslo a expirace karty spolu se CVV či CVC), má se za to, že klient souhlasil s platební transakcí, pokud není klientem prokázáno, že platební transakci neautorizoval. Zároveň ale tedy připustila, že případ, kdy klient dokáže, že platbu neautorizoval on, může situaci změnit.

Společnost Home Credit a J&T Banka i Česká spořitelna považuje za neautorizovanou transakci nesprávné zadání požadovaných údajů i fakt, že ji klient skutečně nezadal a nesouhlasí s ní.


44

To, že se informace dostaly k jiné osobě, jde ale v případě společnosti Home Credit na odpovědnost klienta. Pokud byl během transakce zadán správný PIN, máme za to, že autorizace klienta proběhla korektně, protože klient je zodpovědný za to, že kód nezpřístupní jiné osobě. Vzhledem k tomu, že reklamací neautorizovaných transakcí není tolik, každý případ řešíme individuálně a detailně jej posuzujeme a prověřujeme, řekla serveru Měšec.cz mluvčí Eva Řimnáčová s tím, že i když klient s údaji pravděpodobně zacházel neopatrně, většinou je reklamace vyřešena ve prospěch klienta.

Pokud nelze prokázat participaci klienta na transakci, reklamaci uznáváme jako oprávněnou, uvedl také Petr Málek za J&T Banku.

Oberbank a spořitelní družstvo Peněžní dům řadí zneužití údajů právě do skupiny neautorizovaných transakcí. Oberbank však jako jediná tímto pojmem naopak nenazývá skutečnost, kdy operace není provedena kvůli špatně zadaným identifikačním údajům (PIN, atd..) Toto je autorizovaná transakce, kvůli chybě na straně klienta ale nemůže banka transakci provést, vysvětlila serveru Monika Heiserová. Oberbank i Peněžní dům pak bude reklamaci vyřizovat podle okolností případu.

Jak vidno, přístupy se liší, ačkoli individuální posouzení může být leckdy opravdu individuálním rozhodnutím toho kterého pracovníka banky či záložny. Jaké máte zkušenosti vy? Budeme rádi, pokud nám přispějete do diskuse.

Koupili jsme přes internet Viagru. A málem přišli o peníze


Tuny spamu s falešnou Viagrou nás motivovaly k tomu, abychom ji objednali. Vzali jsme hned tři balení, vše zaplatili platební kartou a nechali podrobit laboratornímu testu.

Je Viagra objednaná přes internet pravá, anebo jde o falzifikát? A pošlou nám vůbec Viagru, nebo jde jen o past na peníze? Servery Měšec.cz a Vitalia.cz na tyto otázky hledaly odpovědi a našly je.

V červenci 2010 jsem provedl tzv. Viagra test. Ze tří různých zdrojů jsem chtěl zakoupit přípravek, který je buď inzerovanou Viagrou, anebo se za ni alespoň vydává. Obchodníky jsem hledal takto:

1. Do vyhledávače Google jsem zadal slovo "Buy Viagra" a vybral si jeden z nabízených odkazů.

2. Na základě referencí z internetových diskuzí jsem provedl objednávku Viagry přímo přes specializovaný web, kde údajně služba funguje.

3. Reagoval jsem na spam ze své e-mailové schránky.

O spolupráci jsme požádali i Státní ústav pro kontrolu léčiv (SÚKL), kterému jsem poté objednané léky předal a on provedl jejich laboratorní rozbor (údaje v tabulkách pod léky).

Buy-Pharma.com: Levná náhražka ze Singapuru

Pomocí vyhledávače nacházím web Buy-pharma.com. Objednávám 3 nejlevnější balení generické Viagry, což v tomto smyslu znamená lék s názvem Vega 50. Podle návodu má obsahovat stejné složení jako originální Viagra, tj. sildenafil citráty. Z důvodu neznámého obchodníka a zvýšeného rizika volím platbu kartu Visa od mBank s nastaveným limitem pro online platby. Přesně za 7 kalendářních dnů dostávám domů balíček s obsahem 3 balení Vega 50. Z účtu mi banka strhává částku 639,29 Kč, jedno balení tedy vychází na 213 Kč (4 tablety Vega 50).

Název léku Účinná látka Deklarované množství (mg) Zjištěné množství (mg) Registrován v ČR

Země původu zásilky

Vega 50 sildenafil citrát 50 50 NE Singapur


45

Balíček ze Singapuru s lékem Vega 50

Tablety Vega 50

Goldpharma: Originální Viagra za hříšné peníze

Na web Goldpharma.com jsou v diskuzích na internetu pozitivní reference, proto mě zajímalo, jak bude vypadat objednávka, Goldpharma má výhodu i v přítomnosti češtiny. Na rozdíl od ostatních však o sobě píše, že web sám nic neprodává, ale pouze zprostředkuje kontakt mezi samotným lékařem, který vystaví lékařský předpis, lékárnou, která lék prodá a zprostředkovatelem, který lék zašle. Tím však narůstá i cena za léky, protože kromě léku a dopravy platíte cca 155 Kč za "recept". Goldpharma se liší i tím, že povinně vyžaduje vyplnit "zdravotní dotazník".

Objednal jsem 1 balení Viagry po 4 tabletách, za týden mi přišla obyčejnou poštou bez uvedení odesílatele obálka odeslaná z Řecka. Bylo v ní originální balení Viagry od farmaceutické společnosti Pfizer určené pro řecký trh včetně návodu v řečtině. Na balení byl také identifikační kód lékárny, která lék prodala. Viagra z tohoto webu byla jedinou pravou Viagrou, která přišla, cena za ni však byla nejvyšší - 1639,02 Kč.

Název léku Účinná látka Deklarované množství (mg)

Zjištěné množství (mg)

Registrován v ČR


Viagra 50 sildenafil citrát 50 50,7 ANO Řecko


46

Zásilka s originální Viagrou přišla z Řecka

Originál Viagra od firmy Pfizer

Viagra ze spamu: čínsko-ruský byznys, co vás později okrade

Posledním testem byla objednávka Viagry prostřednictvím spamu, který jsem měl v e-mailové schránce. V příloze e-mailu byl obrázek a bylo potřeba ručně přepsat url adresu do vyhledávače. Po zadání www.da85.ru jsem přesměrovaný na web údajné firmy Canadian Healthcare s doménou cheaponline-rx.com. Pro neznalé, Canadian Healthcare je podvrh virtuálního e-shopu, který působí na stovce různých domén. Ty se v čase mění, ruší, přidávají. Konečně ke dni publikace článku web cheaponline-rx.com ani da85.ru již neexistuje.

Na tento spam jsem odpověděl objednávkou:

Objednávám balení 10 tablet Viagry 50 g a k tomu mám zdarma dostat 2 tablety Viagry 100 g.


47

Po třech týdnech přichází ze Spojeného království zásilka s obsahem 10+2 tablet, ale nikoli Viagry. Zajímavá je však forma platby. Web mě ubezpečuje, že jde o zabezpečené připojení, ale ve skutečnosti zadávám číslo karty do nezabezpečeného webu na běžné doméně http. Po zadání posledního údaje se informace "někam" odesílají, opět nezabezpečenou formou. Za náhražku Viagry platím cenu 984,61 Kč (10 tablet 50g a 2 tablety 100 g).

Název léku Účinná látka Deklarované množství (mg)

Zjištěné množství (mg)

Registrován v ČR


Sildenafil 50mg sildenafil citrát 50 49,3 NE Anglie

Sildenafil 100mg sildenafil citrát 100 95,3 NE Anglie

U poslední objednávky však hned následující den přichází další novinka. V dopoledních hodinách dostávám SMS o neúspěšné autorizaci, protože platební kartě jsem obratem po objednávce snížil limit všech transakcí na nulu. Pokud bych však limity nesnížil, o peníze bych přišel. Pokus o podvodnou transakci přišel z Ukrajiny a díky spolupráci s mBank jsem zjistil, že byla provedena přes internet a na původní měnu UAH (ukrajinská hřivna).

Podvodná transakce

Datum: 8.7.2010, 09:38:34 hod. číslo autorizace: 05937241 CZK: 6695,12 Obchodník: FOP MAYMUR M.A. Město: Dněpropetrovsk Stát: Ukrajina

Objednávka Viagry ze spamu byla již od počátku riziková, proto mě pokus o podvodnou transakci nepřekvapil. Stačilo sledovat umístění serverů, které se postupně měnily, ale neopustily území Ruska a Číny.

Aktualizováno 17. 11. 2010

Dne 17. listopadu 2010 platební karta, kterou byla placena objednávka Viagry ze spamu, byla opět terčem pokusu o podvodnou transakci. V tomto případě chtěl pachatel použít kartu na stránkách pro hráče pokeru.

Hodina Popis

11:41 mBank: Zamit. autorizace 56409721: (249) DATUM PLAT. V AUTOR. PSTARS DOUGLAS. Castka: 252,58 CZK. Dostup.zust: 4500,00 CZK

11:41 mBank: Zamit. autorizace 56409721: (249) DATUM PLAT. V AUTOR. POKERSTARS.COM ONCHAN, ISLE. Castka: 252,58 CZK. Dostup.zust: 4500,00 CZK

11:41 mBank: Zamit. autorizace 56409721: (249) DATUM PLAT. V AUTOR. POKERSTARS.COM ONCHAN, ISLE. Castka: 252,58 CZK. Dostup.zust: 4500,00 CZK


48

"Spamová" zásilka ze Spojeného království

Sildenafil Citrate a další zdarma

Během objednávání přes spam se domény měnily jedna radost


49

Buy-pharma.com Goldpharma.com Cheaponline-rx.com (SPAM)

Objednáno středa 7.7.2010 středa 7.7.2010 středa 7.7.2010

Doručeno středa 14.7.2010 (7

dnů) středa 14.7.2010 pátek 24.7.2010

Objednáno online 3x Generická Viagra

Sildenafil Citrate 4x Viagra po 50 g

10x Viagra po 50 g, k tomu dárek 2x Viagra po 100 g zdarma

Obsah balíčku 3 balíčky Vega 50, v

každém 4 ks tablet po 50 mg

4x Viagra po 50 g 1 balení Sildenafil Citrate po 10

tabletách 50 mg + 2 tablety téhož přípravku po 100 mg

Výrobce HAB Pharmaceuticals & Research Limited,

Sidcul, Indie Pfizer Inc.

Akuma Drugs & Pharmaceuticals Ldt., Sidcul, Indie

Cena léků 15,90 USD 1242,48 Kč + "recepty"

154,10 Kč 35,86 USD

Poštovné 14,50 USD 218,30 Kč 10,95 USD

Celkem 30,40 USD 1 615,18 Kč 46,81 USD

Skutečně zaúčtováno 639,29 Kč 1 639,02 Kč 984,61 Kč

Údaje z banky

Název obchodníka BUYPHARMAPLOUIS GOLD PHARMA LTD IPHARM318888520787

Město Mumbai Luxembourg ?

Stát Indie Lucembursko Rusko

Údaje z pošty

Odesílatel #08-01 CitiMac, 605 Macpherson Road, Singapore 368240

neuvedený P. Rutter c/o, P. O. Box 473

Město Singapur Manchester, M16 6BB

Stát Singapur Spojené království

Nezaúčtované transakce platební kartou po objednání léků


50

Test Viagry

Léky, které mi přišly, jsem nechal podrobit laboratornímu rozboru ve Státním ústavu pro kontrolu léčiv. Složení účinného přípravku v zásadě odpovídalo inzerovanému množství. To znamená, že teoreticky by došlé tablety léku Vega, Viagra a Sildenafit Citrate byly funkční. To měl prokázat další test, kdy dva dobrovolníci s plným souhlasem a plným vědomím zkusili tablety v praxi na základě své vlastní žádosti.

První dobrovolník si vzal dvě 50mg tablety léku Vega a pustil si k nim film Terminátor 3. Subjektivní pocity nebyly žádné, záměrně nebyl vystavený sexuálnímu vzrušení. Lék samovolně bez stimulu nefungoval (to není výtka) a později ve spánku prožil klidnou noc. Druhý dobrovolník naopak problémy s erekcí měl, proto použil 50mg tabletu originální Viagry před aktem s partnerkou. Podle jeho slov lék fungoval a splnil jeho očekávání. Oba dobrovolníci však byli naprosto zdraví muži bez zdravotních problémů.

Na druhé straně vás musím od takového jednání předem odradit. Přestože složení došlých léků odpovídalo inzerovanému množství účinnému přípravku, nikdo neví, jak byly léky skladované a nakolik by byl lék sám o sobě účinný nebo zdraví škodlivý. Špatným skladováním totiž může dojít k nevratné změně účinné látky, a tím i ke škodě na zdraví.

Ach jo, další blázen…

Je rozdíl, když nakupujete na internetu přes oficiální lékárnu a na anonymních serverech? Pro koho je lék s nejasným původem nebezpečný a proč?

Ani v tomto konkrétním případě, ani v jakémkoli jiném vám nikdo nezaručí, že přípravek obsahuje pouze očekávané látky. SÚKL na základě vaší žádosti zkoumal jen obsah farmaceuticky aktivních látek, tzv. API. Ze zkušenosti regulačních autorit jsou známy případy, kdy jsou v padělku či nelegálním léčivu obvyklé látky nahrazeny non-API jinými, zásadně rizikovými látkami. Laboratorní analýza prováděná SÚKL je zaměřena hlavně na obsah účinné látky a na obsah látek, které se při výrobě léčiv používají. Není však možné vyloučit přítomnost neznámé, resp. pro léčivé přípravky nepoužívané pomocné látky. Informace ze záchytů ve světě uvádějí přítomnost např. inkoustu, který nahrazoval běžně užívané barvivo v léku Viagra. Výjimkou není ani leštidlo na parkety a podobné prostředky. Dále není vůbec zřejmé, jak byl padělek nebo nelegální lék vyroben a následně uchováván, a poté i přepravován. Domníváte se, že výhradně za podmínek správné výrobní, distribuční a lékárenské praxe? Právě dodržení požadavků na správnou výrobu a uchovávání jsou velice důležitým kritériem, které může ovlivnit kvalitu, účinnost a hlavně bezpečnost léku. Není tedy pravdou, že by užití těchto přípravků pro vás nebylo rizikové, varuje před neuváženým krokem a konzumací léků koupených přes internet Veronika Petláková z tiskového oddělení SÚKL.

Co je padělek?

Definice padělku léčivého přípravku v českém právním řádu neexistuje. Světová zdravotnická organizace definuje padělek léčiva jako přípravek, jehož identita a /nebo původ jsou úmyslně a podvodně špatně označeny. Padělky mohou obsahovat správnou nebo nesprávnou účinnou látku anebo ji neobsahovat vůbec, případně jí neobsahovat deklarované množství. Padělkem je i originální přípravek, jehož obal je falešnou napodobeninou. (WHO: Guidelines for the development of measures to combat counterfeit drugs, Ženeva 1999). Dá se také říci, že padělkem léčivého přípravku je přípravek, k němuž někde na světě existuje originál, tj. originální registrované léčivo, které je k dispozici na světovém trhu pod stejným názvem.

Ve vašem případě jsou poskytovatelé nabídek registrováni mimo území ČR. Z tohoto důvodu byla zahájena komunikace a následná spolupráce s Velkou Británií a Řeckem, odpověděla serveru Měšec.cz Petláková na dotaz, jakým způsobem probíhá kontrola a případný postih za nedovolené zacházení s léky.

Rizika

Je třeba si uvědomit celkové souvislosti, každá léčivá látka má určitou indikaci, tzn. je určena pro léčbu určité choroby, správné dávkování, nežádoucí účinky a zároveň omezení, která jsou určena zdravotním stavem pacienta nebo jinými léky, které pacient současně užívá.


51

Vhodnost léčby určitým typem léčiva, které je vázáno na lékařský předpis, je zásadně v kompetenci lékaře. Ten jediný může říci, zda je lék pro pacienta vhodný či nikoliv. Pokud bude pacient užívat padělané přípravky nebo nelegální přípravky, hrozí mu dvě velká rizika. Zdraví mu může poškodit sám padělek (v lepším případě můžete mít žaludeční problémy, v horším případě můžete skončit na jednotce intenzivní péče, např. z důvodu selhání ledvin) nebo použití přípravku, které je vzhledem k jeho zdravotnímu stavu zcela nevhodné.

Při používání řady léčivých přípravků bez dohledu lékaře existuje nebezpečí, že dojde k rozvoji nežádoucích účinků, které by za normálních okolností lékař zachytil v jejich počátečním stadiu, okamžitě přerušil užívání léku, a tak minimalizoval možné následky na zdraví pacienta. Lékař také posoudí riziko interakcí daného léčiva s léky, které již pacient užívá.

Při užívání přípravků na posílení mužské erekce (přípravky s obsahem sildenafilu, tadalafilu) je nutné vždy posoudit zdravotní stav pacienta, zvláště kardiovaskulární funkce, neboť sexuální aktivita s sebou nese jisté riziko srdečních příhod. Při používání přípravku bez dohledu lékaře, existuje nebezpečí:

• závažných kardiovaskulárních příhod včetně infarktu myokardu, nestabilní anginy pectoris, náhlé srdeční smrti, komorové arytmie, krvácení do mozku (cévní mozkové příhody), přechodných ischemických atak, vysokého a nízkého krevního tlaku, bolesti na hrudi, palpitace (bušení srdce), tachykardie (zrychlená srdeční činnost), poruchy zraku,

• poruchy zraku a případy náhlého zhoršení nebo ztráty sluchu.

Kontrola

Kontrola nabídky léčivých přípravků na českých a zahraničních stránkách je prováděna Státním ústavem pro kontrolu léčiv, případně ve spolupráci se zahraničními lékovými agenturami. Pokud má subjekt, který se dopouští nezákonné činnosti tím, že nelegálně zachází s léky:

• sídlo na území České republiky, potom porušení zákona řeší Státní ústav pro kontrolu léčiv (SÚKL), případně Policie ČR,

• sídlo mimo území České republiky, potom o porušení zákona SÚKL informuje pracovníky lékové agentury z členského státu a předá tento případ k řešení.

Postih

Zákon o léčivech stanovuje pokuty za nedovolené zacházení s léčivými přípravky. Za nedovolené zacházení s léčivými přípravky umožňuje zákon o léčivech SÚKL udělovat pokuty až ve výši 3 000 000 Kč.

V ČR zatím však neexistuje definice nelegálního zacházení s léčivými přípravky v trestním zákoně (tak jako v jiných zemích EU viz níže), která by umožnila soudům ukládat tresty ještě přísnější. Osobu, která vyrábí, distribuuje či jinak nabízí padělky nebo nelegální přípravky lze zatím stíhat podle tohoto zákona za porušení obecných pravidel, např. trestný čin "Neoprávněné podnikání" dle § 251 trestního zákona a "Porušování práv k ochranné známce a jiným značením" dle § 268 trestního zákona.

18 zemí z 27 zemí EU v rámci národního práva již přistoupila k definování skutkové podstaty trestného činu nelegální výroby a produkce léčivého přípravku a jiného nelegálního nakládání s léčivými přípravky. V současné chvíli je však připravena novela trestního zákona, která by již zahrnovala i tuto oblast. (Zdroj: Vyjádření SÚKL pro server Měšec.cz)


52

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Podnikatel.cz v roce 2010

Elektronické občanky se odsouvají na rok 2012

10.2.2010

Datové schránky fungují v ostrém provozu již přes tři měsíce, avšak zavádění dalších prvků elektronické komunikace nabírá zpoždění. Ostré spuštění nových základních registrů a elektronických občanských průkazů se odsunuje až na rok 2012.

Poslanecká sněmovna dnes ukázala, že na některých věcech se dohodnout dokáže, když posunula o jeden rok ostré spuštění čtyř základních registrů a vydávání elektronických občanských průkazů. Návrh poslanci konzultovali s ministerstvem vnitra, které odložení jednoznačně podpořilo. Obyvatelé by se tak měli dočkat elektronických průkazů v lednu roku 2012 a základních registrů v červenci téhož roku.

"Projekt základních registrů je složitý technický mechanismus, kdy jednotlivé kroky na sebe musí navazovat a ukazuje se, že původně stanovená lhůta jednoho roku k celé realizaci nestačí. Novela obsahuje i zmocnění pro vládu stanovit nařízením bližší technický harmonogram a způsob přechodu na nový systém," doplnil Martin Pecina, ministr vnitra.

Čtyři základní registry:

Registr obyvatel, ve kterém se povedou referenční údaje o občanech ČR a o cizincích s dlouhodobým nebo trvalým pobytem na území ČR.

Registr osob, předložený ministrem vnitra a předsedou Českého statistického úřadu, bude obsahovat údaje o právnických osobách, podnikajících fyzických osobách a orgánech veřejné moci. Návrh zákona rovněž upravuje problematiku identifikačního čísla osoby a identifikačního čísla provozovny. Správcem registru bude Český statistický úřad.

