Hlavní navigace

Podvodný e-mail napodobuje Českou poštu

16. 10. 2020

Sdílet

Hacker karta počítač

Analytici Avastu dnes zachytili nový podvodný e-mail, který napodobuje Českou poštu. E-mail upozorňuje na nevyzvednutý balíček a vyzývá k platbě částky 1 kč kartou.

Podvodná stránka přitom napodobuje stránky České pošty, využívá však domény wwwceskaposta-cz.salimkaopm.com, 1ceskaposta-cz.salimkaopm.com, login-szn.salimkaopm.com, 1ceskaposta-cz.com a login-szn.com. Uživatelé nemají na odkaz klikat ani na e-mail odpovídat.

(zdroj: lupa.cz)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 10. 2020 7:10

    Trupik

    Teda nic proti, ale pokud na tohle někdo skočí i v roce (skoro) 2021, tak si to okradení zaslouží a pro své vlastní dobro by se měl dobrovolně vzdát veškerého přístupu k internetu i fyzického kontaktu s ostatní lidmi.

  • 19. 10. 2020 9:43

    Uncaught ReferenceError:

    jen počkej až vlivem nepozornosti na něco podobného také skočíš. Většina lidí nemá schopnost si zjistit odesílatele, ověřit odkazy, mrknout na hlavičky. V situaci, kdy zrovna balíček čekáš, ti tahle věc unikne jak nic.

    Kolik zpracuješ emailů denně? Pokud se zrovna nějaký trefí do tvého očekávání, pozornost jde stranou. Kouzlou masivně hromadných podvodných emailů je v tom, že stačí opravdu malé promile účinnosti.

    Věřím, že lze nachystat na falešný email každý člověk vč. mě, vadí mi urážení takových lidí a hraní si na supermana, který se nikdy nenechá nachytat.

  • 19. 10. 2020 9:57

    Miroslav Šilhavý

    Je tragédie, že se internet upnul na tezi "šifrujeme za každou cenu", ale rezignovali jsme úplně na ověřování identit. Místo toho, aby se to vyžadovalo víc a víc, neověřuje se dnes prakticky nic.

    S e-maily je to úplná tragédie. Tam není vyřešené ani to šifrování. V e-mailech neleží byznys, ten leží v pohyblivých obrázcích na internetu.

    Lidé vědí, že do poštovní schránky může vhodit dopis nebo jiný spam kdokoliv, i to, že v takovém dopise může být napsán jakýkoliv blud. Na internetu je to složitější. Na jedné straně musíme velkou část služeb čerpat elektronicky, bez toho neodešleme ani platební příkaz. Na druhé straně nejsou k dispozici dostatečné nástroje, jak rozlišit, jestli komunikuji s tím, s kým chci. Co si budeme povídat, lidé se nedívají na adresní řádek - neověřovali ani zelený pruh EV certifikátů, nečtou ani URL (jestli odpovídá jejich bance). Jediným vodítkem je vzhled stránky - pokud stránka vypadá "stejně", pak důvěřuji. Paradoxem dokonce je, že lidé jsou zmateni a vyděšeni, když jejich banka změní vzhled bankovnictví. To je vyděsí víc, než červený adresní pruh.

    Jsem přesvědčený o tom, že nás čeká návrat k ověřování identity a že bude nutné akcentovat potřebu, aby každý ověřoval, že ví, s kým "mluví".

  • 19. 10. 2020 10:49

    Miroslav Šilhavý

    Ono se snad šifrování a ověření identity nějak vylučuje?

    Jistě že nevylučuje. Jen v tom nikdo nevidí svůj komerční zájem a tak to šlo v praxi stranou.

  • 19. 10. 2020 11:27

    FILIP JIRSÁK

    Takže to s tématem nijak nesouvisí. Ale prostě jste nemohl odolat nutkání přilepit tohle vaše nesmyslné téma i ke zcela nesouvisející věci.

  • 19. 10. 2020 11:42

    Miroslav Šilhavý

    @FILIP JIRSÁK

    Jistěže souvisí. Souviselo i tehdy, když "internetoví odborníci" prosazovali široké šifrování a nechtěli slyšet (protože je to "nesouvisející"), že to v praxi odsune ověřování na vedlejší kolej. Přitom ověřování + šifrování je to, co chceme. Tento, podle vás "nesouvisející" vývoj nám zajistil, že OV a EV certifikáty se staly bezcennými a jsme zas o kus dál (od toho, něco ověřovat).

    19. 10. 2020, 11:42 editováno autorem komentáře

  • 19. 10. 2020 11:48

    FILIP JIRSÁK

    Aha, takže se to nevylučuje, ale přitom se to vylučuje…

    Ne, ověřování odesílatele e-mailu není nijak šifrováním blokováno, zpomalováno nebo odsouváno. Naopak, pro ověření odesílatele e-mailu jsou potřeba certifikáty. A tlak na šifrování na webu ukázal, že se s certifikáty dá bez problémů pracovat, jejich vydávání se dá automatizovat a celá ta infrastruktura tím pádem může výrazně zlevnit. Což je přesně to, co potřebujeme pro ověřování identity u e-mailů.

  • 19. 10. 2020 11:54

    Miroslav Šilhavý

    Aha, takže se to nevylučuje, ale přitom se to vylučuje…

    Technicky se to nevylučuje. V reálném prostředí to vedlo k tomu, že jedno vytěsnilo druhé.

    Naopak, pro ověření odesílatele e-mailu jsou potřeba certifikáty. A tlak na šifrování na webu ukázal, že se s certifikáty dá bez problémů pracovat, jejich vydávání se dá automatizovat a celá ta infrastruktura tím pádem může výrazně zlevnit.

    Nic takového se neprokázalo. Ověření osoby musí proběhnout - např. mimoelektronicky. Následně se dají certifikáty obnovovat (v době platnosti původního). Tento mechanismus byl ověřený už v hluboké minulosti.

    Automatické vystavování (prvotních) certifikátů, pokud jde o potřeby ověření, je zcela k ničemu. Není to postup, který by se byť přibližoval k "neprůstřelnosti". A to nemluvím o zanedbatelné právní váze, kterou potřebujete v obraně proti podvodníkům.

  • 19. 10. 2020 12:19

    FILIP JIRSÁK

    V reálném prostředí to vedlo k tomu, že jedno vytěsnilo druhé.
    Nikoli.

    Ověření osoby musí proběhnout - např. mimoelektronicky.
    Bavíme se pod zprávičkou o případu, kdy by bohatě stačilo, pokud by e-mail byl podepsán zaměstnaneckým certifikátem České pošty. Ověření osoby tedy proběhne v okamžiku, když je jí vytvářen účet do firemních IS.

    Tento mechanismus byl ověřený už v hluboké minulosti.
    A také se stále používá. Akorát má docela vysoký vstupní práh.

    Automatické vystavování (prvotních) certifikátů, pokud jde o potřeby ověření, je zcela k ničemu.
    Pokud jde o potřebu ověření, že daná osoba má právo odesílat e-maily z dané domény, stačí automatické vystavení certifikátu při založení účtu. Což se běžně děje. A nic víc není pro tenhle případ potřeba. Mimochodem, zaměstnanci České pošty, se kterými jsem komunikoval, automaticky podepisovaly e-mail svým kvalifikovaným certifikátem od PostSignum. Takže tam je ta úroveň zabezpečení mnohem vyšší, než by bylo potřeba v tomto případě. Jenže jaksi chybí ta strana ověření – aby to reálně fungovalo.
    Navíc tady se nebavíme o e-mailu zasílaném nějakou osobou, ale robotem. Takže by bylo opět potřeba ověřit jenom to, že ten robot má právo odesílat e-maily z dané domény.

    Není to postup, který by se byť přibližoval k "neprůstřelnosti".
    Tohle je právě ten problém. Chcete neprůstřelnost, tak nemáte nic.

    A to nemluvím o zanedbatelné právní váze, kterou potřebujete v obraně proti podvodníkům.
    Proti podvodníkům potřebujete především to, že nepůjde zfalšovat adresu odesílatele. Cokoli dalšího můžete vymýšlet teprve nad tímto základem.

  • 19. 10. 2020 12:49

    Miroslav Šilhavý

    A také se stále používá. Akorát má docela vysoký vstupní práh.

    Je to jeden z mechanismů, který se v ověřování využívá jako jeho nedílná součást. Občanku Vám taky nepošlou poštou nebo nevydají nikomu jinému ani na základě plné moci, byť hlavní část ověření proběhla v době podávání tiskopisu a fotografování na přepážce.

