Klik NLB - potencialna nevarnost

Vsem, ki ste se priklopili na Klik NLB !

(ali pa to mislite storiti v bližnji prihodnosti)

Najbrž ste pred podpisom pogodbe le to natančno prebrali.
Seveda ste opazili tudi 10. člen, ki govori o obveznostih uporabnika Klika NLB.

10. člen
Uporabnik se zavezuje, da bo:
-varoval osebno geslo ter zasebni ključ in jih ne bo dajal tretjim osebam v uporabo ali na vpogled, pri čemer nosi polno odgovornost za vsako škodo, ki je bodisi posredno ali neposredno povzročena zato, ker so tretje nepooblaščene osebe uporabile uporabnikov dostop do Klika NLB

Torej, iz tega dela 10. člena vsak lahko vidi, da če mu kdo ukrade denar iz računa prek Klika NLB, si je zato sam kriv. Pa če je posredoval varovalne elemente naprej ali pa tudi ne. Najde se kakšen programer, dobi potrebne podatke za vstop do tvojega računa in ti sprazni račun. Sam greš na banko povprašat kako in kaj, nakar ti odvrnejo da je tvoj račun prazen. Narediš pritožbo, njihov odgovor pa je, da ne vedo kdo je uporabljal tvoj dostop poleg tebe pod tvojim imenom, niti kam se je denar prelil (na prvi pogled se zdi, da ni takšne možnosti, vendar obstaja). Banka ti tudi ni dolžna vrniti sredstev, ker se s pogodbo tega ne zavezuje storiti.
Bančni pravniki so skrbno napisali to pogodbo. Zelo dobro. Zavarovali so se za primer računalniškega vdiranja v njihov sistem (če temu sploh še lahko rečemo vdiranje, če se nekdo prijavi v sistem s tvojimi podatki). TI, ja prav ti, si pa to podpisal, da se strinjaš z njihovimi pogoji uporabe. Saj, napisani so na kožo banki. Uporabnik se ob primeru zlorab lahko le obriše pod nosom, banka pa kaže podpisano pogodbo ! :((

Nauk zgodbe: banka se je ob pisanju pogodbe zavedala, da JE MOŽNO, da nepooblaščena oseba uporabi dostop do Klika NLB, sama pa se izognila vsakršnemu tveganju !!! Počakati bo treba, da bo NLB vključila v osnovni paket kartico Klik NLB, saj se s tem občutno poveča varnost. Pa še nekaj. NLB nikjer ne zagotavlja, da je Klik NLB 100% varna zadeva (sej tudi ne more, ker NI varen !! - glej poglavje o varnosti Klika).
Kot pravi tudi sama NLB, uporabnik mora narediti vse, da bo zaščitil ključne informacije o dostopu do spletne poslovalnice.
Če pa to tudi stori, banke niti ne zanima. Do zlorabe lahko pride izključno le, če ima tretja oseba dostop do tvojega računalnika in si tam prilasti tvoj certifikat (privatni ključ). Praksa je pa seveda čisto drugačna glede varovalnih mehanizmov na domačem računalniku.

NLB bi lahko vsakemu uporabniku Klika NLB dala zraven (vsaj v tem začetnem obdobju) tudi kartico Klik NLB. Zakaj ? Že preprosta tabela o stroških izvajanja bančnih transakcij pove, da je poslovanje preko Interneta občutno cenejše (!) kakor referent za bančnim okencem. Hočete številke ? V redu. Vsaka transakcija banko stane in sicer:
-bančno okence 1,07$
-telefon 0,52$
-bančni avtomat 0,27$
-Internet 0,04$

Kaj si mislite pa še o cenah storitve?

VARNOST Klika NLB
Zaradi veliko pisem, ki se nanašajo na varnost bomo spregovorili še malo o tem.

Pri Kliku NLB je zanimivo to, da se je Nova Ljubljanska banka d.d. odločila, da ponudi 2 paketa glede varnostne zaščite - osnovnega in razširjenega.

OSNOVNI PAKET
Na tej strani smo v glavnem govorili o osnovnem paketu, ki vsebuje digitalni certifikat in osebno geslo. Pri tem paketu je kodiranje statično, saj se kodira le preko digitalnega certifikata. Edina "spremenljivka" je vaše osebno geslo, pač ko ga spremenite.

