16. února 2010 Konferenční centrum City. Pořadatelé

16. února 2010 Konferenční centrum City Generální partner

Hlavní partner

Hlavní mediální partner

Pořadatelé

Produkce

Trendy v internetové bezpenosti

OBSAH:

1 VBR TOHO NEJZAJÍMAVJ ÍHO O INTERNETOVÉ BEZPENOSTI ZE SERVERU LUPA.CZ V ROCE 2009 ........................................................................................................................... 3 1.1 1.2 1.3 1.4 1.5 1.6

CERTIFIKÁTM DVUJ, ALE PROVUJ ........................................................................................................................ 3 ZEMETESENÍ V HAITI PINESLO OTRÁVENÉ VYHLEDÁVÁNÍ .............................................................................................. 7 MALWARU JE VÍC, POME NOV NÁSTROJ OD GOOGLU ................................................................................................ 11 ÁBEL SE SKRVÁ V PLUGINECH PROHLÍE ............................................................................................................... 15 MILIONY HACKNUTCH ÚT V OHROENÍ. I V ESKU .................................................................................................... 18 ESKÁ DOMÉNOVÁ CENTRÁLA OBVOLÁVÁ SE ZVLÁ TNÍ NABÍDKOU .................................................................................. 20

2 VBR TOHO NEJZAJÍMAVJ ÍHO O INTERNETOVÉ BEZPENOSTI ZE SERVERU ROOT.CZ V ROCE 2009 ......................................................................................................................... 23 2.1 2.2 2.3 2.4

SSL AUTENTIZÁCIA S WEBOVM SERVEROM APACHE .................................................................................................... 24 UDRUJTE SI SVOU DATABÁZI V BEZPEÍ S PGPOOL2..................................................................................................... 32 PORT KNOCKING: ZAKLEPEJTE NA SVJ SERVER ........................................................................................................... 37 SINGLE PACKET AUTHORIZATION ANEB JEDEN PAKET VLÁDNE V EM ............................................................................... 40

3 VBR TOHO NEJZAJÍMAVJ ÍHO O INTERNETOVÉ BEZPENOSTI ZE SERVERU PODNIKATEL.CZ V ROCE 2009... ......................................................................................... 43 3.1 3.2 3.3 3.4 3.5 3.6 3.7

REKLAMNÍ SLUBY GOOGLE ADSENSE A POVINNÁ REGISTRACE K DPH .......................................................................... 43 VT INA FIREM SLEDUJE AKTIVITY SVCH ZAMSTNANC NA INTERNETU ........................................................................ 45 PORNOPRMYSL V ESKU KVETE, DRTÍ HO ALE INTERNET A FILMY KE STAENÍ ZDARMA ................................................... 47 AUDIT OPENCARD DAL ZA PRAVDU KRITIKM: PROJEKT JE NEEFEKTIVNÍ A NEPRHLEDN ................................................ 48 UMLECKÁ EMESLA SE VRACÍ NA VSLUNÍ, NAPOMÁHÁ TOMU PRODEJ PO INTERNETU .................................................... 50 ELEKTRONICKÁ KOMUNIKACE ZAVLÁDLA SVTU PODNIKATELE ........................................................................................ 52 DATOVÉ SCHRÁNKY VERA ROZTÁHLY SVÁ KÍDLA ........................................................................................................ 55

4 VBR TOHO NEJZAJÍMAVJ ÍHO O INTERNETOVÉ BEZPENOSTI ZE SERVERU M EC.CZ V ROCE 2009 ............................................................................................................................. ..................................................................................................................................... 57 4.1 4.2 4.3 4.4 5

TEST BANKOMAT: ZAPOMNLI JSME PEVZÍT VYBRANÉ PENÍZE ..................................................................................... 57 FINANNÍ PODVODY NA INTERNETU .............................................................................................................................. 62 JE TI TN ELEKTRONICK VPIS Z ÚTU PLNOHODNOTNM DOKLADEM? ....................................................................... 65 NOV ZÁKON O PLATEBNÍM STYKU ZPSOBIL ZMATEK U PLATEBNÍCH KARET .................................................................... 68 KONTAKTY ..................................................................................................................... 72

2


1

1.1

Vbr toho nejzajímavjího o Internetové bezpenosti ze serveru Lupa.cz v roce 2009

Certifikátm dvuj, ale provuj

Pavel ruba

Poítaové magazíny i lánky v novinách nás nabádají, abychom se ped zadáním sv ch citliv ch údaj do formulá na webov ch stránkách nejprve pesvdili, komu je vlastn svujeme, a zda je komunikace s internetov m serverem zaifrována, co má indikovat protokol https v adrese stránky. Staí to ale opravdu? Novjí verze internetovch prohlíe nápadnji zvrazují stupe dvryhodnosti práv prohlíeného webového serveru pi ifrovaném spojení protokolem HTTPS. Okénko adresního ádku je doplnno o ikonu zameného visacího zámku, co indikuje, e je spojení ifrováno pomocí SSL, a pibylo tlaítko identifikace webového serveru, které informuje o jeho provozovateli a také o autorit, která jej provila. Protoe se taky starám o webov server vyuívající ifrovan penos, s rozarováním jsem zjistil, e identifikaní tlaítko Firefoxu u mé domény neuvádí vlastníka, cituji: which is run by (unknown)

pípadn po rozkliknutí podrobností This web site does not supply ownership information..

Nejprve jsem pátral, zda jsem neopomenul vyplnit njakou poloku v konfiguraci webu nebo v ádosti o certifikát serveru. Jak jsem zjistil, nejsem sám. Na mnoha diskusních fórech se tato formulace nelíbí zejména provozovatelm meních internetovch obchod, kdy pece ádn zaplatili za doménu i za serverov certifikát. Zbavit se potupné hláky o neidentifikovatelném majiteli webu ale není zrovna jednoduché. To, emu prohlíee íkají "vlastnictví" webového sídla, se potvrzuje a v certifikátech s vyím stupnm ovování, takzvanch Extended Validation Certificate. Sdruení certifikaních autorit (CA) a producent internetovch prohlíe CA/Browser Forum se v rámci boje proti phishingu a internetovm podvodm dohodlo na písnch pravidlech pro ovování identity vlastníka certifikátu a jeho oprávnní k internetové domén, na ní web bí. Rozíené ovování adatel o rozíen (EV) certifikát musí bt dritelem doménového jména druhé úrovn, na kterém mají ovované servery bet, co certifikaní autorita kontroluje u písluného registrátora a v katalogu WHOIS. Pokud adatel není pímo vlastníkem domény, musí poskytnout dkazy o svém povení skutenm majitelem domény, pípadn prokázat své oprávnní ovlivovat obsah certifikovaného webu tak, e na vzvu CA provede njakou dohodnutou drobnou úpravu jeho obsahu. Identita osoby ádající o vydání certifikace se provuje zásadn osobní návtvou registraního místa. Oprávnnost adatele zárove pracovník CA ovuje pímo u statutárního zástupce organizace, její název je uveden v ádosti, a kterto název tedy bude souástí certifikátu. Poadavky na vrohodnost právnické osoby, jí se rozíená certifikace poskytuje, jsou velmi písné, její obchodní název a identifikaní íslo se samozejm kontroluje v ivnostenském rejstíku, Obchodním rejstíku 3


nebo obdobnch registrech. S roz íenou certifikací fyzickch nepodnikajících osob ani "jednomunch" firem se vbec nepoítá. CA také osobn nebo notásky doloenm prohlá ením provuje existenci sídla certifikované organizace na udané adrese vetn pítomnosti vvsního títu, dále zda je v míst sídla skuten vyvíjena podnikatelská nebo obchodní innost, kontroluje oficiální e-mailovou adresu a telefonní íslo organizace, které zárove musí bt uvedeno ve Zlatch stránkách nebo obdobném veejném seznamu. Pokud firma podniká mén ne ti roky, CA musí také ovit u jejího bankovního ústavu, e má oteven aktivní podnikatelsk úet. Pochybné firmy s kanceláí reprezentovanou P.O. boxem nkde v daovém ráji tedy nemají anci EV certifikát získat. Udlení EV certifikátu samozejm nezaruuje, e provovaná spolenost bude vdy obchodovat poctiv, dává v ak jejím zákazníkm spoléhajícím na roz íen certifikát alespo jistotu, e firma reáln existuje a e tedy v pípad sporu bude koho alovat. B asic) certifikace, proto si ho také nechávají Roz íené provování je pochopiteln nákladnj í ne základní (B CA poádn zaplatit. V následující tabulce jsou uvedeny ceny certifikace webového serveru na dobu 12 msíc (stav v únoru 2010): Cena roní certifikace serveru CA

Basic

EV

Verisign

$ 599

$ 1195

GlobalSign

179

679

TrustCenter

143

584

Thawte

$ 149

$ 599

I.CA

1170,00 K

nenabízí

eIdentity

1065,00 K

nenabízí

PostSignum

800,00 K

nenabízí

Rozdíl mezi základním a roz íenm ovením se projeví také opticky. Napíklad v prohlíei Firefox má tlaítko pro ovení identity serveru na adresách se základním certifikátem modrou barvu, a zezelená pouze na serverech honosících se roz íenou certifikací.

Obdobné zvraznní je aplikováno u prohlíee Opera 10, ten pouívá pro rozli ení základního a roz íeného certifikátu lut a zelen podklad identifikaního tlaítka. Jiné prohlíee odli ují EV certifikovan server zelenm podbarvením celého adresního ádku nebo podobnm nápadnm zpsobem.

4


Starí verze prohlíe ne jsou MSIE 7, Opera 9.5, Firefox 3, Chrome 0.3.154.9, Safari 3.2, rozíené ovování pímo neindikují, pak je teba klepnout na ikonu visacího zámku a zobrazit certifikát, kde bude u vydavatele uvedeno Extended Validation. Jak je vidt, pi EV certifikátu se v identifikaním tlaítku zobrazuje jméno vlastníka KOMERCNI BANKA A.S., které nemusí souhlasit s doménou (www.mojebanka.cz). To je dáno tím, e prohlíe z certifikátu zjistil, e ovenm vlastníkem serveru na této domén je Komerní banka, a.s. Zárove nás svou zelenou barvou ujiuje, e firma s tímto názvem skuten existuje, a e podléhá jurisdikci eské republiky (CZ). Prohlédneme-li si podrobnosti certifikátu webu www.servis24.cz, i v nm v poli Organizace pedmtu certifikace uvidíme název firmy O = Ceska sporitelna a.s. asociovan s doménou CN = www.servis24.cz. Jeliko vak certifikát není typu EV, prohlíe na základ dohody CA/Browser Fora nedvuje tomu, e bylo prokázáno oprávnní eské spoitelny provozovat web na adrese www.servis24.cz. Proto také v identifikaním tlaítku nezobrazuje obchodní jméno údajného vlastníka (Ceska sporitelna, a.s.), ale pouze název domény (servis24.cz). Základní ovování Znamená to tedy, e bychom mli k serverm bez EV certifikátu pistupovat s nedvrou? Pauáln jist ne. Pouíváme-li spolehliv jmenn server (DNS), a pokud byla adresa serveru, ji píeme do adresního okénka svého prohlíee, získána z oveného zdroje, nap. opsána ze smlouvy o vedení útu, pak jsme vlastn sami sob certifikaní autoritou a skuten komunikujeme se smluvním partnerem. Chceme-li si prohlédnout webovou stránku certifikovanou njakou autoritou, kterou ná prohlíe nemá mezi dvryhodnmi, zpravidla nás sám varuje ped pístupem. Obezetnost je vak na míst také v pípadech, kdy má neznámá stránka pouze základní certifikát. Prohlíee v takovém pípad ádné varování nevydávají, nepoítáme-li modré i luté zbarvení identifikaního tlaítka. Vydání Basic certifikátu ale me znamenat pouze to, e c ertifikaní autorita svm elektronickm podpisem s tvrzuje, e adatel, jeho totonost si ovila, poádal o udlení certifikátu k doménovému názvu uvedenému v poli CN. Kdy jsem ped asem vyizoval serverov certifikát, operátorka CA sice provila moji identitu pomocí dvou osobních doklad, neviml jsem si vak, e by njak kontrolovala oprávnní disponovat adresou serveru uvedenou v ádosti. Zpsob ovování informací, je jsou pedmtem certifikace, kadá solidní CA zveejuje v souladu s RFC 2527 na svch stránkách, obvykle v dokumentu nazvaném Certifikaní politika nebo Certification Practice Statement (CPS). Tam by mlo bt popsáno, jakm zpsobem se ovuje pravdivost údaj v certifikátu obsaench. Pedstavme si zlovolného majitele serveru vrn napodobujícího elektronické bankovnictví, kter sídlí na internetové adrese liící se od svého vzoru jen v zámn písmene O za íslici nula nebo drobnm peklepem. Aby si klienti banky zabloudiví na jeho jeho stránky nevimli, e jsou nkde jinde a ochotnji mu tak nevdomky poskytli své pihlaovací údaje, ml by i tento zákodnick server komunikovat ifrovanm spojením HTTPS a bt vybaven certifikátem. Majitel si tedy vytipuje bezdomovce s dosud nepropadlm obanskm a idiskm prkazem, dá mu do ruky peníze, fleku s vygenerovanou ádostí a pole ho v roli bílého kon na registraní místo certifikaní autority. Registrant se posléze vrátí do svého houtí popíjet zaslouenou odmnu a a to po ase praskne, nejspí ho u nikdo nedohledá, anebo si v lepím pípad pouze vzpomene, e pro neznámého pána cosi vyizoval na "poítaovém úad". Reálnost ve uvedeného scénáe jsem se pokusil vyetit rozborem zveejovanch certifikaních politik a dotazem na poskytovatele certifikaních slueb akreditované v R. Pouívání serverovch certifikát od eskch CA není píli rozíeno, nebo ádná z nich zatím nemá defaultn obsaen svj samopodepsan koenov certifikát v instalaci browser. Útoník ale me spoléhat na to, e si jejich certifikáty uivatel do svého prohlíee importoval sám nap. kvli komunikaci se státní správou. Obvykle se hned na zaátku kadého CPS deklaruje, e CA vekeré informace v certifikátu obsaené ovuje, ovem nkdy se pitom spoléhá jen na estné prohláení adatele nebo na jeho podpis uveden na ádosti. 5


Není-li adatel toto n s osobou, která má zaregistrován doménov název, zpravidla staí k ádosti dolo it souhlas vlastníka domény s vydáním certifikátu potvrzen jeho (notásky neovenm) podpisem, tedy vlastn jakmkoli klikyhákem. Svtov uznávané autority vydávají více typ certifikát, podle pelivosti validace oznaovanch jako Trial/Low/Medium/High/Extended, pípadn Class 1/2/3/EV.

Zkusil jsem si na www.thawte.com vy ádat zku ební bezplatn certifikát svého serveru, kde jsem vyplnil freemailovou adresu a místo své identifikace uvedl: First name=Administrátor Last name=Serveru

a za pár sekund jsem ml certifikát ve své mailové schránce k dispozici. Pravda, jako vydávající CA je v nm uvedena thawte Trial Secure Server Root CA, která není defaultn v browserech obsa ena, ov em mén znal u ivatel m e bt snadno pesvdován, a si její koenov certifikát bez obav do svého prohlí ee nainstaluje,

e vydávající firmou je pece solidní a svtov uznávaná spolenost (nebylo by to poprvé). V prohlí ei se pak webová stránka s tímto certifikátem bude jevit jako zabezpeená – adresa zaíná https, ikonka zámku indikuje ifrované spojení a v identifikaním tlaítku se skví logo thawte.

Stránka, která se na první pohled v prohlí ei jeví jako ovená, tedy je t nemusí znamenat, e je pro u ivatele bezpené ji pou ívat a e je známa skutená toto nost jejího provozovatele. Závr Vybavenost internetového serveru B asic certifikátem samo o sob nesvdí o solidnosti jeho vlastníka, nebo prohlí ee nerozli ují kvalitu a rzné stupn ovování základního certifikátu. U zavedench webovch adres známch institucí se není teba strachovat, zvlá t pokud je autentizace doplnna na stran klienta osobním certifikátem nebo jednorázovm heslem distribuovanm nezávislm kanálem. Av ak pi prvním píchodu na server se základním certifikátem by obezetn u ivatel poítae ml nejprve zobrazit podrobnosti certifikátu, zjistit, která CA jej vydala, na jejích stránkách zapátrat po správném typu certifikaní politiky (koenová, kvalifikovaná, komerní, osobní, serverová, systémová, ifrovací...) a po její verzi platné v dob vydání certifikátu. Teprve po prostudování zpsobu ovování identity majitele a jeho vztahu k certifikovanému doménovému názvu lze kvalifikovan posoudit, zda je mo no dotyné webové stránce dvovat. Na serverech s roz íenm E V certifikátem u za nás tuto práci odvedl vrobce prohlí ee spolu s certifikaní autoritou. Nasazení roz íeného certifikátu a zelená barva adresy má na klienty psobit podobn jako mramor na schodi tích solidních pen ních ústav – padlatelm se he imitují. Podívejme se, jak jsou roz íené certifikáty zastoupeny na internetovch stránkách organizací, které zacházejí s na imi penzi a citlivmi osobními údaji.

6


Typy certifikát nkterch vybranch server Webové sídlo

Typ certifikátu

CA

Citibank Europe plc

Basic

VeriSign Trust Network

COMMERZBANK Aktiengesellschaft

Basic

TC TrustCenter GmbH

eská spoitelna, a.s.

Basic


eskomoravská záruní a rozvojová banka, a.s.

Basic

Prvni certifikacni autorita a.s.

eskoslovenská obchodní banka, a.s.

EV

GlobalSign

Daov portál

Basic

Prvni certifikacni autorita a.s.

Datové schránky

Basic

eská po ta, s.p. [I 47114983]

Elektronické zdravotní kníky

Basic

Thawte Consulting cc

GE Money Bank, a.s.

EV

VeriSign, Inc.

Hypotení banka, a.s.

Basic


ING Bank N. V.

Basic


Komerní banka, a.s.

EV

VeriSign, Inc.

LBBB Bank CZ a.s.

EV

VeriSign, Inc.

mBank (BRE Bank S. A.)

EV

VeriSign, Inc.

Oberbank AG poboka eská republika

Basic


Portál veejné správy R

Basic


PRIVAT BANK AG der Raiffeisenlandesbank Oberösterreich, poboka R

Basic


Raiffeisenbank a.s.

Basic


UniCredit Bank Czech Republic, a. s.

Basic


Volksbank CZ, a. s.

Basic


Wüstenrot - stavební spoitelna a. s.

Basic


1.2

Zemetesení v Haiti pineslo otrávené vyhledávání

Luká Tomek 7


Zemtesení na Haiti pineslo nejen tisíce lidskch obtí, ale také poskytlo ú inn prostedek pro internetové zlo ince. Podvodné prosby o pomoc jsou dostate n známé, mén se ale upozoruje na takzvané „otrávené hledání“. Práv te se s ním setkáte prakticky v ude. Útoníci pou ívají stále stejnou strategii, kterou si masov vyzkoueli zejména v roce 2005, kdy na území USA udeil hurikán Katrina. Základem je mít „kauzu“, o kterou se zajímají lidé a zadávají písluné dotazy do vyhledávae. Cílem je zejména propaování malwaru na poíta obti. Po tom, co se odehraje událost, o kterou se zajímá cel svt, útoníci analyzují klíová slova a asté dotazy. Na ty potom optimalizují pomocí BlackHat SEO technik stránky, které zamoí v sledky vyhledávání a pomocí sociálního in en rství vnucují napadenému napíklad instalaci trojanu.

Otrávená je hned první desítka v Googlu O úspnosti techniky útoník svdí vyhledání nkolika „long tail“ dotaz do Googlu, pípadn dalích vyhledáva. „Long tail“ dotazy neobsahují jen vysoce konkurenní základní slova, ale pidávají k nim dalí, které u ivatelé vyhledávae pou ijí pro zpesnní dotazu. Útoníkm se tak daí husarské kousky – a nkdy „long tail“ nemusí b t ani tak „long“. Tak teba Google.com a dotaz „Twitter Haiti earthquake“. V sledky vyhledávání jsou zde:

8


Poslední dva vsledky jsou „otrávené“, co je na první desítku vsledk v SERP Googlu u pomrn konkurenního dotazu obrovsk úspch. Podle spolenosti Sunbelt Software zatím existuje zhruba 50 astch dotaz na zemtesení v Haiti, které obsahují otrávené vsledky v Google, Yahoo a dal ích vyhledávaích. Pi kliknutí na odkaz se dostaneme na stránku, která provádí jaksi bezpenostní „scan“ stránky a nabízí odstranní nalezench vir. Zdá se, e autor svoje sociální in enrství promyslel velmi dobe. Nejdív se objeví animace s hlá kou „Inicializuji ochrann systém“, pak se prohlí e sám minimalizuje a okénko ve Windows prohlásí, e systém je vystaven útoku viru a je teba ho zkontrolovat (staí kliknout na OK). Kdy okénko zavete, prohlí e se maximalizuje a nabídne pohled na propracovanou animaci ve stylu Windows 7, která simuluje jakousi kontrolu a vyhazuje ervené hlá ky o nalezench virech. A se sna íte zavít stránku jakkoliv, v dy jen „vybhne“ okno nabízející sta ení spustitelného souboru. Pi snaze zavít panel se sice objeví okno, které je ale zajímavm zpsobem upraveno o jednu vtu navíc. Popsan „kum t“ si m ete prohlédnout zde: 9


Google samotn, prohlí e (Firefox), spyware (Spybot) ani antivirus (Avast) pi popsaném procesu nemají ádné námitky.

