PORT

Záznam chatu ze středy 3. března 2010

Věra, Praha 2: „Dobrý den, do jaké míry využívají vašich poznatků banky?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Dobry vecer, s bankami spolupracujeme jen neprimo. Banky samozrejme vysledky akademickeho vyzkumu sleduji a prijimaji patricna opatreni, v pripade, kdy je to ekonomicky vyhodne.“

David M.: „Pane inženýre, co mohu já, jako běžný uživatel platební karty, udělat, abych zabránil zneužití své karty?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Dobre si chrante PIN (sledujte kdo je za vami ve fronte pri placeni, klavesnici zakryjte druhou rukou, telem), platte jen u duveryhodnych obchodniku. Uvedomte si, ze i cislo platebni karty je treba chranit.“

Alena, Živohošť: „Můžete odhadnout, kdy by asi mohly být k běžné dipozici karty se svým vlastním rozhraním?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Toto neni ani tak problem technologicky, jako spise ekonomicky. Uz dnes bezne existuji reseni vyuzivajici autententizacni kalkulatory nebo tokeny s vlastnim rozhranim. Ze strany bank ani uzivatelu vsak neni po techto zarizenich velka poptavka (zatim).“

Vlastimil Vlček: „Dobrý den, v PORTu se mluvilo o budoucích bankovních kartách, které budou muset mít vlastní UI, displej a klávesnici. Myslím, že je to celkem nereálné už kvůli ceně. Co si o tom myslíte Vy jako odborník?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Cena zalezi predevsim na mnozstvi vyrobenych kusu. Navic u uzivatelskeho rozhrani neni nutne aby bylo primo soucasti cipove karty, ale je dulezite aby toto rozhrani bylo z hlediska uzivatele duveryhodne. Muze se tedy jednat napriklad o mobilni telefony, PDA atd.“

Zdenek: „Dobry den, otazka je o zminenem treba celkovem terminalu vcetne klavesnice pro daneho majitele. Jestli uz neco podobneho se testuje, zda je v praxi pouzite? Nebo nekdo do budnoucna o to jevi zajem?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Prototypovych reseni je spousta. Zakaznik s sebou nemusi nutne nosit platebni terminal, ale pouzit se da uz zmineny mobilni telefon nebo autentizacni kalkulator. Co se tyka budouciho zajmu, tak zajem zavisi na ekonomicke vyhodnosti vysledneho reseni v porovnani s jinymi moznymi resenimi (online detekce podezrelych transkaci) a take ve srovnani s aktualnimi ztratami bank pri vyuziti soucasnych reseni.“

marta: „odpovidate opravdu na vsechno?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Snazime se, ale postupne :-)“

Zdenek, Opava: „Co kdyby se přestaly užívat karty jako takové, když jsou tak snadno zneužitelné? Máme za ně nějakou náhradu?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Neni karta jako karta. Cipove karty nemusi nutne byt snadno zneuzitelne. Jde predevsim o zpusob jejich pouziti. Problem soucasnych bankovnich karet souvisi napriklad s jejich zpetnou kompatibilitou a pritomnosti magnetickeho prouzku. Cip na kartach obvykle prinasi zvyseni bezpecnosti, zalezi ale na konkretni aplikaci a typu cipove karty a pouziteho protokolu. Pristupova karta ve forme jednoducheho identifikatoru nemuze byt srovnavana s kryptografickou cipovou kartou s podporou napriklad asymetricke kryptografie. O budoucnost karet bych se nebal, ikdyz jejich vnejsi forma se muze menit.“

Josef: „Co je prosím předmětem Vašeho odborného zájmu“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Pocitacova bezpecnost a aplikovana kryptografie obecne. Detailneji napriklad bezpecnost biometrickych systemu, elektronickych pasu a PKI.“

Pavel: „Dobrý den, nevíte jestli je možné prolomit systémy kde používají iButtony? Předem děkuji za odpověď.“

RNDr. Petr Svenda, Ph.D.: „Obecne u kazde cipove karty zalezi zaprve na bezpecnosti samotneho hardware (fyzicky cip) a za druhe na zpusobu jeho pouziti. Prolomeni fyzicke bezpecnosti cipu je temer vzdy otazkou penez a znalosti, ktere mate k dispozici. Vyrobce si je toho vedom a hardware postupne inovuje (iButton koupeny pred 5 lety ma pravdepodobne jiny "vnitrek" nez ten koupeny dnes, prestoze se porad jmenuje stejne). Zavedene zmeny se snazi branit proti utokum, ktere se objevily. I dobry cip muze byt pouzivan tak, ze je vysledne reseni nebezpecne. I u iButtonu se objevily utoky, ktere dokazaly v konkretnim vyuziti jako platebniho nastroje nakupovat bez odecitani kreditu na iButtonu.“

Vlastimil Vlček: „Myslíte, že někdy v budoucnu bude bankovnictví 100% bezpečné? Jde to vůbec, pokud vynecháme selhání člověka? :-)“

Ing. Mgr. Zdeněk Říha, Ph.D.: „100 procentni bezpecnost neexistuje. Bezpecnost (nejen pocitacova) je neustaly duel mezi utocniky a obranci. A clovek, ktereho zminujete, je casto tim nejslabsim clankem. Cloveka vsak tezko lze z procesu zabezpeceni vynechat.“

Spáčil: „Što dělať, pane inženýre, ptám se s ruským klasikem? Má občan nějakou možnost? Děkuji za přínosný pořad!“

RNDr. Petr Svenda, Ph.D.: „Obcan ma nekolik moznosti - a) Konkurencni prostredi mezi bankach umoznuje vybrat banku s lepsim zabezpecenim (coz je ale problematicke u operaci, ktere vyzaduji mezinarodni standard - napr. platby u obchodniku). b) Chovani zakaznika pri placeni u obchodnika a pouzivani bankomatu (zakryti klavesnice pri zadavani PINU apod.), preference duveryhodnych obchodniku, ostrazitost pri platbach kartou v zahranici. c) Prenos odpovednosti na banky (tak ja do urcite miry provadi novy zakon od konce lonskeho roku) - banka ma realne mnohem vice moznosti jak detekovat podezrelou transakci a reagovat na vniklou situaci nez zakaznik. Banky zpetne prenesou naklady na zvyseni bezpecnosti na sve klienty, ale ztraty se tim rovnomerne rozlozi namisto vysokych ztrat pro nektere zakazniky.“

Josef: „Mohu z obsahu reportáže dovozovat, že se bojem se skimmingem začala konečně zaobírat komplexně i špičková akademická sféra a že toto snažení směřuje k praktickým výsledkům objednaným např. bankovním sektorem?“

Ing. Mgr. Zdeněk Říha, Ph.D.: „Skimming je relativne stary problem a (nejen) akademicka sfera na nej upozornuje pravidelne vcetne navrhu reseni. V praxi je pak vyuzivani nedostatecne zabezpecenych systemu problem penez (nahrazeni stavajicich systemu, prechod na celosvetove urovni u platebnich systemu). Nekdy take uzivatelske privetivosti. Ukolem medii by melo byt upozornovani na nalezene zranitelnosti, ktere zpetne tlaci provozovatele ke zmenam.“

zdenča: „dobřý večer potrebovaly bysme pomoc prodáváme dum ale za 2milioný a jesi ho někdo nekoupí tak sme v háji vi byste nám nepomoch dyštak pište na emajl zdencahartlova@seznam.cz“

Ing. Mgr. Zdeněk Říha, Ph.D.: „V tomto vam bohuzel nepomohu.“