Bezpečnostný osobný kód (aspoň myslím, že také je znenie tej skratky). Zadáva sa pri prihlasovaní napr. na slovensko.sk, nie pri samotnom podpisovaní, tam je nutné zadať PIN.
That`s it. ZEP je totiž univerzálny, absolútny a nespochopiteľný - to z neho robí dokonalý cieľ. Treba vidieť ďalej, ľudia jednoducho budú inštalovať “škrtidielka” a karty na počítače, v ktorých sa nachádzaná na pozadí všeličo. Preto by mal byť k dispozícii iný nezávislý faktor overenia kritickej - sprísnenej transakcie.
k motivácii napr. u študenta informatiky môže byť motivácia triviálna kúpa nového gadgetu.
Rozumiem. Cize jedna sa o to ze mam PIN ktory si pamatam a mam BOK ktory drzim doma na bezpecnom mieste.
Teraz bez toho zeby som chcel pisat navody ale dajme tomu ze organizovana skupina zlozena z troch kriminalnikov chce ziskat byt alebo dom nejakej obete. Moze konat nasledovne:
- Chvilu pozoruje obet. Zisti kde byva, kde pracuje a kam chodi.
- Posle mu nejaky balik v mene doveryvodnej organizacie. Su sluzby cez ktore to moze spravit uplne neosobne aby nikto z nich nemal otlacky a DNA na tom. Staci ked mu nieco objedna z nejakeho eshopu.
- Sleduje ked obet pojde na postu. A vtedy dochadza k akcii:
- Jeden z clenov teamu stoji za nim v rade a odpozoruje PIN,
- Druhy z teamu ho odlahci o penazenku (s eId) ked obet vychadza z posty.
- Medzitym ked treba tak treti z timu mu vlame do bytu a najde si list s BOK.
- Vykonava sa prevod nehnutelnosti cez internet z nejakeho rusneho miesta s pristupom na internet (napriklad stanice, velke kniznice, letiska). Nikto si tam nebude pamatat ze kedy kto sedel pri kompe.
Kym obet zbada ze bol okradnuty uz ma o nehnutelnost v hodnote cca 100 tisic Eur menej.
Teraz v bankach predpokladam ze sa jedna o podvody v hodnote niekolko tisic Eur max. Za niekolko tisic Eur sa neoplati pustit taku velkolepu akciu ale za 100 tisic Eur ? Uz by sa asi ta skupina nasla.
Viem si predstavit taky scenar ze pri niektorych ukonoch urad dodatocne autorizuje obcana tak ze mu zavolaju. Daju mu par osobnych otazok (miesto narodenia, meno rodicov, atd.) a zaroven ho overia hlasovou biometriou.
A nakoniec budes mat pravdu s tou biometriou 
1 Like
Ja si zvýšenie bezpečnosti viem predstaviť nasledovne:
Užívateľ si na stránke slovensko.sk alebo inej oficiálnej zvolí dodatočné možnosti autorizácie.
My na burze používame npr systém TrustedIP… Keď niekto príde z overenej IP adresy, tak ho to pustí do systému bez ďalšej nutnosti overenia. Ak sa prihlási broker npr z internet cafe, tak si povolí prístup na krátky čas do systému prijatím kódu do emailu prípadne tel.