Registr práv a povinností, který upravuje vedení referenčních údajů o agendách orgánů veřejné moci a dále reguluje vedení referenčních údajů o některých právech a povinnostech fyzických a právnických osob a vedení oprávnění k přístupu k datům vedených v základních registrech nebo v agendových informačních systémech.

Registr územní identifikace, adres a nemovitostí, předložený ministrem vnitra a předsedou Českého úřadu zeměměřického a katastrálního, povede referenční údaje o územních prvcích a referenční údaje o územně evidenčních jednotkách. Správcem tohoto registru bude Český úřad zeměměřický a katastrální.

Kvůli posunutí ostrého provozu základních registrů se musel odložit též termín vydávání elektronických občanských průkazů. Podle ministerstva vnitra existuje riziko, že systém základních registrů, který bude fungovat v testovacím provozu, nezaručí plné využití elektronické identifikace a neomezený přístup k údajům vedeným v informačních systémech.

Elektronický občanský průkaz bude mít velikost platební karty. Jeho bezpečnost bude posílena zavedením tzv. bezpečnostního osobního kódu pro ověření totožnosti držitele dokladu. Tedy něco jako PIN u platebních karet. Omezí se tím možnost zneužití odcizených a ztracených občanských průkazů. Za poplatek bude rovněž možné získat nadstandardní občanský průkaz s elektronickým čipem, kde budou zapsány další údaje, jako je například elektronický podpis.

"Bez fungování systému základních registrů ztrácejí elektronicky čitelné občanské průkazy svou stěžejní přednost – možnost komunikace s informačními systémy veřejné správy," vysvětlil na závěr Martin Pecina. Čtěte více: Čeká nás elektronická komunikace a nové základní registry.


53

Většina firem sleduje aktivity svých zaměstnanců na internetu

2.2.2010

Dopad hospodářské krize na oblast informační bezpečnosti bude podle firem nulový. Společnosti se však obávají aktivit svých zaměstnanců na internetu, proto je monitorují.

České firmy nezaostávají v nasazování technologických řešení. Jak vyplynulo z posledního průzkumu stavu informační bezpečnosti, který dnes prezentovala společnost Ernst & Young, za uplynulých 10 let se řešení v oblasti informační bezpečnosti dostala na úroveň zemí v západní Evropě. 69 % respondentů se navíc domnívá, že dopad ekonomické krize na oblast informační bezpečnosti bude nulový nebo dokonce pozitivní. I přesto hospodářská krize ukončila období investice do rozvoje nových implementací IT.

Jak dále vyplývá z průzkumu, pro polovinu společností je z hlediska bezpečnosti v současnosti největší hrozbou virtualizace serverů. "Nastupujícím „hitem“ se navíc stávají přenosná datová média, která 40 % respondentů považuje za nejvyšší hrozbu pro bezpečnost a chystá se této problematice věnovat v následujícím roce zvýšenou pozornost," upozorňuje Jaroslav Šmíd, náměstek ředitele Národního bezpečnostního úřadu, jenž se na průzkumu rovněž podílel.

Zaměstnanci pod lupou

Přenosová datová média jsou ostatně ožehavým problémem především u zaměstnanců, jejichž aktivity na internetu v Česku monitorují více než tři čtvrtiny firem (77 % respondentů). A dopad zákona o ochraně osobních údajů na informační bezpečnost není podle nich žádný nebo jen malý.

"Zaměstnanci firem neumějí správně identifikovat nebezpečí, kterým jsou data vystavena a ohrožují tak bezprostředně informační bezpečnost firmy např. instalováním nepovoleného softwaru," připomíná Jan Fanta, partner oddělení podnikového poradenství a řízení rizik společnosti Ernst & Young.

Tuto překážku řada firem vnímá kritičtěji než finanční náročnost bezpečnostních řešení. "Bez dobře propracovaných a odzkoušených postupů existuje značné riziko, že incidenty nebudou odhaleny včas. Zároveň pak reakce na ně jsou v takové situaci v nejlepším případě zdařilou improvizací, která může vlivem spěchu, stresu a nedostatečné analýzy přinést více škody než užitku," komentuje tuto situaci Lukáš Mikeska, senior manažer IT poradenství a řízení technologických rizik v Ernst & Young. Čtěte více: Letiště Praha sníží náklady na IT o 75 %, spustilo dvě nová datová centra.

Naštěstí již dvě třetiny společností mají definovanou bezpečnostní politiku. Analýzu rizik jako jeden ze základních nástrojů pro efektivní a ekonomické řešení bezpečnostní agendy provedlo nebo provádí již 84 % společností. Téměř dvě třetiny společností nemají dosud dostatečně zpracované postupy reakce na bezpečnostní incidenty.

Firmy celosvětově se bojí přechodu na novou verzi softwaru

Firmy kromě instalace nepovoleného softwaru ze strany zaměstnanců vnímají jako bezpečnostní riziko přechod na novou verzi softwaru, a to nejen u nás. Vyplynulo to z již prosincového výzkumu společnosti Symantec. Ta zároveň upřesnila, že tyto obavy umocňují negativní zprávy z médií: "Je zajímavé vidět, jak se v těchto rozdílech a délce odložení investice odrážejí kulturní rozdíly. Čtvrtina evropských podniků (27 %) uvedla, že upgrade odloží nejméně o dalších 12 měsíců. Ale německé společnosti jsou optimističtější a odložení investice plánuje méně než pětina (19 %) z nich," řekl již dříve Robert Mol, Principal Product Marketing Manager EMEA společnosti Symantec. Čtěte více: Podpora technologií a vzdělávání kraluje dotacím

Další zjištění průzkumu stavu informační bezpečnosti

Více než tři čtvrtiny společností monitorují aktivity svých zaměstnanců na internetu a 58 % používání internetu omezuje. „Liberálních“ zaměstnavatelů, kteří se nesnaží omezovat a monitorovat své pracovníky při používání internetu, je méně než desetina. U téměř pětiny společností tráví zaměstnanci na internetu více než 30 minut denně mimopracovními aktivitami.


54

Největší význam informační bezpečnosti přikládají firmy v oblasti plynárenství a ropného průmyslu a společnosti působící v bankovním sektoru a v oblasti finančnictví. Na samém konci žebříčku je naopak chemický a elektrotechnický průmysl.

SPAM a výpadek proudu jsou stále nejčastěji zaznamenané bezpečnostní incidenty.

Klesá podíl respondentů, kteří hodnotí vlastní úroveň řešení informační bezpečnosti jako nízkou a ubývá společností, kde není za řešení informační bezpečnosti jasně definována ničí zodpovědnost. Informační bezpečnost je u naprosté většiny společností začleněna do úseků IS/IT.

Největší překážkou rychlejšího prosazování informační bezpečnosti je obecně nízké bezpečnostní povědomí. Roste podíl společností, které tuto překážku uvádějí na prvním místě, před finanční náročností. Přitom funkční program pro zvyšování povědomí má zavedeno pouze 21 % organizací. Čtyři pětiny společností nemají na informační bezpečnost vyčleněn zvláštní rozpočet, přičemž výdaje na tuto oblast tvoří nejčastěji 1-5 % celkového rozpočtu na IS/IT. Téměř dvě třetiny organizací neprovádějí analýzu návratnosti investic do bezpečnostních projektů.

U 63 % společností je informační bezpečnost řešena ve spolupráci s externími firmami.

66 % procent respondentů má, nebo plánuje posoudit oblasti informační bezpečnosti externím subjektem. Nejčastěji outsourcovanou částí IT je internetové připojení.

Pouze 5 % společností nevyužívá a ani neplánuje v budoucnu využívat elektronický podpis. 14 % organizací není schopno určit, jaké výhody používání elektronického podpisu přináší.

74% společností hodnotí úroveň informační bezpečnosti u nás jako stejnou nebo lepší ve vztahu k západoevropským zemím.

Pozn.

Průzkum stavu informační bezpečnosti v České republice 2009 provedly společnost Ernst & Young, časopis DSM – data security management a Národní bezpečnostní úřad v období od dubna do července 2009. Zaměřil se na reprezentativní vzorek středních a velkých společností (nad 100 zaměstnanců) v České republice. Celkem 280 respondentů v anonymním dotazníku odpovědělo na 63 podrobných otázek.

6 pravidel a další rady pro výběr informačních technologií pro firmu

18.10.2010

Informační technologie jsou dnes základem prakticky každé prosperující firmy. Čím se však obecně řídit při jejich výběru? Přečtěte si několik užitečných rad.

Velká řada podnikatelů si uvědomuje, že bez informačních a komunikačních prostředků efektivně podnikat nelze. Technologie jsou pro podnikání nesmírně důležité, neboť umožňují komunikovat s okolím – se zákazníky, s obchodními partnery, ale i s bankou a dalšími institucemi a úřady. Zvláště informační technologie zlevňují a usnadňují komunikaci a sdílení informací, umožňují relativně snadnějším způsobem prezentovat svou společnost a své výrobky či služby, lépe navazovat vztahy a komunikovat s novými zákazníky a obchodními partnery a jednoduše zefektivňují práci celé firmy.

Související obsah

Zákony: Zákoník práce

Smlouvy: Pracovní smlouva

Formuláře: Daň z příjmů právnických osob

Ne však všechny komunikační a informační systémy využije každý podnikatel. Záleží na mnoha faktorech, mezi které patří např.:

velikost podniku a jeho náročnost na informační a komunikační prostředky (např. z hlediska počtu zaměstnanců a jejich pracovních činností),


55

regionální uspořádání společnosti – vyšší nároky zřejmě bude mít firma s mnoha pobočkami po celé zemi či Evropě apod. oproti firmě, která provozuje např. pouze jednu pobočku, zaměření společnosti – společnost operující v oblasti informačních technologií bude mít pravděpodobně nároky vyšší než společnost provozující např. rychlé občerstvení, a další.

Informační a komunikační prostředky si firmy zajišťují buď samy (typické spíše pro velké společnosti), nebo externě, tzv. outsourcing (typické pro malé a střední firmy). Pokud podnikatel chce, aby mu informační a komunikační systém fungoval efektivně, nesmí být při jeho vývoji a implementaci zanedbaná žádná z jeho částí, ať už jde o hardware, software, lidskou složku, která obsluhuje informační a komunikační prostředky (správce) nebo která je uživatelem, nebo o soubor nařízení a pravidel, která definují podmínky využívání informačních a komunikačních prostředků (např. i kvůli zamezení nelegálního softwaru) Čtěte více: Máte nelegální software? Může vás to přijít draho.

6 pravidel pro výběr informačního systému

Na informační a komunikační systémy jsou kladeny určité požadavky. Mezi ty zřejmě nejzákladnější lze zařadit:

• bezpečnost a ochrana informací, ať už před viry nebo zneužitím neoprávněných osob,

• funkčnost a rychlost,

• zálohování a archivace dat,

• ochrana proti výpadku proudu,

• spolehlivost,

• ekonomická efektivnost.

Pokud se podnikatel nerozhodne, že nákup informačního vybavení svěří kompletně externí firmě, má možnost nakupovat v kamenných obchodech nebo na internetu, a to buď v takových, kde je velký výběr značek, nebo u autorizovaných prodejců vždy jen konkrétní značky. V případě velkého výběru je výhodou možnost porovnat parametry rozličných výrobků i ceny, na internetu mohou být užitečné i uživatelské diskuse. Čtěte více: Než si do firmy pustíte internet, vyzbrojte se!

Jak na outsourcing IT

Na českém trhu existuje řada specializovaných firem, které dodávají podnikatelům a firmám kompletní IT řešení na míru. Při výběru dodavatele IT služeb je dobré oslovit s poptávkou více společností a porovnat jak služby, tak účtované ceny.

Společnost, která se kompletně postará o IT ve firmě, poskytuje:

hardware i software, prokázat se může spoluprací s renomovanými společnostmi zaměřený jak na hardware, tak software - dodávky, záruční a pozáruční servis správu sítě proškolení zaměstnanců klienta kromě kontinuální správy také možnost řešení akutních problémů klienta (helpdesk, hotline)

Související obsah:

Podnikatelé mohou nyní snadněji poskytovat služby i v zahraničí

Jak ve firmě archivovat doklady? I po letech musí být čitelné

Umělecká řemesla se vrací na výsluní, napomáhá tomu prodej po internetu

Důležité je seznámit se také se systémem, jakým si dodavatel své služby účtuje. Může se jednat o stanovený paušál, který obsahuje určité pravidelné služby, o hodinovou sazbu, kterou si dodavatel za práci účtuje apod. Každopádně i přesné vymezení plateb a služeb je nutné ukotvit ve smlouvě.

Přečtěte si další tutoriály ze sekce Rozjezd

Start podnikání

Potřebujete poradit s rozjezdem vašeho byznysu? Přečtěte si návody, kdy začít podnikat, jak vybrat tu správnou právní formu vašeho podnikání a také jak sestavit podnikatelský plán.


56

Vedlejší činnost

Kdy můžete mít podnikání jako vedlejšák? Jak začít podnikat při zaměstnání, studiu či ve starobním důchodu a jak na související pojištění? Čtěte návody pro vedlejší činnost.

Marketing

Chcete svoji firmu lépe zviditelnit? Naučte se, jak vnímat potřeby svých zákazníků, jak si stanovit svoji cílovou skupinu, jak si najít svůj tržní koutek, nebo jak si vyrobit například firemní logo.

Manažer

Každý podnikatel je zároveň manažerem. Naučte se, jak ušetřit kvalitním plánováním, outsourcingem. Zároveň se nechte inspirovat, jak si dobře naplánovat svůj čas.

Bez kvalitního zboží a služeb důvěryhodný e-shop neuděláte

11.1.2011

Důvěryhodný internetový obchod vznikne jedině tak, že bude dostatečně dlouho a úspěšně fungovat a uspokojovat potřeby svých zákazníků. Co však lze udělat proto, aby váš internetový obchod přesvědčil zákazníky ke koupi?

Stále více lidí nakupuje na internetu. A nejenom před Vánoci, které nás nedávno minuly, ale kdykoli během roku. Počet internetových obchodů díky tomu stoupá, vedle velkých stálic vznikají neustále další a další e-shopy s různým zbožím, z velké části i proto, že je jednoduché si obchod založit a pak jej provozovat.

Rozmach online nakupování s sebou bohužel přináší nežádoucí jevy. Podvodníci, kteří parazitovali na důvěře spotřebitelů, se velmi viditelně objevili právě před loňskými Vánocemi. Nejenom, že okrádají nakupující, ale současně nabourávají důvěru ostatních uživatelů k obchodování na internetu a k internetovým obchodům. Obětí tohoto nabourávání jsou zcela jistě především provozovatelé malých e-shopů. Výskyt podvodníků totiž převádí jejich potenciální zákazníky do náruče několika největších hráčů, kteří mohou budovat své jméno na svém významu.

Za těchto okolností stojí za to uvažovat, co můžeme udělat pro to, aby náš obchod působil důvěryhodněji, a spíše zákazníky přesvědčil k nákupu i v časech, kdy si online vybírají mnohem kritičtěji, než v počátcích tohoto odvětví obchodování. Podívejme se nyní na několik možností, které nám k tomu pomohou. Nejprve je ale potřeba říct zásadní věc: důvěryhodný internetový obchod doopravdy vznikne jedině tak, že bude vstřícný ke svým klientům, bude poskytovat kvalitní služby a bude dělat to, co od něj zákazníci očekávají. Vše ostatní jsou pouze nástroje, kterými pomůžeme své vizáži, ne podstatě služeb. Čtěte také: Pozor na platby předem, s podvodnými e-shopy se roztrhl pytel

Buďte sví

Moderní a hezký design je jistě vizitkou solidně vypadajícího e-shopu. Má-li přesvědčit zákazníky, kteří se již naučili nakupovat online a procházejí hodně obchodů, je dobré, aby nebyl založen na některé z tisíců dostupných vizuálních šablon, ale aby byl originální. Použití prefabrikovaného vzhledu sráží důvěryhodnost obchodu, zvláště pokud zákazníci tentýž vzhled vidí na různých místech.

Totéž, co funguje u vizuální šablony obchodu, platí také pro fotografie a popisy zboží v něm. Zvlášť u obchodů nabízejících spotřební zboží bychom se měli snažit vždy nad rámec toho, co ke svému zboží dodává výrobce nebo velkoobchod, svůj e-shop doplnit o vlastní fotografie a popisy zboží. Standardní popisy a standardní fotografie, které může zákazník vidět kdekoli jinde, působí dojmem rychlé (a tedy jednoduché) práce lidí, kteří se o svůj obchod příliš nestarají. Jsou přijatelné právě u velkých obchodů, nabízejících řádově tisíce katalogových položek. Ne však u malého obchodu, který by se svému zboží měl věnovat individuálně. Čtěte také: E-shopaři, nejde jen o nejnižší cenu, ale i o kvalitu logistiky

DANE.PODNIKATEL.CZ: daňové formuláře ke stažení, návody pro daňové přiznání, online daňová poradna, daňová kalkulačka pro OSVČ, změny 2011


57

Starejte se

Individuální předprodejní péče o zákazníky by neměla být pouhou iluzí. Pokud jsme schopni zákazníkovi, který se rozhoduje pro naše zboží, kvalifikovaně poradit, výrazně stoupne jeho důvěra v nás jako odborníky, kteří vědí, co prodávají a nejde jim jen o zisk. V tomto ohledu se asi nejvíce osvědčují diskusní vlákna pod katalogovými stránkami jednotlivých produktů, kde mohou návštěvníci pokládat otázky a personál obchodu jim odpovídá. Stojí to sice čas i prostředky, ale výsledkem je, že po čase je u každého produktu odpovězeno na nejčastější otázky a další reakce již nejsou potřeba. Důležité je ale důsledně oddělit fórum určené k poprodejnímu servisu s předprodejní podporou. Pokud by totiž klienti začali na katalogovou stránku příliš rozšiřovat své stesky s problémovými kusy, prodeji by to příliš nepomohlo.

U elektronických (a vůbec všech) obchodů platí zásada, že i když jsou nespokojení zákazníci v naprosté menšině, jejich hlas je velice silný. Proto bychom se každého výrazně nespokojeného klienta měli snažit odbavit tak, aby odcházel spokojen; Dokonce, i kdyby to přinášelo vícenáklady. Je totiž možné, že se od něj dočkáme pozitivní recenze a nikoli palby kritiky, která odradí ostatní. Nelze přitom spoléhat na „zdravý rozum“ většiny nakupujících, lidé například na webových stránkách či ve fórech vstřebávají informace velice rychle a nejsou ochotni moc názory na základě nich získané měnit. Čtěte také: Zákazník si nechal zaslat zboží a nevyzvedl ho? Hoďte to za hlavu.

Pochlubte se

Sdělit, kolik zákazníků jste již úspěšně obsloužili, není rozhodně ostuda. A nemusí to být nutně milionové číslo. Návštěvníci e-shopu jsou často schopni rozlišit jeho reálný význam a údaj v hodnotě tisíců, navíc postupně stoupající, má svůj význam stejně dobře, jak obří cifra u těch největších. Není také špatné nabídnout klientům možnost zpětné vazby výměnou za drobnou výhodu. Uživatelské recenze nabízených produktů znamenají, že zákazníci jsou ochotni na vaše stránky se vracet. I to posílí váš obraz v očích těch, kteří se pro nákup ještě nerozhodli.

Stejně tak důležité jsou recenze vašeho e-shopu na jiných serverech. Není ale správné psát si je sám – a není ideální, když jsou všechny růžové jako šaty panenky Barbie. Určitá pestrost názorů je ku prospěchu, dokonce, i když jsou některé z nich kritické. Jednostranné názory působí uměle a zaberou nejvýše jednou.

Důvěryhodný obchod by měl být součástí většího celku, který jeho důvěryhodnost garantuje. V České republice je to například Asociace pro elektronickou komerci, našli bychom ale i menší celky. Rozhodně není dobrý nápad snažit se zajistit důvěryhodnost tím, že si vyrobíte „vlastní“ certifikát, nebo dokonce organizaci. Čtěte také: Vlastníte e-shop? Využijte nabídky srovnávačů zboží, můžete prodat více.

Buďte střídmí

Důvěryhodný elektronický obchod tvoří řada faktorů. Tím, že na svůj server nainstalujete aplikaci pro e-shop, nahrajete do ní zboží a nasadíte nejnižší ceny, ale důvěryhodnost určitě nezískáte. Nejlepší je kombinovat různé faktory, možnosti, a současně zůstat střídmým. Mnoho pozlátka na lidi působí, ale jen po omezenou dobu. Myslíte-li to se svým e-stopem vážně, měli byste vidět daleko za ni.

Jak proměnit fanoušky na Facebooku ve své zákazníky?