    Pokud jde o potřebu ověření, že daná osoba má právo odesílat e-maily z dané domény, stačí automatické vystavení certifikátu při založení účtu.

    Ne, takové ověření nepotřebuji mít, nebo až ve třetí řadě. V první řadě potřebuji vědět, že ten, kdo mi sdělení zaslal, je dohledatelná osoba s odpovědností. Dokonce nepotřebuji znát ani totožnost té osoby, stačí mi, že v případě problému dohledatelná je.

    V druhé řadě nepotřebuji vědět, z jaké domény byl e-mail odeslaný, ale jménem jaké osoby (firmy) byl odeslaný. Nezajímá mě, že e-mail byl odeslaný @gmail.com, ale chci ověřit (pokud je to potřeba), že se mnou opravdu mluví ten, kdo to o sobě tvrdí. Není to dokonce potřeba ani na každém e-mailu; mělo by být v zájmu odesilatele, aby chtěl takové ověření poskytnout.

    Chcete neprůstřelnost, tak nemáte nic.

    Nemám nic proti iteračnímu postupu, ale musí to aspoň jít přibližně správným směrem. My jsme udělali krok k šifrování, ale dva kroky od ověřování.

    Proti podvodníkům potřebujete především to, že nepůjde zfalšovat adresu odesílatele.

    Nebyl bych tak umanutý na entitách "doména" a "adresa". Domény se mění, adresy se využívají i generické. Freemaily i placené mail služby sdružují zástupy lidí pod jednou doménou. Znalost domény a oprávnění odesílat je naprosto bezcenné k právní odpovědnosti. Nechť maily posílají klidně z @email.cz, když to bude jednoznačně a viditelně označené tím, kdo nese za právní jednání odpovědnost. (OZ: odpovědnost nese fyzická osoba; právnická osoba je vázána jednáním zaměstnanců (ale může škody (částečně) regresovat)).

  • 19. 10. 2020 13:16

    FILIP JIRSÁK

    Dohledatelnost odesílatele zajistíte právě přes tu doménu.

    Mně nezajímá, že rozesílacího robota spustil Franta Vopršálek, toho času správce IT čtvrté kategorie. Mně zajímá, že ten robot opravdu rozesílá e-maily z domény cpost.cz. Že je to opravdu Česká pošta můžu řešit někdy potom, ale ve většině případů mi to bude úplně jedno.

    Jaké dva kroky od ověřování jsme udělali?

    Odpovědnost musí jít za vlastníkem domény, to je jediná entita, která dává na internetu smysl. No a vlastník domény bude buď schopen ukázat na konkrétní osobu, čímž se odpovědnosti zbaví a odpovědnost jde za tou osobou. A nebo toho schopen nebude, a pak to zůstává na něm. Tohle je řešení, které bude fungovat celosvětově, dá se k němu doiterovat postupně a postupné kroky budou znamenat zlepšení oproti předcházejícímu stavu. Drobný zárodek už je v podobě DKIM, akorát je potřeba si vzpomenout, jak má fungovat e-mail, a podle toho upřesnit pravidla. A pak už se jenom musí velcí hráči dohodnout, že ta pravidla začnou postupně vynucovat – což se vám zase vůbec nebude líbit.

  • 19. 10. 2020 14:02

    Miroslav Šilhavý

    Mně nezajímá, že rozesílacího robota spustil Franta Vopršálek, toho času správce IT čtvrté kategorie. Mně zajímá, že ten robot opravdu rozesílá e-maily z domény cpost.cz. Že je to opravdu Česká pošta můžu řešit někdy potom, ale ve většině případů mi to bude úplně jedno.

    Tady máte zcela chybnou úvahu, která je možná technikovi blízká, ale není šťastná v souladu s právem (a ani s praxí). Právnická osoba je vázána jednáním svého zaměstnance (plus samozřejmě jednáním zmocněnců a mandatářů (příkazníků)). Doména nevyjadřuje tento vztah. Na doméně @seznam.cz mají e-maily lidé, kteří naprosto nemají nic společného s firmou.

    Odpovědnost musí jít za vlastníkem domény, to je jediná entita, která dává na internetu smysl. No a vlastník domény bude buď schopen ukázat na konkrétní osobu, čímž se odpovědnosti zbaví a odpovědnost jde za tou osobou.

    To je nereálné. Když si nezaložíte e-mail na doméně v Česku / EU, tak si kliknete registraci někde jinde, kde podobný zákon neplatí, nebo je jeho uplatnění nepředstavitelné. Už vidím, jak se budete pídit za odesilatelem spamu na druhý konec světa.

    Pak je taky dost běžná situace, že vlastník se liší od provozovatele. Někdy je v tom úmysl zakrýt provozovatele, jindy jsou v tom zcela prozaické a ne-nelegální důvody.

    Tohle je řešení, které bude fungovat celosvětově, dá se k němu doiterovat postupně a postupné kroky budou znamenat zlepšení oproti předcházejícímu stavu.

    K tomu se ani neblížíme. Založit si doménu lze během pár minut, aniž by kdokoliv požadoval ověření. Registrátorů je takové množství, že i kdyby to měli za povinnost, bude to v praxi děravé. Taky ne každá země si chce nechat do svého internetu mluvit.

    Drobný zárodek už je v podobě DKIM, akorát je potřeba si vzpomenout, jak má fungovat e-mail, a podle toho upřesnit pravidla.

    Pomiňme, že doména je víceméně anonymní (není dostatečně zajištěno, aby byl znám vlastník a skutečný provozovatel). DKIM by část problémů řešil, kdyby mailové programy zobrazovaly neověřené e-maily aspoň stejně vehementně, jako nešifrované stránky - a tedy motivovaly provozovatele to doplnit. Stále však nevím, k čemu mi bude dkim na mailu odeslaném @seznam.cz nebo @gmail.com.

    A pak už se jenom musí velcí hráči dohodnout, že ta pravidla začnou postupně vynucovat – což se vám zase vůbec nebude líbit.

    Pochopitelně. Velcí hráči nemají co vynucovat, na to mají příliš velký vliv. V případě HTTP TLS se to projevilo, všechny kroky vedly jen k tomu, aby JIM nikdo neviděl do toho, co dělají, ale přínos pro společnost byl jen okrajový. Samozřejmě to zabalili do frází, jak je šifrování v zájmu všech; jen zapomněli dodat, že udělali devět kroků vpřed pro sebe, jeden vpřed pro uživatele (šifrujeme) a dva zpět (ověřujeme ještě méně).

    Jaké dva kroky od ověřování jsme udělali?

    Zcela jsme zničili EV certifikáty, které jako jediné mířily k tomu, že uživatel internetu neviděl jen doménu, ale i jméno (název) osoby, která se pod obsah podepsala.

  • 19. 10. 2020 14:41

    FILIP JIRSÁK

    Tady máte zcela chybnou úvahu
    Nikoli. Pouze vy se zarytě držíte své představy a odmítáte se zabývat čímkoli, co se do ní nevejde.

    Já jsem totiž nikde netvrdil, že v nějaké doméně mohou mít e-maily jen lidé, kteří mají něco společného s firmou. Mimochodem, existuje spousta domén, která nemá s firmou nic společného – vlastníkem je třeba fyzická osoba. Pro to, o čem píšu já, je ale podstatné jenom to, že doména má nějakého vlastníka – a ten za ni má být zodpovědný. Takže za doménu seznam.cz má být zodpovědný Seznam a. s. jakožto její vlastník. Že na té doméně jsou e-maily lidí, kteří nejsou jeho zaměstnanci, to je úplně jedno. Buď bude seznam schopen u konkrétní e-mailové adresy věrohodně ukázat na konkrétní osobu, pak se své zodpovědnosti zbaví. A nebo toho schopen nebude, zodpovědnost pak zůstane na něm – to je jeho problém.

    Podobně dnes platí třeba odpovědnost provozovatele vozidla.

    To je nereálné. Když si nezaložíte e-mail na doméně v Česku / EU, tak si kliknete registraci někde jinde, kde podobný zákon neplatí, nebo je jeho uplatnění nepředstavitelné. Už vidím, jak se budete pídit za odesilatelem spamu na druhý konec světa.
    Ve skutečnosti je to jediná reálná možnost. TLD jsou pořád jenom nízké stovky, takže nebude problém rozdělit TLD na ty, které se řídí nějakým standardem a ověřují vlastníky domén, a ty, které to nedělají. Pak už se jenom denylisty nakrmí seznamem těch nespolupracujících TLD. On už si každý rozmyslí, jestli si pořizovat doménu, ze které neodešle žádný e-mail.