Ďalšie možnosti zabezpečenia si viem predstaviť ako
- nastavenie ďalšieho jednoduchého hesla
- jednoduché overenie cez email
- jednoduché overenie cez mobil
- biometrika (npr odtlačok prstu)
- hlasová biometria s kombináciou npr grid karty
- oAuth
Nechápem prečo ľudia začali nazývať niekoľkofaktorové overenie “dvojfaktorové”… Si myslím, že dôležitejšie je, aby sa tá osoba cítila bezpečne a zároveň aby sa necítila že sa požaduje príliš veľa kontrol a stráca sa jej čas… Preto som skôr zástanca toho, že úroveň bezpečnosti si volí užívateľ a môže si vybrať ľubovoľný počet faktorov zabezpečenia…
K technickej stránke ako by sa mohli vytvárať ZEP použitím ľubovoľného počtu overovacích metód:
- Užívateľ si na oficiálnej stránke štátu zvolí možnosti zabezpečenia
- Pred podpisom sa vykonajú všetky overenia a z oficiálnej stránke dostane podpis, že tento certifikát je overený a môže byť použitý pre vytvorenie ZEP z tohto dokumentu
- Užívateľ podpíše dokument ZEPom a odošle na príslušný úrad
- Úrad overí, či je zep správne podpísaný, skontroluje či sa vyžaduje overenie podpisu na oficiálnej stránke a ak áno overí podpis oficiálnej stránky v podpísanom zepe
Všetko to však bude potrebovať upraviť programy na vytváranie podpisov a na kontrolu podpisov na úradoch a úpravu oficiálnej stránky kde sa to bude autorizovať… A tie možnosti overenia sa môžu postupne pridávať nové podľa toho ako budú programované prípadne navrhované… (Npr keď niekto príde s tým, že vhodný systém overenia bude cez Epoc headset a urobí sa na to EEG overovanie )
K diskusii si veľmi nemyslím že s týmto je možné pohnúť, keďže min. pol roka nevedia urobiť podporu pre samotné ZEP pre win10…
Výborná diskusia. Presne to čo píše @ius aj ja považujem za správne:
- umožniť na rôzne podania rôzne “silné” metódy autorizácie - a niekedy aj silnejšie ako ZEP
- mať možnosť vylúčiť / obmedziť elektronickú verziu niektorých podaní
- zaviesť systém na fraud detection / prevention po vzore bánk
Prístup “viaceré levely autorizácie” som aj za SOIT presadzoval v rámci pripomienok k zákonu o eGov v r.2013, viď. vyjadrenie bod 3. MF aj externí tvorcovia zákona však boli napevno nastavení na “iba ZEP”, objektívne treba povedať že z veľkej časti to takto vidí aj legislatíva EÚ.
Ináč k samotnému ZEP: jeho slabinou je, že pre niektoré situácie je zbytočne silný (a s ním spojená zložitosť používania nie je teda odôvodnená) a súčasne paradoxne pre niektoré situácie je dosť slabý (viď. úvaha nižšie).
Hlavná slabina ZEP je kompromitovaný počítač kde ho používateľ vytvára. V takomto prípade útočník vo chvíli keď používateľ zadá všetky PINY a BOKY môže nechať čipovej karte podpísať čo chce namiesto pôvodného dokumentu, alebo si rovno tie autorizačné kódy zapamätá a ďalej podpisuje sám.
Pointa je, že riziko že používateľov počítač je kompromitovaný rastie v podstate priamo úmerne tomu, ako často ten ZEP potrebuje používateľ spraviť (napr. v zmysle že online, na rôznych PC, v mobile…). Čiže: čím častejšie ZEP potrebujem, tým je jeho bezpečnosť slabšia.
Takže ak nútime používateľa na všetko používať ZEP, vlastne ho tlačíme do stále väčšieho rizika…
Môže sa zdať, že “kompromitovaný počítač” je zriedkavá vec. Avšak odborníci tvrdia opak, možno až tretina všetkých online zariadení je napadnutá. Plus aj dnes falšovanie podpisov človeka často robia blízke osoby - ktoré obvykle majú plný prístup k jeho PC…
Ináč jedno z riešení je mať viaceré ZEPy - na rôzne závažné typy úkonov. Napr. na prevody nehnuteľností mať iný ZEP ako na ostatné veci. Ale to opäť predpokladá konfigurovateľnosť autorizačných metód, o čom naši štátni stratégovia zdá sa zatiaľ nechyrujú.
2 Likes
Dobrý deň,
napriek tomu, že táto diskusia je celkom zaujímavá, je to znovuvymýšľanie kolesa. Štát sa po niekoľkých desaťročiach dostal k analógií bankových kariet. A kedže o peniaze ide až v prvom rade, tak sa môžu skúsenosti z tejto sféry priamo aplikovať do štátnej sféry.
Je dôležité si uvedomiť dve základné fakty:
- použiteľnosť je nepriamo úmerná bezpečnosti
- 100% bezpečnosť neexistuje
A teda od nejakého bodu je lacnejšie riešiť dôsledky podvodu a nie neustále zvyšovať bezpečnosť a znižovať použiteľnosť systému.
Teraz k tej analógií - viacerí dobre hovoríte o konfigurovateľnosti používania ZEP. Takisto si môžete v banke nastaviť, že nechcete mať možnosť platiť cez internet, prípadne limity na platby. Týmto predídete jednoduchým podvodom typu úverový podvod a podobne. Toto riešenie nezohľadňuje použiteľnosť systému. Ak chcete aby ľudia nakupovali cez internet, tak funkciu platby cez internet musia mať aktivovanú.
V konečnom dôsledku treba vždy rátať so situáciami, že nastane podvodný prepis pozemku, tak isto ako môže nastať situácia, že vám niekto z konta ukradne všetky peniaze. Pre takéto situácie treba mať
- vypracované scenáre, ako minimalizovať následky
- zabudované monitorovacie mechanizmy v systéme, sledujúce podozrivé transakcie
- čo ja viem čo ešte robia bankové spoločnosti, trojcestná autentifikácia napr.