Ve chvíli, kdy jste stránku jednou nav tívili, se vám to znova u nepovede, pokud si nevyma ete historii. Pi opakovanch pokusech nav tívit tuto stránku nebo jakoukoliv stránku napadenou stejnm zpsobem jste pesmrováni na nevinn web, kter se tváí jako nepoveden vyhledáva. Souástí maskování je také jiná tvá pipravená pro náv tvníky, kteí zadají odkaz pímo do vyhledávae a také robota Googlu a jin pro náv tvníky píchozí z vsledk vyhledávání – tedy typická BlackHat SEO technika. Stránka pro robota obsahuje vygenerovan text bohat na klíová slova v ureném pomru. Pro stránku umístnou na http://deadsea-cosmetics.net vypadá hustota klíovch slov následovn:

Optimalizace na frázi „Twitter Haiti earthquake“ je jasn patrná. Je také pomrn zajímavé, e k útoku jsou pou ity „unesené“ weby, které hackerm vlastn slou í jako hosting zadarmo. Napíklad v e uvedená hacknutá stránka http://deadsea-cosmetics.net upozorní jen na poru en index.php. Na stránce http://deadseacosmetics.net/forum/index.php je v ak vidt celé „unesené fórum“ zneu ité pro sí zptnch odkaz. Vzhledem k jejich struktue lze soudit, e útoníci pocházeli z Ruska a pou ili zranitelnost v publikaním systému pro správu fóra Simple Machines. K útoku zejm pou ili zranitelnost známou od kvtna 2009, lo o injektá PHP kódu, kter 10


bylo moné do fóra dostat pomocí uploadu zdánlivého obrázku JPG nebo GIF. Nefiltrované vstupy a chyba v kódu zpsobily spu tní útoného skriptu PHP a poskytly útoníkovi irokou kontrolu nad webem. Cílem útoku je va e penenka Útok na vsledky vyhledávání Googlu (které zatím nejsou dostaten proi tné) vedou k instalaci kódu pod názvem UDS:DangerousObject.Multi.Generic. Jde o takzvan Rogue AV, Fraudload neboli zkrátka fale n antivir. Po proniknutí do poítae upozoruje program uivatele na údajné hrozby v jeho poítai. Následn se snaí uivatele v podstat psychickm nátlakem donutit ke koupi „bezpenostního“ softwaru. "Podvodníci pouívají pro fale né antiviry velmi podobné grafické prvky, názvy a oznaení jako komerní produkty," upozoruje Filip Navrátil ze spolenosti Eset software. Za nesmysln nákup poadují podvodníci a 100 dolar. Konenm cílem je ov em získání informace o kreditní kart a napadení bankovního útu. „Odlehenou“ souástí fale ného antiviru bvají trojany, software, kter vyuívá vpoetní vkon pro dal í nekalé innosti a nahrávání nového a nového malwaru do stroje. Fale né antiviry v souasné dob pedstavují skuten trend na poli virovch hrozeb. Za cel rok 2008 bylo odhaleno kolem 90 tisíc fale nch antivir, dnes toto íslo pekrauje pl milionu.

1.3

Malwaru je víc, pome nov nástroj od Googlu

Luká Tomek

Podle spole nosti Kaspersky Lab je 0,64 % legitimních web infikováno malwarem, kter ohrouje bezpe nost náv tvníka stránek. Kdy vezmeme, e prmrn esk náv tvník Internetu zhlédne 1313 stránek msí n, znamená to, e malware potká osmkrát na legitimních serverech. Jak se na server malware dostane a jak se proti nmu bránit? Podle przkumu spolenosti Kaspersky Lab neustále roste poet web napadench malwarem, které se pak pi prohlíení uivatelem snaí infikovat jeho poíta. Za poslední 4 roky vzrostl 160krát poet napadench web. Mluvíme ov em o legitimních webech. Existuje také urité mnoství web, které jsou pro íení malwaru pímo ureny (asto warez, pornografie), takové ve statistice Kaspersky Lab nejsou. V prbhu asu ov em klesá poet napadení z podvodnch web a naopak stoupají útoky z infikovanch legitimních stránek. Dvodem je „profláklost“ nebo rovnou likvidace hosting, které podvodníkm poskytují prostor. Stále je v ak dost takovch server v ín, Rusku i jinde. Rok P odíl infikovanch web 2006 0,00 % 2007 0,11 % 2008 0,35 % 2009 0,64 % zdroj: Kaspersky Lab

K podobnm, jen o nco vy

ím íslm, se dostaly také statistiky Googlu. Podle nich k polovin roku 2009 mírn klesal poet vsledk ve vyhledávání, které odkazovaly na napadené weby. Podíl infikovanch web, které se dostaly do vyhledávání, se podle Googlu pohyboval piblin od 0,5 % do 0,9 %.

11


zdroj: blog Googlu

Následující pehled ukazuje roz íenost malwaru distribuovaného pomocí napadench internetovch prezentací bhem msíce. Dlouhodob ebíek vede stále Gumblar.x, nicmén webmastei si jeho pítomnosti v ímají stále víc a v prosinci se tak objevila jen tvrtina pokus o jeho stáhnutí ve srovnání s listopadem. Poet pokus o stáhnutí

Název

445 811

Trojan-Downloader.JS.Gumblar.x

178 092

Trojan.JS.Redirector.I

165 678

not-a-virus:AdWare.Win32.GamezTar.a

134 215

Trojan-Downloader.HTML.IFrame.sz

128 093

Trojan-Clicker.JS.Iframe.db

V ebíku je asi nejzajímavj í Trojan-Downloader.JS.Twetti.a (17. místo). Ten se schová do spustitelného souboru nebo do dokumentu PDF a k nekalé innosti vyu ívá jako prostedníka Twitter. Kaspersky Lab také upozoruje, e tento a dva jiné trojany, které se objevily v prosincové dvacítce, pocházejí z jednoho zdroje. "Trendy obecn zstávají stejné. Útoky jsou ím dál sofistikovanj í a je t í je odhalit. V obrovské vt in pípad je cílem útoku vydlat njakm zpsobem peníze. Virtuální hrozby u zdaleka nejsou jen „virtuální“, vsledná koda je toti a píli reálná," uzavírá zprávu Kaspersky Lab.

Slabin m e bt víc 12


Jak se malware stane souástí webové prezentace? Dá se íct, e existuje nkolik nejrozíenjích metod útoku: •

SQL, HTML, XML injection – Útoník vlo í záken kód napíklad do formuláe na webové stránce nebo do URL místo parametru PHP skriptu. Pi cíleném útoku se zranitelnost hledá run, obvyklejí je vak vyu ití hromadného skenování zranitelností. Nkdy napaden stroj funguje jako skener a hledá zranitelnosti u dalích web (hledat zranitelnosti SQL injection umí napíklad I-Worm.Aspxor.g). Tady se mimochodem m ete podívat, jak vypadá roztomilé HTML injection a „propaování“ iframu na Facebooku (zatím chyba stále funguje): http://apps.facebook.com/app-tap/index.php?aid="><iframe src=index.htm

•

Infikování poítae webmastera – pokusy o monitorování pipojení na hostingov server, pi nahrávání soubor pipojení útoného kódu. Kráde údaj k pipojení na FTP – vykradení hesel k FTP a ovládnutí serveru (tradin napíklad pes Total Commander, kter hesla skladuje).

•

Dá se tedy íct, e slabá místa se m ou nacházet pímo v kódu internetové stránky. Dalím problémem m e b t slabé zabezpeení poíta tch, kteí na web pispívají a administrují ho. Malware pak pou ívá nkolik zpsob, jak se sna í napadnout návtvníka stránky, mimo jiné: • • • •

Stahování soubor: malware se umí „schovat“ napíklad do PDF dokument i do spustiteln ch soubor. Flash: malware m e napadnout flashovou animaci nebo aplikaci. Pou ívání i-fram: pesmrování nebo kodliv kód je schován v „neviditelném“ iframu (width=“0” a height=“0”) pidaném do zdrojového kódu stránky. Java, Active-X: snaha o nainstalování nechtného programu na poíta návtvníka. Psychologie: zmanipulování návtvníka, aby potvrdil skrytou ádost o nainstalování kodlivého programu.

Jak se bránit a co kdy vás vyhodí z Google SERP Pokud spravujete server a vá web „chytil“ malware, co m ete dlat? Zále í na tom, jestli jde o „zero day“ zranitelnost (nestává se tak asto) i o znám problém. V druhém pípad bude nkde chyba, kterou je teba napravit (drav web, nedodr ování bezpenostních zásad). Po napadení je u itené projít tyto body: 1) identifikace problému • • • • •

zjitní nechtn ch zmn ve zdrojov ch kódech a databázích, kontrola istoty soubor nabízen ch ke stahování, kontrola odkaz, které vedou ven, kontrola istoty reklam (flashové aplikace) a míst, kam odkazují, kontrola vstup od u ivatel (uploady post, soubor apod.),

2) odstranní malwaru •

vyitní serveru a nahrání soubor ze zálohy (kterou je ovem teba mít), 13

Trendy v internetové bezpenosti •

kontrola istoty zálohy a její pípadné vyistní,

3) prevence proti dalím útokm • • • • •

bezpenostní provrka serveru a stroj vech, kdo mají k webu pístup, kontrola nastavení pístupov ch práv k souborm a slo kám na serveru, provrka zranitelností a jejich odstranní (SQLi a podobn), kontrola kvality hesel, kontrola nastavení serveru (mohlo b t útoníkem zmnno).

Vyplatí se také dodr ovat nkolik bezpenostních doporuení: • • • •

Pro administraci nepou ívat FTP, ale zabezpeen pístup (SSH, SFTP), udr ovat zálohy tak, aby byly isté (aby nemohly b t napadeny) nebo jich mít po ruce nkolik, udr ovat bezpenostní standardy na poítaích a smartphonech administrátor, testovat a oetit nejastjí zranitelnosti webu.

Ped msícem Google pidal k Webmaster Tools novou funkci, která je dalí zbraní v boji proti malwaru. Takhle vypadá nové rozhraní, kdy je vechno v poádku:

Pokud vás Google oznail ve vyhledávání vtou „Tyto stránky mohou pokodit vá poíta“, znamená to, e nael malware. Ve stejné sekci Webmaster Tools pak najdete oznámení problému a seznam nebezpen ch odkaz. 14


Krom toho Google zprovoznil v rámci této sluby novou funkci, která vypreparuje ásti napadeného kódu. Vpis vypadá následovn:

Google vak upozoruje, e ne vechny napadení dokáe rozeznat a ukázat, „kde se stala chyba“. Po té, co odstraníte záken kód, je moné dát stránku na optovné posouzení: • • •

Na domovské stránce Nástroj pro webmastery kliknte na poadované stránky, ve zpráv ásti tchto stránek moná íí malware kliknte na odkaz Dalí podrobnosti, kliknte na poloku Poádat o kontrolu.

Google také doporuuje vyzkouet stránku http://www.google.com/safebrowsing/diagnostic?site=www.vasedomena.cz. Nová funkce od Googlu je zatím v testovací fázi, Google nicmén jeví zájem rozhraní dále vyvíjet a peadit ho potom k vbav Webmaster Tools.

1.4

ábel se skrvá v pluginech prohlíe 15


Vojtch Bedná

Webové prohlí ee jsou v souasnosti nejvíce zeteln m a nejdiskutovanjím zdrojem bezpenostních rizik pi práci s Internetem. Jsou jím vak doopravdy? Za vtinu havárií prohlí e a adu bezpenostních rizik mohou pluginy. Akoli rok teprve zaíná, ji jsme mohli bt svdky vznamné bezpenostní aféry ve svt informaních technologií: problému „operace Aurora“ a zneu ití chyby Internet Exploreru proti ínskm disidentm a mo ná i dal ím cílm. Celá zále itost, která nakonec donutila spolenost Microsoft aktualizovat jeden ze svch st ejních produkt mimo plán, pronikla ze svta IT do mainstreamovch médií a stala se i politickm tématem. Webov prohlí e – tedy konkrétn Internet Explorer – na nkolik okam ik opt dobyl titulní stránky svtovch deník. Miliony pár oí se k nmu obracejí jako k programu, kter m e bt vyu it proti svm u ivatelm. Jak je tomu v ak doopravdy, kde se skrvá nejvt í bezpenostní riziko? Ve webovém prohlí ei, nebo nkde úpln jinde? Kdy opomineme aktuální mediální hype, mo ná zjistíme, e pravá rizika se skrvají uvnit. Plugin? Webové prohlí ee, tedy zdaleka nejenom Internet Explorer, jsou od svch poátk tvoeny jako aplikace s otevenou architekturou. Jejich funkcionalitu je mo né roz iovat pomocí pídavnch modul, s touto funkcí pi el ostatn legendární Netscape Navigator. I kdy to není úpln pesné, pou ívá se pro tyto moduly oznaení „pluginy". Pídavné moduly jsou vyvíjeny tetími stranami a mají pístup k datm webového prohlí ee i parsované webové stránce. Jejím úelem je zobrazovat specifické typy obsahu, které prohlí e ve své vchozí podob nezvládá – na rozdíl od doplk (add-in), které roz iují funkce samotného programu. V ka dé instalaci pou ívaného webového prohlí ee se nachází celá ada plugin od rznch dodavatel. Nkteré jsou tam od nainstalování, dal í jsou postupn stahovány a instalovány z Internetu podle toho, jak u ivatel pichází na obsah, k jeho zobrazení jsou poteba. Chcete-li si udlat pedstavu o instalovanch pluginech, m ete napíklad ve Firefoxu (nebo v od nj odvozeném prohlí ei) zadat do adresní ádky a „about:plugins“.

Pluginy, stejn jako webov prohlí e, mohou obsahovat bezpenostní chyby. Tyto chyby mohou bt zneu ity stejn jako chyby prohlí ee prostednictvím vhodn nastreného online obsahu a mohou vést ke stejnm dsledkm. Na rozdíl od samotného jádra prohlí ee jsou za bezpenost zodpovdní jejich tvrci – a tch je 16


mnoho. Pouze ve velmi vjimench pípadech mohou tvrci prohlíee pistoupit (navíc jen v pípad, mají-li k dispozici takovou monost) k zneaktivnní doplku tetí strany. To je vak nesmírn riskantní proces, kter navíc vdy zavání obvinním z nekalé konkurence. Skrytá hrozba Prmrn webov prohlíe tak obsahuje celou adu plugin rzného typu, tvrc, stavu a stáí. Jejich poet se typicky pouze zvyuje (instalace je vtinou jednoduchá, s odinstalací si nikdo hlavu neláme), jejich míra aktuálnosti leí zcela mimo nástroje tvrc webového prohlíee (na rozdíl od doplk probíhá aktualizace bu tak, e je nová verze vyadována webovou prezentací, nebo spolen s jinm produktem, ne je webov prohlíe). To vechno dohromady zpsobuje, e se pluginy stávají dobe maskovanou skrytou hrozbou. Hrozbou, kterou je moné vyuít. Exploit Existují nástroje slouící k identifikaci zranitelností ve webovém prohlíei a jejich následnému vyuití. Tmto nástrojm se íká „exploit Packy“. innost a podoba jednoho takového „balíku“ jménem Eleonora je popsána napíklad zde. Balíek byl pipojen k nkolika webovm serverm s „obsahem pro dosplé“. Eleonora vytváí statistiky exploitovatelnosti webovch prohlíe, které navtvují stránky, k nim je pipojena. Pokud byste si to chtli vyzkouet sami, zde by se nalo nco, co by vás mohlo zajímat (Pozor! Odkaz vede na potenciáln nebezpenou stránku s potenciáln nebezpenm softwarem). Podívejme se ale na statistiky získané autorem postu, kter jsme odkazovali ve.

Celá ada zranitelností, které mohou bt ve webovch prohlíeích zneuity k napadení malwarem nebo k hackerskému útoku, nejsou chyby prohlíe samotnch, ale jejich doplk. Problematické jsou chyby v Jav, v Acrobatu i v celé ad dalích nástroj. Ty vechny pedstavují reálné riziko napadení poítae a je v podstat lhostejné, jak webov prohlíe pouíváte i to, e jej máte v nejnovjí verzi. Rizikem pitom nejsou njaké zeroday exploity, ale velmi asto chyby, které ji byly dávno popsány a opraveny, ale které se fyzicky v poítaích díky nedokonalm aktualizaním mechanismm, respektive kvli absenci aktualizace plugin, stále vyskytují. A to 17


nebereme v úvahu celou adu plugin, které jsou v prohlíeích po nkolika letech de facto mrtvou zátí, a které ji nikdy nebudou pouity. Problém Krátce a jednodue, bezpenostní mezery v pluginech webovch prohlíe – zdaleka nejenom Internet Exploreru – jsou mnohem vraznjí hrozbou ne chyby samotnch program. Aktivn lze vyuít dokonce roky staré vady, a to pomocí jednoduchch, snadno dostupnch hackerskch nástroj, bez zvlátních znalostí a na úrovni, které se trochu posmn íkalo „skript-kiddie“. Efektivita tohoto konání me bt mnohem vyí ne efektivita zneuití nejaktuálnji známé bezpenostní mezery. eení? Co me bt eením tohoto stavu? Bohuel nic jiného, ne práce pro systémové administrátory. Minimalizace pouívanch plugin, omezení instalace novch, dsledné trvání na aktualizacích vech komponent, tedy nejenom samotného prohlíee. Tedy peloeno do ekonomické ei, investování velkého mnoství asu a penz. Je poteba dodat, e s nejistm vsledkem a bez pímé pidané hodnoty. Zdá se vak, e je to nutné. Po vychladnutí mediální ván z nebezpeného Internet Exploreru se ukazuje nco, co by málokoho napadlo. e ábel se skrvá v detailech – v naem pípad v pluginech.

1.5

Miliony hacknutch út v ohroení. I v esku

Rastislav Turek

Viac ne 32 miliónov uívatesk ch kont sa podarilo odcudzi hackerovi vystupujúcemu pod prez vkou igigi. Poda správy na igigiho blogu sa mu podarilo pravdepodobne za pomoci SQL Injection získa neoprávnen prístup do databáz Rockyou.com, z ktor ch následne stiahol v etky údaje. Update: vyjádení SFD. RockoYou je systém, ktor umouje do sociálnych sietí ako je Facebook, i MySpace, ale i do osobnch blogov integrova rôzne widgety, ktoré uívateom umoujú upravi si svoje fotografie, videá, profily, at. z jediného miesta a zadarmo. Na bezpenostnú zranitenos v podobe SQL Injection v systéme RockYou upozornila bezpenostná konzultaná spolonos Imperva. Po zneuití zranitenosti bolo moné získa neautorizovan prístup k databázam spolonosti, v ktorom sa nachádzajú kontá jednotlivch uívateov. Spolonos RockYou na upozornenie zareagovala promptne, systémy doasne znefunknila a zranitenos okamite odstránila. Ani nie 24 hodín po oficiálnej správe publikoval na svojom blogu hacker vystupujúci pod prezvkou igigi informácie, ktoré naznaujú, e sa mu podarilo získa neautorizovan prístup do databáz RockYou ete pred odstránením zranitenosti a získa vetky údaje. Na blogu publikoval zoznamy databáz a tabuliek, spolu s malou scenzurovanou asou uívateskch kont. Poda vetkého sa v dobe odcudzenia nachádzalo v databáza neuveritench 32 603 388 uívateskch kont, ktoré obsahujú e-mail a heslo kadého uívatea. Najzaráajúcejí je vak fakt, e hesla neboli v databáze nijakm spôsobom ifrované a teda boli ukladané ako ben text.

