Webové bankovnictví prolomeno. Už není bezpečné

Všichni z nás, kteří provádíme bankovní operace přes internet, si už nemůžeme být jisti jejich bezpečností.

A to ani přesto, že používáme aktuální operační systém, prohlížeč a řadu dalších aplikací (antivir, firewall, atd.), které brání vstupu škodlivých programů do počítače.

Odborníci z University of California v Berkeley nalezli způsob, jak zfalšovat bezpečnostní certifikát, který se jinak používá k ověření pravosti dané webové stránky (například té, jakou používá vaše banka). Útočníkovi tak stačí podvrhnout certifikát a přesměrovat prohlížeč na své stránky. Pak už lehce získá kontrolu nad cizím kontem.

Analytici se nedomnívají, že se problém s internetovými finančními operacemi ukáže už v nejbližší budoucnosti. K tomu, aby bylo možné zfalšovat certifikát a tím oklamat bezpečnostní technologii používanou všemi prohlížeči zvanou SSL (Secure Sockets Layer) potřebuje útočník asi dva týdny počítačového času. Tu mu poskytne například 200 herních konzol PlayStation 3.

Nebezpečí ale visí ve vzduchu. Když dokáže prohlížeč oklamat jedna skupina, další její úsilí rychle napodobí. A sehnat dnes výpočetní sílu rovnou 200 PS3 je pro šikovného digitálního zloděje otázkou chvíle. Například může využít sítě botnetů - tedy mnoha počítačů, které jsou napadeny a potají pracují pro útočníka.

Jednoduchá oprava neexistuje

Problém s SSL protokolem nelze jednoduše napravit klasickou softwarovou záplatou, po jejímž nainstalování by vše bylo v pořádku.

Útok totiž využívá zranitelného místa v algoritmu MD5, který patří mezi standardní krytpografické nástroje. Ten ověřuje, zda je SSL certifikát opravdový a ne podvržený.

Slabé místo v MD5 bylo objeveno už v roce 2004, ale až dosud ho nikdo neuměl využít ke svému prospěchu. Na přelomu roku 2008/2009 se vše změnilo.