Ako som povedal, som zástanca toho, že štátni úradníci by nielenže nemali, ale mali by mať rovno zakázané vymýšľať riešenia v takýchto dôležitých prípadoch pre ich principiálnu nekompetentnosť - nemajú motiváciu, vzdelanie ani zodpovednosť za to, aby sa použilo nejaké správne riešenie.
Ak politici chcú na Slovensku nechať vyrásť konkurenta Visa alebo MasterCard, tak im možno par stoviek miliónov bude stačiť, ale neviem, načo je to dobré. Ak by ale napr. chceli investovať do budovania kvalifikovaných IT kapacít v štátnej sfére, tak nech to je povedané priamo a na takýchto projektoch by si mohli trénovať ľudí.
1 Like
presne tak. Fraud prevention by mala mať na starosti kľudne AI, ak tak veľmi chcú nasadzovať umelú inteligenciu.
Mám pred očami úplne bežného užívateľa elektronických služieb, ktorého štát bude od budúceho roka nútiť povinne vykonávať úkony elektronicky (napr. cez dátovú schránku) - štatutár(ka) firmy, účtovník(čka), alebo aj obyčajný úradník na úrade. Štát bude od nich požadovať, aby si denne kontrolovali poštu a komunikovali so štátom, aby mesačne posielali výkazy, aby mali takmer bez prestania zasunutú kartu v čítačke.
Sú to ľudia, ktorí si nevedia ani len predstaviť, akými spôsobmi môže byť ich počítač kompromitovaný (java malware, keylogers …) Presne tak, ako píše Lubor: čím častejšie ZEP potrebujeme, tým je jeho bezpečnosť slabšia. .
Keď bude penetrácia eID a ZEP v rozsahu niekoľko miliónov, tak sa začnú v praxi prejavovať nedostatky ZEPu.
Pred chvíľu sme sa bavili s kolegami o páchateľovi, ktorý používal bankomatovú kartu a jeho verzia bola, že mu PIN prezradil držiteľ karty, keď bol opitý. Usvedčilo ho foto z bankomatu. Ak by nebola fotografia, tak by bol celý prípad odložený do archívu. Samozrejme aj v minulosti spáchal podobné skutky.
Treba začať uvažovať nad bezpečnosťou celého systému. Potrebujeme verziu elektronického policajta alebo nástroj, ktorý bude zanechávať biometrické stopy každej osoby. Sudca vždy bude potrebovať dôkazy v podobe stôp. Tieto stopy nesmú byť zameniteľné v osobe. ZEP je zameniteľný, lebo nie je biometricky spojený s osobou.
Ja si bezpečnosť predstavujem tak, že sa mi prehliadač otvorí v sandboxe, vložím eID zadám PIN (pasívna operácia) a pri aktívnej operácii prevod nehnuteľností, predpis auta budem naviac vyzvaný na zadanie biometrického parametra.
- alternatívne môže mi do 10 minút od zadania transakcie zavolať automat/ živý operátor a žiadať ma o potvrdenie transakcie (banky to pred pár rokmi robili) pri transakciách na kartách
- alebo bio-podpis transakcie
- alebo odtlačok
Samozrejme na pozadí sa logujú MAC a IP adresy, operátor, lokácia a pod.
Súčasný problém riešenia podvodov v elektronickom svete je ten, že podvody sa riešia ne-elektronickými postupmi - papierovým súdnym konaním, papierovým trestným konaním. Naviac elektronické stopy rýchlo miznú. Preto je potrebné zaviesť rýchle konania práve pre elektronické transakcie, špecializované tímy, ktoré budú elektronické podvodné transakcie po nahlásení okamžite riešiť, či už blokáciu napr. predbežným opatrením ale hlavne rýchlou odozvou. Faktom ale je, že prevencia je výrazne lačnejšia, ako následná ochrana.
Můj názor - žádné opatření neudělá “ZEP” absolutně bezpečným, nijak se nedosáhne toho aby nebyl zneužitelný. Už dnes je na slovensku možné klíčový pár vygenerovat jen na NBU certifikovaném zařízení, podepsat jen certifikovaným podepisovačem a dokud není ověřený certifikovaným ověřovačem považuje se za neplatný.