Dnes u nie je iadnym tajomstvom, e uívatelia asto pouívajú rovnaké heslá naprie rôznymi slubami. Igigi vyhlásil, e minimálne polovica prístupovch údajov bude zhodná s prístupovmi údajmi pre alie sluby ako MySpace, Facebook, i dokonca priamo mailové sluby, ako Gmail, alebo Yahoo. To by znamenalo, e sa jedná o najväí únik uívateskch kont v histórii. 18


Igigi alej varuje, e ak bude spolonos RockYou zavádza svojich u ívateov, mieni publikova v etky údaje v nescenzurovanej podobe. Vsledkom takéhoto kroku by boli tisícky hacknutch u ívateskch kont, odcudzené osobné dáta, ako napríklad e-maily a v neposlednej rade pravdepodobne aj finanné prostriedky vaka prepojeniu emailu so systémami ako PayPal. Taktie netreba zabúda na spamerov, ktorí sú u teraz poda komentárov na igigiho blogu ochotní zaplati za získanie iba e-mailov u ívateov. Najzáva nej ím problémom je v ak prístup RockYou k svojím u ívateom. E te vera po oficiálnom ohlásení objavenej a o etrenej zranitenosti spolonos tvrdila, e bolo kompromitovanch len niekoko u ívateskch kont a tchto u ívateov u zaala upozorova. Ako dnes u vieme, kompromitované boli v etky kontá u ívateov. Poda oficiálneho vyhlásenia RockYou pre Techcrunch, spolonos zaznamenala úspe n prienik do ich databáz u 4. decembra a kompromitované boli "len" kontá pou ívateov, ktoré boli vytvorené priamo na RockYou.com a nie kontá, ktoré boli spojené s aplikáciami na sociálnych sieach. V tomto momente sa naskytá otázka, preo spolonos akala a 10 dní do oznámenia prieniku. Rovnako nie je jasné, ako by sa mohlo igigimu podari získa kontá u ívateov priamo z Facebooku, ktor tretím stranám nesprístupuje údaje ako napríklad heslo a taktie vo svojich pravidlách zakazuje zbieranie a ukladanie údajov o u ívateoch, ktoré nie sú potrebné na vpoty, resp. funknos aplikácie. Spolonos plánuje zaa v etkm dotknutm u ívateom rozosiela e-mail, v ktorom ich upozoruje na vzniknutú situáciu so slovami "Cítime, e je dôle ité informova vás o vzniknutej situácii okam ite, aby ste mohli vykona akékovek úkony pre ochranu svojho súkromia." Po 10 doch je v ak u tro ku neskoro. I naalej nie je úplne jasné, kedy v skutonosti k prieniku do lo. Spolonos ho síce znamenala 4. decembra, no je dos mo né, e sa stal e te skôr. SFD I ke sa v tomto prípade jedná o igigiho doposia najvä í úlovok, u pred asom informoval o svojich úspe nch prienikoch do troch esko-slovenskch webov. Medzi nimi sa objavil aj vemi populárny systém pre hodnotenie filmov CSFD.cz. Igigimu sa vraj podarilo získa prístup k 147 901 kontám z celkového potu 187 152. Administrátori SFD si pravdepodobne prienik v imli a zranitenos opravili. Igigi v ak tvrdí, e v systéme parazitoval niekoko t dov, pokm bola zranitenos opravená. Poda doposia dostupnch informácií sa dá predpoklada, e spomínanou zranitenosou je tzv. Blind SQL injection. Je to jedna z najastej ie sa objavujúcich sa zraniteností. Jej podstatou je, e sa namiesto chybového hlásenia mení správanie zraniteného webu. Vtedy musí útoník získava ka d údaj z databázy písmenko po písmenku. To by vysvetovalo, preo sa igigimu nepodarilo získa v etky u ívateské kontá. Heslá sa v databáze nenachádzali v textovej forme, alebo boli zahashované za pomoci MD5. Zaujímavá bola aj reakcia SFD. Od Martina Pomothyho pri iel niektorm u ívateom e-mail, v ktorom sa pí e:

Mil u ivateli, Pevod archivace hesel do nového systému, kterm SFD definitvn opou tí struktury zastaralé mysql databáze, nebyl lízání medu a bude trvat je t nkolik dní. Souasná situace je následující – ti z vás, kterm u bylo zasláno nové heslo, jste “za vodou” a ti z vás, kteí jste ho z technickch dvod neobdr eli, si ho m ete vygenerovat ZDE (bude vám zasláno na e-mail, kter máte evidován ve svém SFD profilu). Vám, kdo jste pro li traumatem z dvoudenni nemo nosti pihlásit se do SFD, se osobn hluboce omlouvám a pokud by u vás nedejbo e tento problém petrvával i po pou iíi zmínné utilitky, okam it mi napi te na [email protected]. Jsme jedna rodina. SFD forever. Martin Pomothy Ako uviedol igigi na svojom blogu, poda neho systém SFD nepou íva databázov systém MySQL, ale systém PostgreSQL. To by mohlo znamena, e tím SFD úmyselne zavádzal svojich u ívateov a sna il sa tento únik maskova inou, pravdepodobne vymyslenou udalosou. 19


Martin Pomothy z SFD.cz odeslání tohoto emailu vysvtluje: "E-mail tohoto znní jsme rozposlali pes jednorazov vytvoen skript uivatelm SFD v daleké minulosti pi pechodu z mysql na postgres databázi (co je z nj snad EVIDENTNÍ). Tento skript pak (chybou tehdejsího technologa) zstal na serveru a byl spustiteln prakticky kmkoliv, kdo zadal URL adresu konící názvem skriptu. Tento skript vak nyní, optovn, nespustil nikdo z SFD. V první chvíli, kdy jsme jet o ádném nabourání do hesel nevdli a “záhadné sputní skriptu” jsme pikládali náhodn procházejícímu robotovi, jsem rozposlal vem uivatelm SFD interní zprávu, a tento e-mail ignorují. Tuto “bagatelizující zprávu” (jak ji v médiích rádi oznaujete, ani byste tuili o co v jádru vci jde, ani byste m kontaktovali pro vysvtlení!), jsem tedy NErozposlal SFD uivatelm proto, abych nco zakrval! Kdy mi bylo pozdji nabourání do hesel potvrzeno ze strany naich technolog, podnikl jsem vechny kroky, aby byly SFD uivatelé o situaci informováni a hesla si rychle zmnili!" Pár dní na to, ako igigi publikoval svoj lánok, priiel uívateom SFD alí e-mail od Martina Pomothyho, v ktorom u únik uívateskch kont priznávajú a odporúajú zmeni si heslo v systéme.

Milí SFD u ivatelé, pedem se omlouváme za tento nevy ádan, ale dle it e-mail. Doporuujeme Vám zmnit si heslo, pod kterm se pihla ujete do SFD, nebo si nechat vygenerovat heslo nové. I kdy to tak je t o víkendu nevypadalo, máme podezení, e byla nabourána ást SFD systému, která zahrnuje databázi u ivatelskch hesel. Tato událost nebude mít vá né následky a pouze poukazuje na drobnou slabinu v systému, její o etení bude krokem k vy í bezpenosti. Heslo Vám doporuujeme zmnit do formátu v rozsahu nejmén 8 znak, tak, aby obsahovalo malá a velká písmena i íslice. a) Cesta ke zmn hesla po pihlá ení do SFD útu je: Mj úet / Mj profil / zmnit heslo b) Sekce pro vygenerování nového hesla, které vám bude posláno na vá e-mail (bez nutnosti logovat se do SFD útu), je zde: http://www.csfd.cz/lostpwd.php Dkujeme za pochopení a moc se omlouváme za potí e. SFD navky! Martin Pomothy Preo baywords Igigi totonos zatia známa nie je. Jeho blog sa objavil len zaiatkom decembra a u priniesol niekoko vemi zaujímavch informácií o prienikoch, ktoré sa mu podarilo. Je to urite varovn prst pre ostatné spolonosti, e zanedba bezpenos sa nevypláca a je dos pravdepodobné, e igigi sa u oskoro pochváli alími úlovkami. Ako blogovaciu platformu si vybral igigi baywords.com. BayWords je plne postaven na systéme Wordpress MU, ím sa vlastne stáva kópiou úspeného systému Wordpress.com. Zásadnou odlinosou medzi BayWords a ostatnmi blogovacími platformami je, e BayWords odmieta cenzúru a rovnako spoluprácu so silovmi zlokami. BayWords odmieta uklada akékovek informácie o svojich uívateoch a teda je ich dolapenie vemi nepavdepodobné. Na BayWords sa tak v poslednch mesiacoch objavilo niekoko podobnch blogov, ktoré pravdepodobne inpirovali aj samotného igigiho. Medzi prvch "pionierov" patrí urite rumunsk hacker unu, ktorému sa podarilo objavi SQL Injection na portáloch ako Kaspersky.com, alebo News.com. Postupne sa pridali aj alí a dnes poet blogerov, ktorí píu o svojich úspench prienikoch presiahol tucet a urite sa pridajú aj aí.

1.6

eská doménová centrála obvolává se zvlátní nabídkou

Luká Tomek

20


Nepoctiví doménoví spekulanti pili na novou fintu. Od letoního roku ji zkouí, na koho m ou. Mají pro vás pipraven dojemn píbh a drahou pointu. Seznamte se s eskou doménovou centrálou s.r.o. a jejími sedmi híchy proti sv m „zákazníkm“ - nebo spíe obtem. Le - ta vás eká hned na úvod Poprvé se ozvali, kdy jel Jan Hrkal, jednatel firmy Svtelná reklama Hrkal a Greiner s.r.o., z obchodní schzky zpátky do kanceláe. "Ml jsem telefonát z údajného doménového registru, e pr si u nich nkdo objednal registraci domén svetelna-reklama.biz, com a net," íká Hrkal, vlastník domény svetelna-reklama.cz. Operátorka se pak snaila vysvtlit pínos svého telefonátu pro Hrkalovu firmu. "íkali, e se pravdpodobn jedná o spekulativní nákup a proto se obrátili na m jakoto vlastníka domény svetelna-reklama.cz. Mohou pr tu pvodní objednávku pozdret a nám tyto domény zaregistrovat pednostn," pokrauje Hrkal. Jeho zkuenost zdaleka není ojedinlá. Zdá se, e operátoi firmy eská doménová centrála pouívají nkolik variací svého píbhu. Nkteré z nich jsou obzvlát dojemné. "Dnes m oslovila paní, e má práv na stole poadavek od tetí osoby k registraci naeho doménového jména a e ji to vydsilo, aby nás nkdo nechtl podvést. Vedoucí jí pr naídil, e ne domény zaregistruje, má se s námi spojit," uvádí jedna zkuenost na blogu sdruení NIC. "Oslovila nás njaká paní Turenová, která íkala - asi pro dotvoení atmosféry - e máme posledních pár minut k registraci a mluvila velmi pekotn. Nesdlila mi, kdo si chce nai doménu zaregistrovat, jinak pr pijde o místo," sdluje dalí nespokojen „zákazník“. K vytvoení takové ikovné pohádky a jejímu pedstavení majitelm CZ domén opravdu musí mít firma notnou dávku „odvahy“. A ze zkueností vyplvá, e pravdpodobn prezentuje istou le - nelze to ovem dokázat a vedení spolenosti se k pípadu odmítlo vyjádit. Hrabivost - umí vytvoit zisk a 1000 % Kolik stojí sofistikované sluby firmy, která vám nabídne doménu s jinmi koncovkami, ne které práv vlastníte? Ceník není nikde zveejnn a podle nkterch oslovench firma ceny neuvede pi prvním a nkdy ani druhém kontaktu. V souasné dob vak platí, e za registrování domény si poítá baovskch 3999 korun a k tomu kad rok navíc 590 korun. Kdy si vezmete, e EU a COM domény lze poídit za njaké dv stovky, ist zisk z jednoduchého nákupu dlá pknch 950 procent. Nepoítáme te samozejm plat pro operátorky a provoz njakého toho systémku, kter to ídí. Zdá se vám to fér? Agrese - zmanipulují vás a smlouvu uzavou pes telefon Krom akní expozice (tedy úvodu) celé divadelní hry je dalí ást vykonstruována s neobyejnou agresivitou. Operátorka (nikdo zatím nenarazil na operátora, tedy mue) se toti snaí uzavít smlouvu po telefonu. Jakmile vás operátorka dostrká k souhlasu s objednáním sluby, ekne vám, e dál se telefon bude nahrávat. Údajn to vak nkdy nesdlují, nebo nahrávání sdlí hned na zaátku. Zejm kvli nedostatené technice trvají na tom, e vám zavolají oni, i kdy voláte vy jim - lépe se jim toti nahrává. Operátorka vás nyní poádá o informace, které se obvykle ve smlouvách udávají, jako adresa firmy, IO a podobn. Sdlí vám také své informace a uvede, o jakou slubu se jedná. Nakonec se vás zeptá, jestli souhlasíte s dodáním sluby. Vte nebo nevte, takovou smlouvu skuten uzavít lze a je platná - jedná se o smlouvu uzavenou pi pouití prostedk komunikace na dálku. Obansk zákoník, § 53 v lánku 1 stanoví: "Pro uzavení smlouvy mohou bt pouity prostedky komunikace na dálku, které umoují uzavít smlouvu bez souasné fyzické pítomnosti smluvních stran. Prostedky komunikace na dálku se rozumí zejména (...) telefon s (lidskou) obsluhou, telefon bez (lidské) obsluhy (automatick volací pístroj, audiotext)..." Právník Josef Aujezdsk ze serveru eAdvokacie.cz vysvtluje: "K uzavírání smluv telefonem i jinmi prostedky dochází dnes a denn a nejedná se o ádnou zvlátnost. Smlouva nemusí znamenat smlouvu v písemné form."

21


Neprhlednost - nikdo neví, kdo za tím stojí Zastavme se na chvíli u vazeb. Samotná firma eská doménová centrála zaala fungovat 30. bezna tohoto roku. Ped tím se jmenovala 29 dn Sellis s.r.o., vlastnila ji Nektia s.r.o. a jednatelem byl Petr Lavika. Ticátého pak do lo ke zmn názvu a prodeji Aime Kassovi, osob, která by podle údaj z obchodního rejstíku mla bydlet na okraji panelákového sídli t v estonském Talinu. Aime Kass se také stal jednatelem firmy. Kdy u jsme u tohoto zkoumání, pro si trochu nezaspekulovat? Ve he jsou v zásad dv varianty. Evidentní pro zaátek je, e velmi krátce se firma jmenovala Sellis a pak najednou eská doménová centrála. Takto se postupuje v pípad, e nkdo ze zahranií poví nkoho domácího, aby mu zaloil firmu, nebo si kupuje firmu „hotovou“ kvli rychlosti. Postup je to bn, firma Nektia existovala jen nco pes rok a své sluby nikde veejn nenabízí. Dále první moností je, e Aime Kass je skutená osoba, která opravdu podniká v oboru „doménová spekulace“. A druhou, pravdpodobnj í moností je, e Aime Kass je bíl k, tedy osoba, která má zakrt skutenou totonost faktického vlastníka. Proti této domnnce ale hraje to, e jednatel a spoleník „eseróka“ má dosti velké pravomoci vzhledem k vlastnictví a ízení firmy. Dal í osobou napojenou na pípad je bval jednatel firmy Nektia, Vasyl Bentsa - nic bli ího o nm ale nelze zjistit. Na okraj - jedná se o pomrn bné ukrajinské jméno. Zajímavm zji tním pak je, e ten, kdo stojí za eskou doménovou centrálou „nepodniká“ jen v eské republice. V Nmecku napíklad psobí pod jménem Deutsche Internet Domain Zentrale (DIDZ). Podle nkterch zdroj funguje také pod názvy Deutsche IDR, IDV Deutschland, IDN Network a stejné pípady jsou hlá eny i ve Finsku. Kdy se pak podíváme na oficiální web eské doménové centrály, nelze si nev imnout zbytk nmecké grafiky, index.php pouívá parametry tvoené nmeckmi slovy a charset je nastaven na Windows-1252. Lze si tedy snadno dovodit, e celá aktivita je pvodem nmecká a byla portována do na ich podmínek. A nakonec je tu je t jedna zvlá tní okolnost. Oslovená operátorka slíbila, e kontakt na novináe pedá odpovdné osob, tedy jednatelce. Jednatelce? Které spolenosti? Rafinovanost - obti si nevybírají náhodn Firma oslovuje dritele CZ domén od zaátku leto ního dubna a zdá se, e její strategie je jednoduchá. Pracovníci Centrály nejprve naleznou nkoho, kdo má zaregistrovanou pouze doménu CZ, pípadn EU. Jejich vhodou je, e pravdpodobn narazí spí na nízkorozpotové projekty, protoe movitj í investor zaregistruje

ir í spektrum domén hned na startu projektu. Podle úrovn webu a informací o subjektu, které jsou k dispozici na síti, lze snadno odhadnout zbhlost „cíle“ v internetovém svt. A nakonec staí vybrat tu verzi pohádky, která se ke znalostnímu „ratingu“ obti hodí nejlépe. 22


Pomalost - natstí mete bt rychlejí Co kdy vám eská doménová centrála zavolá? Jak se bránit? Pokud vám zavolají, zvate nejprve, jestli vbec o njaké INFO a podobné domény stojíte. Zneuít takové domény lze napíklad tak, e nkdo na n umístí falen obsah a zaídí, aby se ve vsledcích vyhledávání objevily ped vaimi oficiálními stránkami. Tím o vás me na Internetu vytvoit falené mínní. Budete nkomu stát za tu práci? Horí je situace, kdy o domény stojíte a uvdomili jste si to a te. eení je prosté: nasate zdrovací taktiku nebo rovnou rezolutn prohlate, e o slubu tohoto typu absolutn nemáte zájem. Pak potichu a rychle jdte na stránky svého oblíbeného registrátora a domény si zaregistrujte - pokud budou volné. Firma toti vtinou zkouí investorskou fintu „zisku bez vstupního kapitálu“. Stejn se to dlávalo a nkdy jet dlá u nemovitostí tak, e nejprve seenete kupce a pak nakoupíte a okamit prodáte se ziskem. Pokud tedy nejste opravdu velká ryba, eská doménová centrála pravdpodobn ve chvíli telefonátu domény nedrí, jen si tak s vámi a hraje a zkouí, jestli byste mli zájem. K registraci pak dochází pi projeveném zájmu ihned po telefonátu, musíte tedy bt rychlí. Útk - brate se a oni to vzdají Jak se bránit, pokud jste v prbhu telefonátu udlali strategickou chybu? Na znní zákona upozoruje Aujezdsk: Ustanovení § 58 odst. 8 písm. a) obanského zákoníku íká:"Krom pípad, kdy je odstoupení od smlouvy vslovn ujednáno, neme spotebitel odstoupit … od smluv na poskytování slueb, jestlie s jejich plnním bylo s jeho souhlasem zapoato ped uplynutím lhty 14 dn od pevzetí plnní…" Co Aujezdsk navrhuje napadnout? "Pedem je nutné uvést, e zmiované jednání doménového spekulanta nese formální znaky podvodu. Spekulant uvádí svého „zákazníka“ v omyl tím, e mu sdluje nepravdivé skutenosti, a to za úelem získání majetkového prospchu," upozoruje Aujezdsk. Dále rozebírá ve svém komentái k celému pípadu trestnprávní hledisko. "Z hlediska vzniku trestnprávní odpovdnosti bude v jednotlivch pípadech dleité, zdali koda na stran „zákazníka“ dosáhla ástky 5000 K. I pokud ve kody této ástky nedosáhne, není trestnprávní odpovdnost fyzickch osob, které se na uvedeném jednání podílejí, dle naeho názoru zcela vylouena, nebo se jedná o soustavnou plánovanou innost," vysvtluje Aujezdsk. Jak se nakonec vyvléknout z nedobrovolného placení podvodné firm? "Z hlediska soukromoprávního je moné uvaovat o tom, e úkon „zákazníka“ smující k uzavení smlouvy prostednictvím telefonu je absolutn neplatn podle § 49 obanského zákoníku (zákon . 40/1964 Sb., ve znní pozdjích pedpis), je stanoví, e: „Právní úkon je neplatn, jestlie jej jednající osoba uinila v omylu, vycházejícím ze skutenosti, je je pro jeho uskutenní rozhodující, a osoba, které byl právní úkon uren, tento omyl vyvolala nebo o nm musela vdt. Právní úkon je rovn neplatn, jestlie omyl byl touto osobou vyvolán úmysln'," uvádí Aujezdsk. Postupovat je mono jet jinak: „V pípad, e je „zákazníkem“ spotebitel, lze si v uritch pípadech pedstavit i postup podle ustanovení o spotebitelskch smlouvách dle ustanovení § 51a a následující obanského zákoníku,“ ukazuje dalí zpsob obrany Aujezdsk. Podle nkterch zkueností se po upozornní na poruení zákona firma u neozve.