17.12.2010

Má-li vaše firma prezentaci na Facebooku či na Twitteru, pravděpodobně jste již zjistili, že není obtížné získat množství fanoušků či následovatelů, ale zato je velmi nesnadné je přimět k nákupu. Jak přesvědčit fanoušky, aby se stali zákazníky?

Nějaká forma prezentace na sociálních sítích je pro firmu podnikající v oblasti nabídky zboží nebo služeb koncovým spotřebitelům v současnosti již nutnost. Mnoho firem se může pyšnit stránkami, skupinami či Twitter profily, které sleduje, respektive které se „líbí“ úctyhodnému počtu uživatelů sociální sítě. Realita je ale ve skutečnosti často taková, že tato masa virtuálních fanoušků nenachází patřičnou odezvu v objemu prodaného zboží nebo služeb.


58

Tento fakt je příčinou, proč jsou někteří podnikatelé z úspěšnosti své sociální prezentace trochu frustrováni. Co udělat proto, abyste nebyli i vy? Čtěte také: Jak vytvořit efektivní reklamu na Facebooku? Poradíme vám.

Co chcete?

V prvé řadě je potřeba si položit otázku, co od prezentace na sociální síti vlastně očekáváme. Získání zákazníků může být jedním z cílů, nikoli však cílem jediným. Mezi další patří například udržení komunikace se stávajícími klienty, zvýšení obecného povědomí o značce, nebo krizová komunikace s veřejností po mediálním problému. Každému z těchto cílů se musí přizpůsobovat jak samotná prezentace v prostředí sociální sítě, tak i to, jak se zde chováme. Je-li cílem získat nové zákazníky a podpořit tak prodej výrobku či služby, musíme se mu přizpůsobit již předtím, než se do tvorby prezentace pustíme. Nestane-li se tak, můžeme ji začít přizpůsobovat i později. Důležité ovšem je, abychom měli jasnou vizi.

Jak na to?

Základem úspěchu každé prezentace na sociální síti je, pokud jejím prostřednictvím komunikujeme pravidelně a obousměrně. Sociální sítě jsou založeny na zpětné vazbě uživatelů. „Vysílat“ do nich tiskové zprávy rozhodně nestačí a chceme-li tak získat nové zákazníky, nestačí to tím spíše. Prvním doporučením tedy je být aktivní a informace fanouškům nejenom sdělovat, ale s nimi o nich i diskutovat. Časté aktualizace stránek, ve kterých je zpětná vazba navíc vedou k tomu, že se jejich fanouškům častěji zobrazují. Čím více tedy budete komunikovat, tím více budete potenciálním klientům „na očích“.

Je velice snadné stát se fanouškem prezentace firmy nebo produktu (stačí stisknout jedno tlačítko), ale o to těžší je něco si koupit online či dokonce zavítat do kamenné provozovny. Své fanoušky k tomu ale můžeme poměrně účinně motivovat. Nejjednodušší cestou je vytvořit speciální akce, které jsou svázány se sociální sítí. K účasti na akci může zákazníka kvalifikovat například znalost kódu ze stránky (pozor na pravidla Facebooku, zobrazení by nemělo být podmíněno tím, že uživatel je fanoušek) nebo hesla šířeného po Twitteru. Je dobré dát jasně najevo, že srovnatelná akce jinde neplatí. To dá fanouškům určitý pocit exkluzivity a motivuje je to k nákupu. Čtěte také: Vytváříme stránky pro Facebook: Využijte pomůcky pro navýšení počtu fanoušků nebo návštěvnosti

U časově omezených nabídek svázaných se sociální sítí bychom měli fanoušky pravidelně upozorňovat na blížící se konec nabídky. Pozor ale na to, aby naše upozorňování nebylo příliš časté, mohlo by mít opačný účinek. Ideální je, dokážeme-li nabídnout fanouškům dvojitou výhodu. Jednu v případě, že nakoupí na základě informací z naší prezentace na Facebooku, druhou, když se pak tamtéž podělí o svou radost z nákupu nebo pořízení služby. V takovém případě se totiž budou nejen ochotněji vracet na naši prezentaci, ale také šířit informace dalším uživatelům a tím rozšiřovat naši uživatelskou základnu.

Pokud jste tak doposud neučinili, je dobrý nápad uvažovat o integraci stránky na Facebooku a tradiční webové prezentace. Jednou možností jsou vzájemné odkazy na stránkách respektive FB tlačítko na webu, tím ale možnosti takové prezentace nekončí. Na web je možné umístit tzv. likebox, který přímo propojuje komunitu na Facebooku s návštěvníky webu a tím posiluje efektivitu obojího. Pozor ale, ne všem firmám se likebox hodí a u určitých typů zboží a služeb (za něž se fanoušci nechtějí ostatním moc chlubit) může působit i obráceně. Čtěte také: Vytváříme stránky pro Facebook: Jak si vytvořit vlastní záložky a zapamatovatelnou adresu

U firem, které prodávají zboží s vyšší přidanou hodnotou, je možné, a v praxi využitelné používat sociální sítě jako nástroj přímého marketingu. Jeho princip v tomto případě spočívá v tom, že bezprostředně oslovíme konkrétního fanouška a nabídneme mu exkluzivní osobní nabídku. V této oblasti existuje poměrně veliký doposud nevyužitý prostor.

Ostatní firmy, jíž se nevyplatí s nabídkami oslovovat konkrétní uživatele, protože jejich zboží je příliš „obyčejné“ mohou přinejmenším podporovat diskuzi fanoušků a pravidelně do ní přispívat upozorněními na své akce. Je to minimum, které lze udělat, avšak je to minimum účinné. Čtěte také: Vytváříme stránky pro Facebook: Jak přidat správce a novou aplikaci.


59

Nebojte se

Udělat z fanoušků zákazníky není snadné, ale je to možné. Dobře zorganizovaná soutěž (Facebook nedávno rozvolnil podmínky pro jejich organizaci) přiláká mnoho uživatelů sociální sítě a část z nich může přimět k nákupu. Aktivní komunikace a kreativita je ale základem. Cestou k úspěchu je v každém případě se nebát a na sociálních sítích se prosazovat, ne zde pouze „být“.

Jakých přehmatů se při psaní firemního blogu vyvarovat? Poradíme vám

29.11.2010

Jestliže chcete mít úspěšný firemní blog, zapomeňte na něj jako na místo pro přímý marketing. Tiskové zprávy na blog prostě nepatří. Pište naopak neformálně, nebojte se diskuze a pravidelně přispívejte.

Přestože sociální sítě jako Facebook či Twitter do velké míry převzaly jejich funkci, do starého železa rozhodně nepatří. Řeč je samozřejmě o blozích, které mají stále co nabídnout, a to i firmám. Oproti Facebooku a Twitteru mají nezanedbatelnou výhodu v tom, že umožňuji zveřejnit delší sdělení, kterým navíc nikoho nespamujete a neotravujete, pokud jej nechce číst. Abyste se ale se svým firemní blogem slavili úspěch, měli byste se držet několika pravidel.

Především si uvědomte, že blog nemá být místem, kde zveřejňujete tiskové zprávy, či jen vychvalujete vaši společnost. Blog má být místem, které umožní nahlédnout pod pokličku, přinést neveřejné informace ze života firmy či vzdělávat čtenáře. Nesnažte na něm působit formálně a uměle, základ tvoří přirozenost a osobní přístup k návštěvníkům blogu. Nebojte se na blogu diskutovat a polemizovat. Dobře vedený webový zápisník vám pomůže vytvořit základnu vracejících se fanoušků (a potenciálních zákazníků nebo zaměstnanců). Čtěte také: Naučte se, jak zviditelnit svůj byznys zadarmo.

Má pro mě firemní blog smysl?

Podnikatelé si mnohdy kladou otázku, zda pro ně má blog má význam. Stejně jako u firemních profilů na sociálních sítích platí, že limity týkající se velikosti firmy nebo oboru podnikání v podstatě neexistují. Blog může mít význam pro každého podnikatele, pro korporaci i pro OSVČ. Některé firmy se z blogů přeorientovaly pouze na Facebook a Twitter. Klasický blog se však více hodí pro delší sdělení, navíc vašimi příspěvky nikoho nespamuje.

Pokud se podnikatel rozhoduje, zda blog vést, měl by se nejprve zamyslet nad několika otázkami: Pro koho jej chci psát? Bude dotyčnou cílovou skupinu můj blog zajímat? Čte vůbec má cílová skupina blogy? Jestliže ne, může je můj blog ke čtení internetových zápisníků přivést? "Pokud ani tato odpověď nezní ano, pak pro vás blog bude zřejmě nadbytečnou ozdobou," domnívá se Štěpán Neubauer, account manager společnosti Ewing PR.

Když přemýšlíte nad cílovou skupinou, připadají v úvahu v případě blogů v podstatě dvě, zaměstnanci a veřejnost. Intranety a interní firemní blogy pro zaměstnance se hodí hlavně pro velké firmy, a proto se v následujícím textu zaměříme hlavně na blogy pro veřejnost. Řada pravidel nicméně platí pro obě skupiny webových zápisníků a některé firmy také obě formy úspěšně spojují a kombinují. Čtěte také: Nové zákazníky hledejte také na Facebooku. Poradíme, jak na to.

Nepište hlavně tiskové zprávy, buďte neformální

Základním smyslem komunikace skrze firemní blogy je ukázat veřejnosti také osobní přístup, lidskou tvář firmy a vytvořit kolem nich věrnou komunitu. Zatímco webové stránky či tiskové zprávy vyznívají zpravidla odměřeně a neosobitě, což ovšem není špatně, blog by působit přesně naopak. Založte proto svůj webový zápisník na osobním přístupu ke čtenářům, mluvte jazykem vaší cílové skupiny a nepůsobte formálně. “Konzervativní finanční instituce zřejmě nebude chtít mluvit jazykem teenagerů, což zase může mít smysl, pokud jste vycházející popová prskavka,” říká Štěpán Neubauer.


60

Firmy dělají někdy velkou chybu v tom, že blog využívají pouze ke zveřejňování tiskových zpráv a vnitropodnikových předpisů. Takový zápisník však nemá význam a pravidelné a věrné čtenáře vám nepřinese. Blog nemá sloužit jako místo vaší reklamy, zaměřte se na informace, které se čtenář oficiální cestou nemůže dozvědět, na zajímavosti ze života firmy, nechte je nahlédnout pod pokličku vašeho fungování. Pište o novinkách ve vašem oboru, vzdělávejte své čtenáře a raďte jim. Musíte prostě vytvořit obsah, který poskytne vašim čtenářů přidanou hodnotu, než kterou nabízí internetové stránky a vaše “oficiální” výstupy. Psát se dá prostě o čemkoli, co zaujme vaši cílovou skupinu. Čtěte také: Sociální sítě ušité na míru firmám? Skvělý podnikatelský záměr

Dobře vedený blog vám navíc může pomoci i v dalších oblastech. "Blog můžete použít v oblasti lidských zdrojů, když se na blogu píše, jak úžasné a zábavné je ve vaší firmě pracovat nebo ho lze použít jako nástroj virálního marketingu, pokud si lidé na blogu přečtou o hypernovince měnící svět, která bude za měsíc na trhu," vysvětlil pro server Podnikatel.cz Jan Janča, obchodní ředitel internetové agentury Cognito.cz.

Diskutujte a pravidelně blog aktualizujte

Nedílnou součásti blogu by měla být též diskuze. Rozhodněte ji na svém firemním blogu umožněte. Klidně v textu vyzývejte k reakcím, pokládejte otázky, a když se někdo chytne, aktivně a rychle odpovídejte. Nemalé množství čtenářů pak může váš blog navštěvovat díky zajímavé debatě pod příspěvky, proto se tedy názorů neobávejte. Reagujte vždy slušně a věcně a rozhodně nereagujte bez rozmyslu i na sebevětší kritiku. Osobní útoky přecházejte a neoplácejte stejnou mincí.

Při vedení blogu dále dbejte na to, abyste jej často aktualizovali, minimálně alespoň jednou do týdne. "Blog aktualizovaný jednou za kvartál v podstatě nemá smysl," potvrzuje Jan Janča, podle kterého je nejlepší, když jej vedou spokojení, loajální a nadšení zaměstnanci. Lidé podle odborníků totiž mají k informacím od “obyčejných” zaměstnanců větší důvěru než k ředitelům a dalším velkým “šajbám”. Jak poznamenává americký bloger Dave Kellog, který v roce 2009 obdržel cenu za nejlepší firemní blog, vynikající firemní blogy jsou ve skutečnosti blogy horlivých blogerů, kteří náhodou v dané firmě pracují. Čtěte také: Udělejte si ze sebe legraci, dejte to na YouTube a máte reklamu, která se šíří jako virus.

Rady, jak psát firemní blog

• Pište neformálně

• Nedělejte si na něm přímou reklamu

• Pište o trendech v oboru, dávejte info za zákulisí, vzdělávejte

• Mluvte jazykem vaší cílové skupiny

• Snažte se vyvolat reakce

• Diskutujte se čtenáři

• Pravidelně blog aktualizujte

Jak jsou na tom s blogy české firmy?

Inspiraci mohou podnikatelé též čerpat od velkých tuzemských firem, které nějakou formu blogu využívají. Například společnost ČEZ provozuje klasický blog přístupný všem uživatelům internetu. Blog ČEZu funguje od července roku 2008 a celkově ho navštívilo přes 75 tisíc čtenářů. "Blog jsme původně zakládali spíše jako testovací nástroj, a to pro komunikaci techničtějších témat, které se zdály příliš odborné pro širší publikum. Na blogu se snažíme rozvíjet aktuální témata, často nabízet i jiné úhly pohledu a vybízet čtenáře ke sdělování jejich názorů," uvedl serveru Podnikatel.cz Martin Schreier, specialista web editor ve společnosti ČEZ.

Ze 45 příspěvků, které na něm ČEZ za dva roky vyprodukoval, slavily největší úspěch „Jak se krade elektřina v Česku“, „Energetikova setkání s UFO“ a „Náš pohled na fotovoltaický boom“. Podle Martina Schreiera to ukazuje, že energetika propojená s aktuální událostí nebo tématem se může zajímavou i pro laiky a širší veřejnost.


61

Ne všechny firmy však blogerský svět okouzlil. Třeba Česká průmyslová zdravotní pojišťovna (ČPZP) svůj firemní blog pro veřejnost o zdraví a zdravotnictví zrušila, jelikož byl o něj mezi uživateli malý zájem. Jiné společnosti pak blog nepoužívají směrem k veřejnosti, nýbrž slouží jim jako neveřejný komunikační nástroj s vlastními zaměstnanci. Mezi tyto instituce se řadí některé velké banky.

Konkrétně Česká spořitelna využívá interní blogy od jara loňského roku. "V současné chvíli bloguje pět kolegů na různá témata. Některé blogy se zabývají firemním děním, např. na téma firemní kultury či etiky, a jiné jsou blogy osobní, kde kolegové komentují aktuální dění ať už ve spořitelně či mimo ni," doplnil serveru Podnikatel.cz Kristýna Havligerová. Podobný systém mají i v Raiffeisenbank, kde kromě interního blogu navíc pravidelně pořádají chaty s generálním ředitelem či jinými vedoucími pracovníky banky. "V nich se mohou zaměstnanci anonymně ptát na cokoli, co je zajímá," upřesnil Tomáš Kofroň, tiskový mluvčí Raiffeisenbank.

Přestože mají obě banky blogy pouze k interním účelům, na blogerskou komunikaci s veřejností nerezignují. Jen místo specializovaných internetových blogů využívají sociální sítě typu Facebook, Twitter nebo YouTube. Čtěte také: Jak vytvořit efektivní reklamu na Facebooku? Poradíme vám.

5 nejčastějších chyb firemních webů v Česku

24.11.2010

Tuzemští podnikatelé udělali v oblasti svých internetových stránek již nemalé pokroky. Přesto se některých chyb stále ne a ne vyvarovat. Přečtěte si 5 nejčastějších přešlapů spojených s firemními weby v Česku.

Základním problémem, ze kterých většina chyb tuzemských podnikatelských webů vychází, je podle odborníků absence vypracované internetové strategie. Provozovatel webu nemá jasnou představu, koho chce oslovit, takže buď cílí na všechny, což znamená, že necílí na nikoho, nebo cílí na špatnou skupinu. V nejhorším případě si web dělá v podstatě pro sebe, především proto, aby ho měl. "Technicky i designově může být takový web dobrý, ale stejně nebude efektivní. Každý podnikatel by si měl uvědomit, že web má smysl pouze tehdy, pokud je integrální součástí jeho marketingové strategie a pokud je jeho smyslem uspokojení potřeb jeho zákazníků," radí pro server Podnikatel.cz Jan Janča, obchodní ředitel internetové agentury Cognito.cz. Zaměřili jsme se na proto 5 konkrétních věcí, ve kterých podnikatelé se svými weby nejvíce chybují.

5 nejčastějších chyb

• Graficky a technicky nepoužitelné weby

• Nekvalitní obsah webu

• Neaktualizovaný obsah webu

• Nedohledatelné a nezapamatovatelné stránky

• Chybějící nebo špatně dohledatelné kontaktní a identifikační údaje

Graficky a technicky nepoužitelné weby

Aby se dal firemní web považovat za kvalitní, musí být rovněž použitelný. Požadavek použitelnosti musí splňovat po technické i grafické stránce. Grafická podoba stránek přitom patří podle uživatelů mezi nejdůležitější věci, které je na první pohled zaujmou. Navzdory notnému zlepšení lze stále bez problémů narazit na designově nepoužitelné weby, kde například dokázali někteří experti dát modré písmo na modročervené pozadí, přeplácat úvodní stránku tisíci nesmyslnými obrázky nebo nechat na každé stránce jinou grafickou koncepci. Někde narazí návštěvník na obrázek, jinde třeba na fotku a jiný druh písma.

Podle odborníků za chaotický design může skutečnost, že do něho často mluví příliš mnoho lidí, kteří k tomu navíc nemají vůbec žádnou kvalifikaci. "Je často až s podivem, že do návrhu designu a struktury webu často zasahuje snad i firemní „uklízečka“, a to v domnění, že pro to má kvalifikaci," podotýká Jan Janča. Podle něho končí zpravidla


62

firemní weby, které ze strany zadavatele komentuje a „vylepšuje“ příliš mnoho lidí, schizofrenní katastrofou. "U zadavatele však nezřídka hodnocenou kladně, protože je to prostě web podle jeho gusta," dodává Janča.

Důležitá připomínka

Využijte při tvorbě webových stránek uživatelské testování. Jen několik cizích lidí, kteří vaše stránky neznají, vám může dát v praxi neocenitelné informace o přehlednosti webu.

S použitelností webu úzce souvisí jeho průchodnost. Čtenář se musí na stránkách dobře orientovat a měl by hned vědět, kam má kliknout, aby se dozvěděl, co potřebuje. Hodně webů klade návštěvníkům orientační překážky, které by nezdolal ani Indiana Jones v nejlepší formě. Častým nešvarem dále bývá použití nevhodných prvků a zbytečné náročných technologií. Věcí jako animace, hudba a zvuky se snažte spíše vyvarovat. Stejně tak nepoužívejte formát flash na navigační prvky, tedy na hlavní menu a další orientační body, jelikož ne každý má nainstalovaný program pro jeho přehrávání. Přizpůsobte web rovněž více dostupným prohlížečům, ne každý používá Mozillu jako vy. "Často též chybí drobečková navigace, která by ulehčila například návrat o úroveň výše," dodává František Grunt, marketingový manažer společnosti Active 24.

Odborníci též připomínají, že obrázky a animace by neměly v žádném případě nahrazovat text, protože vyhledávače indexují právě text. Pokud nastrkáte na stránky jen obrázky, na dobrou pozici ve vyhledávání zapomeňte. Čtěte více: Jak na grafiku firemního webu a jeho technické zpracování.

Nekvalitní obsah webu

Právě v oblasti obsahu webu mají tuzemské firmy podle odborníků největší mezery, a to jak v kvalitě, tak v rozsahu. Opět zde platí známá mantra, že web slouží hlavně zákazníkům a ne vám, a že jeho obsah by se měl přizpůsobit návštěvníkům stránek. Ti chtějí především jasně a rychle zjistit, jak jim vaše firma může pomoci. Přistupujte proto k vašemu webu jako k místu, kde prezentujete výhody a přidané hodnoty, které zákazníkům na rozdíl od konkurence poskytujete.

Důležité je být hlavně konkrétní. "Velké množství firem uvádí na svém webu pouze základní a obecné údaje, avšak jen minimum konkrétních údajů o tom, co ve skutečnosti dělají," upřesňuje Vojtěch Štavík, jednatel marketingové agentury Diversity. "Podnikatelé často argumentují, že své výhody uvádí v oblíbené sekci "O nás", ale zákazníci se mohou rozhodovat na jiných stránkách a tuto nemusí vůbec navštívit," připomíná Radim Hasalík, který se živí internetovým marketingem pod značkou hasalik.cz.

