3. 3. 2010
Žijeme v elektronickém světě. Místo výplaty v mincích a bankovkách chodí na náš imaginární účet imaginární částky – jejich existenci potvrzuje jen číslo ve výpisu. Podobně je tomu i s cennými informacemi. Místo pečetí chrání soukromou korespondenci několik písmen hesla. Důležité dokumenty nejsou uložené za zdmi knihoven zavřenými na několik zámků – vyskytují se v kyberprostoru. Dostanete se k nim jen pokud znáte přístupové kódy. Takže tam, kde zločinci minulých staletí používali hasáky a pilníky, potřebují ti dnešní počítač, připojení na internet a programátorské know-how. Bezpečnost informačního prostoru je oblast, ve které probíhá neustálý souboj: na obou stranách stojí počítačoví experti, ale zatímco jedni vyvíjejí stále lepší systémy zabezpečení, druzí, hackeři, přinejmenším stejně dobří, se je snaží přelstít. V České republice stojí na té správné straně Laboratoř bezpečnosti a aplikované kryptografie na Fakultě informatiky Masarykovy univerzity v Brně.
Elektronický svět v ohrožení
Žijeme v elektronickém světě. Místo výplaty v mincích a bankovkách chodí na náš imaginární účet jakési nehmatatelné částky. Prostě jen věříme, že tam jsou. Jejich existenci potvrzuje pouze číslo na výpisu. Podobně je tomu i s cennými informacemi. Místo pečetí chrání soukromou korespondenci několik písmen hesla. Stejně tak vstup do významných prostor nezabezpečují železné dveře a sedm zámků, ale dostaneme se do nich díky elektronické kartě nebo třeba otisku prstu.
Tam, kde zločinci minulých staletí používali hasáky a pilníky, potřebují ti dnešní počítač, připojení na internet a programátorské know-how. Počítače dnes ovládají všechny oblasti života a mohou se tak stát cílem teroristického útoku.
doc. RNDr. Václav Matyáš, M.Sc., Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: Uvědomte si, že dnes počítače kontrolují vodu a kvalitu vzduchu v budovách. Pokud se někdo nabourá do počítačů, které ovlivňují kvalitu vzduchu ve velkých budovách, může ovlivnit to, co dýchá každý jednotlivec v každé kanceláři. Počítače dnes ovlivňují chod automobilů. Dneska standardní naprosto běžný průměrný automobil má v sobě okolo padesáti počítačů. Počítače samozřejmě jsou základním uživatelským rozhraním pro ovládání bankovních služeb dnes a denně.
V České republice se zabezpečení elektronických systémů věnují i vědci z Laboratoře bezpečnosti a aplikované kryptografie na Fakultě informatiky Masarykovy univerzity v Brně. Jednou z nejohroženějších oblastí elektronického světa je finanční sféra. Každý dnes máme v peněžence aspoň jednu kreditní nebo debetní kartu a ze svých domácích počítačů kontrolujeme svůj bankovní účet. Bankomaty, platební terminály, internetové bankovnictví i samotné karty jsou proto nejčastějším cílem podvodníků. Vědci proto neustále hledají nová řešení, jak zabránit zcizení citlivých informací. Velký pokrok v tomto směru znamenalo zavedení takzvaných čipových karet. Ty nahradily dřív používané karty s magnetickým proužkem.
doc. RNDr. Václav Matyáš, M.Sc., Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: Ten čip dnes umí informace nejen uchovávat, ale i zpracovávat, takže dřívější situace, že jsem přišel k bankomatu, vsunul jsem svou kartu k účtu, k té kartě jsem zadal PIN a provedli se nějaké operace v bankomatu, se dnes změnila razantně v tom, že dnes ty operace se provádějí na mé čipové kartě.
Z karet s magnetickým proužkem se podvodníkům celkem úspěšně dařilo kopírovat důležité informace. Stačilo přidat k bankomatům speciální čtečku a pak odpozorovat PIN. Data u čipových karet jsou proti podobným útokům chráněná mnohem lépe. I tady ale existují rizika. Bankomat nebo platební terminál totiž může být upraven tak, aby analyzoval dění na kartě třeba podle toho, kolik karta odebírá proudu.
RNDr. Petr Švenda, Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: Na obou těchto obrázcích vidíme naměřenou odběrovou křivku pro konkrétní čipové karty, kde je vidět průběh toho, jakým způsobem se ověřuje PIN na kartě. V té první části na tom prvním obrázku, probíhá zápis do paměti, ve kterém se snižuje čítač počtu pokusů, takže když jsme měli před tím tři pokusy tak teď máme dva pokusy, v této části proběhne samotné ověření a v případě, že PIN nebyl korektní, tak se čítač nechá snížený, v případě, že PIN byl korektní, tak se vrátí zpátky na tři pokusy.