2

Vbr toho nejzajímavjího o Internetové bezpenosti ze serveru Root.cz v roce 2009 23


2.1

SSL autentizácia s webov m serverom Apache

Jaroslav Imrich

lánok popisuje vybrané monosti a konfiguráciu modulu mod_ssl, ktor roziruje webov server Apache HTTPD o podporu protokolu SSL. Zaoberá sa nielen autentizáciou servera, ale aj klientov pomocou klientsk ch certifikátov. Podrobne si rozoberieme celú tvorbu a pouitie certifikátov a vetko si ukáeme na príkladoch. Motivácia Ak ste sa rozhodli rozíri svoj webov server o podporu pre protokol SSL (Secure Sockets Layer), pravdepodobne ste tak uili kvôli tomu, e chcete vyu i jeho schopnos zabezpei údaje prenáané cez nechránené siete proti odpoúvaniu a pozmeneniu. Tento protokol vak vaka vyu itiu princípov PKI (Public Key Infrastructure) zabezpeuje aj dôveryhodnú autentizáciu komunikujúcich strán. Jednosmerná SSL autentizácia (z angl. one-way SSL authentication) umo uje SSL klientovi overi identitu SSL servera, no SSL serveru neumo uje overi identitu SSL klienta. Tento spôsob SSL autentizácie vyu íva pri komunikácii prostredníctvom protokolu HTTPS väina verejne dostupn ch webov ch serverov, ktoré sprístupujú aplikácie ako napríklad webmail i internet banking. Koncov pou ívate svoju identitu t mto aplikáciám potvrdzuje a na aplikanej vrstve zadaním mena a hesla, poprípade i alieho prvku ako napríklad hodnota poa z grid karty. Obojsmerná SSL autentizácia (z angl. two-way SSL authentication alebo tie mutual SSL authentication) umo uje SSL klientovi overi identitu SSL servera a zárove umo uje SSL serveru overi identitu SSL klienta. Tento typ autentizácie sa naz va aj klientskou autentizáciou, preto e SSL klient pri nej preukazuje svoju identitu SSL serveru klientskym certifikátom. Autentizácia klientskym certifikátom mô e vhodne doplni alebo dokonca úplne nahradi klasické autentizané metódy ako je napríklad zadanie mena a hesla. V lánku sa venujem popisu konfigurácie pre oba typy SSL autentizácie. Vydávanie certifikátov s OpenSSL V tomto odseku je strune popísan postup na vydanie vetk ch potrebn ch certifikátov pomocou aplikácieOpenSSL. Postup je síce vemi r chly, no pri správe väieho potu certifikátov by bol nepraktick , a preto v takom prípade odporúam pou i CA modul aplikácie OpenSSL. Od itatea oakávam základné znalosti PKI, a preto sa popisu vykonávan ch operácií venujem len okrajovo. Ak vám náhodou nie je v znam certifikátov i certifikan ch autorít celkom jasn , odporúam vám preíta si tvrt diel môjho seriálu o OpenVPN, kde je o.i. k dispozícii aj video znázorujúce vytvorenie self-signed certifikanej autority pomocou grafickej aplikácie gnoMint. Pri vydávaní certifikátov budeme pre aplikáciu OpenSSL potrebova v aktuálnom adresári konfiguran súbor “openssl.cnf” s nasledovn m obsahom: [ req ] default_md = sha1 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = Country countryName_default = SK countryName_min = 2 countryName_max = 2 localityName = Locality 24

Trendy v internetové bezpe nosti

localityName_default = Bratislava organizationName = Organization organizationName_default = Jariq.sk Enterprises commonName = Common Name commonName_max = 64 [ certauth ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always basicConstraints = CA:true crlDistributionPoints = @crl [ server ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth nsCertType = server crlDistributionPoints = @crl [ client ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = clientAuth nsCertType = client crlDistributionPoints = @crl [ crl ] URI=http://testca.local/ca.crl Ako prv krok je potrebné vygenerova self-signed certifikát CA. Pri v zve na zadanie hodnoty poa “Common Name” uvete napríklad reazec “Test CA”: # openssl req -config ./openssl.cnf -newkey rsa:2048 -nodes -keyform PEM -keyout ca.key -x509 -days 3650 -extensions certauth -outform PEM -out ca.cer Po zbehnutí tohto príkazu vzniknú v aktuálnom adresári súbory “ca.key” s privátnym kú om certifika nej autority a “ca.cer” s jej self-signed certifikátom. Následne vygenerujte privátny kú SSL servera:

# openssl genrsa -out server.key 2048 Vygenerujte iados o vydanie certifikátu – Certificate Signing Request – vo formáte PKCS#10 a ako Common Name uvete jeho hostname – napríklad “localhost”. # openssl req -config ./openssl.cnf -new -key server.key -out server.req

Va ou self-signed certifika nou autoritou vydajte certifikát servera so sériov m íslom 100: # openssl x509 -req -in server.req -CA ca.cer -CAkey ca.key -set_serial 100 -extfile openssl.cnf -extensions server -days 365 -outform PEM -out server.cer 25


Novovzniknut súbor “server.key” obsahuje privátny kú servera a súbor “server.cer” jeho certifikát. Súbor “server.req” so iadosou mô ete vymaza, nakoko u nebude alej potrebn .

# rm server.req Vygenerujte privátny kú SSL klienta: # openssl genrsa -out client.key 2048 Vygeneruje iados o vydanie certifikátu a ako Common Name uvete meno pou ívatea – ja som uviedol reazec “Jaroslav Imrich”: # openssl req -config ./openssl.cnf -new -key client.key -out client.req Vaou self-signed certifikanou autoritou vydajte certifikát klienta so sériov m íslom 101: # openssl x509 -req -in client.req -CA ca.cer -CAkey ca.key -set_serial 101 -extfile openssl.cnf -extensions client -days 365 -outform PEM -out client.cer Privátny kú a certifikát klienta ulo te do súboru vo formáte PKCS#12, ktor je chránen heslom a bude neskôr pou it na import t chto objektov do webového prehliadaa: # openssl pkcs12 -export -inkey client.key -in client.cer -out client.p12 Súbor “client.p12 obsahuje privátny kú i certifikát klienta a súbory “client.key”, “client.cer” a “client.req” teda mô eme vymaza: # rm client.key client.cer client.req Jednosmerná SSL autentizácia Ke e certifikát i privátny kú servera u máme k dispozícii, prichádza na rad konfigurácia podpory SSL vo webovom serveri Apache. Väinou pozostáva len z dvoch krokov – z povolenia modulu mod_ssl a vytvorenia virtual hostu pre port 443/TCP. Povolenie modulu mod_ssl je vemi jednoduché. Staí v konfiguranom súbore “httpd.conf” odkomentova riadok: LoadModule ssl_module modules/mod_ssl.so Ke e webov server bude obsluhova HTTPS po iadavky na porte 443/TCP, je potrebné do jeho konfiguraného súboru doplni aj riadok: Listen 443 Definícia virtuálneho hostu sa tie väinou nachádza v konfiguranom súbore “httpd.conf” a mala by vyzera nasledovne: S erverAdmin webmaster@localhost D ocumentRoot /var/www 26


< Directory /> O ptions FollowSymLinks A llowOverride None < /Directory> < Directory /var/www/> O ptions Indexes FollowSymLinks MultiViews A llowOverride None O rder allow,deny a llow from all < /Directory> S criptAlias /cgi-bin/ /usr/lib/cgi-bin/ < Directory ”/usr/lib/cgi-bin”> A llowOverride None O ptions +ExecCGI -MultiViews +SymLinksIfOwnerMatch O rder allow,deny A llow from all < /Directory> L ogLevel warn E rrorLog /var/log/apache2/error.log C ustomLog /var/log/apache2/ssl_access.log combined S SLEngine on S SLCertificateFile /etc/apache2/ssl/server.cer S SLCertificateKeyFile /etc/apache2/ssl/server.key B rowserMatch ”.*MSIE.*” n okeepalive ssl-unclean-shutdown d owngrade-1.0 force-response-1.0 V uvedenom príklade sú pre podporu SSL podstatné direktívy “SSLEngine”, “SSLCertifica teFile” a “SSLCertifica teKeyFile”. Direktíva “SSLEngine” s hodnotou “on” zapína podporu SSL pre tento virtual host, direktíva “SSLCertifica teFile” definuje cestu ku certifikátu servera a direktíva “SSLCertifica teKeyFile” definuje cestu k súboru s privátnym k ú om servera. Ak je privátny k ú chránen heslom, je potrebné ho zadáva iba pri tarte resp. re tarte daemona. Po vykonaní tchto úprav je samozrejme potrebné re tartova webov server. Ak by náhodou nenabehol, pravdepodobne je v konfigurácii chyba a jej popis by sa mal nachádza v error logu daemona. Overenie funk nosti vykonanch nastavení je mô né vykona pomocou webového prehliada a. Ten vám pri prvom pokuse o pripojenie pravdepodobne zobrazí chybové hlásenie, e sa mu nepodarilo overi certifikát servera, preto e ho vydal neznámy vydavate .

27


Tento problém sa dá jednoducho rie i importom certifikátu certifika nej autority do úlo iska certifikátov prehliada a. V prehliada i Mozilla Firefox sa to vykonáva v menu “Preferences > Advanced > Encryption > View certificates > Authorities” a certifikátu autority je potrebné pri importe prideli oprávnenie “This certificate can identify web sites”.

al í prístup na webov server by u mal by úspe n.

Ak by ste sa chceli vyhnú potrebe importova certifikát autority do úlo iska prehliada a, mô ete si napríklad zakúpi serverov certifikát od niektorej z komer nch autorít, ktorch certifikáty sú distribuované s prehliada om.

28


Obojsmerná SSL autentizácia Ak ste sa rozhodli, e budete od ka dého klienta povinne vy adova autentizáciu certifikátom, staí, ke do definície virtual hostu pridáte nasledovné direktívy: SSLVerifyClient require SSLVerifyDepth 10 SSLCACertificateFile /etc/apache2/ssl/ca.cer Direktíva “SSLVerifyClient” s hodnotou “require” zabezpeí, e so serverom nebudú môc komunikova klienti, ktorí sa nepreuká u platn m certifikátom od jednej z dôveryhodn ch autorít. Direktíva “SSLVerifyDepth” uruje, i mô e by klient vydan aj podriadenou CA (z angl. intermediate CA) a koko ich mô e by medzi klientsk m certifikátom a koreovou autoritou. V tomto lánku je opísan prípad, ke je klient vydan priamo koreovou autoritou, a preto je rozumná hodnota 1. No a posledná direktíva “SSLCACertifi cateFile” definuje cestu k súboru s certifikátmi autorít, od ktor ch sú akceptované klientské certifikáty. Nezabudnite, e po vykonaní ak chkovek úprav konfigurácie webového servera je potrebné ho retartova alebo mu posla signál na znovunaítanie konfigurácie príkazom: # apachectl graceful

Ak sa na server pokúsite pristúpi bez klientského certifikátu, prehliada vám zobrazí chybové hlásenie.

Naimportujte teda privátny kú a certifikát klienta, ktor máte k dispozícii vo formáte PKCS#12 do úlo iska prehliadaa. V prehliadai Mozilla Firefox sa to vykonáva v menu “Preferences > Advanced > Encryption > View certificates > Your certificates”. Pri importe budete musie zada heslo, ktor m je chránen súbor PKCS#12 a v závislosti od verzie prehliadaa budete musie nastavi aj tzv. hlavné heslo pre softvérov token, ktor prehliada vyu íva ako bezpené úlo isko certifikátov.

29


Pri al om pokuse o prístup na server vám prehliada automaticky poskytne zoznam osobnch certifikátov, z ktorého je potrebné vybra ten, ktor chcete pou i na autentizáciu vo i serveru.

Po vbere platného certifikátu sa nadvia e SSL spojenie a webov server vám sprístupní po adovanú stránku.

30


V tomto momente sa ku zdrojom z váho webového servera dostanú len pou ívatelia disponujúci klientskym certifikátom od príslunej autority a konfiguráciu obojsmernej SSL autentizácie mô eme pova ova za hotovú. alie v hody obojsmernej SSL autentizácie Údaje z klientskeho certifikátu mô ete pou i aj na presnú identifikáciu konkrétneho pou ívatea v prevádzkovan ch aplikáciách. Staí ak pou ijete konfiguranú direktívu “SSLOptions” s hodnotou “+StdEnvVars” a mod_ssl sprístupní webov m aplikáciám informácie získané z certifikátu i certifikát samotn pomocou premenn ch prostredia. Ke e sa vak jedná o na v kon náronú operáciu, je vhodné pou i túto funkcionalitu len pre súbory s uritou príponou, resp. súbory v uritom adresári, ako je to uvedené v nasledujúcom príklade: S SLOptions +StdEnvVars S SLOptions +StdEnvVars Zoznam premenn ch, ktoré sú k dispozícii aj s ich popisom nájdete v dokumentácii k modulu mod_ssl. K premenn m prostredia sa v rôznych programovacích jazykoch pristupuje rôzne, no pre úplnos uvádzam jednoduch CGI skript napísan v jazyku perl, ktor vypisuje Common Name klienta: #!/usr/bin/perl use strict; print “Content-type: text/htmln”; print “n”; print $ENV{”SSL_CLIENT_S_DN_CN”} 31


Vstup skriptu po jeho spracovaní webovm serverom je nasledovn:

Mod_ssl v ak umouje pouitie spomínanch premennch aj priamo v konfigurácii servera. Môete tak napríklad obmedzi prístup k zdrojom nachádzajúcim sa v uritom adresári len pre klientov, ktorí sú zamestnancami uritej spolonosti: S SLRequire %{SSL_CLIENT_S_DN_O} eq “Jariq.sk Enterprises” Tieto premenné sa v ak dajú vyui aj s konfiguranou direktívou “CustomLog” na logovanie podrobností o jednotlivch prístupoch na webov server. Viac informácii k tejto téme môete opä nájs v oficiálnej dokumentácii. Záver Ak ste sa doteraz s obojsmernou SSL autentizáciou e te nestretli, pravdepodobne si budete po preítaní vhod opísanch v tomto lánku klás otázku, preo sa v praxi nepouíva viac. Odpove je relatívne jednoduchá – kryptografické operácie vykonávané pri SSL spojeniach sú nároné na vpotov vkon. Na vemi vyaench serveroch sa síce dajú poui tzv. SSL akcelerátory (roz irujúce karty obsahujúce procesor optimalizovan pre vykonávanie kryptografickch operácií), no tie sú v niektorch prípadoch drah ie ne server samotn a tak sú pre prevádzkovateov webovch serverov nezaujímavé.

2.2

Udrujte si svou databázi v bezpeí s Pgpool2

Adam trauch

Bezpe nost dat dnes znamená v echno zdvojovat. Máme dva disky, máme druh stroj na zálohy, máme dv linky do Internetu a nebo také dv auta, abychom si byli jistí, e se k serverm dostaneme. Kdy se nám povede umístit data online na dv místa, meme mluvit o úspchu. Dnes si povíme, jak to udlat s Postgresql. 32


Kdy se podíváte na dne ní servery, tak obsahují vci jako dva zdroje, RAID 1, ECC pamti, UPS, diesel agregáty a nkteré teba umí zahodit za bhu samotn procesor. Je tu ov em jedno velké ale. Jeden server je vt inou závisl na jednom poskytovateli a le í na jednom míst. Kdy se pi ene velká voda, vznikne po ár nebo staí, aby se vyskytla chyba, se kterou si RAID 1 neporadí, tak je server offline, a chceme nebo ne. Opravdu jediné spolehlivé e ení je vymyslet, jak dostat data na dv od sebe vzdálená místa, kde se budou s asem mnit. Pokud jedno z tchto úlo i vypadne, druhé ho musí zastoupit jak funkn, tak vkonov. Ne v dy to je jednoduché, a kdy s tím aplikace nepoítá, m eme mít problém. Nabízí se otázka, jestli lépe nenavrhovat aplikace a neinvestovat do nkolika levnj ích server místo jednoho drahého, kter m e skonit na naprosté banalit. Pi mé honb za vt í spolehlivostí slu eb, a u v na í komunitní síti nebo na serveru, jsem se pokou el práv o jejich rozdvojení na nkolik server. S nktermi aplikacemi to jde lépe, s nktermi he a s dal ími vbec. Takovou nejzajímavj í dvojici je webová aplikace a databázov server. Dnes pou ívám frameworky Django a Cherrypy a s tmi lze takovéto finty vcelku jednodu e udlat. Databáze je malinko vt í oí ek a nejvt ím oí kem jsou statická data jako obrázky, texty, videa atd. Pokud jde o statick obsah, tak pro nj bylo e ení nastínno teba v lánku o AoE. Dále se nabízí pravideln rsync, specializované souborové systémy nebo teba úprava (S)FTP serveru, pípadn nco, na co jsem je t nenarazil a budu moc rád, kdy se podlíte s vlastními zku enostmi. Databázi jsem si nechal nakonec, proto e o té bude dne ní lánek. Povíme si o nástroji pgpool2, kter doká e s nkolika databázovmi servery moc hezké vci. Konkrétn se budeme zabvat replikaním módem. Díky nmu budou mít va e aplikace pístup k databázi i za nepíznivch podmínek, kdy jeden ze server vypadne. Pokud se tak stane, doká e pgpool data sesynchronizovat, resp. dá vám k tomu píle itost v nejvíce vhodnou chvíli. Pgpool2 umí následující módy: • • • •

Replikaní Load balancing Paralelní Master/slave

My se dnes budeme zabvat pouze replikaním módem. Ostatní ho ale mohou doplnit. Abychom se v tom neztratili, pou ijeme obrázek. Pokud si chcete pgpool vyzkou et, tak si vytvote dva a ti virtuální servery nap. s Debianem a nastavte si je tak, aby k sob mly pístup jako na obrázku.

33


Stroje oznaené PG1 a PG2 mají na sob nainstalovanou databázi. Oba jsou nakonfigurované stejn a obsahují stejná data. K obma se pipojuje stroj, na kterém sice databáze není, ale je na nm nainstalováno pgpool. To je nakonfigurované v replikaním módu a pipojuje se k obma serverm. Pokud není zapnut load balancing, je jeden ze server jako máster a dal í jsou oznaeny jako slave. Mastera pgpool zat uje SELECT dotazy a INSERT posílá na v echny zúastnné. Pi zapnutém load balancingu se dotazuje pgpool server tak, aby si ka d vzal ást zát e. Pgpool2 by se dalo oznait za proxy k Postgresql serverm a umo uje v echno, co m e v této pozici nabídnout. Kdy máme pichystané servery s nainstalovanmi databázemi, je as se podívat na pgpool. Ten se nastavuje ve dvou konfiguraních souborech. V /etc/pgpool.conf se nastavuje pístup k serverm a v echno co se tká chování samotného pgpool. Druh konfiguraní soubor, /etc/pool_hba.conf, má toto nou konfiguraci jako pg_hba.conf z Postgresql a omezuje pístup u ivatel k databázi. Vzorov konfiguraní soubor /etc/pgpool.conf by mohl vypadat takhle: # Kde má pgpool naslouchat listen_addresses = '*' port = 5432 socket_dir = '/var/run/postgresql' # Komunikaního manageru (nedháváme vchozí) pcp_port = 9898 pcp_socket_dir = '/var/run/postgresql' pcp_timeout = 10 # Pokud se nepipojujeme lokáln, tak není poteba backend_socket_dir = '/var/run/postgresql' # Poet pre-forkovanch proces num_init_children = 5 # Poet spojení na jeden proces max_pool = 10 # Pokud se nic nedje 5 minut, tak se proces ukoní child_life_time = 300 connection_life_time = 0 # Poet spojení po kterém se proces ukoní child_max_connections = 0 authentication_timeout = 60 # Adresá s pid souborem logdir = '/var/run/postgresql' # Nastavení pro replikaní mód replication_mode = true replication_strict = true replication_timeout = 5000 load_balance_mode = true # replication_stop_on_mismatch = true # Replikace SELECT dotaz replicate_select = false # Co se má poslat databázi, kdy se ukonuje spojení reset_query_list = 'ABORT; RESET ALL; SET SESSION AUTHORIZATION DEFAULT' print_timestamp = true master_slave_mode = false connection_cache = true # Kontrola spojení se serverem 34