Na většinu návštěvníků působí dobře také dostupný ceník, aby si snadno mohli porovnat, na kolik vaše služby vyjdou. Nepodceňte také texty, jestliže českým jazykem příliš nevládnete, najměte si raději služby copywritera. Ačkoli vám to možná nepřijde, bezchybnost a čtivost textu na stránkách hraje důležitou roli. "Firmy často mluví na návštěvníky jazykem, kterému možná rozumí samy, ale zákazníci mají s pochopením problém, texty jsou příliš dlouhé a složité. Méně je někdy více," domnívá se František Grunt ze společnosti Active 24.


Dbejte na svoji úvodní stránku, která musí zaujmout jako první. Nenechávejte na ní nudný text z odkazu „O nás“, kde popisujete zdlouhavě historii své firmy.

V případě rozsahu informací se odborníci neshodnou. Zatímco někteří vám budou tvrdit, abyste nezahlcovali čtenáře webu podrobnostmi, jiní vám poradí napsat co nejvíce. Druhá cesta se zdá přece jenom efektivnější. Myslete však přitom na tom, abyste zákazníka nezasypali odbornými detaily, které si sám cíleně nevyhledá. Mějte podrobnosti proto na webu, ale rozložte je do speciálních viditelných odkazů a nechte na návštěvníkovi, jestli si je skutečně projde. "Navíc se tím, že vše podstatné zveřejníte na internetu, dostanete v očích návštěvníka vašich stránek do pozice odborníka, což na zákazníky působí velmi pozitivně," připomíná Vojtěch Šťavík. Čtěte více: Jak vytvořit dobrý web a co by měl obsahovat.


63

Neaktualizovaný obsah webu

Pokud se někdo domnívá, že si jednorázově zaplatí internetové stránky, o které se pak nemusí starat, šeredně se mýlí. Tím, že spustíte web, vše nekončí, nýbrž začíná. Stránky je třeba pořád aktualizovat. Zákazník nesmí hned při prvním zhlédnutí zjistit, že na web dva roky nikdo nesáhl. "Není nic trapnějšího, než když se zákazník dostane na webové stránky, kde se sekce Novinky hrdě pyšní 2 roky starým příspěvkem „Spustili jsme nové webové stránky“," tvrdí Vojtěch Šťavík. Neaktualizovaný web navíc vzbuzuje dojem, že podnikatel již svoji činnost neprovozuje.

Co se týče frekvence příspěvků, nemusíte přispívat každý den, tím byste naopak zákazníky odradili. Stačí novinky psát alespoň jednou za měsíc, někdy ani nevadí přispívat méně často, snažte se však zachovat pravidelnost jinou než jedenkrát za život. Aktualizace obsahu má v neposlední řadě vliv na SEO (zkratka pro Search Engine Optimization neboli optimalizaci pro vyhledávače), jelikož vyhledávající roboty upřednostňují aktualizované a inovované weby.

Mnoho podnikatelů v tomto ohledu krčí rameny s tím, že nemají co nového na stránky psát. Informovat zákazníky o tom, že jste dneska vstali v 8 hodin a měli jste pět drobných zakázek, skutečně smysl nemá. Dostali jste však práci pro významnou společnost? Klidně to do novinek napište. Plánujete vystavovat na veletrhu? Ideální info do aktualit. Každý podnikatel zpravidla sleduje vývoj ve svém oboru, dojde-li proto k něčemu zajímavému (například k užívání inovovaných materiálů či postupů), informujte o tom na svých stránkách. Bohatě postačí vždy napsat několik vět, slohové práce na deset stránek ze sebe „rodit“ nemusíte. Čtěte také: Dobrý obsah webových stránek může živnostníkovi pomoci.

Nedohledatelné a nezapamatovatelné stránky

Máte geniální web, který splňuje všechny podmínky na grafiku a obsah nejlepších webových prezentací, avšak nikdo jej nenavštěvuje? Možná proto, že stránku vyhledávače neindexují na předních místech či si prostě zákazník nedokázal zapamatovat (ani odvodit) vaši url adresu. Taková internetová stránka vám k ničemu přirozeně není. V tomto ohledu se proto hodí, aby podnikatel využil SEO, vhodně vybral doménu a minimálně si třeba zajistil odkazy z jiných serverů a katalogů.

V případě volby adres „hřeší“ hlavně živnostníci a drobní podnikatelé, kteří nezřídka využívají různé free domény, které jim pak tvoří nešikovné názvy se jménem provozovatele webhostingu. Existují podnikatelé, kteří se v rámci SEO zase zvolí doménu typu "super-elektrikar-pepa-novak-praha-levne.cz“. Optimalizace úžasná, avšak nepočítejte s tím, že si vaši adresu někdo zapamatuje, když ji uvidí. "U menších firem a živnostníků pak také platí, že mají sice webovou stránku, ale nedokážou ji na Internetu prodat, chybí SEO, nedělají PPC kampaně, web pak není vidět a neplní základní, obchodní funkci," komentuje František Grunt. Čtěte více: Pro jaké podnikatele se hodí PPC reklama?

Chybějící nebo špatně dohledatelné kontaktní a identifikační údaje

Firemní web především slouží (vyjma e-shopů) jako marketingový a komunikační nástroj, který by vám měl přivádět nové zákazníky. Aby se k vám ale zákazník dostal, potřebuje příslušné kontaktní údaje. Adresa provozovny a číslo na pevnou už v tomto ohledu dávno nestačí, samozřejmostí by měl být i kontakt na mobil a e-mailová adresa. Jestliže využíváte nástroje typu ICQ či Skype, nebojte se tyto údaje též uvést. Řada firem využívá na webech kontaktní formulář, pokud mezi ně patříte, rozhodně k němu navíc uvádějte i e-mailovou adresu. Pokud jedinou možností, jak se s vámi spojit, je tento formulář, nepůsobí to na potenciální zákazníky důvěryhodně.


Aby měly kontaktní údaje význam, musí vás na nich zákazník zastihnout. K čemu máte uvedené číslo na mobil, když jste neustále nedostupní? Proč píšete e-mailovou adresu, když nikomu neodpovídáte. Reagujte na maily, když nemůžete zvednout telefon, volejte na číslo zpět.

Myslete též na to, že kontaktní údaje musí zákazník především najít. Co naplat, že máte uvedena všechny kontaktní data od mobilu uklízečky až po adresu facebookového profilu ředitele, když je nedokáže nikdo dohledat. Nekomplikujte návštěvníkům hledání a dejte spojení na vás do odkazu „O nás“, či ještě lépe „Kontakty“. Ideálně


64

můžete kontaktní údaje spojit s identifikačními a vložit je na jeden odkaz. Na škodu rozhodně ani není kontakty uvést do patičky stránek.

Zmíněné identifikační údaje pak tvoří samostatnou kapitolu. Řadu z nich totiž musíte mít na stránkách ze zákona uvedenou, na což některé firmy a živnostníci stále zapomínají. Asi nejvíce prohřešků způsobuje požadavek zákonodárců na údaj o zápisu v příslušné podnikatelské evidenci. Jak dokazuje například i databáze živnostníků na serveru Podnikatel.cz, správně uvedené identifikační údaje má méně než polovina registrovaných podnikatelů. Čtěte více: Zákon přikazuje na webu uvádět identifikační údaje.

Víme, které vám chybí

• Konkrétně se jedná o tyto informace:

• Jméno nebo název

• Sídlo nebo místo podnikání

• Identifikační číslo

• Podnikatelé zapsaní v obchodním rejstříku musí uvést též údaj o tomto zápisu (včetně spisové značky)

• Podnikatelé, kteří v obchodním rejstříku nejsou, musí zveřejnit údaj o zápisu do jiné evidence, ve které jsou zapsáni (nejčastěji tedy živnostenský rejstřík)

• Údaj o výši základního kapitálu lze na stránkách mít pouze v případě, že již byl zcela splacen

Osobní e-mail typu „sexyfrajer@“ k podnikání nepoužívejte

14.10.2010

Osobní e-mailová adresa do podnikání nepatří, můžete kvůli ní totiž ztratit na důvěryhodnosti. Jestliže navíc máte vlastní doménu a internetové stránky, zapomeňte ve svém zájmu i na freemailový kontakt.

V současnosti disponuje e-mailovou schránkou takřka každý podnikatel, dokonce i ti, kteří nemají svoje vlastní internetové stránky. Ačkoli se to někomu nemusí zdát, samotná podoba e-mailové adresy může hrát klíčovou roli při rozhodování zákazníka (ale i obchodních partnerů), zda si službu či produkt u vás objedná. Například freemaily (na Seznam.cz, Centrum.cz, Atlas.cz apod.), které řada živnostníků používá, mohou odradit, jelikož pak podnikatel vypadá neprofesionálně. Firemní mail by též neměl sloužit k osobním účelům, snadno se totiž můžete splést a místo přítelkyni poslat své intimní fotky nějakému zákazníkovi. Stejně tak nevypadá nejlépe, když někomu dorazí obchodní nabídka z e-mailové adresy [email protected].

K vlastní doméně patří vlastní e-mail

Podoba podnikatelských e-mailových adres se zpravidla odvíjí od toho, zda podnikatel má internetové stránky a zda je má na vlastní doméně. Živnostníky a firmy, které e-mailovou adresu vlastní, pak lze rozdělit do tří skupin:

• Podnikatelé s vlastní doménou a vlastní e-mail dle domény

• Podnikatelé s vlastní doménou a freemailem

• Podnikatelé s free doménou či bez webových stránek a freemailem

Která skupina podle vás působí na potenciální zákazníky nejhůře? Není to třetí skupina, jak by si mohl někdo myslet, nýbrž skupina podnikatelů, kteří mají zaplacenou doménu a webhosting, ale k tomu používají freemail. Kombinace vlastní domény a freemailu totiž působí opravdu nevěrohodně. Právě věrohodnost přitom hraje klíčovou roli tehdy, jestliže vaše stránky navštíví někdo, kdo o vaší firmě v životě neslyšel.

V případě těchto podnikatelů se podle odborníků jedná především o lenost a pohodlnost, jelikož peněžní náklady na „doménový mail“ se pohybují v desítkách korun za měsíc. "Často se nám v komunikaci stává, že klient, ač má webové stránky, používá freemail, protože je na něj zvyklý a nechce se "učit" novým věcem. Nicméně


65

s profesionalitou to nemá nic společného," potvrdila serveru Podnikatel.cz Simona Zábržová ze společnosti Malota Production. Této skupině podnikatelů nezbývá než poradit, aby si k doméně pořídili i e-mailovou adresu.

Většina webhostingů poskytuje doménové emaily v rámci webhostingového tarifu, který začíná na 10 Kč za měsíc. Podnikatel si navíc může zřídit libovolný počet adres, nicméně každý webhosting má jiné poplatky za zřízení jednoho či deseti e-mailů. Pokud by vám přišla tato částka příliš, dá se využít i bezplatných služeb (například na Gmailu), které vám umožní i freemailovou schránku přesměrovat pod vaši doménu. Čtěte více: Jak by měla správně vypadat vaše podnikatelská doména snů?

Osobní mail k práci nepoužívejte

Podnikatelé bez internetové prezentace či stránek na free doméně si pak s freemailem musí vystačit. Přesto i u nich na zvolené adrese rozhodně záleží. Hlavní pravidlo zní, mít vlastní osobní a vlastní firemní e-mail a nepoužívat osobní k firemním účelům a naopak. Na koho totiž působí seriózně, přijde-li mu obchodní/pracovní mail z adresy typu [email protected] nebo [email protected]?

Jak je důležité nepoužívat jednu adresu jak pro pracovní, tak i pro osobní účely, dokazuje i příhoda Jana Janči, obchodního ředitele internetové agentury Cognito.cz: "Již jsem zažil situaci, kdy mi živnostník poslal velice intimní fotografie ze svého osobního e-mailu, určené slečně Janičce (Janča vs. Janička - jednoduchá záměna)." Jan Janča proto radí, aby třeba instalatér Pepík Hujerů používal osobní e-mail [email protected] a firemní e-mail [email protected].

Obecný kontakt je nepsanou povinností

Podnikatelům, kteří vlastní doménu a chtějí i doménové e-maily, též odborníci doporučují několik věcí. Každá firma by si měla vytvořit jeden obecný kontakt například typu [email protected], ke kterému bude mít přístup více lidí, aby se zajistila rychlost odpovědi. Jedná se o vaši hlavní elektronickou adresu, kde by měla být zaručena blesková odpověď i v případě nepřítomnosti některého zaměstnance. "Není nic horšího než firma, která používá desítky e-mailů, a některý z nich je nedostupný či odpovědi chodí s velkým zpožděním. Totéž se týká i situace, kdy firmu opustí zaměstnanec," dodal serveru Radim Hasalík, který se živí internetovým marketingem pod značkou hasalik.cz.

Obecné kontakty by podle odborníků proto měly směřovat například na recepci či sekretariát, pokud existují, nebo se automaticky přeposílat na více pracovníků, kteří se mohou zastoupit. V druhém případě by měl podnikatel ovšem zajistit, aby pracovníci navzájem věděli o tom, kdo z nich na e-mailový dotaz již odpověděl. Jestliže je pak podnikatel ve firmě sám, měl by si každý den vyhradit aspoň hodinu na prohlédnutí e-mailové schránky a na vyřízení všech dotazů a připomínek. Čtěte také: Bezplatným zápisem do internetových katalogů se dá jen získat.

Založte si více e-mailů, i když podnikáte bez zaměstnanců

Obecný kontakt typu info@ sice tvoří základ, avšak neměl by být, hlavně v případě větších firem, jediným. "Pokud má firma několik oddělení, které se starají o různé věci, je dobré to rozdělit a uvádět e-maily, které se týkají problému, který chci řešit, třeba obchod@, stížnost@, marketing@," upřesnil František Grunt, marketingový manažer společnosti Active 24. Takovéto rozdělení adres urychlí komunikaci mezi potenciálním zákazníkem a firmou. "Na zákazníky rozhodně působí lépe, když jim dáte pocit, že můžou kontaktovat přímo oddělení, které vyřeší jejich požadavek či problém. Obecné e-maily jsou zejména u e-shopů pro vyřešení požadavků neosobní a v zákazníkovi nevyvolávají dostatečnou důvěru," vysvětlila Simona Zábržová ze společnosti Malota Production.

Podle Jana Janči z internetové agentury Cognito.cz však značně závisí na firemní kultuře. Otevřená firma, která si zakládá na osobním vztahu s klienty, může mít na webu e-maily všech důležitých zaměstnanců, což však vzhledem k počtu notorických fluktuantů v řadách zaměstnanců může mít své nevýhody. Na opačném pólu se pak nalézají firmy, které e-maily neuvádějí vůbec a na stránkách mají pouze kontaktní formulář. Jak proto dodává Janča, ideální je uvádět na stránkách e-mailové adresy jednotlivých oddělení a jeden obecný kontaktní e-mail. Čtěte také: Zákon přikazuje na webu uvádět identifikační údaje. Víme, které vám chybí.


66

Co se týče konkrétní podoby e-mailů, platí zde stejná pravidla jako v případě domén, tedy co nejjednodušší a snadno zapamatovatelné. Myslete též na to, že kontaktní e-mail uvádíte též na vizitkách a reklamách, kde nelze použít počítačové Ctrl C a Ctrl V.

Na závěr ještě jeden tip pro podnikatele, kteří nemají žádné zaměstnance a vše obstarávají sami: klidně si zřiďte více e-mailových adres. Nezkušený uživatel na první pohled nemusí poznat, že jde o firmu s jedním člověkem. To platí zejména pro "eseróčka". Proto takový obchod působí důvěryhodněji. "Pro různé záležitosti se běžně používají různé e-mailové adresy. Samozřejmě, že zákazník časem pozná pravdu, protože mu bude odpovídat stále stejná osoba. Nicméně pokud je obchod kvalitní, vůbec to nevadí. Není to podvod na zákazníka," uzavírá Radim Hasalík.

Co všechno musí obsahovat obchodní podmínky e-shopů?

4.8.2010

Sestavit obchodní podmínky pro e-shop není taková brnkačka, jak se na první pohled může zdát. Podle zákona totiž musí podmínky obsahovat několik bodů, o kterých řada podnikatelů ani neví.

„Obchodní podmínky? Stejně je nikdo nečte, něco tam naflákám a je to,“ říká si mnohdy začínající provozovatel internetového obchodu. Jenže sestavit si obchodní podmínky pro e-shop, aby vyhovovaly právním normám, není tak jednoduché, jak se na první pohled může zdát. Přestože předpisy přímo problematiku e-shopů neřeší, „obchodní podmínky na dálku“ musí obecně vyhovovat hlavně nárokům občanského zákoníku, respektive jeho paragrafům, které se zabývají spotřebitelskými smlouvami.

Provozovatel online obchodů musí kromě svých identifikačních a kontaktních údajů dopředu též informovat o finální ceně zboží, nákladů na dodání, či o možných způsobech dodání. Velmi často pak podnikatelé zapomínají uvést, jakým způsobem mohou zákazníci zboží vrátit při odstoupení od smlouvy do 14 dnů. Pouze třetina e-shopů navíc poskytuje dostatečné informace o možnosti uplatnění rozporu s kupní smlouvou. Přitom právě v oblasti reklamací, odstoupení od smluv a rozporů s kupní smlouvou by obchodníci měli být obzvláště důkladní. Čtěte také: Jak založit e-shop.

Obchodní podmínky pro e-shopy

Česká republika zažívá v posledních letech nebývalý boom internetového obchodování. Nové e-shopy vznikají v podstatě každý den a jen stěží se dá najít typ zboží, který by přes internetové krámy nešel zakoupit. Ten, kdo se rozhodne provozovat e-shop, by však neměl zapomenout na celou řadu zákonných povinností, které musí při spravování internetového obchodu splňovat. Mezi základní požadavky patří „správné“ (podle občanského zákoníku) znění informací pro zákazníka o daném nákupu a všech jeho záležitostech, tedy v podstatě dobře sepsané a zveřejněné obchodní podmínky.

Zákon však e-shopům obchodní podmínky přímo nedefinuje. "Obchodní podmínky jsou často dokument, v kterém obchodník plní základní povinnosti spojené s informováním spotřebitele a zároveň "dovysvětluje" nákupní a reklamační proces na svém e-shopu," upřesnil pro business server Podnikatel.cz Jan Vetyška, výkonný ředitel Asociace pro elektronickou komerci (APEK).

V obchodních podmínkách musí být zveřejněny především tyto informace

• obchodní firma nebo jména a příjmení a identifikační číslo dodavatele, sídlo právnické osoby a bydliště v případě fyzické osoby, u zahraniční osoby rovněž adresy podniku nebo organizační složky na území České republiky, byly-li zřízeny, údaj o zápisu v obchodním rejstříku nebo jiné obdobné evidenci, včetně spisové značky, pokud je přidělena, a kontaktní údaje, zejména poštovní adresa pro doručování, telefonní číslo, případně adresu pro doručování elektronické pošty,

• údaje o příslušném kontrolním orgánu, podléhá-li činnost dodavatele režimu povolování,

• název a hlavní charakteristiky zboží nebo služeb,


67

• cena zboží nebo služeb, z níž jednoznačně vyplývá, zda je uvedena včetně všech daní a poplatků, mají-li k ní být připočítávány,

• náklady na dodání,

• způsob platby, dodání nebo plnění,

• poučení o právu na odstoupení,

• náklady na použití komunikačních prostředků na dálku,

• doba, po kterou zůstává nabídka nebo cena v platnosti.

Při informacích o právu na odstoupení nesmí provozovatelé zapomenout zmínit, že spotřebitel má právo od smlouvy odstoupit bez uvedení důvodu a bez jakékoliv sankce do 14 dnů od převzetí zboží. Nejde však jen pouze o holou informaci, že zákazník může zboží do dvou týdnů vrátit, v obchodních podmínkách by mělo být i uvedeno, jak to má spotřebitel udělat. "Uvést způsob, jak zboží vrátit při odstoupení od smlouvy do 14-ti dnů, podnikatelé velmi často zapomínají," dodal serveru Podnikatel.cz Jan Votočka, tiskový mluvčí Sdružení obrany spotřebitelů (SOS).

Jestliže se upozornění na dvoutýdenní "inkubační" dobu v obchodních podmínkách neobjeví, prodlužuje se čas na možné vrácení zboží až na 3 měsíce. 14denní lhůtu podnikatel navíc nesmí zkracovat ani jinak omezovat. Jak dále připomíná Sdružení na obranu spotřebitelů, požadavek na vrácení zboží v neporušeném obalu či vyloučení odstoupení od smlouvy v případě osobního odběru zboží nemá oporu v legislativě.

