Doporučení používat live CD pro e-banking

Na voices.washingtonpost.com vyšel článek, který doporučuje pro e-banking používat linuxová live CD. Autor zmiňuje případy, kdy lidé přišli o peníze kvůli špatně zabezpečeným Microsoft Windows a vysvětluje, jak ona živá CD fungují. Jako příklad uvádí Knoppix a Ubuntu, přičemž k druhému jmenovanému napsal i návod k použití.

To je přesně ono!

1. Bankou autorizované live CD s platnými cerifikáty banky očesané o věci nesouvisící s bankovní aplikací.

2. Na data flash disk s truecrupt (žádné jiné montování lokálního disku)

3. Autorizace kalkulačkou (vč. částky a čísla účtu), žádné zadáváni klíčových údajů přes klávesnici PC.

Stačila by distribuce typu Puppy-LINUX a copy to RAM.
A... mužete mít internetové bankovnictví i v kávárně v Bangladéši. :-D

Není to odolné jenom proti fyzikému násilí na klientovi banky a šmírovacím kamerám v kombinaci se zloději kalkulačky + CD. :-(

15.10.2009 09:28 jiřík | skóre: 9 | Hradec Králové
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Paranoia to docela je, ale fakt je, že v neznámém a podezřelém prostředí by se to mohlo hodit. Možná líp než live CD si udělat LiveUSB z Ubuntu, nabíhá mnohem rychleji :)

Zapomeňte na pumpičku a na rozhodčí, hrajte Ultimate Frisbee http://www.frisbee.cz

15.10.2009 09:34 A
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Ale pre moj pokojny spanok by som chcel po zapisani Ubuntu na USB flashdisk aby sa ten dal zamknut iba na citanie :-)

15.10.2009 09:46 HB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Kličenka PQI 4GB typ: U339 (mám teď v ruce :-)

)
má mechanický přepínač na blokování zápisu.

15.10.2009 09:52 HB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Dobré by bylo aby taková distribuce měla do 100MB, t.j. aby se vešla celá do RAM.

15.10.2009 14:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Puppy, DSL, možná i Debian Live, kdyby se očesaly nepotřebné balíčky…

15.10.2009 09:44 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Problém v neznámém prostředí bývá, že se tam často nedá nabootovat nic jiného, než co je nainstalováno.

Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)

15.10.2009 09:43 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

A... mužete mít internetové bankovnictví i v kávárně v Bangladéši.

A už tě někdy nechali v internetové kavárně nabootovat vlastní systém ?

15.10.2009 09:49 HB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Kde nenechají ani za "bakšiš" tam nejdu.

15.10.2009 09:53 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Napadlo mě, jestli by v tom případě nešlo použít portable VirtualBoxu a aby se předešlo keyloggerům, tak mít v nabootovaném distru nějak upravený "ovladač" klávesnice (přehozená písmenka). Nekamenujte mě za terminologii, čistě teoreticky ... šlo by to ?

15.10.2009 10:08 HB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Proti HW keylogeru nefunguje :-(

. (pokud ukradnou to CD nebo by to bylo standardní bankovní liveCD).

15.10.2009 10:19 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

ale naopak, ta upravená klávesnice by fungovala právě proti HW keylogerům nejlíp - kdyby se při každém nabootování zobrazil náhodný layout, a uživatel by psal podle toho namísto podle popisků na klávesnici, nemá keylogger šanci, pokud uživatel nenapíše kilobajty textu, který by se dal nějak statisticky analyzovat apod. ... samozřejmě předpokládá to ještě nemožnost sejmout obrazovku s tím layoutem (to se dá obejít jinak, layout klávesnice nemusí zobrazovat ta virtuální mašina, ale může k tomu být párová aplikace pro mobilní telefon, který to zobrazí, apod.)

15.10.2009 12:01 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

ale naopak, ta upravená klávesnice by fungovala právě proti HW keylogerům nejlíp - kdyby se při každém nabootování zobrazil náhodný layout, a uživatel by psal podle toho namísto podle popisků na klávesnici, nemá keylogger šanci

JJ, přesně tak jsem to myslel, akorát by to nemusel být úplně náhodný layout, stačilo by mít napevno prohozených pár znaků, abych se s tím naučil psát rychle a bez překlepů.

15.10.2009 12:45 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Tak to je už fakt paranoia:)

15.10.2009 13:49 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Napadá tě nějaká jiná ochrana proti keyloggerům, když nemůžeš přebootovat ?