health_check_timeout = 20 # Jak asto kontrolovat databázové servery v sekundách health_check_period = 0 # U ivatel kontroly health_check_user = 'root' insert_lock = false # Ignorování zbytench mezer ignore_leading_white_space = false # Nastavení logování log_statement = true log_connections = true log_hostname = true # Paralelní mód parallel_mode = false enable_query_cache = false pgpool2_hostname = '' # Nastavení prvního databázového serveru backend_hostname0 = '10.0.0.2' backend_port0 = 5432 # Hodnota, kterou se nastavuje pomr rozdlování dotaz loadbalancingem backend_weight0 = 1 # Nastavení druhého databázového serveru backend_hostname1 = '10.0.0.3' backend_port1 = 5432 backend_weight1 = 1 enable_pool_hba = false Konfiguraní soubor jsem zbavil originálních komentá. Ty konfiguraci v mnohém ulehí. U nkterch mód potebuje pgpool pístup do databáze a pár tabulek. U replikace to nutné není. Pokud máte databáze nastavené správn (pístup ze sít), mlo by vám jít se te pihlásit. Pokud tomu tak není, problém hledejte v logu a v nastavení práv u databází, pípadn v IP adrese, na které databáze naslouchají. V echno u b í dobe a m e to tak b et dál. Jednou se ov em objeví problém a mo ná to ani nemusí trvat dlouho. Je dobré vdt, jak se pgpool k problému zachová. Máme-li spojení na dva databázové servery, pgpool je schopno kontrolovat jejich stav. Reaguje na problém, kdy bu jeden server neodpovídá, nem e se k nmu pipojit nebo dostane zprávu o ukonení spojení. V takovém pípad vstupuje do tzv. degradovaného módu a pracuje se zbvajícím databázovm serverem. Bohu el mi v tomto stavu v dy vypadlo spojení, ale to by u ivatel ml poznat jen krátkodobm vpadkem, ne se aplikace spojí s pgpool znovu. Postup obnovy plnohodnotného spojení se v emi databázemi lze e it run a mén run. Star í verze, obsa ená teba v Debianu, nemá pro synchronizaci dat obou databází ádné nástroje a nezbvá nám nic jiného ne odpojit klienty a data obnovit run. Druhá mo nost je popisovaná teba na jagiello.org, kde autor pou ívá nástroje pímo v pgpoolu. Ty umí odpojit klienty a spustit námi napsané skripty. Proces se tedy zrychlí. Bohu el je poád nutné odpojit klienty, aby nezasahovali do dat bhem pesunu. Zkou el jsem pgpool z Gentoo a z Debianu, pitom v obou chybla online obnova z odkazovaného blogpostu a v Gentoo nejsou ani nástroje na monitorování, i kdy se jedná o novj í verzi. Pro synchronizaci budeme potebovat dva skripty a pro snaz í prbh by mly mít stroje svoje ssh klíe navzájem. Minimalizuje se tak zadávání hesla. První skript se postará o dump celé databáze a pesune ho na vzdálen stroj. 35


restore.sh: #!/bin/sh REMOTE=10.0.0.3 # pípadn 10.0.0.2 USER=postgres DUMP=dbs.sql > $DUMP for x in `psql -c "select datname from pg_database;" -t`; do i f [ "$x" = "postgres" ]; then continue; fi; i f [ "$x" = "template0" ]; then continue; fi; i f [ "$x" = "template1" ]; then continue; fi; e cho "Backup $x" p g_dump -C $x >> $DUMP done; bzip2 -z $DUMP scp $DUMP.bz2 $USER@$REMOTE:~/ ssh $USER@ $REMOTE "~/load.sh" rm $DUMP.bz2 Na nm spustí druh skript. Ten vezme pesunut dump, vyma e existující data a vytvoí databáze znovu. load.sh: #!/bin/sh DUMP=dbs.sql for x in `psql -c "select datname from pg_database;" -t`; do i f [ "$x" = "postgres" ]; then continue; fi; i f [ "$x" = "template0" ]; then continue; fi; i f [ "$x" = "template1" ]; then continue; fi; e cho "Remove $x" d ropdb $x done; bunzip2 -d $DUMP.bz2 cat $DUMP | psql postgres rm $DUMP I kdy máme data zdvojená, nejedná se o zálohu jako takovou. Pgpool sice pom e, kdy vypadne spojení mezi aplikací a jednou z databází, ale kdy njak u ivatel vyma e svoje oblíbené tabulky, tak nám to bude k niemu. Díky pgpoolu nebudeme muset hned b et k serveru, pokud se nco stane, a jak dobe víme, nco se stane v dy v tu nejmén vhodnou dobu. Pgpool má také nástroje na monitorování. Pístup k nim je pes nastaven port, konkrétn pes parametr „pcp_port = 9898“. Ty nejdle itjí jsou:

36


pcp_detach_node Odpojí databázi z pgpool pcp_attach_node Pipojí databázi do pgpool Spoítá poet pipojen ch databází pcp_node_count pcp_node_info Uká e informace o databázi Pgpool oznauje jednotlivé databáze za node, stejn jako to mají ve zvyku jiné zdvojující eení. První ti parametry vech nástroj jsou: • • •

timeout Kdy má vypret spojení hostname Adresa stroje s pgpool port Nastaven port pgpool na stroji

Dalí dva parametry jsou jméno a heslo. To se nastavuje v konfiguraním souboru /etc/pcp.conf, do kterého se ulo í na ka d ádek dvojice „jmeno:md5_hesla“. Jak se jednotlivé nástroje pou ívají, vám uká e následující píklad: $ pcp_node_count 10 localhost 9898 admin redcew 2 $ pcp_detach_node 10 localhost 9898 admin heslo 1 $ pcp_attach_node 10 localhost 9898 admin heslo 1 $ pcp_node_info 10 localhost 9898 admin heslo 1 10.0.0.3 5432 1 1073741823.500000 Závr I kdy je pgpool komplikace, v kombinaci s dalími postupy se z nj stává u iten pomocník, díky kterému máte spolehlivjí eení, ne kdy vám aplikace visí na jednom databázovém serveru. Nejvtí komplikací je urit obnova dat. Nejjistjí je data na neaktuální databázi znovu vytvoit. Sice se m e jednat o penosy a stovek MB, ale máme jistotu, e se dostanou vechny opravdu tam, kam patí. Jak asto tohle budeme dlat, je závislé na kvalit hostingu, pípadn spojení mezi databázemi. Kdy máme ka d server na jiné stran republiky nebo i svta, tak se obas njak komunikaní otek vyskytne. Ukázalo se, e distribuce mají rzn zkompilovan pgpool, a proto by mo ná vlastní kompilace nebyla od vci.

2.3

Port knocking: zaklepejte na svj server

Petr Krmá

Internetovch útok pibvá a nechávat nkteré slu by na serveru veejn by nemusel bt dobr nápad. Jak ale ukrt nkteré porty ped zraky kolemjdoucích zvdavc a robot zkou ejících své finty? ikovnou, ale ne v em známou technikou je takzvan port knocking. Nainstalujte si také svého dveníka. Minul t den jsem psal o tom, jak vyhodit útoníky, kteí se sna í automaticky hádat hesla. Pou ít k tomu m eme napíklad DenyHosts, kter umí hlídat pihláení a podezelé pokusy umí automaticky zablokovat. Doká e zabránit mnoha nepíjemnostem. Pesto nedoká e takov postup zabránit vem druhm útok. Pokud se napíklad objeví problém u v samotné implementaci, m e útoník napáchat kodu a hesla hádat vbec nemusí. 37


Pokud jste administrátorem serveru, mete jít ale je t dál a to nejen u SSH. Mete ped nenechavci skrt v e, co nechcete, aby vidli. Náhodn kolemjdoucí, kter oskenuje va e porty, uvidí jen ty, které mu chcete ukázat a ostatní jsou pro nj zavené. Pesto se vy jako administrátor k nim mete kdykoliv pipojit. Technika, o které si tu budeme povídat, se jmenuje port knocking (klepání na porty). Dveník na tajné heslo Samozejm je moné kritick port ukrt za firewall a striktn omezit IP adresy, ze kterch je moné se k nmu pipojit. To ov em znamená dal í komplikace, pedev ím v pípad, e se va e IP adresa mní nebo potebujete cestovat. Port knocking e í tento problém velmi elegantn. Pomocí firewallu zakáete porty úpln. Pro bného náv tvníka budou zcela zavené a vbec nepozná, e na serveru bí njaká konkrétní sluba. Nainstalujeme si speciální port knocking server, kter bude sledovat pokusy o pístup k zavenm portm. Naprogramujeme mu konkrétní sekvenci, která identifikuje regulérního uivatele. Taková sekvence me bt napíklad: „pipoj se na porty 1000, 1256, 865, 22565 bhem pti sekund“. Pokud se taková sekvence objeví, firewall automaticky oteve port IP adrese, ze které pi lo zaklepání. Z hlediska uivatele je v e pomrn jednoduché. Ped samotnm spu tním (teba SSH) klienta spustí skript, kter zauká na píslu né porty serveru. Pak se mu oteve píslu n port a on se pipojí bnm zpsobem. Je to bezpené? Co odposlech? Port knocking samozejm není náhradou za bné bezpenostní mechanismy, ale je jejich úinnm doplkem. Kdyby nkdo odhalil va i klepací sekvenci (tedy poadí port), nemlo by to nijak vadit a bezpenost to neohrozí. Útoník pak stojí ped klasickm bezpenostním mechanismem – RSA nebo heslem. Je ale jasné, e knocking je moné odhalit pomocí odposlechu spojení. Nkdo na trase me o va em serveru vdt a sledovat, na které porty se dobváte pedtím, ne se pipojíte k SSH. I proti tomuto postupu ale existuje úinná obrana v podob ifrovaného port knockingu. Pestoe nemete se serverem komunikovat (on zásadn na zavench portech neodpovídá), mete mu pomocí ukání na rzné porty pedávat jednosmrn njakou informaci. Obvykle se to provádí tak, e v prostoru port (0–65535) zvolíte blok 256 z nich, které tvoí hodnoty pedávanch bajt. Takto jste schopni serveru pedat libovolná data. Obvykle jako klient pouijete pedem daná data jako vlastní IP adresu, port na druhé stran, aktuální as a datum a podobn a tyto údaje za ifrujete pedem danm klíem. Za ifrovan vsledek pak vyukáte serveru na zavené porty. Druhá strana cel algoritmus vetn de ifrovacího klíe zná, a tak vás opt rozpozná a oteve vám. Se zmnou asové znaky a dal ích údaj v za ifrované zpráv se mní i zadávaná sekvence, kterou není moné pozdji znovu vyuít. Jak to implementovat? Základem je takzvan knockd server, kter nainstalujete na stroj, na kterém si pejete chránit konkrétní porty. Software najdete pravdpodobn ve své distribuci, v Debianu je a má jen nkolik desítek kilobajt. Tento program zajistí v e potebné na stran serveru. Celá konfigurace se nachází v souboru /etc/knockd.conf. Syntaxe je velmi jednoduchá: [options] logfile = /var/log/knockd.log 38


[SSH] sequence = 7000,8000,9000 seq_timeout = 5 command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn cmd_timeout = 10 stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT Na zaátku je definován log soubor, do kterého knockd zapisuje informace o své innosti. Poté následuje definice pravidel pro SSH port. Samozejm je mo no definovat libovoln poet sekvencí nebo jednou sekvencí otevít více port. Na prvním ádku je otevírací sekvence (ísla port), následuje asov interval, ve kterém musí bt zaukání provedeno. Poté následuje píkaz pro otevení píslu ného portu v iptables, za ním je asov údaj, po kterém se provede zavírací píkaz. Poslední ást je samozejm mo né vynechat, port pak zstane pro IP adresu oteven nav dy. Pokud jsou porty ureny takto, jedná se o TCP porty, m ete ale vyu ít také UDP, staí za ísla port pidat:: udp. Píklad: 1 000:udp,2000:udp,3000:udp. Jednorázové sekvence Démon knockd umí také jednorázové sekvence. Do zvlá tního souboru zadáte libovoln poet sekvencí, které budou postupn oekávány shora dol. Po ka dém úsp ném zaukání se aktuální sekvence zahodí a v budoucnu zstane neplatná. Implementace je opt velmi jednoduchá, místo direktivy s equence s konkrétními porty zadáte: one_time_sequences = /etc/knockd/smtp_sequence

s názvem souboru, ze kterého budou sekvence naítány. Jak zaklepat? Server máme nastaven, ale je t jsme si neekli, jak na nj m eme zaklepat. K tomu slou í utilitka knock, která je souástí balíku knockd. Její pou ití je velmi jednoduché, na ná server zaukáme: $ knock 192.168.1.1 7000 8000 9000 pípadn $ knock 192.168.1.1 7000:udp 8000:udp 9000:udp Co dál? Pokud se chcete dozvdt o knockingu více, nav tivte server PortKnocking.org. K dispozici je samozejm mnoho implementací celé techniky, vetn v e zmínného ifrovaného ukání. Informace o dal ích implementací najdete na speciální stránce stejného webu.

39


2.4

Single Packet Authorization aneb jeden paket vládne vem

Petr Krmá

P ed asem jsme na Rootu psali o tom, jak funguje takzvan port knocking. To je bezpe nostní technika, která je velmi dob e pouitelná, ale má i nkteré podstatné nev hody. Dnes si ukáeme Single Packet Authorization, která vás p edstaví serveru jedním jedin m paketem. Dobr den, tady uivatel! Rekapitulace aneb klasické klepání V záí loského roku jsme v lánku Port knocking: zaklepejte na svj server, psali o metod zvané port knocking. Ta vylepuje bezpenost serveru tím, e dovoluje ukrt nkteré potenciáln napadnutelné porty ped zraky zvdavc. Tyto porty jsou pak speciální technikou otevírány jen oprávnnm uivatelm. Vechny techniky z této kategorie neslouí jako samostatná ochrana, ale fungují jako dalí obrann val. Pokud jej kdokoliv neoprávnn pekoná, stále má ped sebou klasické metody autentizace a dalí bezpenostní mechanismy. Pokud ale o portech vbec neví, neme zkouet rzné exploity nebo 0day útoky. Po nasazení port knockingu jsou porty uzaveny za firewallem, kter sleduje provoz z vení. Klient pak generuje uritou sekvenci paket, kterou odele na správné porty serveru. Pokud server pozná, e z jednoho poítae pichází správná sekvence paket na správné porty, povolí mu pístup k portu nebo portm, které jsou jinak chránny. Pak teprve je moné se napíklad pipojit k SSH. Nevhody klasického port knockingu Problémem tradiního postupu je pedevím to, e je moné jej jednodue odhalit a odposlechnout. Pokud bude nkdo monitorovat provoz na naí síti, rychle zjistí, e si otevíráme porty a objeví také nai klepací sekvenci. Ve ve zmínném lánku jsme okrajov zmínili také ifrovan port knocking. Ten vylepuje standardní metodu tím, e pomocí vyklepávání dlouhé sekvence na rzné porty odesílá zaifrované pihlaovací informace. To bohuel pináí dalí problémy, nebo je moné najednou pedat maximáln dva bajty, protoe máme k dispozici jen 65536 rznch port, na které meme posílat pakety. Zaslání takové sekvence tedy me bt pomrn zdlouhavé a musíme server zahltit pomrn velkm mnostvím paket. To na dneních rychlch linkách nemusí bt problém, ale rozhodn se nejedná o isté eení. Navíc pi takovém mnoství paket se me lehce stát, e dojde k vpadku nebo pakety dorazí v jiném poadí a protoe server nemá monost ádnm zpsobem na tyto problémy zareagovat, mohou bt nae pokusy o pihlaování neúspné. Navíc nás velmi jednodue me kdokoliv blokovat tím, e bude prost do naí sekvence vstupovat s náhodnmi pakety s falenou IP adresou. Tím nám úpln zablokuje pístup k serveru. eením je SPA O ve zmínnch problémech se samozejm obecn ví a existují rzné metody, jak nkteré z nich tlumit. Vtina z nich ale stále petrvává. Proto byl ped nkolika lety vymylen protokol SPA neboli Single Packet Authorization, co v pekladu znamená „autorizace jedním paketem“. Samotná architektura port knockingu a SPA je podobná. Opt existuje server s firewallem, kter standardn zavírá nkteré porty. Server znovu pasivn monitoruje provoz na síti a sleduje, co se za firewallem dje. Klient si také otevírá dvee pomocí zasílání informace na „hluch“ server. Tím ale vekerá podobnost koní. SPA toti pesouvá celou komunikaci tam, kam standardn patí – toti na aplikaní vrstvu. V tomto pípad se pracuje s celm paketem, kter je obvykle omezen protokolem Ethernet na 1500 bajt. 40


Co se posílá? Podoba paketu je pomrn pesn urená, obsahuje sedm samostatn ch ástí, které jsou od sebe oddleny dvojtekou. Jednotlivé ásti jsou: 16 bajt náhodn ch dat, jméno u ivatele, asová znaka, verze SPA implementace, mód SPA (pokus o pístup nebo píkaz), samotn text obsahující pístupová data nebo píkaz a nakonec MD5 kontrolní souet. Vtina tchto ástí má promnlivou délku. Jakmile je tímto zpsobem paket sestaven, je zaifrován jednou ze dvou rzn ch metod: symetrickou blokovou ifrou Rijndael se 128 bitov m klíem nebo asymetrick m algoritmem ElGamal s 2048bitov mi klíi generovan mi pomocí GnuPG. Tím jsme pipraveni se autorizovat. Cel paket je následn klientem odeslán na server, standardn na jeho UDP port 62201. Port je samozejm mo no libovoln mnit. Jaké jsou v hody? Krom toho, e nám k otevení port staí jedin paket, eí SPA také mo nost odposlechu a opakování sekvence pro jin poíta. Hlavním bezpenostním mechanismem je zde u zmínn ch 16 náhodn ch bajt, které jsou souástí ka dého zaifrovaného paketu. I kdyby byly vechny informace v paketu posílány nkolikrát za sebou, v dy se bude paket liit o tato náhodná data. Server si podobu paketu hlídá, a kdyby dorazil úpln stejn paket znovu, bude jej pova ovat za podvrh a bude jej ignorovat. V hodou SPA serveru je také to, e doká e otevít rzné typy pístup rzn m u ivatelm. Proto jsou souástí paketu také u ivatelské informace. Podle nich je po pijetí paket rozhodnuto, které porty budou u ivateli oteveny. Ve m e b t jet rozlieno pomocí píkaz, tak e klient m e pímo po ádat server o otevení konkrétního portu. Pokud má dostatená oprávnní, SPA server po adavek vyídí a píkaz provede. Jak to implementovat v praxi? Pokud chcete SPA implementovat, je teba vyu ít projektu fwknop, jeho balíky se nacházejí v b n ch repositáích distribucí. Je i souástí Debianu, kde naleznete dva balíky fwknop-clien a fwknop-server. Na serveru je konfigurace ulo ena v souboru /etc/fwknop/fwknop.conf. Nejdle itjími konfiguraními polo kami jsou EMAIL_ADDRESS, HOSTNAME a KEY. Na vyplnn mail jsou odesílány rzné informace t kající se provozu SPA serveru, vetn chybov ch hláek. Jméno udává název SPA serveru a konen klí slou í k ulo ení klíe u ívaného pro autorizaci k serveru. Klí by ml b t samozejm co nejdelí a pokud mo no náhodn . Pokud server nakonfigurujete a spustíte, mli byste pomocí firewallu (viz iptables) uzavít citlivé porty, které chcete pomocí SPA chránit. Poté u se staí z klienta pipojit k serveru: $ fwknop -A tcp/22 -D 12.12.13.14 -a 5.5.6.6 Tento píkaz osloví server 12.12.13.14 a po ádá ho o otevení portu 22 (SSH) pro stroj 5.5.6.6. Klient se poté zeptá na klí, kter je nastaven na serveru: [+] Starting fwknop client. [+] Enter an encryption key. This key must match a key in the file /etc/fwknop/access.conf on the remote system. Encryption Key: Pokud zadáte klí, dozvíte se informace, které bude klient posílat serveru: [+] Building encrypted single-packet authorization (SPA) message ... [+] Packet fields: 41


Random data: 4385401308094834 Username: root Timestamp: 1120483943 Version: 1.8.2 Action: 1 (access mode) Access: 5.5.6.6,tcp/22 MD5 sum: be132eade6f7546b6e136366d323e30e [+] Sending 171 byte message to 12.12.13.14 over udp/62201. Pokud se autorizace podaila, máte standardn 30 sekund, abyste se pihlásili ke zvolenému portu. Pokud to stihnete, spojení se pak normáln udr í a vy m ete pracovat. Pokud nechcete pou ívat symetrickou ifru se sdílen m klíem, m ete sáhnout po GnuPG a m ete se autorizovat vlastními klíi. Více informací k vyu ití GnuPG pak naleznete v manuálové stránce.