    Pak je taky dost běžná situace, že vlastník se liší od provozovatele.
    Pokud se vlastníkovi bude chtít platit pokuty místo provozovatele, ať si je klidně platí…

    K tomu se ani neblížíme. Založit si doménu lze během pár minut, aniž by kdokoliv požadoval ověření. Registrátorů je takové množství, že i kdyby to měli za povinnost, bude to v praxi děravé. Taky ne každá země si chce nechat do svého internetu mluvit.
    Ono se to rychle vytřídí, když to bude rozhodovat o tom, jestli doručíte nebo nedoručíte e-mail. Bude to podstatně předvídatelnější, když se podívám na seznam ověřených domén, než současná situace, kdy o doručení či nedoručení e-mailu rozhoduje postavení hvězd a nálada administrátorovy kočky.

    Stále však nevím, k čemu mi bude dkim na mailu odeslaném @seznam.cz nebo @gmail.com.
    K tomu, že když vám z takové adresy přijde spam, máte v ruce důkaz o tom, že je za to zodpovědný Seznam nebo Google, a můžete je hnát k odpovědnosti a požadovat po nich náhradu škody. Oni si to brzy rozmyslí, jestli budou krýt spamery a platit za ně pokuty, nebo jestli je identifikují.

    Pochopitelně. Velcí hráči nemají co vynucovat, na to mají příliš velký vliv.
    Jenže to je princip vlivu. Aby se na internetu něco prosadilo, musí to podporovat významná část trhu. Vy si klidně můžete své soukromé e-maily podepisovat a ověřovat, jak chcete, ale trh tím nijak nezměníte.

    přínos pro společnost byl jen okrajový. Samozřejmě to zabalili do frází, jak je šifrování v zájmu všech; jen zapomněli dodat, že udělali devět kroků vpřed pro sebe, jeden vpřed pro uživatele (šifrujeme) a dva zpět (ověřujeme ještě méně).
    Ale houbeles.

    Zcela jsme zničili EV certifikáty, které jako jediné mířily k tomu, že uživatel internetu neviděl jen doménu, ale i jméno (název) osoby, která se pod obsah podepsala.
    EV certifikáty byly nesmysl – byly to „OV certifikáty, ale tentokrát už to bereme vážně“. OV certifikáty existují dál a prohlížečům nic nebrání jméno subjektu z certifikátu zobrazovat v adresním řádku prohlížeče. A nejspíš se zobrazování názvu subjektu v adresním řádku zase dočkáme, až se prohlížeče konečně zbaví zátěže HTTP a budou moci signalizovat v adresním řádku rozumnější věci než tak základní věc jako jestli byl vůbec obsah přenášen šifrovaně.

  • 19. 10. 2020 15:04

    Miroslav Šilhavý

    Že na té doméně jsou e-maily lidí, kteří nejsou jeho zaměstnanci, to je úplně jedno. Buď bude seznam schopen u konkrétní e-mailové adresy věrohodně ukázat na konkrétní osobu, pak se své zodpovědnosti zbaví. A nebo toho schopen nebude, zodpovědnost pak zůstane na něm – to je jeho problém.

    Hezká představa, ale znamenal by to konec freemailů (to nejde dělat zadarmo), a spousta zemí se proti tomu postaví. Např. v USA tipuji, že by to bylo neprůchozí - přesto je to právní stát a nemají přílišnou toleranci ke zločinům.

    Podobně dnes platí třeba odpovědnost provozovatele vozidla.

    Ano, platí to i u registrace zbraní, nebo např. v katastru. Vozidlo, zbraň nebo nemovitost - to jsou velmi ohraničené oblasti - proti "internetu", kde se schází nevýznamná i významná komunikace.

    Mimochodem, mnoho některé země nemají registrovaná vozidla, ale jen jejich značky, stejně tak je to s registrací zbraní. Katastr taky asi všude nenajdete. V tomto nápadu se bude těžko hledat průnik.

    Pak už se jenom denylisty nakrmí seznamem těch nespolupracujících TLD. On už si každý rozmyslí, jestli si pořizovat doménu, ze které neodešle žádný e-mail.

    Něco podobného jsem v jiném postu navrhoval. Taky nevidím v EU problém, aby každá osoba měla svůj certifikát. Jen bych to neřešil přes denylisty, ale spíš formou výrazného vyznačení, když komunikuji s někým ověřeným v EU. Ale to je jen obdoba téže myšlenky.

    K tomu, že když vám z takové adresy přijde spam, máte v ruce důkaz o tom, že je za to zodpovědný Seznam nebo Google, a můžete je hnát k odpovědnosti a požadovat po nich náhradu škody.

    Obtížně. V případě provozovatele veřejně dostupných služeb chybí subjektivní stránka zavinění. Musela by se stanovit objektivní odpovědnost - a to by přineslo víc problémů, než užitku. Najdu ve společnosti ještě horší jevy, při kterých objektivní odpovědnost neexistuje. Vezměte si např. nesprávné parkování. Je to mnohaletý hon zákonodárce a přestupců. Na konec vymysleli odpovědnost provozovatele, aby musel sdělit řidiče vozidla. Jak to dopadlo? Provozovatel sdělí řidiče, ten prohlásí, že předal řízení další osobě a znovu se využije odepření výpovědi skrz osobu blízkou. Přidali jsme do procesu další dva levely byrokracie, aby nebyl o nic účinnější.

    K tomu, že když vám z takové adresy přijde spam, máte v ruce důkaz o tom, že je za to zodpovědný Seznam nebo Google, a můžete je hnát k odpovědnosti a požadovat po nich náhradu škody. Oni si to brzy rozmyslí, jestli budou krýt spamery a platit za ně pokuty, nebo jestli je identifikují.

    Dojde pouze k tomu, k čemu došlo např. v pojišťovnictví a bankovnictví. Čím dál menší část veřejnosti má zájem o "prémiové" služby, a ty základní jsou omezené až k nepoužitelnosti (proti trochu častějším rizikům nepojistíte, nedej Bože, abyste přišel s penězi do banky).

    EV certifikáty byly nesmysl – byly to „OV certifikáty, ale tentokrát už to bereme vážně“. OV certifikáty existují dál a prohlížečům nic nebrání jméno subjektu z certifikátu zobrazovat v adresním řádku prohlížeče.

    S hodnocením EV certifikátů souhlasím, z hlediska prospěšnosti byly na stejné úrovni, jako OV. Jenže ty EV se aspoň zobrazovaly. Teď už se nezobrazují. Je nám prd platné, že "nic nebrání" je zobrazovat, když je nikdo z velkých nezobrazuje.

  • 19. 10. 2020 15:26

    FILIP JIRSÁK

    Hezká představa, ale znamenal by to konec freemailů (to nejde dělat zadarmo)
    Tak třeba Seznam by to mohl realizovat napojením na MojeID, roční poplatek 1000 Kč by se jistě v nákladech na provoz ztratil. Nebo by sami rozesílaly doporučené dopisy. Zřizovací poplatek 100 Kč za „freemail“ není nijak hrozná částka.

    Např. v USA tipuji, že by to bylo neprůchozí
    Podle mne má individuální odpovědnost v USA mnohem větší váhu, než v Evropě.

    proti "internetu", kde se schází nevýznamná i významná komunikace.
    Jenže řídit se musíme tou významnou. Když si budete chtít někam uložit balíček žvýkaček a cihlu zlata, nemůžete bezpečnost dimenzovat ani podle nejméně cenné věci, ani podle průměru, ale podle nejcennější věci.

    Jen bych to neřešil přes denylisty, ale spíš formou výrazného vyznačení, když komunikuji s někým ověřeným v EU.
    Pokud velkou většinu e-mailů tvoří spam, není řešením výrazné označování, ale blokace nežádoucího provozu. Samozřejmě ne hned na začátku, ale musí to k ní velmi rychle směřovat. To je totiž jediná okamžitá výhoda pro provozovatele – že se snadno zbaví velkého množství spamu.

