Sorry, you need to enable JavaScript to visit this website.

Trendy v internetové bezpečnosti 2012

Čas nutný k přečtení
18 minut
Již přečteno

Trendy v internetové bezpečnosti 2012

0 comments
Autoři: 

Ve čtvrtek 1. března se v pražském konferenčním centru City konala celodenní odborná konference "Trendy v internetové bezpečnosti". Jak již název napovídá, konference byla zaměřená na aktuální trendy v oblasti bezpečnosti uživatelů i počítačových sítí, zabezpečení elektronického bankovnictví a dalších kritických internetových služeb. Hlavním organizátorem konference byla společnost Internet Info, respektive sociální síť Tuesday a čtveřice odborných serverů: Lupa.cz, Měšec.cz, Root.cz a Podnikatel.cz. Šéfredaktor serveru Root.cz, Petr Krčmář, konferenci také zahájil a následně moderoval.

Konferenční centrum City na Praze 4

Konferenční centrum City na Praze 4

Aktuální hrozby na českém internetu

První prezentaci čtvrtečního dne si připravila Andrea Kropáčová, jedna ze zakládajících členů prvního bezpečnostního týmu typu CSIRT v České republice. Zkratka CSIRT znamená "Computer Security Incident Response Team", a označuje skupinu odborníků, kteří společně pracují na rozvoji bezpečnostní infrastruktury v ČR, a v případě potřeby se věnují řešení bezpečnostních incidentů. CSIRT tedy funguje jednak jako "point-ofcontact" (jednotné místo pro hlášení incidentů i získání informací) a jednak jako tzv. "last resort", neboli "místo poslední záchrany".

Počátky této pracovní skupiny sahají do roku 2003, kdy vznikl tým CESNET-CERTS, operující v rámci národní výzkumné sítě CESNET. V letech 2007 až 2010 začalo vznikat modelové pracoviště CSIRT.CZ, které bylo v prosinci roku 2010 oficiálně prohlášeno (Ministerstvem vnitra ČR) za Národní CSIRT České republiky. Od 1. ledna 2011 je Národní CSIRT ČR provozován sdružením CZ.NIC.

Hlavní sál se již naplnil a Andrea Kropáčová začíná přednášet

Hlavní sál se již naplnil a Andrea Kropáčová začíná přednášet

Je nicméně potřeba zdůraznit, že CSIRT jako takový nemá žádné rozsáhlé technické či legislativní pravomoci. Nemůže tedy například "vypnout Internet" nebo provádět regulaci. Hlavním nástrojem CSIRTu je především pozitivní motivace účastníků incidentu, poskytování odborné konzultace a zprostředkování komunikace s IT experty nebo provozovateli klíčových služeb. Paní Kropáčová také v závěru zdůraznila, že největším bezpečnostním rizikem jsou sami uživatelé, a situace se bohužel stále zhoršuje.

Bezpečnostní hrozby blízké budoucnosti

Velmi zajímavou přednášku si připravil vedoucí Střediska bezpečnostní politiky CESES a pedagog Fakulty sociálních věd UK, Miloš Balabán. Ve svém příspěvku se věnoval bezpečnostním hrozbám blízké budoucnosti a kladl si otázku, nakolik si "Západ" dokáže udržet své politické, ekonomické i bezpečnostní postavení. Současná situace totiž není příliš optimistická - kupříkladu jen USA mají dluh 15 bilionů dolarů, což je největší deficit od 2. světové války. Jejich současnou geopolitickou prioritou je oblast Pacifiku, kde má ale velmi silnou pozici Čína. Součástí tohoto mocenského soupeření je samozřejmě i kybernetická dimenze - tj. například hackování vládních i korporátních serverů.

Evropa zatím v tomto mocensko-politickém soupeření teprve hledá své místo. Nabízí se tak otázka, jestli EU dokáže být mocností aniž by byla jedním státem. Zatím to tak bohužel nevypadá a EU jako celek vystupuje dosti nejednotně. Evropa je také v mnoha ohledech závislá jak na USA (kupříkladu NATO je sponzorováno Spojenými státy ze 75%), tak i na Číně (viz import zboží, půjčky EU v rámci finanční krize).