42


3

Vbr toho nejzajímavj ího o Internetové bezpenosti ze serveru Podnikatel.cz v roce 2009

3.1

Reklamní sluby Google AdSense a povinná registrace k DPH

Dagmar Kuerová

Poskytováním reklamní slu by Google Adsense se m ete, ale nemusíte stát plátcem DPH. Zále í na sídle spole nosti p íjemce, tedy zda jde o Google Ireland nebo Google Inc. K objasnní této problematiky p ispli da oví odborníci. V souvislosti s leto ními zmnami zákona o DPH vzniká mnohm poskytovatelm slueb do jinch lenskch stát registraní povinnost. Prvním poskytnutím takové sluby se její poskytovatel stává plátcem DPH, i kdyby se jednalo o pouh pivdlek, napíklad reklamou Google AdSense. Co je reklamní sluba Adsense? Jedná se o poskytnutou reklamní slubu majitelem webovch stránek, kdy reklamní systém Google AdSense umouje na tyto webové stránky vloit cizí inzerci. Za tuto uskutennou slubu získává majitel webovch stránek v závislosti na potu kliknutí na zobrazenou reklamu úplatu od Google AdSense. Jak vysvtluje Jitka Jeková, tisková mluví Finanního editelství v Plzni, majitele webovch stránek, kter poskytuje reklamní slubu je podle § 5 zákona o dani z pidané hodnoty nutno povaovat za osobu povinnou k dani, protoe jím provozovaná innost v podob reklamní sluby je uskuteována samostatn a soustavn. Je tedy daovm subjektem, kter je povinen uplatovat práva a povinnosti vyplvající z tohoto zákona. V pípad poskytovanch slueb je nejprve nutné urit místo plnní a na základ toho rozhodnout, zda je plnní pedmtem dan a kdo bude da odvádt. Následuje urení dne povinnosti piznat da a pepoet sluby na K platnm kurzem pro tento den, pípadn pepoet msíním kurzem hodnoty slueb poskytnutch za cel msíc. Jak urit místo plnní? Poskytovatel musí nejprve ujasnit, o jaké plnní se vlastn jedná. Tedy zda je to plnní tuzemské nebo nikoliv, tj. jestli se jedná o pedmt eské DPH. Podle Jana Molína, daového poradce a analytika spolenosti MIVO je pi urení místa plnní podstatné také to, komu je plnní poskytováno. Z ustanovení § 9 a § 10 zákona o dani z pidané hodnoty vyplvá následující urení místa plnní: • • • • • •

plátce EU poskytuje plnní plátci CZ - místo plnní je v R a da odvádí píjemce sluby (§ 9 odst. 1), osoba povinná k dani se sídlem v EU (podnikatel dosud neregistrovan jako plátce) poskytuje slubu plátci CZ – místo plnní je v R a da odvádí píjemce sluby (§ 9 odst. 1 a § 108 odst. 1 písm. b), plátce CZ poskytuje plnní plátci EU – místo plnní je v sídle plátce EU, da odvádí píjemce, plnní není pedmtem dan v R, plátce CZ poskytuje plnní osob nepovinné k dani se sídlem v R (obanu – nepodnikateli) – dle § 9 odst. 2 je místo plnní v R, DPH odvádí poskytovatel, plátce CZ poskytuje plnní osob nepovinné k dani se sídlem ve tetí zemi (§ 10h), místo plnní je v zemi odbratele, plátce CZ poskytuje plnní, které není pedmtem eské DPH, plátce CZ poskytuje plnní osob povinné k dani se sídlem ve tetí zemi a odbratel je zárove registrován jako esk plátce: pokud ke skutenému uití nebo spoteb sluby dochází v tuzemsku, jde o tuzemské plnní a da musí odvést poskytovatel sluby (§ 10k).

Místo plnní u reklamy Google Adsense závisí na sídle spolenosti 43


Sluba AdSense poskytovaná majitelem webovch stránek je reklamní slubou poskytovanou bu ve prospch spolenosti Google Inc. se sídlem v USA (pro úely ZDPH jde o tetí zemi, tj. území mimo Evropské spoleenství) nebo ve prospch spolenosti Google Ireland se sídlem Irsku (lensk stát Evropského spoleenství). "S ohledem na tuto skutenost se jedná ze strany majitele webovch stránek podle § 9 odst. 1 o slubu s místem plnní mimo tuzemsko. Jde toti o slubu poskytovanou osobou povinnou k dani se sídlem i místem podnikání v eské republice (tuzemsko) osob povinné k dani, která má sídlo i místo podnikání ve tetí zemi nebo jiném lenském stát," uvádí Jitka Jeková, tisková mluví Finanního editelství v Plzni. Místem plnní je místo, kde má sídlo i místo podnikání osoba povinná k dani, která je píjemcem sluby. Povinnost piznat a zaplatit DPH z poskytované reklamní sluby AdSense v tuzemsku jejímu poskytovateli tedy nevzniká. Reklamní smlouvy s Google Ireland Jestlie je reklamní sluba AdSense poskytována na základ smluvního vztahu ve prospch spolenosti Google Ireland, jedná se o slubu poskytovanou podle § 9 odst. 1 zákona o DPH osob povinné k dani se sídlem i místem podnikání v jiném lenském stát. Z tohoto dvodu vzniká majiteli webovch stránek v souladu s ustanovením § 94 odst. 11 povinnost registrovat se jako plátce DPH. Plátcem se pitom stává dnem poskytnutí této sluby. Majitel webovch stránek podává pihláku k registraci do 15 dn ode dne, ve kterém se stal plátcem. Reklamní smlouvy s Google Inc. V pípad reklamní sluby poskytované ve prospch spolenosti Google Inc. jde o slubu s místem plnní ve tetí zemi. Poskytovateli, kter má sídlo nebo místo podnikání v tuzemsku nevzniká registraní povinnost k dani z pidané hodnoty. Kdy je plnní uskutenno? Pi poskytování slueb je zdanitelné plnní uskutenno poskytnutím sluby nebo vystavením daového dokladu, podle toho, co nastane díve. "Pi aplikaci tohoto základního pravidla uvedeného v § 21 odst. 5 vak musíme pihlédnout rovn k ustanovení § 21 odst. 1, kde je definována povinnost piznat da, a to bu ke dni uskutenní zdanitelného plnní, nebo ke dni pijetí platby – podle toho, co nastane díve," sdluje Jan Molín, daov analytik MIVO. V pípad sluby AdSense jde o plnní, na které navazují postupné platby, a proto se povauje tato sluba za poskytnutou dnem, kdy uplyne období, k nmu se vztahují pijaté platby. "Pokud by poskytování sluby pesáhlo jeden kalendání rok, povauje se takováto sluba v pípad, e je poskytována ve prospch osoby se sídlem i místem podnikání v jiném lenském stát podle § 24a odst. 4, za uskutennou nejpozdji posledním dnem daného kalendáního roku," dopluje Jitka Jeková. Jestlie by datu poskytnutí sluby pedcházelo datum vystavení daového dokladu v závislosti na pijaté platb, potom by se sluba povaovala za uskutennou dnem jeho vystavení. Jak na pepoet pijatch plateb v EU na K? Plátce je v pípad, e uskutení reklamní slubu s místem plnní mimo tuzemsko, povinen vystavit pro píjemce sluby daov doklad, a to do 15 dn od data uskutenní sluby nebo pijetí platby, pokud platba pedchází datum uskutenní plnní. Náleitosti dokladu uvádí § 33 zákona o DPH. Na doklad se uvede pijatá ástka za poskytnutou slubu v K. Jestlie je ástka za poskytnuté sluby pijata v Euro i jiné mn, pouije plátce pro pepoet na K kurz devizového trhu eské národní banky (NB). Kurzem pro pepoet na K by ml bt kurz platn ke dni vzniku povinnosti piznat da. "Jestlie pedpokládáme, e platby nepedcházejí den uskutenní plnní a zárove e doklady nejsou vystavovány ped poskytnutím sluby, meme íci, e pouijeme kurz platn ke dni poskytnutí sluby," vysvtluje Molín. Dodává, e prakticky je cena v EUR pepoítávána kurzem, kter úetní jednotka pouívá, tj. denní kurz dle NB (v pípad AdSense tedy kurz platn ke dni, kdy byla sluba poskytnuta, je-li to z pehledu zejmé a sluba nebyla placena pedem) 44


nebo pevn kurz, kter si plátce stanovil svm vnitním pedpisem, nap. msíní i roní kurz. Mezi ástkou pepoítanou z EUR dle pehled a ástkou, která pijde v korunách na úet, tak budou vznikat kurzové rozdíly. Poskytovatel sluby (plátce DPH) podává daové piznání V souladu s § 101 je plátce povinen do 25 dn od skonení zdaovacího období (kalendání msíc nebo kalendání tvrtletí) podat daové piznání a v nm vykázat krom jinch plnní také sluby s místem plnní mimo tuzemsko. "Reklamní sluby poskytované spolenosti Google Ireland se vykazují na ádku 21 daového piznání, reklamní sluby poskytované spolenosti Google Inc. se vykazují na ádku 25 daového piznání," vysvtluje Jitka Jeková z F v Plzni. V daovém piznání za konkrétní zdaovací období se plnní vykazuje v závislosti na datu pijaté platby nebo na datu uskutenní plnní, a to podle toho, kter den nastane díve. Povinnost podat souhrnné hláení Pokud plátce poskytuje reklamní slubu ve prospch spolenosti Google Ireland, jedná se o sluby s místem plnní mimo tuzemsko, co zakládá plátci také povinnost podat souhrnné hláení podle § 102. V nm plátce vykáe hodnotu slueb poskytnutch osob registrované k dani v jiném lenském stát. Jestlie uskuteuje pouze sluby s místem plnní mimo tuzemsko, je povinen podat souhrnné hláení do 25 dn po skonení zdaovacího období, tj. kalendání msíc nebo kalendání tvrtletí. V pípad, e dodává také zboí do jiného lenského státu, jeho píjemcem je osoba registrovaná k dani v jiném lenském stát má povinnost podat souhrnné hláení do 25 dn po skonení kalendáního msíce bez ohledu na typ zdaovacího období. Závrem Jitka Jeková poznamenala, e plátce má podle § 72 nárok na uplatnní odpotu dan u pijatch zdanitelnch plnní, které souvisí s poskytováním reklamní sluby AdSense. Nárok na odpoet dan by ml bt uplatnn v daovém piznání v rozsahu odpovídajícím poskytované slub a doloen daovm dokladem.

3.2

Vtina firem sleduje aktivity svch zamstnanc n

a Internetu

Redakce

Dopad hospodáské krize na oblast informa ní bezpe nosti bude podle firem nulov. Spole nosti se v ak obávají aktivit svch zam stnanc na Internetu, proto je monitorují. eské firmy nezaostávají v nasazování technologickch eení. Jak vyplynulo z posledního przkumu stavu informaní bezpenosti, kter dnes prezentovala spolenost Ernst & Young, za uplynulch 10 let se eení v oblasti informaní bezpenosti dostala na úrove zemí v západní Evrop. 69 % respondent se navíc domnívá, e dopad ekonomické krize na oblast informaní bezpenosti bude nulov nebo dokonce pozitivní. I pesto hospodáská krize ukonila období investice do rozvoje novch implementací IT. Jak dále vyplvá z przkumu, pro polovinu spoleností je z hlediska bezpenosti v souasnosti nejvtí hrozbou virtualizace server. "Nastupujícím „hitem“ se navíc stávají penosná datová média, která 40 % respondent povauje za nejvyí hrozbu pro bezpenost a chystá se této problematice vnovat v následujícím roce zvenou pozornost," upozoruje Jaroslav míd, námstek editele Národního bezpenostního úadu, jen se na przkumu rovn podílel.

Zamstnanci pod lupou 45


Penosová datová média jsou ostatn oehavm problémem pedev ím u zamstnanc, jejich aktivity na internetu v esku monitorují více ne ti tvrtiny firem (77 % respondent). A dopad zákona o ochran osobních údaj na informaní bezpenost není podle nich ádn nebo jen mal. "Zamstnanci firem neumjí správn identifikovat nebezpeí, kterm jsou data vystavena a ohroují tak bezprostedn informaní bezpenost firmy nap. instalováním nepovoleného softwaru," pipomíná Jan Fanta, partner oddlení podnikového poradenství a ízení rizik spolenosti Ernst & Young. Tuto pekáku ada firem vnímá krititji ne finanní náronost bezpenostních e ení. "Bez dobe propracovanch a odzkou ench postup existuje znané riziko, e incidenty nebudou odhaleny vas. Zárove pak reakce na n jsou v takové situaci v nejlep ím pípad zdailou improvizací, která me vlivem spchu, stresu a nedostatené analzy pinést více kody ne uitku," komentuje tuto situaci Luká Mikeska, senior manaer IT poradenství a ízení technologickch rizik v Ernst & Young. Na tstí ji dv tetiny spoleností mají definovanou bezpenostní politiku. Analzu rizik jako jeden ze základních nástroj pro efektivní a ekonomické e ení bezpenostní agendy provedlo nebo provádí ji 84 % spoleností. Tém dv tetiny spoleností nemají dosud dostaten zpracované postupy reakce na bezpenostní incidenty. Firmy celosvtov se bojí pechodu na novou verzi softwaru Firmy krom instalace nepovoleného softwaru ze strany zamstnanc vnímají jako bezpenostní riziko pechod na novou verzi softwaru, a to nejen u nás. Vyplynulo to z ji prosincového vzkumu spolenosti Symantec. Ta zárove upesnila, e tyto obavy umocují negativní zprávy z médií: "Je zajímavé vidt, jak se v tchto rozdílech a délce odloení investice odráejí kulturní rozdíly. tvrtina evropskch podnik (27 %) uvedla, e upgrade odloí nejmén o dal ích 12 msíc. Ale nmecké spolenosti jsou optimistitj í a odloení investice plánuje mén ne ptina (19 %) z nich," ekl ji díve Robert Mol, Principal Product Marketing Manager EMEA spolenosti Symantec. Dal í zji tní przkumu stavu informaní bezpenosti •

• • • •

• • • •

Více ne ti tvrtiny spoleností monitorují aktivity svch zamstnanc na internetu a 58 % pouívání internetu omezuje. „Liberálních“ zamstnavatel, kteí se nesnaí omezovat a monitorovat své pracovníky pi pouívání internetu, je mén ne desetina. U tém ptiny spoleností tráví zamstnanci na internetu více ne 30 minut denn mimopracovními aktivitami. Nejvt í vznam informaní bezpenosti pikládají firmy v oblasti plynárenství a ropného prmyslu a spolenosti psobící v bankovním sektoru a v oblasti finannictví. Na samém konci ebíku je naopak chemick a elektrotechnick prmysl. SPAM a vpadek proudu jsou stále nejastji zaznamenané bezpenostní incidenty. Klesá podíl respondent, kteí hodnotí vlastní úrove e ení informaní bezpenosti jako nízkou a ubvá spoleností, kde není za e ení informaní bezpenosti jasn definována nií zodpovdnost. Informaní bezpenost je u naprosté vt iny spoleností zalenna do úsek IS/IT. Nejvt í pekákou rychlej ího prosazování informaní bezpenosti je obecn nízké bezpenostní povdomí. Roste podíl spoleností, které tuto pekáku uvádjí na prvním míst, ped finanní nároností. Pitom funkní program pro zvy ování povdomí má zavedeno pouze 21 % organizací. tyi ptiny spoleností nemají na informaní bezpenost vylenn zvlá tní rozpoet, piem vdaje na tuto oblast tvoí nejastji 1-5 % celkového rozpotu na IS/IT. Tém dv tetiny organizací neprovádjí analzu návratnosti investic do bezpenostních projekt. U 63 % spoleností je informaní bezpenost e ena ve spolupráci s externími firmami. 66 % procent respondent má, nebo plánuje posoudit oblasti informaní bezpenosti externím subjektem. Nejastji outsourcovanou ástí IT je internetové pipojení. Pouze 5 % spoleností nevyuívá a ani neplánuje v budoucnu vyuívat elektronick podpis. 14 % organizací není schopno urit, jaké vhody pouívání elektronického podpisu piná í. 74% spoleností hodnotí úrove informaní bezpenosti u nás jako stejnou nebo lep í ve vztahu k západoevropskm zemím. 46


3.3

Pornoprmysl v esku kvete, drtí ho ale internet a filmy ke staení zdarma

Jana Bohutínská

Zasáhla ekonomická krize maloobchod s erotick m zbo ím? Provozovatelé e-shop hlásí ano, zárove vak obchody nepestávají rst. Trendem je draz na kvalitu a multifunknost zbo í. Erotick prmysl je prmyslové odvtví zabvající se vrobou a prodejem erotickch pomcek, pornofilm a nabídkou zboí a slueb, které souvisejí se sexem. O tom, e sex je vbornm byznysem, není pochyb, a esko v tom není vjimkou - svdí o tom velké mnoství fungujících kamennch i internetovch erotic shop, vroba asopis a film s erotickou nebo pornografickou tematikou. K podnikání v oboru není teba ádné speciální ivnostenské oprávnní krom obecnch tkajících se napíklad maloobchodu, vroby, rozmnoování, nahrávání a distribuce zvukovch a zvukov obrazovch záznam apod. I pes krizi internetové obchody s erotickm zboím rostou Obchody s erotickm zboím a na vjimky potvrzují, e na krizi jejich zákazníci skuten zareagovali. Pesto vak obchody hlásí rst. "Ekonomická recese se projevila tím, e zákazníci kupují spíe levnjí pomcky. Avak v pípad novinek ze svta erotického prmyslu jsou ochotni utratit mnohem více. Pokud se jedná o objemy prodej, nedolo k nijak vraznému poklesu, a to zejména díky naím marketingovm aktivitám a také tím, e práv v dob krize investujeme do marketingu mnohem více penz ne v letech minulch," uvádí pro business server Podnikatel.cz Karel Ká z EroticStore.cz. I v roce 2009 se tak firm podle Karla Kái podailo rst o desítky procent. "Rok 2009 byl ve znamení zmn ve smyslu, úspornch opatení a hledání novch a zajímavjích dodavatel," ohlíí se za uplynulm rokem. Fakt, e se krize dotkla také internetovch obchod s erotickmi pomckami, potvrzuje i Tomá Koubík ze spolenosti Virtshop provozující Sexshop.cz: "Objednávek je mén, lidé, co nakupují, vak chtjí kvalitnjí – draí zboí. Z toho usuzuji, e odpadly skupiny zákazník s nízkm píjmem, kteí li zejména po cen. Ná sortiment je zboí zbytné, take se kupuje pouze pokud máte finanní pebytek. A ten tento rok nízkopíjmové skupiny zákazník rozhodn nemly." Dodává vak, e i pesto si Sexshop.cz v loském roce meziron mírn polepil. "Pi mením potu objednávek jsme dosáhli vyího obratu," íká Koubík pro server Podnikatel.cz. Na sklonku minulého roku zveejnila na svém webu Université de Montréal vsledky svého przkumu zameného na vliv pornografie na mue. "Zaali jsme ná vzkum tím, e jsme hledali mue dvacátníky, kteí nikdy nekonzumovali pornografii. ádného takového jsme ovem nemohli najít," prohlásil o vzkumu Simon Louis Lajeunesse. Pi vzkumu se napíklad zjistilo, e 90 procent zkoumanch mu konzumuje pornografii na internetu. Vliv krize naopak popírá Robert Kvapil ze spolenosti Acebiz, která provozuje Sexshopik.cz. "Jako ostatní internetové obchody má nae spolenost rst v desítkách procent, i pes zavedení filtrací obsahu ze strany vyhledáva a diskriminaci na uritch portálech kvli nevhodnému obsahu," uvádí Kvapil pro business server Podnikatel.cz.