    Musela by se stanovit objektivní odpovědnost - a to by přineslo víc problémů, než užitku.
    Ne, to je jediná možná cesta. Umíme vyrábět zařízení, která chceme dát do rukou spoustě lidí včetně dětí, přičemž ta zařízení mohou ohrožovat desítky lidí (auta) nebo dokonce tisíce lidí (zařízení připojené k internetu). Lidé vždycky nakonec přišli na to, že je lepší, když platí zákony, než když se každý musí starat o svou bezpečnost sám. Takže ta objektivní odpovědnost bude muset být zavedena – akorát samozřejmě musí být zavedena pořádně, tj. když někomu odpovědnost předávám, musím to udělat prokazatelně a předávám odpovědnost se vším všudy. To, že u aut platí objektivní odpovědnost jen v první vrstvě ale dál už ne, je samozřejmě jen hloupá implementace.

    Dojde pouze k tomu, k čemu došlo např. v pojišťovnictví a bankovnictví. Čím dál menší část veřejnosti má zájem o "prémiové" služby, a ty základní jsou omezené až k nepoužitelnosti (proti trochu častějším rizikům nepojistíte, nedej Bože, abyste přišel s penězi do banky).
    Já mám teda pocit, že základních služeb je naopak podstatně víc, než dříve. Pokud si mám vybrat mezi bankovnictvím dnes a před dvaceti lety, beru jednoznačně dnešek.

    Je nám prd platné, že "nic nebrání" je zobrazovat, když je nikdo z velkých nezobrazuje.
    No jo, ale to je dané především tím, že se prohlížeče musí pořád starat o vámi tolik propagované HTTP. Prohlížeče si musely vybrat, jestli uživateli indikovat rozdíl mezi HTTP/HTTPS nebo mezi OV/EV. Z pochopitelných důvodů to vyhrálo to první – protože je trochu k ničemu ukazovat uživateli EV certifikát, když se ve skutečnosti připojil přes HTTP.

  • 19. 10. 2020 16:23

    Miroslav Šilhavý

    Podle mne má individuální odpovědnost v USA mnohem větší váhu, než v Evropě.

    Má, ale oboustranně. Na jedné straně nesmíte podvádět a jste za to trestán. Na druhé straně musíte taky pečlivě vybírat, s kým obchodujete, protože v případě problému Vás nechrání úřady, ale víceméně jedině soud.

    nemůžete bezpečnost dimenzovat ani podle nejméně cenné věci, ani podle průměru, ale podle nejcennější věci

    Ne každé místo je vhodné pro uložení zlatých cihel. Internet není připravený na to, aby dokázal dobře bezpečně zpracovávat tak důležité informace, jaké dnes požadujeme. Buďto musíme přidat (ale to musí někdo zaplatit), nebo je taky možné uvažovat i o tom, že všechno se holt na internet hodí.

    Pak jsme taky u toho, kdo by to měl platit. Část agendy potřebuje stát, ale např. služby bankovnictví, pošty, e-shopů, ..., jsou v zájmu oněch provozovatelů. V tomto bodě by měla nastoupit ta oboustranná individuální odpovědnost. Je na vztahu banky a jejího klienta, pošty a jejího klienta, aby oboustranně trvali na dostatečném zabezpečení. Bohužel, jsme svědky spíš toho, že se od zabezpečení ustupuje - viz např. ověřování pomocí SMS, které je mnohem děravější (ale levnější) než např. původní SIM toolkit (který umřel na úbytě).

    Pokud velkou většinu e-mailů tvoří spam, není řešením výrazné označování, ale blokace nežádoucího provozu. Samozřejmě ne hned na začátku, ale musí to k ní velmi rychle směřovat. To je totiž jediná okamžitá výhoda pro provozovatele – že se snadno zbaví velkého množství spamu.

    Byl bych opatrný. Hmotný svět nedokázal zavádět absolutní a drakonická opatření. Každá změna měla svůj náběh, ustalování, setrvačnost. Doba se řídila skutečnými možnostmi, ne názorem "jednotlivce" s prstem na vypínači. Samozřejmě lze, jak píšete, tu dobu řídit uměle - jenže na to neexistují zatím žádné mechanismy, které by chránily před unáhleností a před tím, aby nepřevládly nízké zájmy.

    Umíme vyrábět zařízení, která chceme dát do rukou spoustě lidí včetně dětí, přičemž ta zařízení mohou ohrožovat desítky lidí (auta) nebo dokonce tisíce lidí (zařízení připojené k internetu).

    Pokud je to takto ostře položené, pak by měla znít i druhé, stejně legitimní myšlenky: 1) nebude to ve výsledku dražší, než oželet tyto technologie? (ujaly se jen díky jejich široké a laciné dostupnosti, čímž se to možná popře), 2) nepřejeme si možná víc regulovat tyto možnosti? Sám na to jasný názor nemám, ale určitě bych tyto otázky nevylučoval z úvah. A pojďme dál: pokud se internet ujal jako rychlé a levné medium komunikace, pak poté, co do technického zabezpečení bezpečnosti začneme pumpovat obrovské náklady, nebylo by opravdu lepší, aby ty náklady v nejvyšší možné míře nesli ti, kteří je konkrétně využívají? Ono by se možná ukázalo, že "zadarmo" je poměrně drahé.

    Lidé vždycky nakonec přišli na to, že je lepší, když platí zákony, než když se každý musí starat o svou bezpečnost sám.

    To se podle mě vůbec nevylučuje. Zákony Vám dávají vodítko a oporu v tom, co chcete. Chránit svoje práva by měl především každý sám. Lidé, zejména v Evropě, si to trochu odvykli. Výsledkem je, že výrobci potravin nám pak říkají, že preferencí spotřebitele je co nejmenší obsah masa, nebo že ekonomický pokles v době pandemie může jen vláda.

    Takže ta objektivní odpovědnost bude muset být zavedena – akorát samozřejmě musí být zavedena pořádně, tj. když někomu odpovědnost předávám, musím to udělat prokazatelně a předávám odpovědnost se vším všudy.

    Ve Vašem pojetí by to znamenalo, že by se to projevilo na ceně ke spotřebiteli - což konvenuje i s mým názorem. Už jsem psal, že to je hezká myšlenka, ale nepřijde mi reálná.

    To, že u aut platí objektivní odpovědnost jen v první vrstvě ale dál už ne, je samozřejmě jen hloupá implementace.

    To není o implementaci, ale o ústavním imperativu. Přestoupení zákona musí být prokázáno, a to nejde bez viníka. Představte si zaměstnavatele, který půjčí auto zaměstnanci (zcela legální), ten půjčí auto manželce (poruší tím pracovní předpis, ale ne zákon), ta se vymluví z práce (poruší pracovní předpis) a udělá se jí špatně. Zaparkuje auto (legálně, musí konat, zavolá si doktora) a odjede. Reálně tedy přestupek nebyl spáchán, ale kdyby měl ji měl její manžel naprášit, tak by se u ní v práci provalilo, že se ulila z práce. K tomu není manžel povinován, dokonce není ani povinován ji naprášit, i kdyby se o přestupek jednalo (základní právo, platící ve všech zemích). V tu ránu Vám chybí subjektivní stránka přestupku a tu nedotáhnete ani odlišnou implementací.

    Řešení je: pokud auto tvoří překážku (třeba i jen ve výhledu), lze ho odstranit na náklady provozovatele. Pokud netvoří překážku, pak není v zásadě co řešit - nic se reálně nestalo a přestoupení nebylo prokázáno.

    Bohužel, u nás se zavedly nesmyslné parkovací zóny. Lidé, kteří platí daně z pořízení auta, ze mzdy, za kterou ho kupují, z paliv, která vyčerpají, nesmí na spoustě míst uvažovat o zaparkování na ulicích, které byly vybudovány a jsou udržovány z jejich daní. Ti, co zaplatí za parkovací kartu, se pak právem cítí ukřivdění, že přestupci jim berou "jejich" místa.

    S tou bezpečností na internetu je to podobné. Snažíme se vymyslet doktrínu ze stavu, který je už nyní nepřirozený.

    Pokud si mám vybrat mezi bankovnictvím dnes a před dvaceti lety, beru jednoznačně dnešek.

    Kdybych měl dělat tolik operací, a tak rychle, jako dnes, tak bych opravdu se službami před dvaceti lety nevystačil. Jenže co je příčina, a co důsledek? Pochybuji, že je to jen reakce na potřeby, z velké části je to reakce i na možnosti.

    No jo, ale to je dané především tím, že se prohlížeče musí pořád starat o vámi tolik propagované HTTP.

    Zjednodušeně, pokud dojde ke zpracování TLS vrstvy, tak stejně prohlížeč musí dál s HTTP protokolem pracovat. S tím tolik starostí nebylo a není.