Co se týče umístění obchodních podmínek na webu, zákon říká, že všeobecné obchodní podmínky musí být spotřebiteli poskytnuty ve formě, která umožňuje archivaci a reprodukci. Měly by jít tedy stáhnout a vytisknout. "Pochopitelně by neměly být nikde ukryté, neboť by to mohlo být považováno za nesplnění informační povinnosti. Tedy nejlépe je umístit na titulku," upřesnil Jan Votočka. Čtěte také: Se snižováním marže u e-shopů zacházejte opatrně

Přestože kostra obchodních podmínek bývá u všech internetových obchodníků stejná, v řadě detailů se kvůli typu e-shopu liší. Mnohdy mohou být ony detaily velice podstatné. Rozdíl se dá třeba vysledovat i mezi dvěma prodejci židlí. Podle Jana Votočky stačí, aby jeden z nich nabízel i úpravy (třeba potah, čalounění či délku nohou), a už se vše mění. "Zboží tak může být v tomto případě považované za upravené na přání zákazníka a tím se tak zásadně mění práva a povinnosti obou stran, včetně toho, že zde již nemusí mít zákazník právo od smlouvy odstoupit do 14 dnů bez udání důvodu," komentoval Votočka.

Test e-shopů dopadl lépe než vloni

V minulém roce SOS uskutečnilo průzkum zaměřený na plnění základních předběžných informačních povinností internetových obchodů, tedy na obsah obchodních podmínek. Výsledky dopadly lépe než v předchozích letech, přesto mají provozovatelé e-shopů stále co zlepšovat. Čtěte také: Jak uspět mezi e-shopy? Důležitá je orientace na originální nebo tradiční zboží. Zde je inspirace

Nejlépe si podnikatelé vedli v informacích o své totožnosti a kontaktech. Zde splnilo zákonné podmínky 95 % testovaných obchodů. Čtyři pětiny e-shopů též správně informovaly o možnosti odstoupení od smlouvy do 14 dnů od převzetí plnění bez udání důvodu. Dobře dopadla i kontrola nezpoplatnění vyřízení reklamace, zejména v případě jejího zamítnutí. Zde předpisy dodrželo 83 % obchodů. O něco hůře pak dopadl test informací o uplatnění reklamace zboží, bez jakýchkoli omezujících podmínek, zde uspěly necelé tři čtvrtiny obchodních podmínek.

Jednoznačně největší mezery v obchodních podmínkách však podnikatelé mají v oblasti informací o možnosti uplatnění rozporu s kupní smlouvou. Správně je měla uvedena na svých stránkách pouze třetina respondentů. "Do povědomí obchodníků se již ustanovení, které upravuje tzv. rozpor s kupní smlouvou, dostává. Stále však ještě velké množství obchodů povinnost informovat kupujícího o této možnosti nezaregistrovalo," popisuje SOS v hodnocení průzkumu.

Jak však dodává Jan Vetyška, výkonný ředitel APEK, drtivá většina nedostatků, které se při testech objeví, se týká malých a poctivých obchodníků, kteří prostě nemají dostatečné právní podvědomí. "Což by samozřejmě nemělo být, ale chtěl jsem poukázat na to, že i když například takový obchod neinformuje úplně o všem na 100 %, neznamená to, že by se jednalo o podvodný obchod. Nejdůležitějším měřítkem je spokojenost zákazníků," domnívá se Vetyška.


68

Obchodní podmínky pro e-obchod, které připravila APEK, volně ke stažení. Mají pomoci podnikatelům působícím na internetu, především menším či začínajícím obchodům. Vzorové obchodní podmínky ke stažení zdarma.

E-shopy se zpravidla inspirují u konkurence

Samotní provozovatelé e-shopů vycházejí podle svých slov při tvorbě obchodních podmínek z podmínek zavedených e-shopů, které upravují dle svého zaměření. "Při sestavování obchodních podmínek e-shopu www.k-hodinky.cz jsme konzultovali s právním zástupcem vzory OP velkých konkurentů v našem oboru. Finální verze je přizpůsobená našim podmínkám," řekl například serveru Podnikatel.cz Jakub Kohout z internetového a kamenného obchodu K-hodinky.cz.

Michal Jirek, majitel e-shop Čerstvákáva.cz, zase doplnil, že obchodní podmínky se musí čas od času změnit. Důvodem především bývají nově nabízené služby či další možnosti úhrady. To potvrzuje i další provozovatelka internetového obchodu Zuzana Šimková z Laparada.cz. "Obchodní podmínky máme již od začátku dostatečně rozsáhlé. Během provozu jsme nicméně rozšířili možnosti plateb," uvedla Šimková.

Změny obchodních podmínek mohou ale způsobit i další skutečnosti, třeba i rozpor se zákazníkem. "Po problému se spotřebitelem jsem doplnil do podmínek důležité věci, které vyplývají ze zákona, ačkoliv v obchodních podmínkách být nemusí. Dle mého názoru (a i z pohledu mě jako spotřebitele) lidé obchodní podmínky nestudují, dokud nenastane nějaký problém," uzavírá Michal Jirek. Čtěte také: Tipy na české e-shopy s originální nabídkou, některým naprosto propadnete.

Zisky z počítačové kriminality předčily zisky z drog

17.2.2010

Včerejší konference Trendy v internetové bezpečnosti potvrdila vzestup internetového pirátství, zaměření hackerů na "malé ryby" a na zranitelnost sociálních sítí. Největší riziko ale stále přichází ze strany samotného uživatele.

V Praze včera proběhl druhý ročník konference Trendy v internetové bezpečnosti, kterou uspořádala společnost Internet Info, respektive její weby Root.cz, Měšec.cz, Lupa.cz a Podnikatel.cz. Konference byla rozdělena do tří tematických celků a účastníci se též mohli účastnit zajímavých workshopů, které celý den paralelně probíhaly v druhém sále.

Dopolední část programu se věnovala starým a nový nebezpečím na internetu a provázel jí Petr Krčmář, šéfredaktor serveru Root.cz. Po obědě se konference zaměřila na platby na internetu pro obchodníky, na euroregulaci a aplikaci nového zákona o platebním styku. Odpoledním blokem provedli účastníky konference Michael Hovorka, šéfredaktor serveru Podnikatel.cz a Dalibor Z. Chvátal, šéfredaktor serveru Měšec.cz.

Internetové krádeže se už vyplatí více než drogy

Konferenci zahájil svoji přednáškou Karel Obluk z AVG Technologies CZ, ve které se věnoval webovým hrozbám dneška a zítřka. Zatímco dříve se různé viry šířily především pomocí disket, různých tzv. červů (wormů) a e-maily, v současnosti se pozornost počítačových pirátů zaměřila na webové stránky. "Až 80 % útoků přichází z webu," doplnil Obluk s tím, že množství škodlivých kódů roste exponenciální řadou.

Podle Obluka již také dávno neplatí, že útoky přicházejí pouze z webů s pochybným obsahem. Nejefektivnější útoky naopak přicházejí přes legitimní stránky, za příklad mohou posloužit stránky New York Times, které útočníci napadli v září loňského roku. Na webu se objevil falešný banner, který čtenáře varoval, že mají zavirovaný počítač. Po kliknutí na odkaz došlo k přesměrování na stránku, která nabízela údajný antivir. Stránky New York Times přitom čtou denně miliony lidí.

Karel Obluk také vyvracel mýtus, že většina nebezpečných webů pochází ze zemí typu Ruska či Číny. Většina infikovaných serverů se totiž nachází ve Spojených státech. Více než polovina útoků (infekcí webů) pak sice existuje méně než jeden den, avšak není to díky rychlým správcům, nýbrž kvůli samotným hackerům. Ti se totiž snaží omezit možnosti jejich odhalení.


69

Základním cílem dnešních útoků je dostat uživatele internetu na své vlastní stránky. Hlavní prostředky pak činí spam a falešné odkazy na existujících populárních stránkách. Cílem dnešních počítačových pirátů se rovněž staly sociální sítě, jejichž velká obliba z nich učinila zajímavý objekt pro útoky hackerů. Jak zdůraznil na závěr svého vystoupení Karel Obluk, zisky z počítačové kriminality předčily zisky z drog.

Novým cílem hackerů se stávají sociální sítě

Stávajícím rizikům na sociálních sítích se následně věnoval workshop Daniela Dočekala, nezávislého publicisty a konzultanta, podle kterého lze na internetu dohledat už například desítky až stovky nepravých Facebooků. Do našich životů se dle Dočekala dostal tzv. Cloud computing, tedy internetový „mrak“, který absorboval velké množství našich osobních údajů a někde „v mraku tak lze najít naše soubory nebo i různé nejtajnější věci. "Své soukromí vyměňujeme za komfortní služby," řekl Dočekal.

Velká část workshopu se zabývala sociální sítí Facebook a především naivitou mnohých jejích uživatelů. Řada lidí uvádí na Facebooku řadu zbytečných údajů, které se dají lehce zneužít. Různé facebookovské aplikace podle Dočekala vůbec nedodržují bezpečností prvky a lidé jim běžně povolují získávat informace z jejich profilu. Ty se mnohdy dají využít ke zneužití dalších aplikací uživatele, aniž by si to uživatel vůbec uvědomil.

Že se největší riziko nachází mezi klávesnicí a židlí, dokazují různé falešné skupiny na Facebooku, které na nereálné sliby nalákaly až statisíce tuzemských uživatelů. Flagrantním příkladem se stala skupina „Kdo si prohlíží tvůj profil – STALKER CATCHER“, do které se přihlásilo více než 624 000 Čechů.

Dočekal dále připomněl, že administrátoři Facebooku mají prakticky možnost na cokoli se v každém profilu podívat a existuje tak reálná hrozba, že za vhodné motivace mohou získané informace zneužívat a prodávat. Soukromí se podle Dočekala s internetem a sociálními sítěmi v podstatě vylučují. "Pokud chcete soukromí, nepoužívejte sociální sítě. Nebo ještě lépe, vůbec nepoužívejte internet. Nebo lžete z plného hrdla," poradil Dočekal.

Útočníci využívají ke krádežím i katastrofy

V hlavním sále mezitím proběhla přednáška Pavola Luptáka ze společnosti Nethemba, která se zabývala bezpečností karet s RFID čipy. Následovala pak panelová diskuze na téma technických a bezpečnostních aspektů pražské karty Opencard. Těsně před zahájením debaty však musel kvůli pracovním povinnostem opustit sál Martin Opatrný z pražského magistrátu a diskuze tak přišla o důležitého diskutéra.

Na řadu pak přišlo vystoupení Miroslava Richtera z firmy T-Mobile. Richter hovořil o systému NFC (Near Field Communication), což je bezkontaktní komunikace na krátkou vzdálenost (do 10 cm) mezi mobilem a dalším zařízením (aktivní či pasivní čtečka, terminál, druhý telefon, apod.). Zneužitelností RFID karet se zabýval workshop Pavola Luptáka, kterému se však během vymezené hodiny nepodařilo do daných karet nabourat.

Před obědem jako poslední vystoupil David Pikálek z České spořitelny, který hovořil o hrozbách a trendech v internet bankingu. Zde podle něj dochází k příklonu k trojským koňům, které dokážou antiviry odhalit asi jen z 20 %. Pikálek poté upozornil, že útočníci zneužívají významných událostí či různých katastrof. "Útoky mají především formu varování," uzavřel dopolední blok Pikálek.

Přístup do firemní sítě za tabulku čokolády

Odpolední část programu odstartoval s tématem Nové bezpečností standardy platebních karet Petr Sládek z Unicredit Group. Sládek definoval tři hlavní způsoby získání dat o kartách. Jde o skimming, což je mechanické zařízení na bankomatu či jiném platebním terminálu, které kopíruje data přímo z karty. Dále se jedná o phishing, tedy získání dat o kartě přímo od držitele karty formou dotazníků. Tento systém využívá nepozornosti a důvěřivosti držitelů karet. Poslední a také nejčastější formou získávání dat o kartách je jejich krádež z databází bank a jiných finančních institucí.

Hlavních 5 kartových společností (VISA, MC, AMEX, JCB, DISCOVER) se proto dohodlo na vytvoření pravidel pro zajištění bezpečnosti dat. Soubor pravidel platí od roku 2006 a dělí se do 12 sekcí. Společnosti se zavázaly vybudovat bezpečné sítě, ochraňovat data držitelů karet, kontrolovat zranitelnost a přístupy a v neposlední řadě pravidelně sledovat a testovat své sítě. "Přesto byly v loňském roce odcizeny údaje u celkem 250 milionů platebních karet," doplnil Petr Sládek.


70

Na téma bezpečnosti jednotlivých způsobů plateb na internetu pak proběhla živá panelová diskuze, které se kromě Petra Sládka také zúčastnil Vladimír Brož ze společnost McAfee, Richard Matula z Poštovní spořitelny a Karel Kadlčík ze Sdružení pro bankovní karty ČR. Debata se točila především kolem virtuálních platebních karet a bezpečnosti běžných platebních karet.

Všichni diskutující se shodli na tom, že hlavní problém bezpečnosti zůstává na straně uživatele. "Ve Velké Británii jsme dělali průzkum a řada zaměstnanců byla schopná po důkladném sociálním inženýrství vyzradit přístupy do firemních systémů za tabulku čokolády," uvedl Vladimír Brož. Čtěte také: Největší riziko úniku dat se nachází mezi klávesnicí a židlí.

Před odpolední pauzou ještě vystoupili Jana Oborná a Petr Uttendorfský z firmy oXy Online, kteří promluvili o rizikové oblasti práce s e-shopovými databázemi. Ztráta databáze totiž podle nich může znamenat nejen ztrátu důvěry zákazníků, ale i přímé ohrožení prodeje a či legislativní tresty. Ve stejné době pořádal v druhém sále Pavel Stěhule ze sdružení CZ.NIC Workshop na téma SQL injection - princip a ochrana.

Jakými cestami míří peníze ke zlodějům?

Oživení do hlavního sálu pak přinesla přednáška šéfredaktora serveru Lupa.cz Patricka Zandla, který na řadě reálných příkladů popsal metody okrádání na internetu. Podle Zandla se už hackeři přestali soustřeďovat na "velké kšefty" typu uloupení milionů dolarů, nýbrž se v současnosti soustředí spíše na trvalý, pohodlný a málo nápadný příjem. Internetoví zloději se tak nyní spokojují i se stovkami dolarů, čímž se objektem jejich zájmu můžu stát skoro kdokoli. Patrick Zandl také popsal několik případů internetových krádeží.

Například v americkém Kentucky se hlavnímu pokladníku státu dostal do počítače malware Zeus. Podvodníci pomocí něj získali přihlašovací údaje k bankovnímu účtu státu Kentucky. "Otestovali jeho platnost a přes Careerbuilder.com e-mailem našli muly, 25 žen ve věku 35 let," vysvětlil Zandl. Ty pak dostaly nabídku brigády, když měly za pár set dolarů přepsat nějaký text. Po splnění práce jim však na účet došla částka okolo 10 000 dolarů. Ženy na to "zaměstnavatele" (tedy hackery) upozornily, obratem dostaly omluvu s tím, že toto se jim stává často a žádost, aby si s částky ponechaly domluvenou sumu 200 dolarů a zbytek poslaly přes Western Union na Ukrajinu. Za týden se podařilo počítačovým pirátům dostat z účtu více než 415 000 dolarů.

Na závěr svého vystoupení potvrdil Patrick Zandl slova svých předřečníků, že se počítačoví zloději začínají čím dál více zaměřovat na sociální sítě a různé mobilní platformy. Zandl také upozornil na nebezpečí zkracovačů adres a na krádeže špatně zabezpečených databází. Na Patricka Zandla pak volně navázal svým workshopem konzultant a publicista Rastislav Turek, který blíže popsal strukturu černého trhu a popsal cestu odcizených peněz až do kapes zlodějů.

Závěr patřil zákonu o platebním styku

Poslední blok konference se věnoval euroregulaci a novému zákonu o platebním styku. Jako první vystoupila Markéta Hálová z České národní banky, které popsala novou právní úpravu poskytování platebních služeb, provádění platebních transakcí a vydávání a používání platebních prostředků.

Konferenci pak paralelně zakončila v hlavním sále panelová diskuze na téma platebního styku a euroregulaci a v přilehlých prostorách workshop Petra Kučery z Iuridicum Remedium, který návštěvníky seznámil s výsledky studie o uchování, zabezpečení a předávání dat o zákaznících ze strany poskytovatelů služeb internetového připojení a "webových" služeb v České republice. Čtěte více v nejbližších dnech na stránkách konference.


71

Výběr toho nejzajímavějšího o Internetové bezpečnosti ze serveru Root.cz v roce 2010

FTP autorizace na web hostingu v době masového vykrádání hesel

Tomáš Hála

Masové vykrádání přístupových údajů k FTP účtům v loňském roce postihlo všechny webhostery. Následující text ukazuje možnosti obrany účtů před zneužitím a je případovou studií, která popisuje zkušenosti s konkrétní implementací obranného opatření s využitím svobodných nástrojů ve společnosti ACTIVE 24.

Ukládání hesel a (ne)bezpečnost protokolů pro přenos souborů

Snad všechny nejpoužívanější FTP klientské programy umožňují svým uživatelům ukládat hesla a od chvíle, kdy tuto funkci začaly nabízet, je rovněž známo, že je velice snadné takto uložená hesla zpětně přečíst. Vývojáři na toto dříve nebo později zareagovali implementací šifrování uložených hesel s použitím tzv. master hesla, ale kupodivu nejrozšířenější a nejpoužívanější FTP klient tuto funkci zavedl až po velkém nátlaku v loňském roce jen v beta verzi svého klienta, když se začaly šířit viry, které z něj hesla masově vykrádaly a zneužívaly.

Často je v souvislosti s tím zmiňováno, že protokol FTP je velmi starý, má řadu nedostatků a ačkoliv existují moderní, prověřené a bezpečné protokoly pro přenos souborů, je FTP stále nejpoužívanějším způsobem přenosu souborů minimálně na poli klasického web hostingu tedy pro správu webových stránek. V tomto případě ale vůbec nejde o samotný protokol FTP, neboť stejným způsobem by mohla být vykrádána hesla k šifrovaným FTPS, SFTP, resp. SCP účtům.

Poznámka: Není bez zajímavosti, že v poslední době zaznamenáváme, jak jsou obdobným způsobem vykrádána uživatelům hesla na SMTP s autorizací, aby přes ně mohl být následně masově rozesílán spam, tedy problém se netýká jen protokolů pro přenos souborů.

Použití jiného protokolu a šifrování přenosu dat proto v tomto případě nepomůže, neboť bezpečnost zde závisí především na pohodlnosti uživatelů a kvalitní implementaci klientského programu, kde by velmi pomohlo, pokud by se šifrování používalo jako implicitní nastavení a uživatel byl vybídnut k zadání master hesla již během instalace nebo při prvním pokusu o uložení libovolného hesla. Ani jedno z toho ale nemůže poskytovatel služby v dostatečné míře ovlivnit a tak musí hledat jiné cesty, jak zákazníkům zabezpečit jejich účty.

Vykrádání a zneužívání uživatelských hesel, které masově probíhá od loňského roku, se dotklo každého webhostera. Ti lepší implementovali možnost zamykání FTP účtů nebo omezování přístupu na vydefinované IP adresy, řada ostatních věc jednoduše neřešila, resp. jen sepsala FAQ a zákazníky ponechali v pozici, že chyba je na jejich straně, tedy si ji musí vyřešit svépomocí.

Jak jsme k řešení přistoupili v ACTIVE 24

Nejprve se případy zneužitých FTP účtů objevovaly velmi sporadicky a řešili jsme je po objevení ručně změnou hesla, odstraněním škodlivého obsahu nebo obnovou celého webu ze zálohy z času před napadením a následnou komunikací se zákazníkem, kde mu bylo doporučeno, jak dále postupovat. Zároveň jsme spustili dva mechanismy automatické kontroly všech námi provozovaných webů na škodlivý obsah, abychom se o odcizení hesla dozvěděli co nejdříve a zkrátili tak na minimum čas, kdy může dojít ke zneužívání účtu a poškozování návštěvníků zákaznického webu.

První mechanismus spočívá v kontrole všech souborů změněných přes FTP na přítomnost sekvencí typických pro webový malware. Pro jejich hledání jsme za pomoci dříve zaznamenaných případů sepsali několik regulárních výrazů a ty spouštíme nad každým HTML/PHP souborem změněným přes FTP. Každá podezřelá sekvence je pak nahlášena a zkontrolována administrátorem. Druhý mechanismus využíval veřejnou část dat z databáze stránek se


72

škodlivým obsahem, kterou provozujeStopBadware.org resp. Google a vyhledával v nich podle názvu domény. Záhy se ukázalo, že uvedených případů přibývá, a tak jsme začali hledat možnosti protiopatření.