Další problémy se objevují v souvislosti s tzv. "arabským jarem", které se ne vždy vyvíjí zcela pozitivním směrem, a projevuje se silný vliv islámistů. Kromě ochlazení mezinárodních vztahů lze očekávat také silné migrační vlny (odhaduje se, že až třetina mladých lidí z arabských zemí uvažuje o emigraci). Velkým tématem se tak stává i ochrana hranic - což ale opět komplikuje současná ekonomická krize (např. hrozící bankrot Řecka). Významná je také situace kolem Íránu, kde probíhá tzv. "válka nízké intenzity" - tedy například sabotáže v jaderných zařízeních, likvidace klíčových jaderných vědců, či kybernetické a virové útoky.

Zhruba stovka účastníků naplnila hlavní sál i paralelní workshopy

Zhruba stovka účastníků naplnila hlavní sál i paralelní workshopy

Česká republika a kybernetická bezpečnost

Dalším přednášejícím byl Jaroslav Pejčoch, spoluzakladatel společnosti T-Soft a ViceChairman v Českém národním výboru pro odstraňování katastrof. Zdůraznil, že na informačních a komunikačních systémech je závislá celá řada prvků kritické infrastruktury, jako například internet, mobilní sítě, banky a kreditní karty, logistika a řízení dopravy, dodávky elektrické energie atd.; tedy služby, které jsou nejen nezbytné, ale musí pracovat 24 hodin denně a 7 dní v týdnu. V případě krizové situace není možné internet "vypnout" - jednak to není reálně možné a jednak by to bylo kontraproduktivní; je ale možné ho regulovat a zajistit alespoň omezenou funkčnost (tj. tzv. "grey-out" namísto "black-outu").

Zatímco jsme se v minulosti setkávali s krizovými plány a krizovým řízením zaměřeným na povodně, hurikány či terorismus, stále větší význam získává také příprava na kybernetické kolapsy. Ve všech těchto případech platí, že pokud jsou nouzové situace krátkodobé (např. 24 hodin), obnova škod je poměrně rychlá. Nicméně pokud krize trvá pět a více dní, dochází ke kolapsu infrastruktury a později i rozpadu společnosti. Jedním z příkladů byla krize po hurikánu Katrina v USA, kde lidé sice zpočátku "fungovali", ale záhy začalo drancování, formovaly se gangy a domobrana, ulice zachvátila vysoká kriminalita a civilizační návyky ustoupily do pozadí.

Současná situace je krajně nevyhovující. Na základě diskusí a simulací se ukazuje, že v případě nouze stále přetrvává snaha prosazovat tradiční přístupy k možným útokům i možnému řešení a je například patrná nízká anticipace totálního kolapsu. Pokud by ale nastal, nejsme zatím připraveni - to ostatně ilustruje i krátké video na stránkach ICT Unie. Je tedy nezbytné věnovat této oblasti pozornost, zajistit dostatečně redundantní a herogenní infrastrukturu, snažit se o diverzifikaci a průběžné zálohování všech klíčových systémů a zajistit vyšší interoperabilitu veřejné správy a subjektů kritické infrastruktury.

Simulace internetového totálního kolapsu aneb "co se nikdy nesmí stát"

Svoboda internetu je iluze

IT odborník a nezávislý konzultant Petr Koubský se ve svém příspěvku věnoval tezi, že svoboda na internetu je jen iluze. V první řadě si musíme uvědomit, že vývoj celosvětových sítí není nic nového pod sluncem; podobný potenciál (včetně výhod i nevýhod) měl i tzv. "viktoriánský internet", neboli telegraf.

Jak už mnozí z nás vědí, počátky internetu sahají do roku 1969. V reakci na sovětský Sputnik vznikly ve Spojených státech dvě významné agentury, NASA a ARPA, přičemž obědosáhly v roce 1969 významných úspěchů: NASA přistála na Měsíci a ARPA spustila ARPANET. Ačkoliv se z počátku jednalo o vojenský projekt, armáda brzy ztratila zájem a předala internet "na hraní" akademické sféře. Ti s internetem experimentovali přibližně 20 let, než se internetu (zejména díky rozmachu osobních počítačů) chopil komerční sektor.