    Prohlížeče si musely vybrat, jestli uživateli indikovat rozdíl mezi HTTP/HTTPS nebo mezi OV/EV.

    Nemusely.
    Jedna indikace říká zabezpečeno / nezabezpečeno (HTTPS / HTTP). Druhá říká: vím s kým mluvím / nevím s kým mluvím. To jsou tři stavy (nezabezpečeno => zabezpečeno, ale nevím s kým mluvím => zabezpečeno a vím s kým mluvím). Zabít ten třetí, nejžádnoucnější stav byla blbost. Vzdálilo nás to od bezpečnosti víc, než nás šifrování k ní přiblížilo.

  • 19. 10. 2020 18:13

    FILIP JIRSÁK

    Má, ale oboustranně. Na jedné straně nesmíte podvádět a jste za to trestán. Na druhé straně musíte taky pečlivě vybírat, s kým obchodujete, protože v případě problému Vás nechrání úřady, ale víceméně jedině soud.
    Tedy přesně to, o čem jsem psal.

    Internet není připravený na to, aby dokázal dobře bezpečně zpracovávat tak důležité informace, jaké dnes požadujeme. Buďto musíme přidat (ale to musí někdo zaplatit), nebo je taky možné uvažovat i o tom, že všechno se holt na internet hodí.
    Jenže my přes internet ty důležité informace už dávno posíláme. Takže reálná už je jenom ta první varianta, že tam tu bezpečnost musíme přidat. No a vzhledem k decentralizované povaze internetu je jediná možnost – každý bude zodpovědný za svou část sítě.

    Bohužel, jsme svědky spíš toho, že se od zabezpečení ustupuje - viz např. ověřování pomocí SMS, které je mnohem děravější (ale levnější) než např. původní SIM toolkit (který umřel na úbytě).
    To je ale výsledek toho dvoustranného vztahu, kdy si banky vyhodnotily, že se jim to riziko vyplatí. Navíc ty SMS byly dočasné řešení, dnes banky přecházejí na mobilní aplikace jako druhý faktor.

    Samozřejmě lze, jak píšete, tu dobu řídit uměle
    Jsem velmi silně přesvědčen o tom, že to, co je v tomto případě „umělé“ a co „přirozené“ je vaše arbitrární rozhodnutí. Že nedokážete popsat žádné pravidlo, které by umělé ve vašem pojetí rozlišovalo od přirozeného.

    Pokud je to takto ostře položené, pak by měla znít i druhé, stejně legitimní myšlenky:
    Ony to jsou spíš otázky než myšlenky. Pokud jste si ty otázky ještě nepoložil a hledáte na ně odpověď, tak si je klidně pokládejte. Já už jsem si na ně odpověděl a ta odpověď je dost jednoznačná.

    do technického zabezpečení bezpečnosti začneme pumpovat obrovské náklady
    Ono právě vůbec není potřeba pumpovat do bezpečnosti obrovské náklady. Ty obrovské náklady způsobuje pár škodičů. Stačí je vytlačit na okraj, čímž se ty náklady dramaticky sníží.

    Chránit svoje práva by měl především každý sám.
    To je neefektivní.

    To není o implementaci, ale o ústavním imperativu.
    Ale vůbec ne. Je to úplně obyčejné delegování odpovědnosti. Když se smluvně zavážete, že něco uděláte, můžete pak celou tu smlouvu postoupit někomu dalšímu. Ale celou, nemůžete postoupit jen část smlouvy a zbytek by se prostě vypařil.

    Bohužel, u nás se zavedly nesmyslné parkovací zóny. Lidé, kteří platí daně z pořízení auta, ze mzdy, za kterou ho kupují, z paliv, která vyčerpají, nesmí na spoustě míst uvažovat o zaparkování na ulicích, které byly vybudovány a jsou udržovány z jejich daní. Ti, co zaplatí za parkovací kartu, se pak právem cítí ukřivdění, že přestupci jim berou "jejich" místa.
    Jenže ty daně platí i všichni ostatní. Takže není důvod, proč by to místo mělo být vyhrazené zrovna pro majitele aut. Že se ti, co zaplatili parkovací kartu, cítí ukřivděni, je sice pochopitelné – ale rozhodně to není právem. Právem by to bylo, kdyby platili tržní nájemné.

    S tou bezpečností na internetu je to podobné. Snažíme se vymyslet doktrínu ze stavu, který je už nyní nepřirozený.
    Zajímalo by mne, jaký význam má podle vás slovo „přirozený“.

    Zjednodušeně, pokud dojde ke zpracování TLS vrstvy, tak stejně prohlížeč musí dál s HTTP protokolem pracovat. S tím tolik starostí nebylo a není.
    Zkuste si nejdřív přečíst celý text, a až pak reagovat na jeho význam. Tady bylo zřejmé, že jde o práci s HTTP vzhledem k uživateli. Že musí uživateli signalizovat věc, která je v roce 2020 nepochopitelná – totiž že komunikace není šifrovaná.

    To jsou tři stavy (nezabezpečeno => zabezpečeno, ale nevím s kým mluvím => zabezpečeno a vím s kým mluvím).
    Takže musely. Protože ty tři stavy jsou pro uživatele naprosto nesrozumitelné. O čemž svědčí i to, jste ten třetí stav popsal špatně. „Vím s kým mluvím“ je totiž součástí zabezpečení, bez toho nejde zabezpečení udělat. Třetí stav ve skutečnosti byl „znám nejen doménu, ale také název firmy/subjektu“.

  • 19. 10. 2020 20:23

    Miroslav Šilhavý

    @FILIP JIRSÁK

    Jenže my přes internet ty důležité informace už dávno posíláme. Takže reálná už je jenom ta první varianta, že tam tu bezpečnost musíme přidat.

    Ne, nemusíme. Můžeme o tom uvažovat a přijít na to, že chceme. Zatím nás to stojí spoustu životní energie a přínos je okrajový. K cíli jsme se moc nepřiblížili.

    každý bude zodpovědný za svou část sítě

    Proč by měl? Komunikovat chce banka a pan Novák. Je na nich, aby si bezpečnost nastavili a nikdo jim v tom nebrání. Nikdo nebrání ani bance, aby to zařídila sama v rámci poplatků, které pan Novák platí.

    Navíc ty SMS byly dočasné řešení, dnes banky přecházejí na mobilní aplikace jako druhý faktor.

    Přesně tak. Takže se to vyřešilo, aniž by musel někdo "moudrý" říkat, jak se to má dělat.

    Když se smluvně zavážete, že něco uděláte, můžete pak celou tu smlouvu postoupit někomu dalšímu. Ale celou, nemůžete postoupit jen část smlouvy a zbytek by se prostě vypařil.

    S tím v zásadě souhlasím, ale je to prakticky nevymahatelné v rámci veřejného práva. Skončíme znovu u civilního práva a u toho, že se má každý o svoje práva prát sám.

    To je neefektivní.

    Krátkodobě a z pohledu jednotlivce ano. Z hlediska systému je to efektivnější, pružněji to reaguje na změny. Lidé se soudí jen o to, co je skutečně pálí, a ne o to, co si nějaký úřad myslí, že by je pálit mělo.

    Zajímalo by mne, jaký význam má podle vás slovo „přirozený“.

    To, co si lidé tvoří v rámci svých (právních) vztahů. Přirozený je např. i postup Googlu. Přirozené je, že se to někomu (například mně) nelíbí a vyjadřuje se proti tomu. Nepřirozené je prosadit to svojí silou v jiném oboru (mám dominantní prohlížeč, tak změním celý internet).

    Že musí uživateli signalizovat věc, která je v roce 2020 nepochopitelná – totiž že komunikace není šifrovaná.

    Když si čtu zprávy na root.cz, je mi opravdu srdečně jedno, jestli komunikuji zabezpečeně, nebo ne. Hysterickou signalizací v prohlížečích se vyvolal tlak na poskytovatele, kteří se tomu museli přizpůsobit, ačkoliv vzhledem ke svému zaměření nepotřebovali (a dobrovolně mohli). Toho tlaku je si Google moc dobře vědom a zneužil ho. Je lhostejné, jestli to někteří hodnotí jako pozitivní krok, jedná se stále o zneužití síly. Nemluvě o tom, že z toho má globálně prospěch, větší než malí hráči. Bez povšimnutí není ani to, jak přestal finančně podporovat Mozillu ve chvíli, kdy dosáhl některých cílů.