Motivací byla jednak snaha maximálně zákazníkům zabezpečit weby proti známé hrozbě, i když chyba v zabezpečení nebyla na našich serverech, ale na domácích počítačích zákazníků, a také zkušenost, že čekání, až vlna nějakého útoku opadne a problém se vyřeší sám, je přístup, který zkrátka nefunguje, problémy ve skutečnosti ustanou vždy až po zavedení účinného protiopatření.

První nápady

Nejprve se nabízela dvě možná řešení (která také později nasadila řada webhosterů):

1. Uzamčení FTP účtů a jejich odemykání přes zákaznické centrum (naši zákaznickou webovou administraci). Toto jsme považovali za příliš restriktivní opatření, které by velké množství zákazníků znatelně omezovalo v jejich práci, a to i těch, kteří si své heslo dobře chrání a nikde neukládají. K tomu správce stránek nemusí být totožný s majitelem hostingu a tedy nemusí mít ani přístup k zákaznickému heslu, a to zejména v případech, kdy existuje k jednomu virtualhostu více FTP účtů. Hrozilo, že si zákazníci začnou účty ve velkém opět odemykat a tím opatření samo ztratí svůj efekt. Dále bychom tím ohrozili bezpečnost dalšího a ještě důležitějšího hesla – toho do zákaznického centra, protože by jej bylo nutné používat mnohem častěji (tedy by jej častěji někdo ukládal do prohlížeče nebo psal na papírky u počítače apod.) a zadávalo by se častěji i na zavirovaných počítačích, odkud bylo vykradeno FTP heslo a kde je tak pravděpodobnější i přítomnost nějakého keyloggeru. V důsledku se tímto opatřením velkému počtu zákazníků přinese více problémů, než se jich vyřeší.

2. Omezování přístupu na FTP podle IP adres, které si definují sami zákazníci. Zde je problém s implicitním nastavením. Pokud účty implicitně znepřístupníme a povolíme přístup jen z definovaných IP, pro většinu zákazníků nastane stejný problém jako v předchozím případě. Následně budou složitě řešit, z jakých IP adres si tedy mají přístup povolit a nakonec stejně ve chvíli, kdy budou chtít na stránkách něco změnit např. z mobilního připojení, budou muset opět zjišťovat svou adresu a tu explicitně povolovat. Pokud bychom nechali účty implicitně otevřené odkudkoliv s možností volitelného omezení na definované IP, problém bude pro většinu zákazníků přetrvávat i nadále a nijak bychom je neochránili.

Dá se to řešit lépe?

Ačkoliv jsou obě opatření lepší než žádné, nelíbilo se nám ani jedno z nich a zaměřili jsme se více na IP adresu klientů, kterou kromě jména a hesla známe jako jedinou již v průběhu přihlašování.

Vycházeli jsme z toho, že uvedení správného uživatelského jména a hesla při přihlašování na FTP již nemůžeme považovat za dostatečnou autorizaci pro přístup k zákaznickému účtu a snažili jsme se najít způsob, jak s vysokou pravděpodobností podle IP adresy rozpoznat, jestli se jedná o oprávněný přístup nebo potenciální zneužití. Pokud by se to podařilo, mohli bychom zvolit podobný princip, který se nám již osvědčil na mailovém clusteru. Na něm podle testů IP adresy SMTP klienta rozhodujeme, jestli mail rovnou přijmeme nebo bude greylistován. A protože podezřelost IP adresy jako potenciálního spammera dokážeme určovat s vysokou pravděpodobností, dokážeme také převážnou většinu regulérní pošty přijímat bez zdržení a zároveň spam odmítat hned na začátku procesu přijetí mailu. FTP logy u napadených účtů ukazovaly zcela zřejmě, že útoky přicházejí ze zahraničí. Zároveň jsme se analýzou všech logů přesvědčili o tom, že drtivá většina zákazníků přistupuje na FTP z adres registrovaných v ČR nebo SR (dle GeoIP databáze).

Chtěli jsme tedy autorizaci na FTP rozšířit o GeoIP testy. Autorizace u nás využívá modulů PAM, nicméně neexistuje žádný modul jako pam_geoip. Tento jsme později sami v testovacím prostředí implementovali, ale implementace se velice zesložiťovala našimi dalšími nároky a ukázala se jako značně neflexibilní pro provádění později definovaných kontrol. Chtěli jsme GeoIP testy následně spojit s možností individuální konfigurace IP adres oprávněných k přístupu na FTP účet.

Po dalším testování padla volba na velice jednoduchý a poměrně málo známý modul pam_exec, který pro ověření autorizace jednoduše zavolá externí příkaz, v našem případě python script. V tomto scriptu jsme již dokázali velice rychle implementovat potřebnou funkčnost. Script dostane vstupní informace prostřednictvím systémových proměnných PAM_USER a PAM_RHOST, IP adresu klienta ověří dle GeoIP databáze a individuálních


73

nastavení zákazníka a následně pomocí exitcode předá zpět informaci o povolení nebo zamítnutí přístupu. Mohli jsme tak rychle vytvořit nové implicitní nastavení schopné produkčního nasazení, které povoluje přístup jen z CZ/SK IP adres, což je doposud nejvhodnější nastavení pro většinu našich zákazníků a volitelně šlo účet otevřít pro přístup odkudkoliv.

Řešení má zjevně i své slabší stránky Spíše drobnost, která ale může být v některých případech matoucí, tkví v tom, že přes modul pam_exec není možné zpětné předávání informace o tom, proč byla autorizace zamítnuta, tedy výsledné chybové hlášení pro klienta je stejné, jako kdyby zadal špatné jméno/heslo.

Zjevná je ale větší slabina – řešení se stane neúčinným ve chvíli, kdy by útočníci na FTP účty přistupovali přímo z počítačů, kde ukradli příslušné přístupové údaje. O tomto problému samozřejmě víme, ale realita je taková, že v současné době útoky tímto způsobem vedené nejsou a pravděpodobnost, že by byl počítač použitý k útoku (obvykle součást botnetu) zrovna v českém či slovenském IP rozsahu, se ukazuje jako velice malá. V praxi naopak zaznamenáváme chování, kdy je každý soubor na napadeném účtu měněn z jiné IP adresy. Naše řešení je v každém případě postavené tak, že umožňuje do budoucna snadno a libovolně testy IP adres modifikovat podle aktuálního vývoje hrozeb (výkonnou část obstarává běžný Python script). Pokud by se tedy způsob vedení útoků změnil, můžeme do testů zahrnout i další proměnné, jako je například čas (ať už aktuální čas nebo časový odstup od jiné události). Podobné úvahy a modifikace tedy mohou přijít, jestliže se způsob útoků změní. Situaci samozřejmě průběžně sledujeme, ale zatím nic nenasvědčuje tomu, že by se útoky nějak významně vyvíjely.

Zkušenosti po nasazení

Nejdůležitější poznatky jsou dva:

1. Od nasazení tohoto způsobu FTP autorizace jsme několik následujících měsíců nezaznamenali jediný případ zneužitého FTP účtu, tedy účinek byl zásadní! Později se sporadicky několik jednotlivých případů objevilo, ale většinou se týkaly účtů, kde si zákazník sám přístup otevřel odkudkoliv.

2. Objevilo se naprosté minimum případů, ve kterých nové nastavení způsobilo zákazníkovi nějaké omezení, a pokud ano, dostal velice rychle radu, jak postupovat. Řádově šlo o promile z celkového počtu aktivních FTP účtů.

Na základě připomínek několika zákazníků jsme ověřovací script následně rozšířili a umožnili tak přes zákaznické centrum těm náročnějším navolit libovolné země, IP adresy nebo celé IP rozsahy, ze kterých chtějí na FTP přístup povolit.

Vysoká efektivnost tohoto řešení spočívá právě v implicitním nastavení, které chrání naše zákazníky, aniž by museli sami zkoumat, co je pro ně nejvhodnější a aniž by byly obtěžováni odemykáním a zamykáním svých účtů nebo změnami IP adres u svých ISP. Využíváme zde stejného principu, který razí tzv. behaviorální ekonomie, a díky němu chráníme ve výsledku velkou většinu klientů před chybami na jejich vlastních počítačích, aniž bychom komukoliv omezovali možnost volby, jak chce mít přístup k vlastnímu účtu nastaven. Ohlas na tento způsob FTP autorizace byl velice pozitivní a záhy jsme jej rozšířili i na službu dedikovaných serverů pro nejnáročnější zákazníky. Potvrdila se i naše dlouholetá zkušenost, že nejúčinnější řešení bývají většinou poměrně jednoduchá, „jen“ se na ně musí přijít a vše uvést do praxe.

TabNabbing krade přihlašovací údaje nepozorným

Martin Malý

O phishingu, česky „rhybaření“, tedy metodách pro odcizení přihlašovacích údajů pomocí podstrčených stránek, které se tváří jako přihlašovací stránky webových služeb, se v poslední době hovoří poměrně často. Metod, jak podstrčit nepozornému uživateli takovou podvodnou stránku, je velké množství. Novou zajímavou metodou je TabNabbing, který popsal odborník na uživatelská rozhraní Aza Raskin.


74

Většina současných phishingových metod je založena na tom, že útočník podstrčí oběti více nebo méně zamaskovanou URL adresu, nejčastěji mailem, spolu s historkou o tom, proč by se měl dotyčný přihlásit. Historka mívá většinou silný apel („pokud se nepřihlásíte, tak přijdete o účet / o peníze / zablokujeme účet“) a spoléhá se na to, že dostatečně vystrašený uživatel v té rychlosti přehlédne, že adresa stránky, kam svoje údaje zadává, je jiná než adresa jeho banky či PayPalu.

Informace o těchto metodách se ale naštěstí šíří a lidé začínají být k podobným výzvám, šířeným mailem, zdravě nedůvěřiví, obzvlášť když banky a další podobné instituce opakují: Nikdy vám nebudeme posílat maily se žádostí o změnu hesla! Před zadáním údajů si zkontrolujte adresu! Navíc i prohlížeče a mailové programy začínají mít ochranu proti podobným podvodným stránkám zabudovanou.

Jak vypadá TabNabbing

TabNabbing (informovali jsme ve zprávičce) vychází ze stejného předpokladu a využívá rovněž nepozornosti, ale přistupuje k ní trochu jiným způsobem. (Zde je na místě podotknout, že jde o teoretický koncept, který zatím na své masivní nasazení pro krádeže přihlašovacích údajů čeká.) Typická krádež pomocí TabNabbingu by vypadala takto: Pracujete se svým prohlížečem a v záložkách (tabech) máte otevřené stránky, na které se chcete podívat. Hledáte, řekněme, nějaký výrobek, a otvíráte si odkazy, které vás zaujaly, do nových záložek. Pak vás zaujme ještě něco, a po chvíli máte v záložkách už zmatek, máte třicet otevřených stránek a je načase si je projít. A jak si je tak procházíte a postupně zavíráte, tak v jedné objevíte přihlašovací formulář ke GMailu. „A jo, to mě asi odhlásili pro nečinnost,“ řeknete si a přihlásíte se. Otevře se vám váš GMail a vše vypadá naprosto v pořádku. Ale přitom už má vaše přihlašovací údaje útočník.

Jak se to stalo? Je to prosté: Stránka, která provozuje TabNabbing, je na první pohled naprosto nenápadná – může to být klidně i reálná webová stránka, napadená skriptovým trojanem či pozměněná pomocí permanentního XSRF tak, že spouští TabNabbingový skript. Dokud se na stránku díváte, tak nedělá nic. Jakmile ale přepnete na jinou záložku, tak počká a po určitém čase změní ikonku v záložce a obsah na stránce tak, aby vypadal jako, řekněme, přihlašovací stránka GMailu. (Jak si ověří, že uživatel na GMail chodí, to si ukážeme později.) URL je sice jiné, ale nepozorný člověk si toho ani nevšimne. Pokud zapomene, že neměl GMail otevřený, nebo že ho má otevřený v jiném tabu, vypadá vše velmi věrohodně – člověk si pamatuje, že na GMailu byl, že ho měl někde otevřený, tak to asi je to okno, a pravděpodobně ho odhlásili, tak se zase přihlásí… Ani ho nenapadne, že právě v tomhle TABu měl původně stránku (třeba) s přehledem letních folkových koncertů. Po odeslání údajů (samosebou na útočníkův server) si útočník údaje uloží a přesměruje oběť na pravý GMail. A protože je velmi pravděpodobné, že byl uživatel předtím přihlášený (a k žádnému automatickému odhlášení ve skutečnosti nedošlo), tak uvidí to, co vidět má – tedy svou schránku. Na první pohled je tedy vše tak, jak to mělo být a uživatel nemá nejmenší podezření.

Jak personifikovat útok?

Samosebou je nesmysl ukázat nevinné oběti stránku webu, kde nemá účet. Chce to alespoň trochu věrohodnosti, tudíž je na místě ověřit si, jestli oběť na té stránce, kterou chce útočník podvrhnout, alespoň někdy byla. Což není tak obtížný problém, a výrazně to zvýší pravděpodobnost, že oběť podvodné stránce naletí.

Kam chodíte, může prozradit nejen historie vašeho prohlížeče, ale při trošce šikovnosti i prohlížeč sám. Jeden z hezkých triků, který popisuje např. Pepak na svém blogu, je založený na využití rozlišování navštívených a nenavštívených odkazů. Prohlížeč totiž, pokud není tato funkce explicitně potlačena, rozlišuje vizuálně navštívené a nenavštívené odkazy. Stačí pak přiřadit navštíveným odkazům („a:visited“) určitou specifickou barvu, a pomocí skriptu lze snadno zjistit, jestli uživatel na nějaké stránce byl nebo ne. Můžete se podívat na demonstrační kód, který hledá informace o tom, jestli jste byli na Rootu, Zdrojáku, Lupě, Seznamu a Centru – ale může tam být klidně i URL banky, PayPalu, GMailu či Facebooku.

Obrana

Obrana je prostá: Zkontrolovat si vždy URL, než napíšeme přihlašovací údaje. Mohou pomoci všelijaké automatické vyplňovače typu Roboformu – člověka přinejmenším zarazí, když mu na stránce, na kterou pravidelně chodí, nevyplní Roboform přihlašovací údaje, a při bližším zkoumání zjistí, že je vlastně jinde. TabNabbing nijak nemodifikuje základní princip phishingu: Nepozorný uživatel vloží své údaje do stránky, která se tváří jako nějaká


75

jiná. Nový je jen způsob, jak oběti tuto stránku podstrčit. Vzhledem k obrovskému počtu kompromitovaných WWW stránek a velkému počtu stránek, které umožňují XSS útok, je pravděpodobné, že se s ním v budoucnu budeme setkávat. Je totiž oproti posílání odkazů mailem ještě o něco nenápadnější. Mějme se tedy na pozoru.

Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS?

Ondřej Filip

V létě 2010 proběhla historicky první DNSSEC KSK ceremonie, která odstartovala poslední fázi procesu podpisu kořenové zóny. V dnešním článku bych vás rád seznámil s tím, jak byla tato fáze ukončena a jaké další významy podpis kořenové zóny vlastně má.

Druhá ceremonie

Snad mi technicky orientovaný čtenář odpustí, že na rozdíl od kolegy už vynechám detaily a naopak budu trochu spoléhat na to, že už některé role a zkratky vysvětlil. Nicméně pokud by byl zájem o konkrétní detail, rád zodpovím případné dotazy pod tímto článkem.

Celý systém podepisování kořenové zóny je od počátku navržen tak, že na dvou různých místech na světě poběží dva páry zcela analogicky nastavených kryptografických strojů (HSM – hardware security module), ve kterých je uložen klíč pro podepisování klíčů (KSK) ke kořenové zóně DNS. První takové místo je na východním pobřeží USA (Culpeper), kde celá ceremonie začala, a druhé takové místo je na západním pobřeží USA v městečku El Segungo, poblíž Los Angeles.

Stejně jako ta první je i druhá lokalita velice kvalitně zabezpečena, opět se setkáte s komplikovanou vstupní procedurou, kontrolami dokladů, skenery oční rohovky nebo otisků prstů, čipovými kartami, zadáváním hesel a pauzami mezi jednotlivými vstupy. Pro vstup do nejdůležitějších částí zabezpečené místnosti k trezorům je opět potřeba několik lidí a podobně. Zatímco v první ceremonii byl vygenerován vlastní KSK a podepsán klíč pro podepisování zóny (ZSK) pro první období (červenec až září), smyslem druhé ceremonie bylo rozběhnout druhou lokalitu jako věrnou kopii té první a podepsat ZSK pro druhé období (říjen až prosinec).

Celé to proběhlo tak, že každý ze sedmi Crypto Officerů (CO – jiní lidé než v Culpeperu) nejprve dostal klíč k bezpečnostní schránce v jednom z trezorů. Pak se iniciovaly příslušné HSM pro CO, byly nastaveny karty, které jsou nutné pro ovládání tohoto druhého páru HSM (tedy přesně řečeno, stačí tři ze sedmi pro každé zařízení). Dále bylo zkontrolováno a rozpečetěno pět pytlíků (TEB – Tamper Evident Bag) s kartami iniciovanými v předchozí ceremonii na východním pobřeží a z těchto pěti karet (4 x SMK + 1 x AP) byly přeneseny KSK do obou HSM. SMK karty pak byly skartovány, takže jediný způsob, jak se dostat ke klíči je přes SMK karty, které mají u sebe Recovery Key Share Holdeří (RKSH), kteří jsou na geograficky různých místech. Z HSM strojů by to pochopitelně jít nemělo. Pak došlo v podpisu již zmiňovaného ZSK (přesněji Key Signing Request – KSR), které přinesl zástupce společnosti Verisign. A nakonec opět CO zapečetili a uložili své karty do bezpečnostních schránek v trezoru. Celá tato popisovaná akce trvala zhruba šest hodin a účastnil se ji trochu menší počet lidí oproti východnímu pobřeží především proto, že zde už nebyli RKSH.

Strategický pohled

Pojďme teď na chvíli odhlédnout od technologických detailů a zkusme se na význam celé akce podívat z trochu jiného pohledu. Kořenová zóna byla až dosud zcela spravována a generována skupinou amerických subjektů (ICANN, NTIA, Verisign). I když by se mohlo zdát, že podpis kořenové zóny je jen určitým technickým detailem, zástupce mnoha vlád trochu dráždil fakt, že by měli důvěřovat klíčům, které vygenerovaly instituce USA. Proto byli poprvé do zásadního procesu spojeného s kořenovou zónou vpuštěni zástupci komunit mnoha států ze všech geografických regionů.

Samozřejmě tento proces není úplně dokonalý, ale je to rozhodně zajímavý začátek. Kritici by například mohli namítnout, proč například není žádný uzel mimo území USA. V této souvislosti je zajímavé zmínit, že švédská vláda údajně nabízela jeden ze svých vojenských bunkrů pro tento účel. Stejně tak je zajímavé, že žádná část klíče


76

neopustila USA, což byla podmínka americké agentury NTIA [PDF]. CO drží pouze klíčky od bezpečnostních schránek trezorů a RKSH mají pouze části klíče, který umí dekódovat zašifrovaný KSK na AP kartách, které zůstaly u ICANNu.

Nicméně ještě jednou opakuji, že jde o značný posun a každopádně o příslib do budoucna. Zástupci ICANNu několikrát opakovali, že tento stav rozhodně nepovažují za neměnný a že budou na vylepšování situace a vlastních ceremonií dále pracovat. Rozhodně jim nelze upřít snahu o maximální otevřenost a transparentnost, například celá tato druhá ceremonie byla online streamovaná.

A jen na okraj uvedu jeden příklad za všechny, v průběhu ceremonie jsem si uvědomil, že jediná část systému, která není nijak auditovaná, je právě upravená linuxová distribuce (CentOS live) uložená na DVD, ze kterého bootuje onen speciální notebook. Požádal jsem tedy zástupce ICANNu, zdali bychom mohli v nějakém nezávislém zařízení udělat kontrolní součet, aby bylo později doložitelné, jaký software vstupy do HSM ovládal, a abychom tuto distribuci mohli dodatečně auditovat. Mimochodem, kopii DVD už máme v držení a pracujeme na tom. A ačkoliv tato akce znamenala další protažení již tak poměrně dlouhé ceremonie a především přidání a změnu pořadí bodů v tomto komplikovaném procesu, bez námitek mi vyhověli.

Česká role

Tímto jsem si tak trochu připravil půdu k dalšímu pohledu na celou věc. Pevně věřím, že vás, čtenáře českého internetového magazínu potěší následující zajímavý fakt. Pouze zástupci tří států byli přítomni na obou ceremoniích, šlo o USA, Švédsko a Českou republiku.

(Snad mi zaměstnanci multikulturního ICANNu prominou, že jsem je tak šmahem označil za Američany, vnímám to teď spíše dle bydliště, jinak například Mehmet Akcin je narozen v Turecku a má dvojí občanství, Kim Davies je Australan a Francisco Arias je Mexičan.)