Ačkoliv se tedy internet často vnímá jako zcela svobodné a nezávislé prostředí, jedna se o síť velmi komerčního charakteru a provázanou vlastnickými právy. Vše odstartovalo v 90. letech, kdy se internet globalizoval a vznikli první správci - jako například organizace ICANN. Současně se totiž objevili i "lokální prostředníci", tedy poskytovatelé připojení (ISP), pobočky poskytovatelů obsahu, platební systémy atd. Na všechny tyto subjekty se dají uplatnit místní zákony. Vize internetové svobody tedy je víceméně naivní - jednotlivé lokální prvky vždy někomu patří a mohou být pod kontrolou státu / vlády.

Petr Koubský

Petr Koubský hovořil o historii Internetu a o důvodech, proč není tak svobodný, jak si možná myslíme

Bezpečnostní monitoring a detekce anomálií

Další prezentaci si připravil Petr Špringl ze společnosti INVEA-TECH, který v současné době působí jako produktový manažer řešení pro monitorování a bezpečnost počítačových sítí, a věnoval tedy svůj příspěvek právě bezpečnostnímu monitoringu a detekci anomálií.

Statistiky ukazují, že množství škodlivých programů neustále roste, a v zatím rozlišujeme více než 70 milionů malware. Objevují se také tzv. "botnety" (sítě infikovaných zařízení) a častější jsou i úniky dat z firemních sítí. V poslední době pak vzrůstá i aktivita hackerů a hacktivistů - ať už se jedná o poměrně nevinné napadení webových stránek ODS nebo potenciálně mnohem závažnější napadení systému brněnského letiště.

Proti všem těmto hrozbám máme pochopitelně řadu obranných prvků, jako jsou firewally na perimetru sítě, systémy IDS/IPS, či antiviry a antimalware na straně klientů. Velmi málo se ale sleduje, co se děje mezi těmito prvky, tedy v rámci samotné komunikace na síti. K tomu slouží bezpečnostní monitoring, který zaznamenává každý pohyb v síti, zachycuje podezřelou aktivitu či nebezpečné anomálie, a vedle detailního přehledu v reálném čase umožňuje i možnost dohledání starších incidentů z historie. Nástroje tohoto typu označujeme zkratkou NBA, což znamená "Network Behavioral Analysis".

V závěru pan Špringl ještě zmínil případovou studii botnetu Chuck Norris. Ten byl odhalen díky práci brněnského bezpečnostního týmu CSIRT-MU, který prováděl právě zmiňovaný bezpečnostní monitoring. Ten odhalil vysoké množství přístupů z celého světa na telnet a s pomocí zpětného trasování (přes ADSL modemy a WIFI routery) se podařilo síť identifikovat. Zjistilo se, že botnet napadal linuxové servery, přičemž šíření infekce probíhalo jen s pomocí jednoduchého slovníkového útoku, kde bylo pouhých 15 hesel. Opět se tak ukázalo, že řada operátorů hrubě podcenila hrozbu byť jen banálního útoku.

Architektura řešení FlowMon od firmy Invea

Architektura řešení FlowMon (systému monitorování IP toků) od firmy Invea

Bezpečnost mobilních platforem

Obecně platí, že jakékoliv zařízení s IP adresou je potenciálně nebezpečné. Týká se to samozřejmě také stále populárnějších chytrých telefonů neboli smartphonů, o kterých hovořil Bohdan Vrabec že společnosti PCS. Zde pracuje na pozici manažera distribuce produktů Kaspersky pro ČR a SR, takže má ke škodlivým programům blízko.

Stejně jako neustále stoupá počet virů a malware pro počítače a síťové prvky, stoupá také napadení mobilních zařízení. Pro hackery je v současné době nejzajímavější platforma java a systém Android, ale malware se objevuje i pro další systémy a vznikají i zcela nové kanály šíření infekce - malware se například objevil i na Android Marketu a v říjnu 2011 byly zaznamenány první případy napadení pomocí QR kódů.