15.10.2009 15:54 Habo
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

alebo obrázok klávesnice a klikať naň myšou - to by už musel byť "mouselogger" kombinovaný so screenshotmi :)

15.10.2009 20:28 Marek`` | skóre: 3
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

poštová banka vo francuzsku zobrazí klávesnicu a ty podržiš len na dve sekundy nad klávesou myš... teda nemusíš ani klikať.

15.10.2009 20:44 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Juuj to už rovno nech banka podrzi ten kod za mna :-D

17.10.2009 17:16 Habo
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Vyborna myslienka - viac takych bank!

17.10.2009 18:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

To je takový problém napsat „keylogger“, který kromě zachytávání kláves na začátku screenshotne obrazovku a potom bude každou sekundu poolovat pozici myši?

15.10.2009 22:40 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Nebolo by uz jednoduchsie pouzit jednorazove heslo ? To sa mi zda rozumnejsie riesenie ako nejake prehadzovanie mapovania klavesnice :o)

15.10.2009 22:49 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Jednorázové heslo kam ? Do internetbankingu ? Mám účty u tří peněžních ústavů a ani jeden to neumožňuje.

16.10.2009 09:52 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Ani tak, že vám banka pošle jednorázové heslo nezávislým bezpečným kanálem (šifrovanou SMS)? To bych řešil spíš změnu banky, než bezpečné bankovní LiveCD.

16.10.2009 11:29 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

No so sice pošle, ale až u autorizace platby, nikoliv u přihlášení do internetbankingu.

16.10.2009 16:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

V tom případě stejně platí druhá věta...

16.10.2009 22:18 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

A můžu se zeptat, která banka posílá heslo pro přihlášení do internetbankingu přes SMS ? (čirá zvědavost, tohle pro mě není parametr kvůli kterému bych měnil bankovní ústav ;-)

)

17.10.2009 10:15 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Dřívější eBanka, nyní [raifeisenbank] či jak se to píše a vyslovuje (sorry, banko, rád bych ti udělal reklamu, ale to bych si to jméno musel nejdřív zapamatovat). Operace se ověřují jednorázovým heslem, které vám buď spočítá „kalkulačka“ (samostatné zařízení, které vypadá jako kalkulačka, zadáte tam PIN a potřebné údaje,a dostanete jednorázové heslo platné pro daných asi 15 minut), nebo přijde šifrovanou SMS, kterou rozšifruje aplikace na SIM kartě. Heslem musíte potvrdit přihlášení, příkaz k úhradě, nastavení trvalého příkazu atd.

17.10.2009 17:22 filo | skóre: 22 | blog: FiloBlog | Ostrava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Dík.

17.10.2009 19:53 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

No tak to je blbe :o) v tom pripade by som rozmyslal o zmene ... Ja mam ucet v Tatra Banke (SK) a mozem si vybrat z dvoch sposobov (aktualne sa snazia postupne prejst na ten silnejsi)

- 1. prvotna autentifikacia: meno/heslo + jednorazovy kod doruceny cez SMS, autorizacia platby: jednorazovy kod z tabulky vydanej na pobocke
- 2. prvotna autentifikacia: meno/heslo + jednorazovy kod vygenerovany generatorom na platobnej karte (treba k tomu citacku + pin), autorizacia platby: ten isty generator na karte ale prepnuty do ineho rezimu.

TB uz dlhsiu dobu vydava platobne karty nielen s magnetickym pruzkom, ale aj s cipom, ktory okrem autorizacnych info obsahuje aj generator jednorazovych hesiel. Tie hesla sa daju pouzivat na dodatocne overenie platieb a prihlasenia. Co je celkom pekne spravene je ze na patby sa pouziva v trosku inom rezime ten generator a treba ho nakrmit cislom, ktore stranka doda a na zaklade toho sa vygeneruje cislo, ktore autorizuje platbu.

17.10.2009 19:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Co je celkom pekne spravene je ze na patby sa pouziva v trosku inom rezime ten generator a treba ho nakrmit cislom, ktore stranka doda a na zaklade toho sa vygeneruje cislo, ktore autorizuje platbu.

Je z toho čísla poznat částka a číslo účtu? Jestli ne, může pořád útočník podvrhnout to číslo…

18.10.2009 10:18 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Z eBanky přijde SMS, kde je číslo odchozího účtu, číslo účtu příjemce, částka a měna, a pod tím vším certifikační kód. Navíc je SMS šifrovaná klíčem na SIM kartě, ke kterému by také měla mít přístup jenom omezená skupina lidí (při výrobě a distribuci). Dnes už by to šlo myslím technicky bez problémů udělat tak, že se klíč vytvoří přímo v mobilu a veřejný klíč předám bance, ale nevím o tom, že by tohle nějaká banka v ČR umožňovala. Což je docela škoda, eBanka v tomhle žije z toho, co udělala dříve – sice je pořád ještě napřed, ale je škoda, že elektronické bankovnictví už nerozvíjí. Přitom zrovna teď, když se tak rozvíjí trh s „chytrými“ mobily, je prostor pro další inovace.