Role Američanů je myslím dostatečně jasná. Švédi se díky tomu, že DNSSEC spustili jako první a mají s ním nejdelší operační zkušenosti, významně podíleli na přípravě designu celé akce. A od nás zástupců země s největším počtem podepsaných domén, se spíše očekávalo, že budeme celý proces komentovat a hledat případné slabiny. Tímto bych chtěl poděkovat kolegovi Ondřeji Surému, protože se své role v Culpeperu zhostil velice dobře. Koneckonců naši práci budete moci ohodnotit, jakmile budou zveřejněny nahrávky z obou akcí a to by mělo být brzy. Schválně zkuste spočítat, kolikrát se při druhé ceremonii objevily výrazy „Ondrej“ a „other Ondrej“.

První globální PKI

Dalším zajímavým aspektem celého procesu je fakt, že je to snad poprvé, kdy byla vytvořena globální kryptograficky zabezpečená databáze, na které se podílí prakticky všechny státy světa. Uvědomme si, že velice brzy bude možné jednotným způsobem kryptograficky ověřit správnost údajů v (DNS) databázi například USA, Namibie, Srí Lanky a Ruska. Pokud je mi známo, toto se zatím nikde jinde nepovedlo. Zároveň díky tomu, že se DNS mění v bezpečnou databázi, bude možné DNS používat ke zcela novým aplikacím.

Některé doménové registry už pracují na standardizaci ukládání SSL certifikátů do DNS, v současné době už je to možné „v menším“ pro SSH – záznam IN SSHFP. Zájemce o detaily odkazuji na mou přednášku z konference Internet a Technologie 09. A obdobných aplikací jistě ještě přibude, každého možná napadne nějaká spojitost s IPSEC a podobně. Jinými slovy DNS systém prochází zásadním evolučním krokem, který jej posunu významně vpřed.

Perličky na závěr

Milovníkům zajímavostí jsem na závěr připravil pár údajů:

• Ještě pořád zůstává vzpomínka na Československo – Rick Lamb se při představování účastníků ceremonie přeřekl a řekl, že pocházím z „Czechoslovakia“, vzápětí se ale opravil.

• Celá šestihodinová ceremonie měla zhruba 200 různých kroků a pár dalších bylo přidáno v průběhu (tzv. výjimky, které jsou zaznamenané v protokolu).

• Ve chvíli, kdy jeden z CO ukládal své karty do bezpečnostní schránky, se zjistilo, že schránka nejde


77

odemknout. Byla mu tedy přidělena jiná schránka, ale je to trochu nepříjemné. K další ceremonii budou pozváni pouze čtyři CO a k ovládání zařízení jsou nutní nejméně tři. Pokud by tedy například jeden měl komplikace s příletem a pak další schránka nefungovala, přišla by na řadu vrtačka.

• Že konfigurace použitého HSM zařízení není příliš uživatelsky příznivá dokládá následující pasáž z bodu 70 rozpisu ceremonie: e.g. if LCD display shows ”key import disable“ this means key import is enabled. Podotýkám, že nejde o omyl.

Potřebujete obejít CAPTCHA? Zaplaťte si armádu Indů

Adam Štrauch

Jednou z nutných a zároveň nenáviděných technologií pro „kontrolu lidskosti“ se stala CAPTCHA. Malý obrázek, ze kterého stačí opsat pár písmen, se za posledních pár let stal spíše surrealistickým dílem, kde se původní kód hledá jen velmi těžko. Všechno v posledních letech ale vyřešila armáda opisovačů z Indie.

Spam útočí na svět ve všech formách a nevyhnou se ho ani běžné internetové diskuse. Tam kde to nezaneřádí uživatelé, tam se dostane nějaký spambot a práci dokončí. Výsledkem je pak nelogický text protkaný různými adresami a to nejlépe ve stovce instancí pod každým článkem. Obrana proti tomu prakticky neexistuje, protože i když se povede zkomplikovat odesílání přes JavaScriptový kód a na první pohled nesmyslný obrázek, spameři si vždy najdou cestu, jak se přes nástrahy dostat.

Centrem celého problému je rozeznat člověka a stroj. O to se lidé snaží od počátku spamu samotného. Člověk sice také může občas někam něco poslat, ale ne v takovém množství jako robot. Nejjednodušší způsoby rozeznání člověka od robota začínají jednoduchými rovnicemi, otázkami nebo stačí prostě opsat text, který najdeme někde u toho správného políčka formuláře.

Pokročilejší formy tohoto postupu jsou většinou založeny na obrázcích s kódem a říká se jim CAPTCHA. Uživatel opíše kód z CAPTCHA obrázku do připraveného políčka a jeho zlidštění je na světě. Dříve stačilo pouze vygenerovat jednoduchý obrázek, kde nebyl text nějak deformován. S postupným růstem výkonu počítačů a pokročilejším OCR mechanismem se podařilo spamerům překonat téměř všechny CAPTCHA obrázky, které jim přišly pod ruku. Provozovatelé služeb na to reagovali většinou zkomplikováním samotného obrázku, až se nakonec obrázky začaly stávat nečitelnými i pro samotné lidi. Navíc je CAPTCHA nečitelná pro zrakově postižené uživatele, což je problém, který většina poskytovatelů služeb s CAPTCHA úspěšně ignoruje.

Dnes už není problém narazit na CAPTCHA kód, který budete opisovat na několikrát, protože nejde rozeznat, jestli se jedná o velké či malé písmeno, jestli to je 1 nebo l nebo 0 či O. Hranice mezi čitelností robotem a člověkem se téměř dotýkají a velmi často už tak obtěžující CAPTCHA obtěžuje samotné uživatele takovým způsobem, že službu raději opustí.

Řešením se nakonec stává třeba zrušení CATCHA kódu u registrovaných uživatelů, audio CAPTCHA u které si uživatel kód přehraje a je tak vhodná i pro zrakově postižené uživatele a u některých menších stránek si vystačí i s JavaScriptem. Všemi třemi postupy se více či méně otrávenost uživatelů zmírní, ale nezmizí a časem i ty budou prolomeny, ať půjde o jakkoli důmyslný postup.

DeCAPTCHA army

Pokud si do Googlu zadáte „CAPTCHA bypass“, hned na první nalezené stránce najdete službu decaptcher.com, kde vám za 2 USD přečtou 1000 CAPTCHA kódů. Minimální platba je 10 USD, takže v přepočtu za nějaké dvě stovky můžete odeslat např. 5000 SMSek z SMS brány Vodafonu, což v přepočtu na jednu SMSku dělá víc než dobrou cenu a zajímavou alternativu třeba pro informační systém, kde se mají odesílat SMSky.

Služba je založená na lidské síle, tedy něco jako DeCAPTCHA army, kde určitý počet velmi málo placených Indů sedí a opisují kód z obrázků jak na běžícím páse. Pro zákazníka je k dispozici C/C++/C#/Perl/PHP API, takže ten to má na druhou stranu víc než pohodlné a neměl by mít problém API zařadit do své aplikace. Pokud ano, může použít HTTP bránu.


78

Právě v Indii se tento business rozrostl do obrovských rozměrů. Jak se můžete dočíst na zdnet.com, v Indii najdete ohromné množství týmů lidí, 24 hodin denně opisují jeden kód za druhým. Jde o práci, kde není potřeba vzdělání, není stanovená pevná pracovní doba, mzdu dostávají zaměstnanci každý týden, práci lze vykonávat doma a ve svém okolí mohou říkat, že pracují ve zpracování dat, jak se pozici oficiálně říká.

Každý u týmů má samozřejmě své limity, ale pokud potřebujete službu jen na několik SMSek, i ty vám budou stačit a z 10 USD vyžijete velmi dlouho. Ve službách panuje velká konkurence, a když dokážete dobře zaplatit, dostanete i milión kódů za den, každý do deseti sekund. Co jsem ale pozoroval, tak se hodnoty pohybují u neVIP uživatelů v rámci deseti až šedesáti sekund. Takto řešené dekódování CAPTCHA kódů překousne prakticky každý dnešní kód, který se objeví, včetně takových služeb jako je Facebook, YouTube, MySpace nebo kód od Googlu.

Jakoukoli poptávku v digitálním světě dřív nebo později pokryje nabídka. Jedinou ale zároveň časově dočasnou zbraní proti takovýmto lidským mašinám je udělat kódy méně čitelné a navíc složité, třeba zkombinování nějaké delší matematické úlohy. Výsledkem ale nakonec bude zvednutí ceny podobných DeCAPTCHA army a delší čekání na samotný kód. Navíc přijdete o samotné uživatele.

Odkazovaná služba navíc není jediná, takže se dá říct, že CAPTCHA kódům pomalu zvoní hrana. Na velkých a populárních službách budou téměř neúčinné a vždy se musí kombinovat s dalšími opatřeními.

Jak to funguje

Nedalo mi to a hned jsem si musel jeden DeCAPTCHA tým vyzkoušet. Vybral jsem si ten, o kterém jsem psal hned na začátku. Službu najdete na decaptcher.com. Registrace, platba, použití, všechno šlo bez jediného zádrhelu, je to jednoduchý, levný a funkční systém.

Po registraci na stránkách decaptcher.com se dostanete do jednoduché administrace, kde hned v úvodu vidíte základní statistiky pro váš účet. Já zamířil po rozkoukání do menu Balance, kde jsem si dobil 10 USD, ke kterým mi bylo hned přičteno 1,9 USD jako DPH. To by mělo stačit na 5000 pokusů, což je víc než dost.

Hned potom jsem se začal shánět po nějakém API a zacestoval do menu Downloads, kde jsou na výběr programovací jazyky, které jsem vyjmenoval výše, a k nim se jich ještě pár přidává a to jak pro Linux, tak pro Windows. Tady nastalo první zklamání, protože Python přítomen nebyl, i když je zmíněn na hlavní stránce. To ale vůbec nevadí, protože komunikace se službou jde realizovat i přes HTTP, metodou POST.

I když by se mohlo zdát, že API také používá HTTP, není to tak. To se připojí na daný server s daným portem a data pošle více surovou cestou. Pokud bych se o podobnou službu někdy zajímal, určitě bych použil Python, takže jsem zůstal u HTTP a použil ke komunikaci moduly httplib a urllib z Pythonu.

Nicméně svůj první pokus jsem realizoval přes HTML formulář, který jsem našel v sekci Downloads společně se všemi API a dokumentací.

<form method="post" action="http://poster.decaptcher.com/" enctype="multipart/form-data"> <input type="hidden" name="function" value="picture2"> <input type="text" name="username" value="<jméno>"> <input type="text" name="password" value="<heslo>"> <input type="file" name="pict"> <input type="text" name="pict_to" value="0"> <input type="text" name="pict_type" value="0"> <input type="submit" value="Send"> </form>

Pro test jsem si vybral CAPTCHA kód, který je paradoxně potřeba pro přihlášení do služby samotné i pro registraci do ní. Za třicet sekund jsem dostal řetězec shodný s kódem na obrázku a k tomu několik dalších informací, nutných hlavně pro případné opakování požadavku, kdyby CAPTCHA kód neseděl. Bylo tedy načase pustit se do toho ve větším měřítku a odeslat dvacítku kódů za sebou s různou obtížností.

Výsledek je takový, jaký se dal čekat. Na kód si počkáte většinou kolem půl minuty, ale na delší i kratší časy narazíte také. Zkoušel jsem rozpoznat tyto kódy dvakrát, a to poprvé za 2 USD na 1000 kódů a podruhé za 12 USD na 1000 kódů, což by mě mělo zařadit na vyšší prioritu. U kódů, které bych sám nějak vykoumal, se trefili i v Indii.


79

Pár kódů, které bych ani já nerozlouskl, se v Indii někdy pokusili nějak uhodnout a někdy mi vrátily chybu – 7, což ve výpise označuji jako ---.

Závěr

Po vyzkoušení decapcher.com můžu s čistým svědomím říct, že běžné CAPTCHA kódy se takhle dají porazit a kdo má několik dolarů, tak pro vlastní potřebu jde o službu téměř zadarmo. Samozřejmě je ale cílová skupina jinde. Nikdo nebude organizovat tým lidí na čtení a zapisování CAPTCHA kódů pro několik desítek požadavků za den. Je to business, kde je hodně peněz a Indové se svou levnou pracovní silou chytli příležitosti. To je také důvod, proč mám při použití služby určité morální pochybnosti a zároveň obavy o její spolehlivost. Rozhodně bych si netroufl postavit nějakou seriózní službu na decapther.com. Pokud ale jde jen o nějaké odesílání pár SMSek třeba přes Jabber transport pro potřeby několika jednotlivců, není nad čím váhat.

Věříte opravdu jen důvěryhodným certifikačním autoritám?

Ondrej Mikle

Electronic Frontier Foundation ohlásil projekt SSL Observatory, který sleduje veřejně viditelné SSL/TLS certifikáty. Závěr není lichotivý – i když si dokážete vybrat kořenové certifikační autority, tranzitivní důvěra v SSL/TLS modelu způsobí, že budete důvěřovat někomu, komu byste jinak nedůvěřovali.

Electronic Frontier Foundation ohlásil projekt SSL Observatory, který spočívá ve sledování veřejně viditelných SSL/TLS certifikátů na veřejně dostupných strojích. Je zatím dostupná prezentace (PDF), později i MySQL databáze s nasbíranými certifikáty přes BitTorrent. Výsledek několikaměsíčního sběru certifikátů lze shrnout asi následovně:

Mírně bulvárně: největší absurdity

• „pravé“ 192.168.1.2 je podle US Equifaxu v Texasu; podle belgického GlobalSign je v USA, UK, Švýcarsku a Belgii, i s dvojí identitou jako 77.76.108.82

• doménové jméno localhost je podepsáno více než 6000krát různými CA (člověk by doufal, že si vedou nějaký záznam, co už podepsali)

• cca 28 000 podepsaných certifikátů vygenerovaných bugovitým OpenSSL v Debianu, naštěstí jenom asi 500 validních (důsledek nízké entropie při generování klíče)

Skutečné zranitelnosti

Po troše bulváru a jiných nezaměnitelných znaků člověčenstva se podíváme na skutečné problémy. Závažné chyby schématu spočívají v takzvaných intermediate CAs, což jsou certifikační autority, jejichž kořenový certifikát nenaleznete přímo v prohlížeči nebo keystoru, nýbrž jsou důvěryhodnými kořenovými CA podepsány.

Jádro problému spočívá v X509v3 rozšíření BasicConstraints: CA: TRUE. Rozšíření BasicConstraints společně s rozšířením KeyUsage: Certificate Signing umožňuje nějaké certifikační autoritě (které explicitně nemusíte věřit) podepsat libovolné doménové jméno (finta spočívá v tom, že důvěra není tranzitivní, jak to předpokládá SSL/TLS PKI model). Chyba schématu je umocněna faktem, že existují spousty společností, které mají vlastní intermediate CA (Google, Microsoft, Dell, Ford…).

Konkrétní příklad

Nejlépe konkrétní příklad – vezmeme si certificate chain na https://www.etisalat.ae (doporučuji zadat si tohle doménové jméno do SSL Labs testovače a podívat se na výsledky).

Certificate chain vypadá následovně (kromě spousty jiných „drobných“ vad jako povolené slabé symetrické šifry se třeba v Opeře ukazuje nesprávné pořadí certifikátu v chainu, protože server ho posílá ve špatném pořadí):


80

GTE CyberTrust Global Root (serial 0x1a5, SHA1 fingerprint 97:81:79:50:D8:1C:96:70:CC:34:D8:09:CF:79:44:31:36:7E:F4:74)

\- Comtrust Root Certification Authority; basic constraints: CA:true; O: Etisalat

\- Comtrust Server Certification Authority; basic constraints: CA:true; O: Etisalat

\- www.etisalat.ae

Výše uveden certificate chain říká jednu zásadní věc: mobilní operátor Etisalat umí ve své síti udělat SSL MITM a každý mu bude důvěřovat (protože certifikát GTE CyberTrust Global Root je součástí Firefoxu, Opery, Windows, Androidu, …). Totéž umí udělat libovolná intermediate CA, bez toho, abyste jí přímo věřili. Historický Internet Explorer 5.0 nekontroloval ani BasicConstraints, proto původně vznikl nástroj sslsniff. S nástrojem jako sslsniff není potřeba žádné chyby prohlížeče, když podvádí intermediate CA – prostě podepíše libovolné doménové jméno (viz níže – Etisalat je již z podvádění usvědčena).

Zakazované BlackBerry, Android/iPhone projde

Možná jste si všimli i v mainstream médiích, jak se postupně nabalovaly různé státy, které se snažily buďto zakázat BlackBerry zprávy nebo je omezit (Spojené arabské emiráty, Saudská Arábie, Indie aj.). Důvodem je, že BlackBerry nelze ani přes triky s intermediate CA donutit ke kompromitaci zpráv (BlackBerry messaging service je navržen jinak než SSL/TLS PKI model). Možnost kompromitace SSL nezávisí na platformě (je jedno, zda máte Android/iPhone/Li-nux/Windows). Certifikát operátora Etisalat nebyl vybrán náhodně, je to operátor, který se již snažil prosadit spyware na BlackBerry komunikátory. Paradoxně se na to přišlo, protože „odposlouchávací služba“ nezvládla nápor zařízení a BlackBerry se pořád pokoušelo v cyklu připojit, což se projevilo postranním kanálem jako výrazně snížená výdrž baterie telefonu.

Jak se bránit

Hrozbě intermediate CAs se nelze jednoduše vyhnout (i lidé, kteří toho vědí mnohem víc než já, se neurčitě zašklebí a zahlásí, že „SSL/TLS PKI model is broken“). Pořád lze alespoň mírně snížit riziko:

• Obecně: v prohlížečích smazat nebo nastavit na nedůvěryhodné certifikáty jako GTE CyberTrust Global Root, pak všechny který obsahují frázi „government CA“ v libovolné permutaci libovolného zemi – zní to hodně neurčitě, ale třeba taiwanskou státní CA nebo nizozemskou státní CA nejspíš nikdy nebudete potřebovat (já vím, pořád žádná výhra, nikdo neví, jaké CA zvolit, záleží jedině na individuálním paranoidním nastavení; zvolte jako důvěryhodné CA certifikáty používané ty, které používá vaše banka nebo běžně používané služby)

• Firefox: použijte rozšíření Certificate Patrol, jeho účinnost spočívá v tom, že pozná, když se certificate chain změní, budete o tom vědět.

• Opera: v nastaveních Advanced-Security-Manage Certificates-tab Authorities-vybrat CA+klik View-Warn me before using this certificate.

• Android: rootnout telefon, přes adb pull a adb push získat, vyfiltrovat a uložit certstore, je uložen v /system/etc/security/cacerts.bks.

Odvrácená strana virtualizace

Petr Hájek

Virtualizační technologie se již napevno zabydlely v našich slovnících i životech a zdají se být čile k světu. Jak to tak ale bývá, každá mince má dvě strany, kterých je záhodno být si při nasazení a správě dokonale vědom, jinak se můžete dostat do velmi vážných bezpečnostních problémů.

Na úvod jako obvykle pár slov definic. Pojmem „virtualizace“ se v IT branži popisují takové technologie, které umožňují k dostupným zdrojům přistupovat jiným způsobem, než jakým fyzicky existují. Důvodů pro virtualizaci je mnoho, takže si zmíníme jen těch pár nejzajímavějších. Podobné prostředí je často lépe přizpůsobeno potřebám uživatel a skrývá před nimi nepodstatné hardwarové detaily. Častými důvodem je také šetření, v jehož rámci se více


81

strojů virtuálních provozuje na jediném reálném. Dodejme ještě informaci, že virtualizovat lze na více úrovních – na úrovni celého PC (virtuální stroj), na úrovni hardware (virtuální procesor) či na úrovni software (virtualizace OS).

Vše začalo na konferenci známého magazínu Computerworld se jménem Computerworld Premier 100 IT Leaders, kde se jeden CIO postavil a vyjádřil svoje znepokojení ohledně bezpečnosti vlastní virtuální infrastruktury, které již pohltila více než polovinu všech firemních serverů. Tento názor brzy následovala dvojice dalších IT manažerů, jež přidali i svoje vlastní obavy. Žádný z výkonných řídících zaměstnanců to tehdy sice přímo nepřiznal, ale jedno z jejich názorů přece jen jasně vyčnívá – dotyční se cítí zranitelně.

Podívejme se na typický příklad z praxe, k němuž se Jai Chanani (senior director of technical services and architecture u Plano Texas Rent-a-Center Inc.) vyjádřil těmito slovy: „Jeden z mých největších strachů je ten z krádeže virtuálních serverů.“ Jeho firma má 200 VMware ESX a XenServer serverů sloužících jako souborové, tiskové a místy i aplikační servery. Z bezpečnostních důvodů nicméně jeho e-shop nepoužívá virtualizaci pro firemní ERP systém, databáze a e-maily.