Mobilní malware funguje v podstatě úplně stejně jako jakýkoliv jiný - tj. infikuje soubory, může poškodit funkce zařízení, umožňuje vzdálený přístup k datům, vytáčí placená čísla a má samozřejmě tendenci dále se šířit (např. pomocí SMS, MMS či Bluetooth). Kromě škodlivých programů je ale největším rizikem opět uživatel, který svůj mobil jednoduše někde zapomene (jen v roce 2009 se v USA ztratilo na 250.000 zařízení). Stále častěji se tak objevují i anti-theft funkce, jako lokalizace pomocí GPS či zablokování na dálku.

Statistiky z roku 2009 ukazují, že ztratit mobilní telefon s citlivými daty není nic výjimečného

Statistiky z roku 2009 ukazují, že ztratit mobilní telefon s citlivými daty není nic výjimečného

Čipové karty a elektronické občanky

Ředitel vývojové divize společnosti OKsystem Ivo Rosol se v následujícím příspěvku zaměřil na bezpečnost osobních dokladů, jako jsou nové občanské průkazy a cestovní pasy. Ty jsou totiž nově vybaveny i čipem, což může fungovat jednak jako nový bezpečnostní element v boji proti padělání a jednak jako určitá "přidaná hodnota" (tj. možnost využít občanský průkaz jako cestovní pas, řidičský průkaz, kartu do MHD atd.).

V praxi nás bohužel zatím nic takového nečeká a nové občanské průkazy s čipem nepřinášejí v podstatě nic nového. Technologie je jednak zastaralá (používá se kontaktní čip namísto bezkontaktního, jako třeba v Německu) a především nevyužitá. Čip v našem občanském průkazu obsahuje jen možnost nahrání kvalifikovaného certifikátu pro elektronický podpis a v podstatě zbytečnou aplikaci na zjištění volného místa. V elektronické občance naopak zcela chybí samotná občanka, tedy všechny údaje v elektronické podobě. Zatím se bohužel neuvažuje o jiných aplikacích a ani o možnostech "virtuální občanky", která by pomáhala ověřovat naši identitu ve virtuálním prostředí.

V závěru pan Rosol zmínil několik podrobností o již zmiňované německé e-občance, která byla implementována od 1.12.2010 a je oproti naší variantě o notný kus dále. Navzdory obavám o větší rizika bezkontaktních technologií je RF rozhraní zabezpečené řadou šifrovacích i autentizačních metod. Navíc, jak již bylo naznačeno, obsahuje německá občanka mnoho zajímavých funkcí - od zařazení volitelných informací (včetně uměleckého jména) až po možnost "internetové" autentizace (např. sdělení informace o plnoletosti).

Je každopádně důležité si uvědomit, že vydání dokladu s čipem je pouze malá část systému; neméně důležitá je celá infrastruktura služeb i bezpečnostní koncepce.

Přestávky mezi bloky přednášek

Přestávky mezi bloky přednášek ve znamení příjemného občerstvení a neformálních diskusí

Certifikační autority a protokol SSL

Následovala dvojice poměrně dosti technických přednášek věnovaných zabezpečeným certifikátům. Ondřej Mikle že sdružení CZ.NIC svůj příspěvek začal vyjmenováním některých největších certifikačních incidentů z poslední doby, mezi které patřilo např. získání certifikátů pro Gmail a Mozzilu pravděpodobně íránskými hackery či letošní kauza Trustwave.

V současné době se bezpečnost komunikace zajišťuje tím, že počítač ověří, jestli notářské servery vidi stejný certifikát jako my. Nové a chystané protokoly pak využívají nové postupy a technologie jako "certificate pinning", protokol DANE, "sovereign keys" a další. Ty nejpokročilejší pracují s "časově monotónní časovou osou", která sleduje všechny změny a veškerou komunikaci s autoritami a přísně chronologicky ji ukládá na tzv. timeline servery (což není možné zpětně zfalšovat) a v některých případech dochází k ověřování informací u více nezávislých certifikačních autorit.

Petr Komárek, ředitel internetové divize ZONER software, navázal informacemi o zabezpečené komunikaci přes protokol SSL (Secure Socket Layer), využití symetrického a asymetrického šifrování, elektronických podpisů a dalších nástrojů. Čím více rizik totiž na uživatele číhá, tím je důležitější zajistit bezpečnou a důvěryhodnou komunikaci na internetu. Zájemcům o danou problematiku také doporučil knihu Jiřího Peterky "Báječný svět elektronického podpisu".