To je bezpečné provedení. Rizikové zřetězení jednotlivých operací ukazuje druhý snímek. PIN se nejprve ověří a až potom se sníží čítač pokusů, šikovný útočník ale dokáže v tomto okamžiku odpojit napájení karty, a ta už počet pokusů nesníží. Poté je možné vyzkoušet u odcizené karty všech deset tisíc možných kombinací čtyřčíselného PINu.
Mimořádně ohroženou skupinou jsou bezkontaktní karty pro vstup do budov, knihoven nebo městské hromadné dopravy. Pomocí jednoduchého zařízení je možné během dvou vteřin vytvořit dokonalou kopii karty.
Nedá se vyloučit, že něco podobného, i když v komplikovanější podobě, by bylo možné provést i s kartami platebními. Možná máte dojem, že je dostatečně chrání PIN. Jenže ten se dá získat opravdu snadno. Prokázal to jeden sociální experiment, který prováděli právě vědci z brněnské laboratoře.
doc. RNDr. Václav Matyáš, M.Sc., Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: My jsme prováděli řadu experimentů, kde jsme zjišťovali jednoduchost odpozorování PIN, například při placení v obchodě, a opravdu ta reálná čísla nejsou nijak povzbuzující. I ne příliš zaškolený útočník se dostává, nebo je schopen odpozorovat PIN při placení v obchodě v desítkách procent případů. Třicet až padesát procent případů byla ta úspěšnost, které dosahovali mí studenti při poměrně jednoduchých reálných experimentech a ten, kdo se tím živí, bude samozřejmě mít tu úspěšnost daleko vyšší.
Vyděsili jsme se vás? Možná to ještě nebylo to nejhorší, co se dnes dozvíte. Díky své zvědavosti odhalili vědci z Laboratoře bezpečnosti a aplikované kryptografie šokující skutečnost. Speciální obálky, ve kterých některé banky posílají klientům kód PIN, vůbec nejsou bezpečné. Chcete vidět, jak málo stačí?
RNDr. Marek Kumpošt, Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: My jsme zkoušeli prosvítit obálky, které posílá banka s PIN, s touto tajnou informací a ukázalo se, že starší technologie průklepového tisku je daleko bezpečnější při prosvícení běžnou svítilnou nebo myší, než novější technologie laserového tisku, kdy PIN je vytištěn na laserové tiskárně, kde PIN je daleko lépe vidět a je zřetelnější.
Stačí vědět, v které části obálky se PIN nachází. A úspěšnost jeho vyčtení? Prakticky stoprocentní. Právě proto, že PIN, heslo nebo kreditní karta se dá zcizit nejrůznějšími způsoby, objevily se už v šedesátých letech první snahy použít k prokázání totožnosti osoby její vlastní tělesné znaky. Ještě před několika lety to byla hlavně otázka vědecko-fantastických filmů. Dnes už je to celkem rozšířená praxe – místo karty nebo hesla se prokážete například otiskem prstu nebo snímkem oční duhovky.
Ani tato metoda ale není bez chyby. Jelikož otisk prstu jednoho člověka nebude dvakrát dokonale identický, systém se soustředí jen na klíčové body. Pokud má nastavenou vysokou toleranci, může se oklamat i kopií. A vyrobit jednoduchou napodobeninu otisku prstu nemusí být vůbec složité.
Ing. Mgr. Zdeněk Říha, Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: Otisky prstu zanecháváme na všem, čeho se dotkneme, zvláště skla nebo jiné hladké předměty jsou ideální na získání otisků prstů těmi, kdo se k těmto předmětům dostanou. Není obvykle tak problematické vytvořit kopii, ne úplně perfektní, nicméně není obvykle problém vytvořit kopii takovou, aby biometrický systém považoval tuto kopii za toho pravého uživatele.
Složitější biometrické systémy tak kromě samotných papilárních linií snímají ještě třeba tep, vodivost nebo teplotu přiloženého prstu. Problém je ale v tom, že pokud útočníci vědí, co se sleduje, většinou dokážou najít způsob, jak přístroj obelhat. Opravdu důležité systémy bývají proto kromě biometrických znaků ošetřeny ještě klasicky – například heslem nebo kartou. Podobné úskalí mají i další biometrické metody. Třeba snímání oční duhovky nebo rysů obličeje se dá často obelstít pouhou fotografií.
Ing. Mgr. Zdeněk Říha, Ph.D., Katedra počítačových systémů a komunikací – Fakulta informatiky Masarykovy univerzity v Brně: Rozhodně nemůžeme říct, že biometrie je dokonalá a že plně nahradí všechny ostatní formy autentizace nebo rozpoznávání uživatelů, tak to není, ačkoliv se možná na začátku rozvoje těchto technologií zdálo, že to bude nějaká spása, která nahradí všechno ostatní.
Vědci se domnívají, že v budoucnosti bude nutné odstranit všechny prvky, které vedou ke zneužití dat. Uživatel musí mít nad operacemi maximální kontrolu. Hlavní úskalí dnes spočívá v uživatelských rozhraních, tedy bankomatech a platebních terminálech. Každá karta by proto měla mít své vlastní miniaturní rozhraní i s klávesnicí a displejem.