Če govorimo o varnosti pri tej opremi moramo pogledati kaj vsebuje paket. Digitalni ključ, ki je shranjen v obliki datoteke na vašem trdem disku. Kdor ima dostop do računalnika in malce več poznavanja jo lahko dobi. Drugače pa tudi NLB v svoji brošuri "Priročnik za uporabo" piše, kakšen je postopek (seveda v brošuri najdemo ta del pod "Izdelava varnostne kopije certifikata") - če se pa spremeni namen izvoza certifikata ...
Žalostno dejstvo, ki spremlja ta paket je to, da se bo zanj odločilo največ uporabnikov. Prav zaradi dostopnosti (cene). Če bi se pa zavedali potencialne nevarnosti tega ne bi storili.

Drugo dejstvo pa je tudi to, da vedno več uporabnikov Interneta uporablja Microsoftov Internet Explorer, kjer je potrebna dodatna zaščita (na samem računalniku) kot na konkurenčnem Netscape Communicatorju.

VSE kar je napisano glede potencialne (ne)varnosti in različnim načinom odtujitve denarja z vašega računa se nanaša izključno na osnovni paket.

RAZŠIRJENI PAKET
Temu paketu nismo posvečali veliko pozornosti v preteklosti. Glavna razlika med osnovnim je, da vsebuje kartico Klik NLB, katera generira ključe. To pomeni, da je dinamično kodiranje in s tem se zmanjša oz. izniči možnost vdorov. Tudi če izgubite ali vam je kartica Klik NLB ukradena, tretja oseba ne more dostopati do vašega računa preko spletne poslovalnice.

Da je večja varnost zagotovljena s kartico Klik NLB dokazuje že dejstvo, da so pri NLB izbrali najmočnješi produkt podjetja ActivCard in sicer ActivCard Gold (sporočilo za javnost z dne 16.6.1999).

Pa še tole komentar k sporočilu za javnost:
V tem sporočilu za javnost je napisano, kot da bodo vsi uporabniki Klika uporabljali kartico Klik NLB (ActivCard Gold). Kakor vemo, je ta na voljo za dodatne denarce - 28.000 SIT ! Vprašanje je, če je NLB ActivCard-u sploh povedala, da ne bo enotne zaščite uporabnikov. Mogoče bi jim bilo treba poslati kakšno pisemce glede vseh teh napovedi. Napovedi, da bo več tisoč uporabnikov uporabljalo kartico Klik NLB do konca leta (1999) je pretirana, še posebej glede na ceno razširjenega paketa.
Podjetje, ki si ga je NLB izbrala za partnerja tudi samo pravi, da z uporabo ActivCard Gold-a (kartica Klik NLB) uporabnik ni nikdar izpostavljen PC okolju, ki ni varno.
Preberite si tudi sami (besedilo je napisano v angleščini in je v pdf formatu) s strani ActivCard ali z Obvestilnika

Še eno vprašanje za NLB:
Ali se vam ne zdi nemoralno, da uporabnike klasificirate na tiste, ki so lahko privoščijo spodobno zaščito in na OSTALE ?
Tudi druge banke, ki v Sloveniji ponujajo svojo poslovalnico na Internetu so naredile več za zaščito VSEH uporabnikov. Nimajo ravno tako napredne tehnologije kot jo omogoča ActivCard Gold, vendar pa so tudi že s cenejšimi sistemi uspeli zagotoviti boljšo zaščito kot jo omogoča osnovni paket Klika.

Hvala vsem, ki ste mi pisali, da sem lahko tudi z vašimi vprašanji in nejastnostmi, ki so se (in so najbrž še kje) pojavljale natančneje definiral, kje obstajajo luknje in potencialne nevarnosti za uporabnike.

Hvala tudi NLB, ki se je odločila postaviti banko na internetu. Namen te strani je izobraževati uporabnike glede varnosti in možnih vdorov, ki pa jih banka ni nikjer navedla, in jih s tem tudi poučevati. Naj še enkrat poudarim, da Klik NLB z uporabo kartice Klik (ActivCard Gold) in samo ta način (od obeh), omogoča zares VARNO poslovanje preko interneta.

Pripombe ter dodatna pojasnila lahko pošljete: obvestilnik@hotmail.com
Strani po novem ureja: Boris
Števec vključen: 22. december 1999

Stran narejena: 15.december 1999
Posodobljeno: 22. januar 2000