    „Vím s kým mluvím“ je totiž součástí zabezpečení, bez toho nejde zabezpečení udělat. Třetí stav ve skutečnosti byl „znám nejen doménu, ale také název firmy/subjektu“.

    Pokud neznám jméno osoby / firmy, pak NEVÍM s kým mluvím. Ověření na úrovni domény je z hlediska bezpečnosti naprosto nedostatečné.

    Stačí dva stavy: HTTP a DV ověření => nesignalizuji nic. HTTPS a OV/EV => zobrazím jméno / název osoby. Současný stav je velmi špatný.

  • 19. 10. 2020 22:07

    FILIP JIRSÁK

    Ne, varianta, že zavřeme e-bankovnictví, zrušíme e-government, objednávky si zase budeme faxovat a všichni se vrátíme do kanceláří reálná není. Klidně si nad tím dumejte, klidně si i vymyslete, že by to bylo lepší, ale pak se stejně budete muset smířit s tím, že se to nestane.

    Nevím, jaký je cíl, ke kterému se chcete přiblížit. Já žádný takový cíl nevidím, vidím jenom cestu. A vidím, že jsme po té cestě už nějaký kus urazili – třeba už dnes může mít každý zadarmo HTTPS, takže jsme na dobré cestě k tomu úplně zrušit HTTP. Vzhledem k tomu, že je dnes HTTP/HTTPS dominantní protokol na internetu, to znamená zabezpečení značné části internetové komunikace.

    Každý bude zodpovědný za svou část sítě, protože jinak ho ostatní nepřipojí. Viz třeba FENIX. Platit se bude za přístup do té nezabezpečené části internetu, protože její provoz bude čím dál dražší.

    Přesně tak. Takže se to vyřešilo, aniž by musel někdo "moudrý" říkat, jak se to má dělat.
    Až na to, že se to reálně začalo řešit až s PSD2.

    S tím v zásadě souhlasím, ale je to prakticky nevymahatelné v rámci veřejného práva.
    Proto se to právo musí upravit, aby reflektovalo existenci internetu. V autorském právu to funguje už stovky let, že se stát rozhodl poskytnout určité garance soukromoprávním vztahům, aby je výrazně usnadnil. V případě internetu jsme šli opačnou cestou, nejprve jsme si to usnadnili, ale teď se divíme, že nám k tomu chybí to právo.

    To, co si lidé tvoří v rámci svých (právních) vztahů. Přirozený je např. i postup Googlu. Přirozené je, že se to někomu (například mně) nelíbí a vyjadřuje se proti tomu. Nepřirozené je prosadit to svojí silou v jiném oboru (mám dominantní prohlížeč, tak změním celý internet).
    CO je to jiný obor? Vztahy do jiného oboru nemohou nemohou existovat? V čem Google změnil celý internet mimo svět webu?

    Když si čtu zprávy na root.cz, je mi opravdu srdečně jedno, jestli komunikuji zabezpečeně, nebo ne.
    Není. Vy jenom spoléháte na to, že vaši komunikaci nikdo nenapadne. Což je dost zvláštní postoj, když jste při ověřování identity naopak požadoval absolutní bezpečnost.

    Hysterickou signalizací v prohlížečích se vyvolal tlak na poskytovatele, kteří se tomu museli přizpůsobit, ačkoliv vzhledem ke svému zaměření nepotřebovali (a dobrovolně mohli).
    Opravdu jste dosud nezaznamenal, že největší problém je podpora nešifrovaného HTTP v prohlížečích? Největší bezpečnostní hrozba pro ty, kteří to zabezpečení potřebují i podle vás, je HTTP. Teprve druhá věc v pořadí je to, že neexistuje nikdo, kdo nepotřebuje šifrovanou komunikaci.

    Toho tlaku je si Google moc dobře vědom a zneužil ho.
    Výše jste psal, že je to přirozené. A stále se tváříte, že když je něco přirozené, neměl by do toho nikdo uměle zasahovat.

    Je lhostejné, jestli to někteří hodnotí jako pozitivní krok, jedná se stále o zneužití síly.
    Nejedná se o žádné zneužití síly Googlem, to je jen vaše utkvělá představa. Na tom, že je potřeba na webu komunikovat šifrovaně, se shoduje výrazná většina oboru.

    Nemluvě o tom, že z toho má globálně prospěch, větší než malí hráči.
    Jaký?

    Bez povšimnutí není ani to, jak přestal finančně podporovat Mozillu ve chvíli, kdy dosáhl některých cílů.
    Má to takovou drobnou vadu, že to není pravda. Zajímaly by mne ty cíle, které Google podle vás měl. Ve skutečnosti měl jediný cíl – aby web byl dostatečně dobrá platforma proto, aby se na ní dal provozovat byznys. Google měl dobrý vyhledávač, začal poskytovat další webové služby, které pomalu začínaly konkurovat zavedeným firmám jako Microsoft. Jenže aby jim mohl konkurovat, potřeboval, aby web jako technologie byla konkurenceschopná vůči starším řešením. Posouvat web dopředu bylo pro Google to nejpřirozenější. Zkusit vlastní prohlížeč byla logická cesta, a fungovala – lidé ho začali používat přirozeně, protože byl lepší.

    Pokud neznám jméno osoby / firmy, pak NEVÍM s kým mluvím.
    Zkuste se někdy ptát náhodně lidí, jestli znají YouTube, Instagram, Whatsapp, Mapy.cz, Alzu, Root – a pak se jich ptejte, jak se jmenují provozovatelé uvedených služeb.

    HTTP a DV ověření => nesignalizuji nic.
    Jistě, to je geniální nápad. Nezabezpečenou a zabezpečenou komunikaci nasypat na jednu hromadu. Klidně polezete do banky přes HTTP, protože na tom přeci nezáleží, jestli je to HTTP nebo HTTPS.

  • 20. 10. 2020 9:19

    Miroslav Šilhavý

    Nebudu dál psát k ostatním bodům, argumenty jsme si řekli a opakovali bychom se. Zareaguji na jeden odstavec, který mi přijde, že jde k jádru pudla.

    Proto se to právo musí upravit, aby reflektovalo existenci internetu. (...) V případě internetu jsme šli opačnou cestou, nejprve jsme si to usnadnili, ale teď se divíme, že nám k tomu chybí to právo.

    To, že nejdříve něco vznikne a teprve následně se kodifikují pravidla, to je přirozený vývoj. Opačně to ani dělat nejde - o opačný přístup se snaží jen totality, které na to mají nástroje. Ve svobodném světě si vývoj hledá svoje cesty.

    To rozhodnutí, jak jít dál, je o tom, jestli budeme internet pojímat jako ryze komerční prostředek a stát do něj nebude moc zasahovat (což je cesta např. USA), nebo jestli ho budeme regulovat jakožto jakousi "veřejnou službu", tak jako dřív byla např. telefonní síť.

    Mně přijde jednodušší, aby se internet ponechal svému vývoji. Pravidla se mají zavádět pro jeho uživatele. Tedy např. stanovit, že odpovědnost za podvody nese banka - která se může po své úvaze rozhodnout, jestli bude využívat e-maily, internet, telefon, pobočky. Která se taky může rozhodnout, jestli ke svým zákazníkům zavede určitá opatření, pravidla, aby bankovní operace byly bezpečné. Přijde mi jako kuriozní stav, kdy banka využije internet jako nástroj pro snížení provozních nákladů, ale k odpovědnosti za podvody, které to přinese, se už nehlásí. Pokud chcete zisky, musíte umět pracovat i s riziky. Proč by tato rizika měli nést všichni, když úspory realizuje banka a její klient?

    Nezabezpečenou a zabezpečenou komunikaci nasypat na jednu hromadu. Klidně polezete do banky přes HTTP, protože na tom přeci nezáleží, jestli je to HTTP nebo HTTPS.

    Dokud nevím, že opravdu komunikuji se svojí bankou, tak je to spíš šidítko bezpečnosti, než opravdová bezpečnost.

  • 20. 10. 2020 11:06

    Filip Jirsák

    Vy se stále tváříte, jako by bezpečnost v sítích byla záležitostí jenom dvou komunikujících stran. Pokud na banku jde DDoS útok z nějakých IoT zařízení, jak přesně to závisí na rozhodnutí banky?

    Mimochodem, banky se k odpovědnosti za podvody hlásí, dokonce jim to nařizuje i legislativa.