Na další zajímavý poznatek přišel Michael Israel (CIO Six Flags Inc. v Grand Prairie, Texas). Pro něj je ta nejhorší představa ta, v níž by zlodějský admin mohl přesouvat virtuální servery z bezpečného síťového segmentu na fyzické hostitele v segmentu nezabezpečeném. Nemluvě o možnosti vytvářet nové, nedokumentované, nelicencované a nezapatchované virtuální servery: „Největší starost mi působí potenciální neznalost – poslední věc, kterou ve firmě chci, je mít někde 25 serverů, o kterých nevím, že existují.“

Migrace na virtuální servery často ušetřila nejrůznějším business subjektům díky konsolidaci a vyšší efektivnosti velké částky peněz, jak ale virtualizace postupně pohlcuje stále větší a větší počet produkčních serverů, začíná se i ten nejklidnější výkonný IT šéf sám sebe brzy ptát na otázky tohoto typu: Nebylo něco přehlédnuto? Je 50 % naší virtuální infrastruktury stejně bezpečných jako naše jiné servery? Dle názoru Krise Lovejoye (viceprezident ve firmě IBM Security Solutions poskytující bezpečností konzultace IBM) je tento strach normální.

Také Andrew Mulé z RSA Security Practice (EMC Consulting) trávící svoji pracovní dobu mezi velkými firmami hovoří jasně: „Na světě je celá řada velkých korporátních jmen, o kterých byste si mysleli, že mají podobné věci takříkajíc ‘zmáknuté’, nic ale není dále od pravdy! Často vídáme špatně nakonfigurované hypervisory, mizernou správu patchů (bavíme se stále o virtuálním prostředí) a běžné je i používání defaultních či snadno uhodnutelných hesel pro správcovské utility. Dokonce jsou občas k vidění i nástroje pro správu virtuálních serverů na špatné straně firewallu. Ve 40 % firem se třeba také bezpečnost řeší až poté, co jim virtuální servery jedou naostro, zkrátka do jedné praktiky, nad nimiž skutečného admina u fyzického serveru poleje studený pot.

Virtualizace nám zvedla řadu nových prvků a technologií, s nimiž je zkrátka potřeba počítat (jmenujme si namátkou virtual switching, který routuje síťový provoz mezi virtuálními servery cestou, která se často nijak neprojevuje na nástrojích sledujících reálný traffic). Navíc, virtualizace nám překonala tradiční pravidlo o rozdělení rolí v rámci IT tím, že jediný admin může generovat skutečně masově nové virtuální servery jediným stiskem tlačítka (a běžně bez vědomí dalších), což nás přivádí k dalšímu zádrhelu – s týmem, stojícím za IT bezpečností, se obvykle nekonzultuje konkrétní virtuální infrastruktura až do doby, dokud již servery neběží a nejsou v plné činnosti.

Problém není ani tak to, že by virtuální infrastruktura byla nějak těžší na zabezpečení, jako spíše to, že řada firem ještě neadaptovala dokonale svoje praktiky na virtuální prostředí – trh virtuálních technologií se objevil natolik rychle, že řada firem zkrátka ještě stále trochu tápe a vyvíjí svůj přístup k věci.

Pokud jde o povědomí o virtualizaci a její bezpečnosti mezi IT profesionály, tak dle průzkumu The Info Pro, jež zkoumal názory 96 odborníků v oblasti bezpečnosti, si plných 28 % z nich dělá na toto téma „velké“ či „extrémní“ starosti. A tyto starosti jsou samozřejmě oprávněné – virtualizace představuje skutečně potenciální risk pro bezpečnost, a to tím větší, čím méně je v ní firma a její IT pobočka zběhlá. Jestliže snad tedy někdo má v této oblasti nějaké mezery, určitě je na místě doučit, zkusit a oznámit potřebné + patřičně zkonfigurovat, co bude potřeba. Odkládat věc z důvodu, že ještě k žádnému podobnému útoku nedošlo, není řešení, navíc, pokud by se nedejbože firemním virtuálním serverům skutečně něco stalo, stejně to bude řešit jejich správce.

Celá otázka zabezpečení virtuálních prostředí se zřejmě i nadále bude točit kolem trojice základních strachů: jednak půjde o strach z nedostatku dohledu nad danou věcí, dále strach z nedostatku kontroly a do třetice tu máme strach z neznáma. Ačkoliv jsme se ještě nedočkali žádného většího útoku na virtuální infrastruktury, co není teď, jednou může docela dobře být. Vzpomeňme třeba jen známou demonstraci Joanny Rutkowské a jejího Blue Pill hypervisor malware rootkitu předvedeného na konferenci Blah Had 2006.


82

Viry pro Linux existují, nejsou ale příliš velkou hrozbou

Adam Štrauch

Že na Linuxu a obecně na unixových operačních systémech nejsou viry, je jen taková legenda, která často slouží k přilákání nového linuxáka. Pravdou je, že se občas nějaký vir objeví, ale zatím se naštěstí ještě žádný nerozšířil. Jsme ovšem s Linuxem v bezpečí? Nejsou antivirové programy už za rohem?

Věřím, že čtenáři Roota jsou občas donuceni používat/spravovat operační systémy, o které by si jinak „neopřeli ani kolo“ a mají různorodé zkušenosti z toho unixového i z toho windowsového světa. Určitě si každý z vás vybral svoji platformu, na kterou nahlíží jiným úhlem než ostatní. S Windows se setkal snad každý z nás, a i kdyby ne, tak vám určitě neunikla reklamní masáž antivirových společností, které slibují, že budou chránit váš počítač ve dne v noci a div nepopisují případy, kdy se do vašeho počítače něco dostalo, i když byl vypnutý. Ochrana před nebezpečím byl vždy dobrý byznys a u virů nebo správněji malwaru a podobné havěti to platí dvojnásob.

Zatímco na jednom systému stačí vyživovat obavy a občas nechat nějaký virus se rozšířit, u linuxových distribucí to není tak jednoduché. Bezpečnost mají zakořeněnu v sobě, k aktualizacím je uživatel vyloženě nucen, výchozí nastavení distribuce většinou pro desktop vyhovuje a uživatelé instalují balíčky jen z repositářů. Těžko se tu hledá velká skupina uživatelů, která by dělala něco stejně a k tomu ještě špatně. Nemyslím si, že je linuxová platforma tak roztříštěná, jak se někdy můžeme dočíst, a že by ji to chránilo. Ano, jsou tu různé distribuce a jsou tu různá prostředí, ale základ je stejný. Není problém vytvořit aplikaci, kterou bude možné spustit na 99 % linuxových systémů a bude schopna komunikovat se sítí a procházet se po samotném systému. Problém je jen v tom, jak zákeřný kód do počítače běžného uživatele dostat, a to se ještě nějaký čas na masové úrovni nepodaří vyřešit.

Viry, červy, koně

Když se bavíme ve společnosti o virech, často máme ve skutečnosti na mysli buď trojského koně, nebo červa. Souhrnně se tomuto druhu zákeřného software říká malware. V našich končinách a v době, kdy na Windows existují statisíce různého malware, tyto tři názvy splynuly pod jedno společné označení virus. Někdo může být na nesprávné označení alergický, někomu to může být jedno, je ale dobré mít podvědomí o tom, co který typ zákeřného kódu dělá.

Smyslem klasického viru je rozšířit se na co nejvíce počítačů tím, že se nalepí na nějaký spustitelný soubor, případně používá jinou více či méně podobnou formu šíření. Pak je tu jejich druhá stránka, která se něco snaží dokázat. V případě Linuxu jde třeba o relativně neškodnou změnu hostname nebo upozornění na sebe jiným způsobem, ale na Linuxu nemají viry jako takové moc živné půdy. Jedním z prvních byl Bliss, o kterém je řeč níže.

Druhou skupinou jsou červy. Ty zneužívají děr v systému a v Linuxu jde o každodenní hrozbu, i když většinou včas zastavenu. V minulosti se červům podařilo projít třeba přes Apache nebo OpenSSL. Dobrým příkladem je červ Devnull, který si dokonce sám na cílovém počítači zkompiloval program, kterým hledal další možné oběti. Nekompatibility tedy řešil velmi nápaditou formou.

Trojský kůň je známý způsob zákeřného softwaru, který má za úkol na cílovém stroji otevřít díru, kterou bude moci útočník využít. Často například pro účast na DDoS útoku. Jedním z příkladů je Linux.Backdoor.Kaiten objevený v roce 2006. Trojští koně nebývají pro linuxové uživatele nějakou vážnou hrozbou, stejně jako viry. Uživatel si je do systému musí zavést sám, a to u Linuxu není tak jednoduché. Navíc když už se tak stane, má vir nebo kůň omezená práva.

Tak existují ty viry pro Linux nebo ne?

Malware na Linux musel vzniknout, ať už jako opravdový pokus nějakým způsobem škodit nebo jako proof of concept, aby se ukázalo, že to jde, ale ne moc dobře. Ještě nikdy se nestalo, aby nějaký malware paralyzoval významnou část linuxových desktopů či serverů a o podobné hrozbě se nemluví ani v blízké budoucnosti. Jestli jste si tedy mysleli, že budete potřebovat antivirový program i na Linux, není to pravda. Pokud se vás o tom někdo bude snažit přesvědčit, bude to pan Kaspersky a jemu podobní.

V týdnu jsme do zpráviček zařadili odkaz na článek o historii virů a vůbec všeho škodlivého, co bylo pro Linux napsáno. Není to výčet kompletní, ale je zajímavý. Začíná rokem 1996, kdy crackerská skupina VLAD, která byla zodpovědná i za první virus pro Windows 95, vytvořila Staog. Ten zneužíval chyby v jádře, a když se mu podařilo


83

zakořenit ve vašem systému, čekal, až mu něco nebo někdo pošle kód, který spustí. Chyba byla opravena a virus pak upadl v zapomnění.

V roce 2000 se objevil další virus se jménem Virus.Linux.Winter.341, který se přidával do linuxových ELF souborů (formát pro linuxové binární spustitelné soubory). Navíc změnil jméno počítače na Wintermute. Nic dalšího od něj naštěstí nehrozilo. V roce 2001 se objevilo více podobných typů virů, ale prakticky nezpůsobily žádné škody.

Skutečné nebezpečí ale přišlo v roce 2002, kdy červ Mighty zneužíval chyby ve web serveru Apache a když se mu podařilo proniknout do nic netušícího serveru, připojil se na IRC a očekával příkazy svého pána. Jeho varianta se objevila znovu v roce 2006.

Nová doba ovšem vyžadovala nový přístup a tak se v roce 2007 objevil virus pro OpenOffice.org, jenž ovlivňoval všechny platformy, na kterých OpenOffice.org běží. V roce 2009 se podařilo na stránky pro uživatele GNOME propašovat spořič obrazovky obsahující zákeřný kód, který otevřel bezpečnostní díru do vašeho systému. Tím se váš počítač stal nástrojem pro následný DDoS útok.

Závěr

I když pro Linux nevznikají červi, trojany ani viry jak na běžícím páse, občas se nějaký objeví. Z toho tedy plyne, že nemůžete být naprosto bez obav. Když už na nějaký zákeřný kód dojde a něco se opravdu stane, bude útok pravděpodobně namířen konkrétně proti vám, respektive proti vašim serverům. Proto je nutné držet systém co nejvíce zkrátka, a i když dojde k nějakému průniku kvůli chybě, nemělo by to složit systém jako takový. Na serveru vždy oddělujte služby jak je to jen možné, pracujte s firewallem a nějaké pokusy se SELinuxem nebo AppArmorem nejsou nikdy na škodu, i kdyby to nemělo být dokonalé.

Jak někomu ukrást doménu?

Petr Krčmář

V poslední době se opět začalo hovořit o tom, jak je možné ukrást či chcete-li unést doménu, která patří někomu jinému. Překvapivě je to často poměrně snadné, jak ukazují případy z minulosti i současnosti. Jak se krade doména? Jak se jako právoplatný vlastník můžu na něco takového připravit?

Je to pravděpodobně nejděsivější noční můra všech webmasterů: jednoho dne se probudíte a vaši doménu vlastní někdo jiný. Navštěvovaný web, který předtím vydělával slušné peníze, je nyní v rukou někoho jiného. Otázkou je, jak se takové věci provádějí a jak je možné se jim bránit.

Před několika dny přinesl server Lidovky.cz informaci o tom, že doména 20letsvobody.cz, která původně patřila ČSSD, je nyní v rukou někoho jiného. Místo webu k dvaceti letům od revoluce nyní na webu běží kampaň proti Sociální demokracii. Není přesně známo, jak doména změnila majitele, ale informace vyvolala otázky týkající se odcizování domény, která původně patřila jinému majiteli.

Příklady ze světa

Dobrý konec s DVDmovies.com

Jednou ze známých domén, která byla v minulosti odcizena právoplatnému majiteli, je DVDmovies.com. V roce 2003 ji vlastnil Arnold Jones a byla mu odcizena až překvapivě jednoduchým způsobem. Zloděj jednoduše přesvědčil společnost VeriSign, která spravuje TLD.com a .net, že je Arnold Jones a přeje si doménu převést na jiného majitele.

Použil k tomu falešný řidičský průkaz, který odfaxoval společně s žádostí. Falzifikát navíc nebyl vůbec povedený, jméno majitele bylo i s fotografií neuměle přemístěno na průkaz z jiného státu a ostatní informace byly vymyšleny, včetně adresy nebo čísla průkazu. Fax navíc přišel z Kalifornie, přičemž Jones v té době bydlel ve Floridě, kde sídlila i jeho firma. I přes naprosto ‚zpackanou‘ a amatérskou práci se podařilo VeriSign přesvědčit a firma doménu převedla. Ani se přitom nepokusila majiteli zavolat nebo jiným způsobem žádost ověřit.


84

Arnold Jones se samozřejmě společnosti VeriSign ozval, ta provedla vlastní šetření a po předložení platného řidičského průkazu doménu vrátila původnímu majiteli. To byl na tu dobu krok nevídaný, protože v jiných případech tento správce vyžadoval rozhodnutí soudu. Přesto se jedná o velmi nepříjemnou situaci.

Pět let bojů o Sex.com

Velmi známý je také případ v médiích nedávno opět probírané domény Sex.com. Ta byla zaregistrována v roce 1994 Gary Kremenem, ale hned v dalším roce ji původnímu majiteli odcizil Stephen M. Cohen. Ten na ní rozjel velký byznys, který mu prý přinášel až půl milionu dolarů měsíčně.

Doména byla tenkrát odcizena velmi podobně. Cohen zaplavoval registrátora falešnými hovory, e-maily a dopisy. Podařilo se mu dokonce pomocí falešného faxu přesvědčit zaměstnance Garyho Kremena, aby změnil údaje náležící k doméně. Nakonec se mu podařilo Sex.com převést na sebe.

Soudy a všemožné tahanice nakonec trvaly pět let a soud nakonec přiznal vlastnictví domény původnímu majiteli. Navíc vyměřil Cohenovi pokutu v celkové výši 65 milionů dolarů. To je také minimální škoda, která podle soudu Kremenovi vznikla. Cohen ji nikdy nezaplatil.

eBay.de ukradena pro zábavu

Poslední zahraniční případ, o kterém si řekneme, se stal v srpnu roku 2004. Tehdy devatenáctiletý chlapec z Německa se pokusil odcizit domény eBay.de, Google.de, Web.de a Amazon.de. Většina požadavků byla registrátorem zamítnuta, podařilo se však získat doménu eBay.de.

Nejmenovaný mladík později policii uvedl, že není počítačovým expertem a vlastně se celou akcí jen bavil. Prý byl sám překvapený tím, že mu takto významná doména najednou patří. Nechtěl prý nikoho poškodit, což je ovšem věc dosti těžko uvěřitelná. Doména byla ale každopádně poměrně brzy vrácena původnímu majiteli.

Českých případů je relativně málo

Ani v českých zemích nejsme o podobné případy ochuzeni. Samozřejmě jsou u nás známy případy odcizených domén, ale ty nejsou příliš známé. Obvykle se jedná o technickou chybu registrátora. Slyšel jsem o případech, kdy jeden z českých registrátorů přestal omylem přeposílat požadavky na prodloužení domén registrátoru CZ.NIC a domény pak potichu vypršely. Pak si je zaregistroval někdo jiný.

Zda se jedná i o případ výše zmíněné domény 20letsvobody.cz, bohužel nevíme. Pravděpodobnější ale bude selhání lidského faktoru ve společnosti, která pro ČSSD doménu a její obsah spravovala. Stále je tu ale reálné riziko.

Jak odcizit doménu ve třech krocích

Způsobů odcizení existuje několik. Obvykle se ale jedná o technické využití selhání lidského faktoru nebo přímo o sociální inženýrství, jak bylo ukázáno výše. Běžnější a spolehlivější metody se ale obejdou bez interakce s lidskou obsluhou.

1) Získejte přístup do mailu správce

To je možné zařídit různými způsoby. Můžete samozřejmě uhodnout nebo odposlechnout jeho heslo a dostat se přímo do schránky. Zajímavější variantou je dvoufázový útok. Nejprve požádáte správce DNS serveru o změnu záznamu (sociální inženýrství) a MX záznam si necháte nasměrovat k sobě. Pak přijímáte poštu pro doménu a máte vyhráno (viz případ domény Blansko.net.

Třetí a zřejmě nejpoužívanější způsob využívá toho, že řada správců neaktualizuje své kontaktní údaje u registrátora. Stává se proto, že je u některé domény uvedena kontaktní osoba s mailem na neexistující doméně. Správce měl kdysi více domén a po letech některé zrušil. Stává se to poměrně často. Stačí si tak tuto „kontaktní“ doménu zaregistrovat a opět na ní spustit konkrétní mail. Opět se tak dostanete ke správcově poště.


85

2) Požádejte o změnu vlastníka

Řada registrátorů změnu vlastníka ověří pouze tím, že zašle kontrolní mail na adresu kontaktní osoby. Tu ale už ovládáte vy a můžete tak vše potvrdit. Stáváte se novým majitelem domény.

3) Užijte si novou doménu

V tuto chvíli jste už novým majitelem domény. Nemusím snad zdůrazňovat, že se jedná o protizákonné jednání a že taková doména bude pravděpodobně (za čas) soudem vrácena původnímu majiteli.

Jiná možnost pomocí Paypal

Toto jsou staré a osvědčené metody odcizení domén. Existují ale i další a v poslední době se navíc objevují nové. Jedna z nich například využívá plateb přes Paypal a služby buyer's refund. Jeden uživatel prodává svou doménu, druhý mu zaplatí přes Paypal. Platba je potvrzena a tak původní majitel doménu převede. Následně nový nabyvatel platbu stornuje a má doménu zadarmo. Původní vlastník nemá ani peníze, ani doménu.

Paypal samozřejmě není jediným zdrojem podobných podvodů. Obecně je možné provést podobnou akci na jakémkoliv platebním systému, který dovoluje dodatečné storno provedené platby.

Jak se bránit?

Pokud nechcete přijít o své drahocenné domény, měli byste dodržovat některá základní bezpečnostní pravidla. Měli byste zvolit dostatečně silné heslo na webu svého registrátora. Neuhodnutelné, dlouhé, složité a tak podobně, jak už to s hesly bývá.

Určitě kontrolujte kontaktní údaje správce. Ten je zodpovědný za změny v doménách a on je dotazován, zda jsou požadované změny legitimní. Určitě hlídejte platnosti všech domén uváděných v DNS záznamu. To platí i o MX záznamech, mailech kontaktních osobu a podobně.

Můžete si také zvolit registrátora, který má přísnější pravidla pro převod domén na nového vlastníka. Některé firmy vyžadují notářské ověření obou stran předtím, než transakci provedou. To je výrazně bezpečnější metoda než jen prosté ověření e-mailem. Prověřte u svého registrátora, jestli nabízí tuto variantu.

Správce české domény CZ.NIC navíc umožňuje zablokovat akce s doménou. Pomocí úředně ověřeného podpisu nebo elektronického podpisu tak můžete požádat o „uzamčení domény“. Na ní pak není možné provádět žádné změny, dokud opět stejným způsobem nepožádáte o uvolnění. Tato metoda brání i selhání registrátora a u důležitých domén ji určitě doporučuji.

Můžete také občas sledovat web DomainTheft.org. Na něm uživatelé hlásí odcizení konkrétních domén a také způsob, jakým bylo vše provedeno. Může sloužit především pro vaše poučení a upozornění na nové trendy.

Date post:	29-May-2020
Category:	Documents
Upload:	others
View:	2 times
Download:	0 times

Trendy v internetové bezpečnosti - Dáváme Internetu...

Documents