18.10.2009 11:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Ano, toto je skutečně dobré zabezpečení.

15.10.2009 09:58 HB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Časem, pokud by se bakovní live CD ujmulo, mohlo by se bootování v kavárně mohlo stát běžnou praxí (konkurenční výhodou). Minimálně v civilizovaných krajinách.

15.10.2009 12:36 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

A jak v té kavárně dokážete, že jde o ověřené bankovní CD, a ne CD, které v jednom vlákně přepisuje všechny nalezené pevné disky náhodnými daty a v druhém s pokouší poslouchat provoz na síti?

15.10.2009 12:59 Franta Gajdůšek | skóre: 15 | blog: co_me_prave_napadne
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Treba tak ze by prave pro tyto ucely meli vyhrazeny pc kde by ty disky ani nebyly ;-)

PlnýBus - spolujízda student taxi nejen pro studenty

15.10.2009 16:16 Habo
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Poznáš takú vec ktorá sa volá MD5? (resp. sha1, sha2...) :D

15.10.2009 16:47 Aldagautr | skóre: 20
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

to je ale spatna otazka :)

o svobodu prichazi nejsnaze ten, kdo o ni nikdy nebojoval

15.10.2009 16:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Už si živě představuju, jak při OSN vzniká Úřad pro bankovní LiveCD, LiveUSB a bootovací diskety, kterou jednou za čtvrtletí vydává seznam MD5 otisků ověřených médií. Uživatel pak přijde do kavárny, počká si 10 minut, než se otisk celého CD spočítá, a může začít pracovat. S nástupem LiveDVD pak kavárny začnou v ceníku uvádět, že doba, po kterou probíhá kontrola otisku DVD, se zákazníkovi účtuje jako doba strávená na internetu.

17.10.2009 17:10 Habo
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Hmm pozor na to - dlzka kontroly nezavisi od velkosti disku ale od velkosti dat na nom zapisanych - to by mohlo byt dost malo v pripade ocesanej distribucie a DVD by nebolo treba, navyse sa rychlosti medii zvysuju takze to v sucastnosti trva chvilu. Samozrejme keby tych distier bolo privela bolo by to blbe... a ako tu uz bolo spomenute dalo by sa riesit vyhradenym PC alebo fyzickym odpojenim diskov (hmm suhlasim s tym ze to je trochu pritiahnute za vlasy)

17.10.2009 18:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Nějaké to KDE nebo Gnome by tam stejně být muselo… Hlavně je nesmyslné tahat s sebou celé prostředí pro pohodlné zadávání transakcí, když potřebujete jenom prostředí pro bezpečné získání hesla, kterým může být mobil. Nepoužíval bych internetové bankovnictví chráněné jenom heslem nebo certifikátem ze souboru, a to ani z bezpečného LiveCD – stejně chci, abych přihlášení a transakce potvrzoval jednorázovým heslem, které mi spočítá „kalkulačka“ nebo mobil, nebo které přijde nezávislým kanálem (problém trochu je, že jak jsou mobily čím dál chytřejší, brzo ani to nebude bezpečný kanál). A pak už nepotřebuju žádné bezpečné prostředí pro zadávání transakcí – stačí maximálně volba při přihlašování do internetového bankovnictví „nezobrazuj žádné identifikační údaje, jenom přijmi příkaz k úhradě“. Pak můžu klidně údaje zadávat na sebevíc zavirovaném PC, a je mi to jedno (pokud se smířím s tím, že někdo jiný možná zjistí částku a účet, kam jsem dal příkaz k úhradě).

15.10.2009 10:11 multi | skóre: 38 | blog: JaNejsemOdsut
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

na komentar je to promyslenej projekt, mel bys ten napad prodat bankam

Fitness ajťák: kutilův web; bezdrátová čidla teploty vývoj softwaru linux server

15.10.2009 14:19 miro
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Taková snaha už tu byla. Ale nevypadá to, že by to někoho zaujalo. Škoda.

15.10.2009 14:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Doporučení používat live CD pro e-banking

Toto řešení je limitováno na architekturu, pro kterou bylo vydáno CD, a také se musí kvůli každé platbě restartovat (nebo alespoň bootovat ve virtualizaci).

Doporučení používat live CD pro e-banking

Komentáře