    Že opravdu komunikuji se svou bankou zajistím tak, že z nějakého materiálu, který dostanu od banky, zjistím adresu internetového bankovnictví. Tu si pak uložím do oblíbených, nebo se spoléhám na historii prohlížeče. Pak potřebuju, aby prohlížeč zajistil, že když jsem zadal tuhle adresu, komunikuju opravdu s ní.

  • 20. 10. 2020 12:30

    Miroslav Šilhavý

    @FILIP

    Vaším postupem pouze ověřím, že komunikuji s adresou. Nic to neříká o tom, jestli v tento okamžik ta adresa dál patří bance. Např. se banky přejmenovávají, a může se stát, že doména v bookmarku vydrží roky - a po letech může doména patřit už někomu jinému. Tímto postupem tedy naprosto neověřuji, s kým komunikuji a kdo za to bere právní odpovědnost.

    Pokud na banku jde DDoS útok z nějakých IoT zařízení, jak přesně to závisí na rozhodnutí banky?

    Podle mě to je riziko podnikání. Prostě služby nebudou dostupné, banka nesplní svůj závazek vůči klientům a bude ji to něco stát. Nechť si láme hlavu banka, investuje do technologií, podporuje vznik standardů, prosazuje ho v internetu, který ona potřebuje pro svůj byznys. Zatím jsem si nevšiml, že by ty chudinky banky něco intenzivně financovaly ve vývoji.

  • 20. 10. 2020 14:46

    Filip Jirsák

    Pokud banka přijde o doménu, na které jí běželo elektronické bankovnictví, je to její problém, ne můj.

    Asi jste si nevšiml, že spousta služeb je primárně internetových nebo dokonce čistě internetových. Jejich primárním identifikátorem je internetová doména, ne jméno firmy. Vy víte z hlavy, jak se přesně jmenují provozovatelé Googlu, Facebooku, Revolutu, PayPalu atd.? Kontrolujete si při každém přístupu na stránku jméno firmy? Ne, protože v rutinním kontrolování něčeho, co je skoro vždy v pořádku, jsou lidé velmi špatní. Kontrolovat to musí prohlížeč – vstup uživatele spočívá jenom v tom, že si adresu vybere ze záložek nebo z historie, aby měl jistotu, že zadává tu správnou adresu.

    Co může asi tak banka vyvinout proti DDoSu? Nic, stejně jako všichni ostatní – může útok akorát odklánět, nemůže ho zastavit.

    Navíc z dvojice já a banka jsem to já, kdo chce, aby banka poskytovala své služby přes internet. Banky internet nepotřebují, poskytovaly své služby desítky let před internetem.

    To, že na internetu budou plošné útoky mnohem méně časté, než dnes, je v zájmu všech, s výjimkou pár šíbrů. Jde jenom o to se domluvit. Stejně jako jsme se domluvili, že budeme postupovat proti zlodějům nebo násilníkům.

  • 20. 10. 2020 15:22

    Miroslav Šilhavý

    @FILIP

    Já plně rozumím Vašemu pohledu, nemusíte mi k němu vysvětlovat detaily. Jen s tím ne úplně souhlasím. Je založený na jakémsi principu všeobecné solidarity. Všichni přispějeme a všichni z toho něco budeme mít. Fajn. Já k takovým myšlenkám mám primární nedůvěru. Vysvětlím proč. V každé myšlence "solidarity" jsou dva zakopaní psi. Tím prvním je to, že mnoha jednotlivcům přijde (chvilkově či lokálně) výhodnější zachovat se sobecky. Příkladem jsou útočníci, ale nejen ti. Druhým úskalím (významově spojeným) je to, že se musí jednat o vynucenou solidaritu - tedy někdo dostatečně silný to prosadí přes odpor malých. (O tom jsme už spolu diskutovali víckrát).

    Takový model nápadně připomíná sladké vize socialismu, ale taky hořké důsledky takových pokusů.

    Proto jsem jednoznačně pro to, aby maximum úsilí pramenilo ze společných potřeb dvou stran a ty hledaly řešení primárně mezi sebou. To daleko přesněji vyselektuje technologie a potřeby, než když je od "rýsovacího prkna" navrhují technici. (Vůbec nepochybuji, že za doporučeními techniků je hluboké ratio, ale technik není ten, kdo to platí).

    Navíc z dvojice já a banka jsem to já, kdo chce, aby banka poskytovala své služby přes internet. Banky internet nepotřebují, poskytovaly své služby desítky let před internetem.

    To jistě ano. Možná, kdybyste ale musel v poplatcích bankovnictví nést reálné náklady, pak už byste možná tolik ty internetové služby nechtěl. Je možné, že postoj lidí je zdeformovaný právě tou iluzí, že vše funguje magicky skvěle a téměř zadarmo.

  • 20. 10. 2020 15:43

    Filip Jirsák

    Ten „princip všeobecné solidarity“ se normálně nazývá lidská civilizace. Nezdá se, že by to byl úplně neúspěšný projekt.

    Nevím, proč se omezujete na společné potřeby dvou stran. Proč těch stran nemůže být víc?

    Netuším, proč sem taháte nějaká rýsovací prkna a techniky. Potřebu internetu jako prostředí, kde spam nebude tvořit nebude 90 % e-mailů přicházejících na mou adresu , mám já jako uživatel – není to diktát žádného technika. Potřebu internetu jako prostředí, kde mi webové stránky neodstřelí DDoS za pár korun, mám já jako uživatel – není to diktát žádného technika. A samozřejmě že za to nechci platit majlant, protože jsou to peníze vyhozené z okna – jejich přidaná hodnota je nulová, jenom se jistím proti tomu, abych nenesl náklady za něco, co jsem nezpůsobil.

    Až bude na internetu fungovat věc, která je ve fyzickém světě naprosto samozřejmá – že je každý zodpovědný za své činy, což se vztahuje i na věci jím vlastněné – budou reálné náklady banky nižší, než jsou dnes. A nějak netuším, odkud se bere vaše představa, že dnes někdo náklady na mou komunikaci s bankou dotuje. Mohl byste napsat, kdo a jak to podle vás dotuje?

  • 20. 10. 2020 16:47

    Miroslav Šilhavý

    Potřebu internetu jako prostředí, kde spam nebude tvořit nebude 90 % e-mailů přicházejících na mou adresu , mám já jako uživatel – není to diktát žádného technika.

    Je. Vždy existuje možnost, že celý e-mail jakožto SMTP bude překonaný. V ČR se např. dobře ujaly datové schránky, které jednu důležitou část života řeší. Nepochybuju, že může vzniknout mnoho dalšího.

    Netuším, proč sem taháte nějaká rýsovací prkna a techniky. Potřebu internetu jako prostředí, kde spam nebude tvořit nebude 90 % e-mailů přicházejících na mou adresu , mám já jako uživatel – není to diktát žádného technika. Potřebu internetu jako prostředí, kde mi webové stránky neodstřelí DDoS za pár korun, mám já jako uživatel – není to diktát žádného technika.

    Bude se na tom "boji" nějak finančně podílet beneficient? Podle mě ne. Zaplatí to ISP, kteří to ale ve skutečnosti nemají na výběr, než se přizpůsobit tomu, co se hodí velkým (a ti se na to v tichosti nejdřív připraví, pak to oznámí a ostatní dostanou poměrně málo času na zavedení - a když nezavedou, ztratí zákazníky, kteří přejdou k velkým, kteří si to pro sebe takto naaranžovali).

    Až bude na internetu fungovat věc, která je ve fyzickém světě naprosto samozřejmá – že je každý zodpovědný za své činy, což se vztahuje i na věci jím vlastněné – budou reálné náklady banky nižší, než jsou dnes.

    Což není vůbec žádný problém. Banky začaly pracovat s oboustranně ověřovanými certifikáty a právní jednání bylo nezpochybnitelné. Pak si banky začaly pohrávat s myšlenkou snížení nákladů a upustily od toho, přešly na prostý internetový prohlížeč a certifikáty (natož uživatelské) se nekontrolují. Tedy: možné to bylo a je, ale nehodí se to do krámu. Nyní se můžeme zbláznit, abychom všichni dohnali bezpečnost, kterou se v rámci úspor někteří rozhodli pominout.

    A nějak netuším, odkud se bere vaše představa, že dnes někdo náklady na mou komunikaci s bankou dotuje. Mohl byste napsat, kdo a jak to podle vás dotuje?

    Pokud všichni vyřešíme bezpečnost obecnými standardy, které ale potřebujeme jen pro pár důležitých činností, tak samozřejmě všichni dotujeme zájem minority.