Pornoprmysl krize zasáhla, kodí mu vak také porno zdarma Zprávy, e ekonomická krize a recese se dotkla také pornoprmyslu, nejsou novinkou. Napíklad ve Spojench státech poadovali jeho zástupci podobnou finanní injekci, jakou dostaly tamní automobilky. S tím, e ekonomická krize zasáhla také domácí pornoprmysl, souhlasí Robert Rosenberg, znám pornoherec a podnikatel, spolu s Jeannette Bernadette Rosenberg (anetou Rosenbergovou) spolumajitel spolenosti Rebel Company. "Urit krize opravdu je a lidé neplatí ani na webech s porno tematikou," íká Rosenberg pro server 47


Podnikatel.cz. Myslí si vak také, e pornoprmyslu kodí servery, kde je pornografick obsah ke staení zdarma. "Prvih jsou zlodji, kteí to umisují na servery zadarmo," tvrdí. "Nekvalitní zpracování, etení na vem, co se dá, a hodn zlodj, na které je ná zákon krátk" vypoítává Robert Rosenberg nejvtí problémy eského pornoprmyslu. Jisté je, e dostat se na internetu k sexuáln explicitnímu obsahu je velice snadné. Jen v minimu pípad musí konzument odkliknout podmínky uití stránek, vetn toho, e je mu 18 let. Zákazníci chtjí diskrétnost, kvalitu, dobrou cenu i moderní design Business server Podnikatel.cz se mezi obchodníky zajímal také o to, jací jsou jejich zákazníci a zda v jejich nákupech pozorují njaké trendy. "Dle naich zkueností se zákazníci hodn zajímají o cenu a mají rádi ovené hraky pro dosplé za píznivou cenu. Druhá ást zákazník si naopak potrpí na módní vstelky a je ochotna utratit za svou erotickou pomcku tisíce korun," odpovídá Karel Ká na otázku, zda jsou etí spotebitelé erotického zboí ním specifití. "etí zákazníci mají pi nákupu jednu z hlavních preferencí, e zásilka musí bt zcela diskrétní, zabalena bez monosti identifikace, dále si velice dobe zvykli na rychlé dodání vrobk a neradi ekají dlouho na objednané zboí, proto volí e-shopy, kde je doruení moné ihned," uvauje nad specifikem eskch zákaznic a zákazník Robert Kvapil. Podle nj ji není pravda, e by etí zákazníci preferovali hlavn nejlevnjí erotické pomcky tak, jako tomu bylo v minulosti. "Nyní se naopak jejich zvyklosti dosti dramaticky mní smrem k progresivním novinkám na trhu, k vyí kvalit jak materiál pomcek, tak také k jejich vtí uitné hodnot, kdy mají rádi více funkcí ne jen plynulé vibrace, hledí také více na kvalitnjí materiály, které zaruí píjemnjí pocity, lepí hygienu a údrbu pomcek," popisuje Kvapil. Upozoruje, e s velmi kladnou odezvou se setkává také trend novch a netradiních designovch tvar pomcek. Podle Roberta Kvapila se i eny odklánjí od klasického tvaru vibrátoru k tvarm vyhovujícím zejména moderním enám, a to jak praktickmi funkcemi, tak i dojmem z estetického vzhledu pomcky. Píklon zákazník ke kvalit potvrzuje také Tomá Koubík. "Zákazníci se zajímají zejména o materiály, ze kterch je pedmt zájmu vyroben. astm dotazem je, zda obsahuje ftaláty, jaké jsou provozní náklady na baterie atd. Díve toto zákazník neeil. Také lidé zjiují propastn rozdíl v cenách na internetu a v etzcích sexshop kamennch. Otázkou pak asto bvá, pro je to tak levné? Odpovdí je, e je to v EU cena bná, naopak cena v naich kamennch obchodech (zejména jedné firmy) je nesmysln vysoká," vysvtluje Koubík. A kdo jsou konzumenti pornografie? Robert Rosenberg pro business server Podnikatel.cz tvrdí: "Na porno kouká kad a je jedno, jakého je vzdlání nebo profese."

3.4

Audit Opencard dal za pravdu kritikm: Projekt je neefektivní a neprhledn

Jana Bohutínská

Praskou Opencard provází problémy od samého zaátku. Nejasné financování, potíe s ochranou osobních údaj i t kopádnost celého systému. Audit nakonec ukázal, e hlasy kritik byly oprávn né. 48


Ji není pochyb o tom, e prask magistrát hospodaí s penzi daovch poplatník neefektivn. V posledních dnech na to poukázal audit projektu Opencard. Jeho vsledkem toti je konstatování, e investice do Opencard dosahující tém 900 milion korun je ztrátová (to znamená, e se z ní mstu zatím nic nevrátilo) a zakázky v souvislosti s projektem msto rozdávalo netransparentn bez ádnch vbrovch ízení. Problematická investice navíc není jedinm problémem s kartou spojenm. Pozor na kartu - slídila Spornou oblastí je také poskytování osobních údaj oban, kteí o kartu ádají a pak ji vlastní. Nezodpovdnost z hlediska ochrany osobních údaj vyítá magistrátu obanské sdruení Iuridicum Remedium, které se mj. zabvá lidskmi právy a úastí veejnosti na rozhodování. Sdruení dokonce hovoí o slídilském potenciálu Opencard. "Opencard má pr usnadnit Praanm ivot. Aby toho bylo dosaeno, musí se vak projekt vyznaovat odpovdnjím pístupem k ochran osobních údaj. Stávající karta me bt zneuita k plonému sledování pohybu i dalích zvyklostí i chování Praan," tvrdí Helena Svatoová ze sdruení Iuridicum Remedium. Systém Opencard ostatn stále eí také Úad pro ochranu osobních údaj. Aby toho nebylo málo, Sdruení obrany spotebitel ji loni kritizovalo podmínky pro vydávání a vyuívání Opencard. Podle sdruení toti obsahují adu nesrovnalostí. Za jeden ze spornch bod povaovalo píkladn fakt, e cestující dávají automatick souhlas k tomu, aby jim bylo zasíláno obchodní sdlení tkající se systému Opencard, ani by mli na vbr zvolit ano nebo ne. Sple podnikatelskch vztah

Pochybnosti vak karta vzbuzovala od samého zaátku. A to pedevím tím, jak loni upozornil business server Podnikatel.cz, e se mezi dodavateli zapojenmi do projektu objevovali lidé a firmy ji v minulosti zapojení a zapojené do problematickch veejnch zakázek a s nespornmi kontakty na státní správu. Pedevím spolenost Haguess spojená se jménem Arnota Traxlera, napojeného také na adu dalích spoleností. Traxler má za sebou bohatou – nejen podnikatelskou – minulost. Byl pedsedou Broadbandového fóra (BF), jeho jméno je spojené také s eskou asociací pro ipové karty (za tu sedl v BF). Na konci 90. let stanul Traxler ped soudem jako nkdejí editel vnitropodnikové banky sluovického agrokombinátu (spolu s pedsedou kombinátu Frantikem ubou a Pavlem Drhou, kter vedl transformované drustvo). Obaloba tvrdila, e banka neoprávnn poskytovala sluby i klientm, kteí nebyli leny drustva. Traxler byl vak pozdji obvinní zprotn a vyslechl si osvobozující verdikt. Pozdji byl jedním z kandidát na ministra informatiky. Haguess eila také projekt elektronické penenky pro tehdejí Ministerstvo hospodáství. U v dob, kdy byl Traxler pedsedou BF, dostala spolenost Haguess dotaci 25 milion korun od Ministerstva informatiky R (v rámci podpory vysokorychlostního internetu) na kartová centra a ipové karty v Praze a Liberci a na zdravotní portál pro komunikaci mezi lékaem a pacientem. Spolenost Haguess vera k auditu prohlásila, e jeho vsledky zatím nezná a proto se k nmu nebude vyjadovat. "V prbhu tyleté realizace projektu Opencard získala nae spolenost ze strany hlavního msta a dopravního podniku zakázky v objemu zhruba 250 mil bez DPH. Spolenost Haguess je pesvdena, e technologie a sluby, které byly ve ve uvedeném objemu pedmtem dodávek jak naí spoleností, tak i naich subdodavatel, jsou adekvátní, pln funkní a jsou v souladu se zadáním naeho klienta", uvádí spolenost ve svém prohláení. Magistrát investuje, ale neví kolik Od loského roku, kdy prask magistrát spolu s Dopravním podnikem hlavního msta Prahy a spoleností Haguess rozjely Opencard ve velkém, bylo také velmi sloité získat od odpovdnch lidí pesné informace o finanních investicích do celého kartového systému. Pesné náklady nechtl serveru Podnikatel.cz sdlit Martin Opatrn, tiskov mluví projektu Opencard, s tím, e existují jen hrubé propoty a pesné náklady magistrát teprve vyíslí. Jen velmi obecné odpovdi získal tehdy Podnikatel.cz také od spolenosti Haguess. Ve svtle 49


tchto nejasností tedy není vrok auditora nijak pekvapiv. Z mlení toti vyplynulo, e magistrát nemá jasnou pedstavu o tom, kolik ho bude cel projekt stát, co je vdy zaátek toho, aby se nakonec neúmrn prodrail. Dalí pochybnosti picházely s tím, jak magistrát a prask dopravní podnik nezvládaly vdej karet. Praanky a Praané museli stát dlouhé fronty, podávání ádostí a vdej Opencard bylo pomrn tkopádné. Na dalí úskalí následn narazil majitel Opencard ve chvíli, kdy si chtl poídit kupon v e-shopu. Nejen, e se potkal s píli komplikovanm systémem e-shopu, ale zjistil, e i pi koupi kuponu pes internet musí osobn dorazit k validátoru karty, aby si kupon nahrál. A jet se me stát, e na to má pouh jeden den. Konec v nedohlednu "Je to sice projekt, kter má svj pevn poátek, ale byl bych rád, kdyby neml svj konec. Aby se nám dailo dávat na kartu nové funkcionality, umoovat dalí sluby, aby to byl skuten moderní elektronick nástroj komunikace obana s mstem a k vyuívání mstskch slueb," ekl vloni business serveru Podnikatel.cz Martin Opatrn. Aktuáln si daoví poplatníci hlavn mohou pát, aby ml konec tok financí, které mimo jiné z jejich daní do projektu plynou. Navíc by si kauzu Opencard mly dobe pamatovat teba i ty neziskové organizace, které se ucházejí o praské granty a kadoron slyí stejnou odpov: penz je málo, peníze nejsou, musíme etit. Ukazuje se toti, a to beze ví pochybnosti, e je to skuten jen otázka zájmu a priorit odpovdnch politik a úedník.

3.5

Umlecká emesla se vrací na vsluní, napomáhá tomu prodej po Internetu

Daniel Morávek

Lidé u jsou pesycení levnmi vrobky z Asie, a op t se proto za ínají obracet zp t k tuzemské rukod lné vrob . Roste po et um leckch emeslník a rovn zájem o jejich vrobky. Um ním se dá u zase u ivit. Umlecká emesla jsou opt na vzestupu. Lidé pesycení neosobními masovmi vrobky zaínají opt vyhledávat rukodlnou originální tvorbu. Uivit se tak v souasnosti dá i navrhováním a pípravou vtvarnch kostm, perky i keramikou. Navíc obor runích emesel má nkolik specifik. Umletí emeslníci se mezi sebou napíklad povaují spíe za kolegy ne za konkurenty. Aby se pak lovk mohl emeslem ivit, staí "jen" nadání, vnovat se práci srdcem a lidé to (navzdory zprofanované reklam) skuten ocení. Krize nahrává umleckému emeslu emeslníci a pedevím umlecká emesla nemli po pádu totality zrovna na rích ustláno. Trh se otevel levnm dovozm, které do velké míry vystrnadily rukodlné vrobky. V poslední dob se vak zdá, e trend se zaíná opt obracet a lidé zaínají objevovat krásy i vhody eskch emeslnch vrobk. "Lidé jsou pesyceni vrobky globálního trhu a naden vítají vechny projevy osobního pístupu a originality. Tento trend se projevuje jak ve zboí uitkovém (móda, perky, uit design, emeslné vrobky), tak ve zboí spotebním," potvrdil serveru Podnikatel.cz Jií Kube, majitel a provozovatel serveru Fler.cz, kter umouje prezentaci a prodej vrobk umleckch emeslník. Server Fler.cz byl navíc i nominován v anket Kiálová lupa 2009 na cenu za Projekt roku. Navíc pomalu roste i poet lidí, kteí se umlecké innosti vnují. Podle Jiího Kubee si ada lidí uvdomuje, e v souasnosti je ideální as pro start drobného podnikání, jeliko krize vdy pináí nové monosti. "Myslím si ale, e je tu jet mnoho nevyuitého potenciálu. ei (a Slováci) byli vdy známí svoji tradiní rukodlnou a emeslnou vrobou a nyní je as tento potenciál opt pln rozvinout," íká Kube. Ten zárove dodává, e pokud 50


si esko zachová trní hospodáství, zjednoduí se byrokratick aparát a zákony budou klást stále mení pekáky malému podnikání, nemá o budoucnost tuzemského umleckého emesla obavy. Od energetiky ke keramice Nadání, ikovnost a dobr nápad, to jsou atributy, bez kterch se v umleckch emeslech jen tko obejdete. Pokud se tyto prvky spojí se zájmem zákazník, me vzniknout zajímav zpsob obivy. "ivnost v mém pípad vyplynula vícemén ze vztahu k umleckm emeslm, z uritého vtvarného nadání a vlivem prostedí," íká keramik Josef Vraj, kter potvrzuje, e akademické tituly nejsou vdy k úspnému povolání poteba. Josef Vraj toti vystudoval elektroenergetiku, poté pracoval jako konstruktér rozvad a ivil se i píleitostnmi brigádami. Teprve v tomto období zaal získávat zkuenosti s keramikou, která v souasnosti iní jeho hlavní zdroj píjm. ""Jsou období, kdy se uivit dá a pak jsou i ta horí. Trh se stále mní. Vzhledem k tomu, e iji na severu ech, monost pivdlku je minimální. Take se musím snait, aby píjem byl dostaten," vysvtluje Vraj. Stejn jako jiné umlecké emeslníky Josefa Vraje negativn postihl píliv levného zboí z Asie. "lovk tak musí prbn reagovat a mnit strategii," dodává. Navíc v oboru keramiky existuje také pomrn velká konkurence. Jak vak Josef Vraj upesuje, místo rivality v oboru spíe pevauje pospolitost a vmna zkueností. Keramika má podle nj toti tolik podob, e si kad me najít svj vlastní prostor. Pracovní den Josefa Vraje pak vypadá velmi rznorod. Zatímco nkdy pracuje na svch dílech a dvacet hodin denn, jindy teba "pouze" pipravuje návrhy novch vrobk i vyizuje objednávky svch zákazník. "Zákazníky mám z devadesáti procent virtuální a jejich poet se rzní. Pi tomto zpsobu prodeje vám pak nevadí, kdy si zákazník pijde nakoupit teba o plnoci a prodej mi nijak zásadn nenaruuje pracovní proces," uzavírá Vraj. Pro umlecké emeslo je hlavní motiv práce Také pro perkáku a loutkáku Alenu tukavcovou nebyla umlecká innost první ivotní volbou. Vystudovala stední ekonomickou kolu a pracovala nejprve na sekretariátu Národního muzea v Praze. Potom pela do laboratoe antropologického oddlení pírodovdného muzea a teprve posléze se dostala k vtvarnému umní. Alena tukavcová absolvovala pomaturitní studium ilustrace a kniní grafiky, zaala studovat na Akademii vtvarnch umní v Praze a svoje umlecké studium zakonila promocí na katede loutkového a alternativního divadla DAMU. Práv loutky Alen tukavcové pirostly k srdci a zaala se proto zabvat jejich tvorbou. K tomu navíc vytváí autorské perky. "Mm hlavním cílem propojení veho, co jsem "cestou" získala. Zaala jsem se také vnovat píleitostné tvorb pro film a divadlo," doplnila serveru Podnikatel.cz Alena tukavcová. Vzhledem k tomu, e je vak erstv po mateské dovolené, umlecká innost ji zatím neiví. "Ne proto, e by se moje práce neprodávala. Situaci komplikuje skutenost, e se mé nejmladí dít nedostalo do kolky a mám ho doma, take se nemohu zavít na pl dne v díln," vysvtluje. Podle toho také vypadá pracovní den Aleny tukavcové, kter je i díky dítti hodn roztítn. Snaí se pracovat hlavn velmi brzy ráno, odpoledne, veer a v noci. "Ale vtvarná práce nemá jen vlastní vrobní fázi. Mj pracovní den zahrnuje i písemn kontakt se zákazníky, vkládání zboí i vytváení prezentace. Vlastn se dá íct, e pracuji permanentn, a kdyby mi moje tvorba pestala dávat skuten smysl, nechám toho,"" ujiuje tukavcová. Také proto nemá za hlavní cíl získávat zákazníky za kadou cenu. "Kdy máte svj jasn dvod, pro to i ono dláte, stojíte si za tím a nebojíte se tvoit zpsobem, kter není obecn ádan, tak se vám brzy vyrsuje smr, kter je vám vlastní. Vám podobní, které cestou potkáte, u nejsou konkurenty ale kolegy," íká Alena tukavcová. Umní se meze nekladou 51


Naopak u v mládí se umleckému emeslu vnovala kostmní vtvarnice, ilustrátorka a vestranná umlkyn Markéta afáriková, která se rozhodla vystudovat Akademii vtvarnch umní v Praze. Po studiích se nejprve zabvala odléváním sádrovch reliéf, spolupracovala s grafickm studiem jako vtvarník a poté se ivila jako rekvizitáka a vtvarnice v divadle. "Sem tam jsem dlala njaké ilustrace a kniní obálky. Kdy nebyla práce, tak jsem pracovala v kavárn za barem," vzpomíná afáriková. Zmnu v jejím pracovním ivot a pineslo seznámení s reisérem Tomáem Krejím, pro kterého zaala dlat kostmy. Jak Markéta afáriková dodává, práce kostmní vtvarnice ji hodn baví a v podstat se jí i iví. Navíc si pivydlává prodejem svch obraz, fotek i reliéf. Od toho se také odvíjí její pracovní den. "Kdy pipravuji natáení, tak se vnuji jenom tomu. Navrhuji, kupuji látky, zadávám práci, kostmní zkouky a natáení. Kdy mám volno, tak maluji nebo odpoívám. Nemohu íct, e rytmus je pravideln, nkdy je to velk nápor, letos jsem teba nemla ádné prázdniny," dopluje na závr afáriková s tím, e v souasnosti má volnjí období a eká, co ji ivot pinese.

3.6

Elektronická komunikace zavládla svtu podnikatele

Jitka Lukáová

Se sputním datov ch stránek se nyní jet více ne kdy pedtím hovoí o kompletní elektronizaci komunikace v podnikání. Postupn se pidávají dalí aplikace, které vytsují obíhání po úadech s papírov mi dokumenty. Co vechno tedy m e podnikatel vyídit elektronicky? Nejvraznjím a nejdiskutovanjím hráem na poli elektronické komunikace jsou datové schránky. Tato elektronická úloit mají obstarat styk podnikatele a veejnch orgán. Podnikatel se me touto formou domlouvat se státními orgány, orgány územních samosprávnch celk, zdravotní pojiovnou, notáem i soudním exekutorem. Zainteresované strany si tak ji nemusí dopisovat i se osobn navtvovat, ale zasílají si vekerou dokumentaci v elektronické podob – v podob datové zprávy. Od 1. listopadu bí provoz datovch schránek naostro. Datové schránky mají nyní aktivované vechny úady, soudy, instituce (kraje, msta a obce) a právnické osoby zapsané v obchodním rejstíku na základ tzv. zákona o eGovernmentu (zákon . 300/2008 Sb., o elektronickch úkonech a autorizované konverzi dokument). Schránky si mohou na svoji ádost zaídit také nadace, sdruení nebo fyzické osoby (podnikající i nepodnikající). Ministerstvo vnitra jim je bezplatn zprovozní do tí pracovních dn. Pihláení do schránky se dje na adrese www.datoveschranky.info. Aby mohl podnikatel schránku pln vyuívat, ml by si nainstalovat program 602Filler. Pokud do schránky dojde dokument, obdrí podnikatel upozornní bu zdarma emailem, nebo za poplatek prostednictvím sms zprávy. Pi odesílání dokument úadm zase naopak podnikateli dojde oznámení o doruení. Jen elektronick podpis nestaí Dokumenty odesílané státním orgánm prostednictvím datové schránky musí bt vybaveny zaruenm elektronickm podpisem. K tomu, aby se podnikatel mohl takto podepsat, potebuje získat kvalifikovan certifikát. Ten vydávají v eské republice tyi certifikaní autority – První certifikaní autorita, eská pota, eIdentity a nejnovji také CzechInvest. Certifikát subjekt obdrí za nkolik stovek korun na rok. Po roce je nutné platnost opt obnovit. Vyízení kvalifikovaného certifikátu netrvá dlouho, nkdy je to moné stihnout i ten sam den. Zákon o elektronickém podpisu (zákon . 227/2000 Sb.) vymezuje pojmy: Elektronick podpis – údaje v elektronické podob, které jsou pipojené k datové zpráv nebo jsou s ní logicky spojené, a které umoují ovení totonosti podepsané osoby ve vztahu k datové zpráv 52


Zaruen elektronick podpis – je jednoznan spojen s podepisující se osobou a umouje její identifikaci ve vztahu k datové zpráv, byl vytvoen a ke zpráv pipojen pomocí prostedk, které me

kontrolovat vhradn podepisující se osoba, a je ke zpráv pipojen tak, e je moné zjistit jakoukoliv dodatenou zmnu dat.