Větší čast své prezentace pan Komárek nicméně věnoval srovnáním nejznámějších certifikátů a certifikačních autorit. Stejně jako téměř u všeho i u certifikátů platí, že čím nabízí důkladnější zabezpečení, tím je dražší. Leaderem v této oblasti je společnost VeriSign, mezi další další přední značky patří Thawte či GeoTrust. Zatímco běžné certifikáty je možné získat online třeba za tisícovku, top-certifikáty VeriSign stojí třeba 15.000 Kč a jejich schvalování trvá i několik dnů. Na oplátku se jedná o certifikáty velmi bezpečné a velmi prestižní (internetové prohlížeče je dokonce zvýrazňují zeleným podbarvením lišty s URL). Kompletní portfolio společnosti VeriSign nedávno převzala v rámci akvizice společnost Symantec a v nejbližší době dojde k rebrandu.

Webové stránky PayPal jsou zabezpečené špičkovými certifikáty společnosti VeriSign

Webové stránky PayPal jsou zabezpečené špičkovými certifikáty společnosti VeriSign

Rizika sociálních sítí od narození až do smrti. A možná i po ní

Po této technické části programu přišla na řadu asi nejzábavnější prezentace celého dne s názvem "Rizika sociálních sítí od narození až do smrti. A možná i po ní". Známý novinář a nezávislý konzultant Daniel Dočekal se v ní věnoval celé řadě hrozeb, rizik, problémů a nebezpečí, které na uživatele číhají. Oproti jiným oblastem lidské činnosti zde ale bohužel neplatí, že s věkem přichází moudrost a zkušenost; často je tomu dokonce naopak. Pro většinu uživatelů jsou v současně době největším rizikem sociální sítě, kde se velmi často stávají oběťmi podvodníků, falešných soutěží a podobně. Situace je dokonce tak nelichotivá, že většina nejpopulárnějších skupin na Facebooku je falešná. Pokud je totiž něco "zdarma", rázem se přihlásí desetitisíce lidí a ochotně "lajkují" a sdílejí vše, co jim přijde pod kurzor myši. A často ve skupině zůstávají týdny a měsíce, ačkoliv je už zcela jasné, že např. slibovanou "Škodovku každý den zdarma" ještě nikdy nikdo nevyhrál.

Ovšem sociální sítě jsou rizikové už samy o sobě, i bez podvodných stránek a falešných profilů. Hlavním problémem jsou totiž jako obvykle sami uživatelé, kteří sdílejí své osobní informace v nevídaném rozsahu a ani si to neuvědomují. V posledních letech přestává být jasné, kde začíná a končí soukromí. Jak Daniel Dočekal zdůraznil, soukromí se stalo zpeněžitelnou hodnotou a za virtuální "cukrátka" vyměňujeme stále více a více osobních dat a informací. A s každým naším krokem vzniká nesmazatelná virtuální stopa, která je navíc stále výraznější (v posladní době se k většině našich akcí například připojují i GPS souřadnice).

Vizualizace posledních několika geolokačních údajů z aplikace Foursquare

Vizualizace posledních několika geolokačních údajů z aplikace Foursquare (zdroj: 4sqmap.com)

K tomu přispívá i dosti neomalený přístup provozovatelů služeb. Expertem na takové takřka až nekalé praktiky je Facebook, u kterého se nedávno zjistilo, že nemaže fotografie, protože je to údajně technicky nemožné. Pokud tedy nějakou fotku smažete, pouze se přestane zobrazovat - ale na serverech Facebooku zůstane. Facebook také sleduje chování lidí, i když jsou odhlášeni - a dokonce si vytváří virtuální profily lidí, kteří se ještě ani nikdy nezaregistrovali. Stále více a více tak platí známé rčení "o nás bez nás".