    20. 10. 2020, 16:51 editováno autorem komentáře

  • 20. 10. 2020 18:33

    Filip Jirsák

    Je. Vždy existuje možnost, že celý e-mail jakožto SMTP bude překonaný.
    Co je to za blábol? Takže všechno, co chci dělat, my vnucují technici? A je to špatně, protože to možná jednou bude překonáno?

    V ČR se např. dobře ujaly datové schránky, které jednu důležitou část života řeší.
    Neujaly se dobře, v soukromém sektoru neřeší nic, a ve veřejném sektoru jenom radikálně snížily požadavky na bezpečnost podání vůči státní správě, až pod úroveň vlastnoručního podpisu – což je opravdu majstrštyk.

    Bude se na tom "boji" nějak finančně podílet beneficient? Podle mě ne. Zaplatí to ISP,
    Beneficienty jsou všichni uživatelé internetu, ISP víc než ostatní.

    ve skutečnosti nemají na výběr, než se přizpůsobit tomu, co se hodí velkým
    Vždyť to je to, po čem pořád voláte – každý se stará sám. To přirozeně vede k tomu, že rozhodují silnější. Je zvláštní, když si na jednu stranu pořád stěžujete na ochranu slabších, a vedle toho si stěžujete na to, že slabší nikdo nechrání.

    Což není vůbec žádný problém.
    Teoreticky ne. Problém je tam jediný – že se to reálně neděje.

    Nyní se můžeme zbláznit, abychom všichni dohnali bezpečnost, kterou se v rámci úspor někteří rozhodli pominout.
    Nevím kdo se může zbláznit, já s tím žádné náklady nemám, že banka přešla na bezpečnější systém ověřování. Naopak, jsem rád, že nemusím opisovat čísla.

    Pokud všichni vyřešíme bezpečnost obecnými standardy, které ale potřebujeme jen pro pár důležitých činností, tak samozřejmě všichni dotujeme zájem minority.
    Bezpečnost spočívající v tom, že nebudou útočit miliony hacknutých zařízení, o která se nikdo nestará, potřebujeme všichni pro všechno. Bezpečnou komunikaci, která zaručuje integritu a utajení přenášených dat, potřebujeme všichni pro všechno. Navíc také zapomínáte na to, že zavedení bezpečnostních standardů často celkové náklady snižuje – ostatně proto se zavádějí.

  • 19. 10. 2020 11:35

    SB

    Ano, v nepozornosti se to stát může, ale ten vtip je v tom, že ne v důsledku nepozornosti, ale chybějící skutečné počítačové vzdělanosti na to většina uživatelů prdí. Takže všichni ne, ale tihle si to zaslouží.

  • 19. 10. 2020 12:08

    Uncaught ReferenceError:

    na lupě jsem psal, jak zrovna u České pošty je těžké ověřit, že je email opravdu od nich (kombinace 3 různých domén v jednom emailu). Požadovat, aby uživatelé byli odborních v počítačích, aby dokázali rozpoznat podvržený email od toho pravého je nesplnitelný, vždy ten útok může být na vyšší úrovni než uživatel zná.

    Na mobilní aplikaci se třeba vůbec jednoduše nedostanu k emailu odesílatele, prokliky vedou většinou do kontaktů a je možné to snadno zmanipulovat. Zobrazení hlaviček je ještě větší extrém. U mobilní verze Seznam emailu to je podobné, zobrazuje sice email, ale tohle se dá zmanipulovat prázdnými znaky, aby to nebylo čitelné. Zobrazení hlaviček nebo adresy, kam vedou odkazy nelze. Používání mobilních telefonů proti stolním počítačům výrazně roste.

    Vždy je možné ušít falešný email tak, aby prošel i technicky vzdělanou populací. Pravidelně děláme takovéhle smoke testy i v IT firmách, úspěšnost se někdy pohybuje i v 20 %. K takhle vysokému číslu třeba stačí, abychom si zaregistrovali doménu na jménu firmy a z ní to rozeslali, zaměstnanci nemají jak ověřit, která doména je ta autorizovaná, nebo ty třeba víš, které kontakty u CZ.NIC tvůj zaměstnavatel používá a které všechny domény má? IT firmy mají rádi různé domény pro interní systémy a testování.

    Jakmile začnou být uživatelé vzdělanější, začnou být útočníci zase důslednější, vzdělat populaci není řešení. Tenhle falešný email od České pošty patří mezi ty povedenější.

  • 19. 10. 2020 10:07

    - - (neregistrovaný)

    @Trupik

    To by bylo, až Vám takto odpoví třeba lékař nebo obchodník, až se někde zmýlíte ...

  • 19. 10. 2020 10:48

    Miroslav Šilhavý

    To máte pravdu. Téma je ve skutečnosti hodně široké, protože kromě takovéto kriminality, internet propojuje evopské i neevropské trhy. Není výjimkou, že i jednotlivci nakupují z USA, Číny i dalších zemí. Zavést regulaci a ochranu spotřebitele, jak ji známe z hmotného světa Evropy, by nutně představovalo omezení této volnosti.

    Po úvaze tíhnu k takové střední cestě. Přijde mi uskutečnitelné, aby se obsah viditelně rozlišoval, jestli pochází z EU a identita druhé strany je ověřená (pak lze očekávat i žádat ochranu zákony), nebo jestli je mimoevropský a uživatel musí dbát úzkostlivě o svá práva sám. Evropa je v tomto ohledu nejlépe připravená: máme dobrou evidenci obyvatel a zároveň všude platí zásady právního státu. (Rusko a Čína jsou autoritářské režimy, v USA je právní stát, ale nejsou podmínky stran té evidence).

    Mně osobně by víc vyhovovalo, aby se stát lidem pletl do životů méně i je méně chránil (stejně mu to dobře nejde), leč vidím realitu: obyvatelstvo Evropy na to není v nejmenším připraveno.

  • 19. 10. 2020 10:57

    - - (neregistrovaný)

    @Miroslav Šilhavý

    No proč ne, ale má myšlenka byla daleko prostší. Vždy se někdo nachytá. Tak to funguje jak je lidstvo staré. Svět a technologie ve skutečnosti nabyly opravdu vysoké komlexity a já za sebe si myslím, že bysme neměli obyčejné uživatele dělat dlouhý nos, když se nachytají. Nejenom, že nám se to může stát v jiném oboru, ale hlavně: tak se přece k sobě chovat ve společnosti nechceme ...

    19. 10. 2020, 10:58 editováno autorem komentáře

  • 19. 10. 2020 11:34

    Miroslav Šilhavý

    Svět a technologie ve skutečnosti nabyly opravdu vysoké komlexity a já za sebe si myslím, že bysme neměli obyčejné uživatele dělat dlouhý nos, když se nachytají.

    Souhlas. K tomu vedou dvě cesty, po kterých lze jít zároveň, ale jednu lze upřednosťnovat: a) ochrana spotřebitele, b) edukace spotřebitele.

    Edukace mi přijde, že má své limity. Zejména technologie k tomu dnes nepomáhají. Poučky typu "neklikejte na nic co neznáte" nefungují - protože Českou poštu přeci "znají". Prohlížeč v tom rozhodování moc nepomůže, e-mailový klient už vůbec.

  • 19. 10. 2020 12:25

    - - (neregistrovaný)

    @Miroslav Šilhavý

    A to je právě ono. Edukace má své velmi úzké limity. Za to ochrana spotřebitele a další možnosti, tam jsou limity oproti edukaci téměř neomezené .....

  • 19. 10. 2020 12:51

    Miroslav Šilhavý

    Edukace má své velmi úzké limity. Za to ochrana spotřebitele a další možnosti, tam jsou limity oproti edukaci téměř neomezené

    Souhlasím, ale nebude to lehké prosadit. Dřívější slušnost - podepsat se vlastním a skutečným jménem - dnes lidé považují za "narušení soukromí", natož aby je někdo k tomu nutil.

  • 19. 10. 2020 13:50

    cek@post.cz

    ...kazdy prece vi, ze tenhle lek ma zelenou krabicku a ne modrou, jak na tenhle podvod muze nekdo v roce 2021 skocit a koupit si ho???? :-O Dyt leky se falsuji uz parset let, tak se to prece kazdy uz naucil rozeznat a jasne vidi, ze je tam velke i misto maleho L v nazvu......
    Kazdej kdo na tohle skoci si zaslouzi aby na tu chybu umrel.....

Byl pro vás článek přínosný?

Autor zprávičky

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.