Na placení otisky prstů ještě nedozrál čas
Kryptografickým specialistům se nedávno povedlo prolomit kódy sto padesáti milionů prodaných kusů centrálního zamykání jedné nejmenované americké automobilky. Trvalo jim to jeden den. Příště to prý zvládnou do dvou minut. Zvyšuje se množství vyluxovaných účtů, zneužitých osobních údajů a podvodů, založených na datech získaných z harddisků obětí, životnost nezabezpečeného počítače po připojení k internetu je asi dvacet sekund. Do toho se občas vynoří kauzička s odloženou bednou osobních dotazníků nebo ofocených občanek zaměstnanců nějaké firmy. A technická úroveň a znalosti digitálních zločinců nadále vedou nad schopnostmi a prostředky správců dat.
Podceňování rizik týkajících se digitální bezpečnosti a z něho vyplývající špatná práce s citlivými informacemi bobtná a nevyhýbá se ani jinak nadmíru obezřetným kartovým firmám. Letos 22. května napadl databázi americké společnosti CardSystems Solutions virus, kvůli němuž došlo k odcizení čtyřiceti milionů záznamů obsahujících číslo karty, datum expirace a kód CVV2. CardSystems Solutions není zrovna bezvýznamnou firmou: provádí transakce pro více než sto tisíc obchodníků v ročním objemu patnácti miliard dolarů. Tento problém zasáhl i banky v České republice. GE Money Bank musela zablokovat 216 karet, Česká spořitelna třicet, další banky uvedly, že počty blokací šly do desítek. Problém postihl hlavně tu část klientů, která je aktivní na amerických portálech typu Paypal.com.
Iluze nejsou namístě. Ochrana digitalizovaných osobních údajů má stejně jako jinde ve světě i v Česku velmi nízkou prioritu. Slabým článkům řetězce přitom jednoznačně vévodí lidský faktor. Přes devadesát devět procent metod, jejichž prostřednictvím ke krádežím digitálních informací dochází, se zakládá na nepozornosti a neochotě člověka myslet.
Hackeři si s oblibou hrají na novodobé sociální inženýry. Jdete po chodbě vaší firmy a na konferenčním stolku zahlédnete zapomenuté CD s nápisem „platy managementu 2004“. Zvědavost zaúřaduje, a zatímco procházíte tabulky s nepřehledným a nesmyslným obsahem ve snaze zjistit roční příjem svého šéfa, skrytý program proskenuje vybrané složky ve vašem počítači. Získané údaje pošle prostřednictvím internetu svému tvůrci a pokusí se proniknout na další stroj ve firmě, aby mohl pokračovat dál. Pokud útočník shledá získaný reprezentativní vzorek dat zajímavým, využije další funkce programu a do firemní sítě vnikne zvenčí přes tajně otevřený komunikační kanál z pohodlí své pracovny. Následovat může průmyslová špionáž, krádež utajovaných údajů, poškození dat - v podstatě cokoliv. Metoda, proslavená populárním napraveným hackerem Kevinem Mitnickem, je sice dvacet let stará, nicméně funguje spolehlivě.
Digitální zločince ale zajímají i jednotlivá bankovní konta a neváhají jim věnovat čas. Phishing, do češtiny s oblibou překládaný jako rhybhaření, spočívá v tom, že vás rhybhář kontaktuje pomocí e-mailu tvářícího se, jako by pocházel z banky nebo známé aukční síně eBay. Požádá vás o přechod na server, kde budete sugestivně a „ve vlastním zájmu“ vyzváni k zadání údajů typu jméno, heslo, číslo kreditní karty a její expiraci, většinou z fiktivního důvodu upgradu na bezpečnější systém. Webová stránka je samozřejmě podvržená a útočník má v tuto chvíli již vše, co potřebuje. Světové statistiky uvádějí, že na lep takto sedne zhruba pět procent oslovených.
Dnešní svět informačních technologií se jen horko těžko vyrovnává s přenosem osobnosti člověka do datových struktur počítačů. Ještě hůře se s ním vypořádávají sami lidé. O to více zaráží snaha firem k dalšímu navyšování počtu systémů online plateb, aniž by se zabývaly zdatnějším zabezpečením těch současných. Jistě, okázalé využívání nástrojů moderních technologií povyšuje firmu mezi hráče, kteří jdou s dobou. Naproti tomu investice do security systémů představují pro společnosti spousty peněz, které negenerují žádné příjmy, a navíc pro běžného uživatele nejsou na první pohled viditelné.
Mezi posledních technologické vychytávky patří platba dotekem (Pay By Touch), založená na sejmutí otisku prstu namísto použití platební karty. Vypadá bezpečně. Jenže když vám někdo ukradne a zneužije platební kartu, necháte si prostě vystavit novou. Přijdete o pár tisíc kvůli nastavenému dennímu limitu a dvakrát budete muset zajít na pobočku banky. Co se však stane, pokud útočník získá model vašeho otisku prstu, případně očního pozadí? Novou ruku vám nikdo vystavit nedokáže, dokonce ani v centrále.