Nedílnou součástí našeho života je smrt. Fyzická smrt ale nijak neovlivní ani neodstraní všechny naše internetové profily, kde se i nadále objevují automatická upozornění her a aplikací, poznámky či otázky známých (kteří nevědí, co se stalo) a profily si tak paradoxně "žijí svým životem". Už v dnešní době jsou na Facebooku odhadem řádově desítky milionů profilů zemřelych lidí, se kterými Facebook nehodlá nic dělat. Ačkoliv to tedy může znít jako žert, možná by skutečně nebylo od věci napsat si něco jako "virtuální závěť", předat notáři hesla ke všem službám, a instrukce, jak s nimi naložit.

Časová osa na Facebooku Časová osa na Facebooku

Nová "časová osa" na Facebooku své uživatele vyzývá k doplnění místa, času a fotografie jejich narození. Možná přijde již brzy doba, kdy budou naši pozůstalí moci doplnit i datum, místo a čas naší smrti. A opět možná včetně fotografie...

Havěť 2012

Další zajímavou prezentaci si připravil zakladatel serveru viry.cz Igor Hák, který pohovořil o vývoji a současných trendech v oblasti virů, červů, spamů, spywaru, malwaru a dalších škodlivých programů, které jednoduše označuje jako "havěť".

Počátky "havěti" byly z dnešního pohledu úsměvné a takřka bezelstné. Jedním z prvních virů byl například virus Brain, v jehož zdrojovém kódu umístili autoři i svá jména, adresy i telefonní čísla. Ostatně i samotné viry byly především zábavné, než aby byly nebezpečné. Kupříkladu virus Ambulance se projevoval tím, že po obrazovce jezdila sanitka; u viru Walker se zase procházela jednoduchá postavička.

Virus Ambulance v akci

Virus "Ambulance" v akci (zdroj: anti-malware.info)

Dnešní havěť už ale bohužel příliš zábavná není. Vetšinou se ani nijak neprojevuje a snaží se uživatele jen v tichosti okrást. Ideálním prostředím pro šíření havěti (nebo aspoň znaužívání důvěry) jsou také již zmiňované sociální sítě, které s oblibou využívají tzv. "click-jacking", na jehož konci člověk nenajde video se svlečenou Agátou Hanychovou, ale místo toho se nevědomky přihlásí do pěti falešných skupin a ještě si stáhne něco nepříjemného do počítače. Havěť se také velmi ráda přetvařuje, využívá informace z profilu či z počítače, a pak se může například vydávat za aktualizaci antiviru a podobně.

Mobilní bankovnictví a bezpečnostní rizika

Petr Dvořák, vedoucí iOS vývojář ve společnosti Inmite, následně pohovořil o bezpečnostních rizicích spojených s mobilním bankovnictvím. Zatímco ještě před několika lety mobilní bankovnictví v podstatě neexistovalo a objevovaly se jen první kroky s technologiemi GSM, WAP či Java, v dnešní době se rozšiřují zařízení jako smartphony a tablety, a uživatelé očekávají stejné funkce (a stejné zabezpečení) jako u počítače.

Bohužel, zatímco u počítačů je celá řada možnosti, jak transakce zabezpečit, u mobilních zařízení jsou tyto možnosti dosti omezené. V telefonech lidé většinou nemají antiviry a firewally, a mobilní přístroje nepodporují ani pokročilé bezpečnostní prvky jako USB klíčenky. Většina aplikací (včetně těch bankovních) tedy funguje pouze na heslo.

Situace tedy není zdaleka ideální, ale zatím je alespoň udržitelná. Mobilní bankovnictví totiž není tolik rozšířené - nevyplácí se na ně útočit, a neexistují hrozby, které by si vynutily silnější zabezpečení. Zatím si tedy uživatelé s heslem vystačí, ale do budoucna se tyto služby bez dvou a více faktorové autentizace pravděpodobně neobejdou.

Pan Dvořák v této souvislosti uvedl také případovou studii mobilní aplikace České spořitelny pro službu Servis 24. I zde je autorizace především přes uživatelské heslo, nicméně systém se snaží uživatele ověřit například tím, že si heslo pro mobilní bankovnictví musí uživatel nastavit v internetovém bankovnictví. Zde musí vyplnit číslo smlouvy a jednorázově vygenerovaný bezpečnostní kód a teprve poté si může začít používat své "mobilní" heslo.