Stejnou právní sílu má podpis obyčejnou (NBU necertifikovanou) prupiskou, na necertifikovaném papíře a bez grafologického ověření. Úřední ověření - výsměch, to taky nikdo neověřuje, stačí si doma vypálit razítko (pro šikovné vyřezat z brambory). Žádný úředník nevolá notáři, zda ten podpis skutečně ověřil…
Proč by se měl někdo trápit s certifikáty na eID když mu stačí se získanou občankou dojít na matriku… nebosi jen poznamenat č.občanky a rodné číslo na ní uvedené a použít tu bramboru. Zápis do katastru zajištěn…
1 Like
Osvedčený podpis u notára je podľa mna v centrálnom registri osvedčení a dá sa tam overiť. Kataster pri zápise návrhu na vklad aj povinne overuje, či je listina zapísana v tomto registri. Možno nepoužívam správne názvy, ale dôležitý je princíp. Na spáchanie podvodu musíte prísť k notárovi s pravým alebo dostatočne dôveryhodným ID a osobou, ktorá sa podobá tej na fotke. Myslím, že notár je aj hmotne zodpovedný za spôsobenú škodu a je na to aj poistený. Samozrejme aj tu sú nejaké problémy, ale nebudem ich sem písať, aby som nedával návod. Biometrický údaj je dôveryhodný iba vtedy, ak dôveryhodná osoba vidí jeho nositeľa bezprostredne naživo. Inak táto problematika je pomerne dobre teoreticky aj prakticky prebádaná, stačí si to naštudovať. Myslím, že v súčastnosti nevieme zabezpečiť ani dôveryhodné koncové zariadenie ani dôveryhodnú komunikáciu medzi týmto koncovým zariadením a informačným systémom, do ktorého osoba vstupuje. To je možné iba vtedy, ak je celá trasa pod priamo fyzickou kontrolou a fyzickou kontrolou všetkých súčastí, z ktorej je zložená :-). Preto je lepšie sa baviť o relatívnej bezpečnosti, čiže pomere nákladov na zabezpečenie za rok k pomeru priemerným ročným škodám. Banky sú na toto poistené a správny bankový dohľad dáva dôkazné bremeno na banku, lebo je to spoločensky prospešné. Som zvedavý, ako sa to bude riešiť u nás.
1 Like
V registri sa dá zistiť, či číslo na overení sedí s databázou, ale nie je zaevidované, o akú listinu sa jedná (to by musel preveriť priamo notár). Rovnako sa podpis dá overovať na matrike, kde sa ale zapisuje do matričnej knihy a nie je v elektronickej podobe. Takže ti stačí mať číslo akéhokoľvek overenia danej osoby a nie je problém to zneužiť a pri našom súdnom systéme tá nehnuteľnosť bude prevedená 3× a môžeš sa o ňu súdiť, koľko chceš (tých prípadov je dosť). Notár nemôže byť hmotne zodpovedný za overenie podpisu, nakoľko neosvedčuje informácie na listine ale len podpis, to znamená, že reálne by mu museli dokázať, že konal vedome (čo už je podvod/trestný čin).
Popravde neviem, či je jedna alebo druhá forma (ne)bezpečnejšia, pretože ak do daného úkonu vstupuje ľudský faktor, vždy môže prísť k zneužitiu. Podľa mňa je kľúčom k tomu celému funkčný a rýchly súdny systém a logovanie akejkoľvek podozrivej aktivity (napr. s využitím geolokácie, odkiaľ sa najčastejšie užívateľ prihlasuje, dvojfaktorová autorizácia, overenie telefónom/e-mailom atď.). Dnes sa dajú nehnuteľnosti prepisovať aj bez eID karty a kým príde k dokázaniu skutočného vlastníctva, trvá to roky. Ak by to dokázal súd na základe všetkých potrebných dát vyriešiť do 1-2 týždňov, tak by sa skomplikovali akékoľvek ďalšie prevody a vec by sa zastavila hneď na začiatku.
O tých možnostiach samozrejme vie, ale nechcel som sem písať návod na spáchanie trestného činu. Nikdy nevieš, kto to tu číta. Nebudem teraz riešiť overenie na martrike, ale v databáze je aj dátum overenia, ktorý musí sedieť s listinou a to kataster tiež overuje.
ano, myslím že další certifikované propisky, papíry a ověřovače už nejsou potřeba…
Co fakt chybí je konečně implementovat na NBU OSCP (tuším ho NBU pořád neposkytuje) jinak máte podpis vytvořený po poledni až do dalšího poledne neplatný (nedá se ověřit zda NBU neodvolal platnost root certifikátu, tedy ověřit podpis dle požadavkú NBU a ten je tedy “dočasně” neplatný).
implementacia OSCP bude trvat dalsich 10 rokov. my mame radi dekady.