Nastavení mobilního bankovnictví Nastavení mobilního bankovnictví Nastavení mobilního bankovnictví Nastavení mobilního bankovnictví Nastavení mobilního bankovnictví

Nastavení mobilního bankovnictví (Servis 24 u České spořitelny)

Bezkontaktní platby a NFC v praxi

Poslední prezentaci čtvrteční konference si připravil Dalibor Z. Chvátal, šéfredaktor serveru Měšec.cz. Ve svém příspěvku se zaměřil na bezkontaktní platby s technologií NFC (Near Field Communication). Ačkoliv se podle různých optimistických tiskových zpráv měly tyto bezkontaktní technologie rozšířit již na začátku roku 2008, do dnešního dne probíhají spíše jen nesmělé první krůčky - a to zdaleka nejen u nás.

Problém je především v tom, že chybí infrastruktura - technologii bezkontaktních plateb podporuje jen několik málo platebních či paměťových karet, jedny spíše kuriózní hodinky, speciální extenze pro iPhone a telefony Samsung Star a Samsung Star II, a narazit na platební terminál (který by navíc fungoval) je v podstatě zázrak. Termín "bezkontaktní Evropa" je tedy spíše jen marketingové sci-fi než každodenní realita.

Pan Chvátal se rozhodl ověřit současný stav v praxi a vydal se na cestu přes 14 evropských zemí. V podstatě všude narazil na větší či menší problémy - někdy to byla neochotná či neznalá obsluha, jindy to byl nefunkční platební terminál, a občas narazil i na podivná omezení, jako minimální platba či nutnost pokaždé vyplňovat PIN. Když užnáhodou všechno teoreticky fungovalo, objevila se nekompatibilita jednotlivých karet nebo překvapivě dlouhá doba samotné transakce (až v řádu minut).

Bezkontaktní zařízení, která pan Chvátal používal ve svém mega-testu

Bezkontaktní zařízení, která pan Chvátal používal ve svém mega-testu

Poté, co pan Chvátal procestoval celou Evropu a v rámci testování bezkontaktních mikroplateb si zakoupil celkem asi 16 tyčinek pro psy a 49 mýdel, potvrdilo se, že tiskové zprávy jsou skutečně podstatně optimističtější než realita. Problém je přitom především na straně obchodníků a zpracovatelských bank, kde situace připomíná stav platebních karet před deseti či patnácti lety. Typickým příkladem je Turecko, údajná "bašta bezkontaktních karet", kde je podle marketingových superlativ možné bezkontaktně platit i v hromadné dopravě. Ano, skutečně to možné je - ale v celém Turecku se to týká jediného turniketu lodní dopravy mezi dvěma místy v Istanbulu.

Závěrem

Paralelně s hlavním programem probíhala dopoledne také série tří workshopů. Jeden z nich se pod vedením Ondřeje Caletky z CESNETu věnoval zabezpečení bezdrátových sítí, ve druhém nám Tomáš Hála ze společnosti Active 24 přiblížil práci bezpečnostního týmu ACTIVE 24-CSIRT, a Pavol Lupák, výkonný ředitel společnosti Nethemba, hovořil o "kryptoanarchii" a "kryptoměně" typu BitCoin a ClearCoin.

Těžko bych mohl celou konferenci zhodnotit jinak než s využitím mnoha superlativů. Program byl mimořádně zajímavý, přednášející byli odborníky ve svých oborech a celá organizace byla naprosto bezproblémová. Největší pochvalu si ale zaslouží především již zmiňovaný obsah jednotlivých přednášek; konference nebyla zdlouhavá či vyčerpávající, ale přesto dokázala nabídnout řadu zajímavých informací a případových studií z oblasti internetové bezpečnosti - ať už na ni nahlížíme z pohledu uživatelů, bankovních institucí či nadnárodních firem.

Hodnocení: 
Zatím žádné hodnocení
RYLICH, Jan. Trendy v internetové bezpečnosti 2012. Ikaros [online]. 2012, ročník 16, číslo 3 [cit. 2024-11-21]. urn:nbn:cz:ik-13835. ISSN 1212-5075. Dostupné z: http://ikaros.cz/node/13835

automaticky generované reklamy