Mnoství vydávanch certifikát podle uvedench spoleností neustále roste. "Nárst vnímáme nejen u kvalifikovanch certifikát, ale i u komerních certifikát," ekla pro business server Podnikatel.cz Marta Selicharová, tisková mluví eské poty. Postupné roziování elektronické komunikace vidí i obchodní editel spolenosti První certifikaní autorita Martin korpil. "Situace v eské republice se pozitivn vyvíjí, a to nejen v komerní sfée, ale také v oblasti komunikace se státní správnou a samosprávou," podotká pro business server Podnikatel.cz. E-podání se osvdují Zaruen elektronick podpis potebuje podnikatel i pro takzvaná e-podání. Ta se uplatují pi styku s finanním úadem (eská daová správa), eskou správou sociálního zabezpeení (SSZ), se zdravotními pojiovnami nebo s obchodním rejstíkem. Této monosti vyuívají podnikatelé z edesáti procent. Elektronicky lze také ohlásit i zmnit ivnost. Tento zpsob ale podnikatelé zatím píli nepodporují. Odrazuje je od toho pedevím nutnost dokládat ohláení i zmnu ivnosti dalími dokumenty, které ale do elektronické podoby pevést nejdou. Píklady e-podání E-podání eské správ sociálního zabezpeení: • • • •

evidenní listy dchodového pojitní pihláky a odhláky zamstnanc k dchodovému pojitní pehled o píjmech a vdajích OSV oznámení o nástupu do zamstnání

E-podání finannímu úadu: • • • •

daové piznání k dani z píjm fyzickch osob daové piznání k dani z píjm právnickch osob daové piznání k dani z nemovitosti vyútování dan z píjm fyzické osoby ze závislé innosti a z funkních poitk

E-podání Veejné zdravotní pojiovn: • • •

pehled o píjmech a vdajích OSV oznámení pojitnce oznámení o zmnách v evidenci zamstnavatele

Elektronick podpis potebují podnikatelé také napíklad pro komunikaci s portálem veejné správy, s generálním editelstvím cel, s Ministerstvem práce a sociálních vcí v souvislosti s vekerou agendou resortu i ve vazb na Úady práce i Úady státní sociální podpory, s Ministerstvem financí nebo také se Stediskem cennch papír RM-Systémem. Dalím pípadem, kdy vlastnictví elektronického podpisu usnaduje ivot podnikatele, je ádání o dotaci z Operaního programu Podnikání a inovace (OPPI). "Vekerá administrativa spojená s podáním ádosti v OPPI probíhá elektronicky prostednictvím online systému eAccount. Tedy i podepisování dokument," upozoruje editel divize regiony z Agentury CzechInvest Patrik Reichl. Elektronizace se íí dál 53


V dohledné dob elektronizaci zaijí i základní registry a obanské prkazy. Od pí tího roku se toti propojí základní registry obyvatel, osob (právnickch, fyzickch podnikajících a orgán veejné moci), registr územní identifikace a registr práv a povinností. Pi zmn údaj se tak nebudou muset obíhat v emoné úady, aby se zmna nahlásila, ale kontaktuje se pouze jedno místo. Navíc se skoní s evidováním podle rodného ísla. Kadá osoba toti dostane pidlen zdrojov identifikátor fyzické osoby (tzv. ZIFO), kter jí vygeneruje Úad na ochranu osobních údaj.

Od 1. ervence 2010 se zanou vydávat také elektronické obanské prkazy, které budou mít velikost platební karty. Zmírnit byrokracii má také Czech POINT. Czech POINT pedstavují univerzální místa, kde me podnikatel erpat informace z veejnch i neveejnch systém a vyizovat úední záleitosti jako je napíklad konverze dokument do elektronické podoby a naopak, ovování podpis a dokument a podobn. Podnikatel má v Czech POINT monost pístupu k: • • • • • • • •

obchodnímu rejstíku ivnostenskému rejstíku katastru nemovitostí rejstíku trest centrálnímu registr idi systému kvalifikovanch dodavatel konverzi dokument ádosti o zízení datové schránky

Papírovm fakturám zvoní hrana

Elektronickou komunikaci me podnikatel uplatnit i ve svém bném provozu, tedy pi styku s jinmi podnikateli. Jedná se tak pedev ím o elektronickou fakturu. Ta by mla nyní bez problém fungovat, protoe ji loni na podzim byla podepsána Deklarace o spoleném postupu v oblasti e ení elektronické fakturace v R, která zavádla pro elektronickou fakturaci spolen standard oznaen ISDOC. Byl tak vyvinut formát, kter dovoluje vstavci data automatizovan odeslat a píjemci data zase automatizovan naíst a zpracovat. "Hlavní my lenkou formátu ISDOC je umonit korporátnímu i veejnému sektoru posílání datovch zpráv, jejich interní formát bude v souladu s na í legislativou, bude podporován vznamnmi vrobci fakturaního software v R a hlavn bude jednotn," vysvtluje problematiku ISDOC v Informaním se it Crypto-World (roník 11, íslo 6/2009, strana 12, ISSN 1801-2140) Petr Kucha, místopedseda pedstavenstva Sdruení pro informaní spolenost (SPIS) a len pedstavenstva spolenosti ABRA Software. Také tento doklad je nutné vybavit zaruenm elektronickm podpisem nebo elektronickou znakou zaloench na kvalifikovaném (systémovém) certifikátu. A protoe se jedná o daov i úetní doklad, musí splovat poadavky, které na tyto doklady kladou píslu né zákony (zákon o DPH a zákon o úetnictví). Nadto musí podnikatel obstarat odpovídající software, kter umí uchovávat elektronické doklady a kter je schopen je i po dlouhé dob poskytnout a ovit integritu dokumentu ve smyslu elektronického podpisu. Nezbytn je také ekonomick software, kter standard elektronické faktury podporuje. Jak archivovat? I elektronické doklady a dokumenty je potebné zaloit do archivu a ochránit je ped zneuitím, po kozením, zniením, neoprávnnou zmnou, ztrátou nebo odcizením. Forma, v jaké podnikatel dokumenty uschová,

me bt listinná, technická i smí ená. Vdy se v ak musí zajistit vrohodnost a itelnost dokladu pro fyzickou osobu. 54


V pípad uchovávání dokumentu v technické i smí ené podob, se vrohodnost prokazuje elektronickm podpisem zaloenm na kvalifikovaném (systémovém) certifikátu. itelnost pro podnikatele znamená, e musí sledovat, zda je pouit formát v souvislosti s vvojem technologií stále iteln. V opaném pípad musí podnikatel data petransformovat do formátu, kter je aktuální. ISO normy napíklad doporuují archivovat dokumenty ve formátu PDF/A.

3.7

Datové schránky vera roztáhly svá kídla

Daniel Morávek

Revoluce v komunikaci s úady, jak projekt datovch schránek mnozí nazvají, se v era definitivn stala skute ností. Takka ve kerá po ta od orgán veejné moci poputuje k adresátovi elektronickou cestou. Poád v ak zstává n kolik "ale". Zku ební doba datovch schránek vypr ela, od verej ího dne se jede naostro. V echny datové schránky se k prvnímu listopadu aktivovaly a komunikace s úady by nyní mla smovat vhradn skrze n. Pestoe podnikatelé systém vítají, pipomínají, e projekt není bez chyb a je na nm co zlep ovat. Schránku si kontrolujte jednou tdn Kdo si neaktivoval datovou schránku sám, u se o to starat nemusí. V echny doposud nezprovoznné datové schránky se vera aktivovaly a kad, kdo je má ze zákona povinné (orgány veejné moci a právnické osoby z obchodního rejstíku), by je ml zaít pouívat. "Pokud si nkdo datovou schránku neaktivuje a bude ji i po prvním listopadu nadále ignorovat, tak vystavuje hlavn sám sebe rznm rizikm plynoucích z toho, e se nebude moci seznámit s po tou, která mu bude doruována," varoval v rozhovoru pro server Podnikatel.cz Petr Stiegler, éf eGovernmentu eské po ty. Nedávná novela obanského soudního ádu toti zavedla nov systém doruování úedních dopis. V pípad nevyzvednutí zásilky na po t do 10 dn od oznámení jejího doruení se písemnost vhodí do schránky a povauje se za doruenou uplynutím desátého dne lhty. Zmna souvisí i s datovmi schránkami. Pokud se uivatel do datové schránky do 10 dn od doruení nepihlásí, povauje se dokument za doruen. Firmy by proto mly prbn monitorovat stav své datové schránky. Doporuuje se jejich pravidelná kontrola alespo jednou tdn. Datová schránka je nazvána veejnm úloi tm. Je urena k doruování dokument orgán veejné moci a naopak k provádní podání vi nim. Ministerstvo vnitra si od zavedení datovch schránek slibuje rychlej í, spolehlivj í a levnj í poskytování slueb veejné správy nej ir í veejnosti. Zavedení schránek v ak není jedinou novinkou na poli veejné správy. V dohledné dob se dokáme základních registr i elektronickch obanskch prkaz. Nedo ly pihla ovací údaje? Vyuijte informaní linku Datové schránky se v ak netkají jen právnickch osob zapsanch v obchodním rejstíku. Zídit si je rovn mohou ostatní právnické osoby jako nadace i rzná nezisková sdruení a také podnikající i nepodnikající fyzické osoby. A práv u fyzickch osob do lo v ad pípad k nesrovnalostem s evidencí obyvatel. Pestoe se pístupové údaje v prmru zasílaly do tí dn od podání ádosti, ada fyzickch osob je neobdrela ani msíc po zaádání. "Tyto ádosti spadnou do tzv. manuálního zpracování, kde jimi skuten musí úedníci jednotliv prokousat. Musí té zkontrolovat údaje, jestli se jedná o njak vánj í problém nebo jde teba o njakou chybu na stran 55


informaního systému," vysvtlil Petr Stiegler s tím, e pokud se oban domnívá, e datová schránka mu mla bt u zízena, by ml kontaktovat informaní linku. Zde mu operátoi poskytnou informaci, jestli schránka byla zízena, jestli údaje byly i nebyly dorueny a poradí, co dlat dál. Nedojde k petí ení schránek? S ohledem na hromadnou aktivaci datovch schránek také panovaly obavy z toho, e systém by se mohl pi aktivaci mnoha schránek petí it. Podle provozovatele, eské po ty, v ak nic takového nehrozilo. Vlastní aktivace toti není úkon, kter by byl z hlediska systému njak náron. Zat kávací zkou kou v ak budou první dny fungování systému, kdy zanou úady do datovch schránek zasílat své zprávy. Zde se ji technická bezproblémovost nedá stoprocentn zaruit, jak v ak tvrdí eská po ta, vt í vpadky by nastat nemly. Podle Petr Stieglera nebyl kritick ani tak verej í "aktivaní den" jako spí e dne ek. Dnes toti zaaly pes systém jednotlivé strany zasílat své zprávy. "To je vc pochopiteln komplikovanj í. Systém procházel njakmi zát ovmi testy, tak e problém by nastat neml. Na druhou stranu, v dycky jde o to, kolik zásilek, tch datovch zpráv, bude dopravováno, ani ne tak v jeden den, ani ne tak v jednu hodinu, ale spí e v jednu vteinu. A to jsou pochopiteln vci, které jsme nemli mo nost naostro vyzkou et," dodal Stiegler. Pozor na fale né stránky V souvislosti s datovmi schránkami se také objevily vtky k jejich technologickm po adavkm. Aby se toti u ivatel mohl do schránky pihlásit, musí si nainstalovat program 602Filler, co se mnoha podnikatelm nezamlouvá. Obavy také vzbudilo zabezpeení schránek, kdy pi pihla ování do schránky prohlí e oznauje certifikát za nedvryhodn. "Je to velmi nebezpené, lovk se m e stát obtí man-in-the middle útoku. Koenov certifikát prohlí e nezná a u ivatel neví, jak m e certifikát ovit," nelíbilo se napíklad úastníkm online chatu. erné pedpovdi nkterch podnikatel se pak skuten naplnily, kdy na internetu vznikly stránky s fale nm pístupem do datovch schránek. Zatímco se datovch schránek dá pihlásit pes adresu www.datoveschranky.info i pímo pes web www.mojedatovaschranka.cz, nepravá internetová stránka na www.datoveschranky.net údajn pístup do schránky rovn nabízí. Odborníci v ak varují ped jakmkoli zadáváním osobních údaj na tchto stránkách, proto e by mohlo dojít k jejich zneu ití. Zda datové schránky obstojí ve v ech náronch technologickch zkou kách, uká í a následující tdny a msíce. Pesto se podle podnikatel jedná o krok správnm smrem, kter usnadní a zefektivní komunikaci s orgány veejné moci. Jak zmínil jeden tená v nejmenované internetové diskuzi: "Vím, e v echny problémy se schránkami jsou jen porodní bolesti, které se podaí brzy odstranit."

56


4

4.1

Vbr toho nejzajímavjího o Internetové bezpenosti ze serveru Mec.cz v roce 2009

Test bankomat: Zapomnli jsme pevzít vybrané peníze

Dalibor Z. Chvátal

Kdy pro hotovost, tak do bankomatu. Ale co se stane, kdy ji zapomenete z bankomatu odebrat? Vrátí se zpt, anebo zstane k pouití pro kolemjdoucí? To zjistíte z na eho testu bankomat. Server M ec.cz otestoval eské a zahrani ní bankomaty s v brem hotovosti. K testu bankomat nás inspirovala skutená píhoda. „Kdy jsem 24. 11. 2008 el vybrat hotovost do bankomatu Komerní banky, viml jsem si, e ve vdejním slotu bankomatu zstaly bankovky po pedchozím vbru – 3 200 K, tj. 600 K. Njak dritel karty si je z roztritosti zapomnl odebrat. Vzhledem k asové tísni jsem zvolil jednoduí variantu a nalezenou hotovost jsem pedal na poboce banky. Banka me na základ záznam z bankomatu rychleji najít dritele karty, kter hotovost zapomnl, a peníze mu vrátit. Zda se tak skuten stalo, to nevím, o úspchu m banka ji neinformovala“, zavolal do redakce poctiv nálezce hotovosti. „Najít klienta, kter vybral z bankomatu hotovost a zapomnl ji tam, není pro banku zásadní problém, postupy na to existují“, potvrdila tenkrát serveru Mec.cz telefonicky tpánka Lencová, editelka útvaru strategické aliance a kartovch produkt v Raiffeisenbank. Dv monosti, co se stane s penzi Ve spolupráci s mBank, HSBC Bank a UniCredit Bank server Mec.cz provedl test tuzemskch a vybranch zahraniních bankomat. Sledovali jsme zpsob a dobu, kdy (ne)dojde k zajetí nevybrané hotovosti zpt do bankomatu.

Kdy si zapomenete z bankomatu odebrat hotovost, mohou nastat dv varianty: 1. Peníze zajedou zpt do bankomatu 2. Peníze zstanou v odbrní pihrádce do doby, ne si je dritel karty (nebo nkdo jin) odebere. Provozovatelé i majitelé bankomat mají své dvody, pro si vyberou první nebo druhou monost. Zjednoduen lze napsat, e pro dritele karty je vhodnjí, kdy se neodebrané peníze vrátí zpt. Sice se mu z bného útu strhnou, ale po reklamaci je velmi vysoká pravdpodobnost, e mu je banka vrátí zpt. Riziko me nastat v pípad, kdy obsluha bankomatu zatají, e ve speciální pihrádce, kam nepevzatá hotovost zapadne, njaká hotovost byla. Postien dritel karty je toti v dkazní nouzi: o vbru hotovosti existuje elektronick záznam v urnálu bankomatu, existuje elektronick záznam karetní transakce, majitel bankomatu vak tvrdí, e hotovost navíc v nm nebyla a klient to nemá jak dokázat. Taková reklamace je neúspná. Ale pedpokládejme, e naprostá vtina pracovník bank a externích firem, doplujících hotovost, je poctivá, take je velká ance uvidt peníze zpt na útu. Reklamaní ízení trvá a 3 msíce. Varianta, kdy peníze zstanou v bankomatu a nezajedou zpt je v hodná pro majitele/provozovatele bankomatu. Nemusí eit ádnou reklamaci spojenou s nepevzetím hotovosti a odpovdnost pln penáí na dritele karty. Má to nco do sebe: kdy necháte leet peníze v tramvaji na sedace, také tam s vysokou pravdpodobností nezstanou dlouho. Na hotovost si kad musí dávat pozor. To vak nic nemní na tom, e nálezce hotovosti je povinen ji odevzdat policii nebo na míst píslun obecní úad. Zatajení nálezu je trestné (ale kdo to zjistí?)

57


Zeptali jsme se proto vech eskch majitel bankomat, co se stane, kdy dritel karty z jejich bankomatu vas neodebere hotovost. Oslovili jsme vechny majitele a provozovatele, ale do uzávrky vydání jsme obdreli odpov jen od nkterch. Server Mec.cz vak na základ testu zjistil, kde vám hotovost zstane a kde se vrátí zpt. Kamarádsk pístup mají jen ti banky „Bankomaty SOB a Potovní spoitelny mají instalovanou funkci, kdy peníze po uplynutí daného limitu zajedou zpt do bankomatu. Toto eení jsme vybrali jednak pro to, abychom chránili peníze naich klient ped odcizením dalí osobou (po zapomenutí hotovosti v bankomatu), jednak proto, e umouje vyuít dalí bezpenostní prvky (které z jist pochopitelnch dvod nemohu rozepsat)“, íká pro Mec.cz Irena Zatloukalová z tiskového oddlení SOB. „Pokud klientovi peníze zajednou zpt do bankomatu, znamená to, e je má zpt na svém útu. Take se jeho penzm vlastn nic nestalo. Pokud by ml klient pocit, e na transakci je moné nco rozporovat, podává si standardní reklamaci na transakci platební kartou“, dopluje Zatloukalová. „V naich bankomatech zajedou peníze zpt poté, co nejsou bhem 20 vtein klientem odebrány“, íká Pavel Plocek z tiskového oddlení HSBC Bank. Tento zpsob chrání nejenom klienta, ale i banku. Peníze, které jsou klientovi streny z útu, zajedou zpt do ATM. Klient si poté podá reklamaci a jeho finanní prostedky jsou nakreditovány zpt na jeho úet, popisuje Plocek dvody, pro HSBC Bank zvolila pro své bankomaty tuto variantu. Pokud se peníze do bankomatu vrátí zpt, doporuujeme, aby se klient, co nejdíve obrátil na svého vydavatele karty a podal reklamaci, uzavírá Plocek. Poslední bankou, která hotovost ve vdejním slotu nenechá na pospas kolemjdoucím, je Raiffeisenbank. Do doby uzávrky vydání jsme, bohuel, neobdreli oficiální vyjádení banky, ale postup Raiffeisenbank je obdobn, jako u pedchozích dvou bank. U ostatních bankomat je odpovdnost na driteli karty Vechny zbvající bankomaty, které jsou provozovány v eské republice, hotovost zpt nepijmou. Pokud si ji z rznch dvod zpt neodeberete, zstanou ve vdejním slotu bankomatu tak dlouho, dokud ji neodebere nkdo jin. Ale nemusí to bt jen snaha zjednoduit si ivot, která vede majitele bankomat k penesení odpovdnosti na klienta. patnou zkuenost s klienty ukazuje Frantiek Jungr z UniCredit Bank. „U vech bankomat UniCredit Bank zstávají peníze v pihrádce, ne si je dritele odebere. Dvodem byly podvody, které se objevovaly v minulosti. Dritel karty vybral 10 000 K, vytáhl 32000 K z prostední vrstvy a nechal peníze zajet. Poté reklamoval, e peníze nedostal“, popisuje Jungr podvodné snahy nkterch dritel karet. Není divu, e se pak banky chrání a preventivn neumoní, aby se peníze vrátily zpt do bankomatu. Tím jsou vak v nevhod i sluní klienti. „Vechny bankomaty eské spoitelny jsou od srpna tohoto roku nastaveny tak, e vydané peníze zstanou v odbrní pihrádce. Tento zpsob jsme zvolili jako reakci na podvodná jednání, která se vyskytla v souvislosti s druhm zpsobem“, pipojuje se se stejnm zdvodnním Kristna Havligerová, mluví eské spoitelny. „Bankomat po nevybrání hotovost peníze pijme zpt. Je to tak nastaveno u vech naich bankomat. Pokud se to klientovi stane, je nutné to nahlásit bance, která celou situace proví a zaádá majitele bankomat (v naem pípad SOB) o vyeení situace“, píe ve svém vyjádení za Oberbank Michaela Taschnerová, marketingová a PR manaerka. Jene test naeho serveru s bankomatem Oberbank prokázal opak, peníze zstaly v odbrní pihrádce a zpt se nevrátily.

58


Testovan bankomat Oberbank

e peníze zstanou stále ve vdejním slotu, potvrzuje i Radim Pánek z oddlení platebních karet Waldviertler Sparkasse von 1842: „V pípad bankomat naí banky peníze zstanou v odbrní pihrádce do doby, ne si je dritel karty (nebo nkdo jin) odebere“. Stejnou cestu zvolila i Komerní banka: „V pípad vech naich bankomat peníze standardn zstávají ve vdejním slotu do doby odebrání“, íká pro server Mec.cz její mluví Monika Klucová. Vimnte si, e zatímco SOB u svch bankomat vrácení hotovost zpt do bankomatu podporuje, u bankomat, které pronajímá jinm bankám, tato sluba není aktivní. Tká se to Oberbank, Raiffeisenbank im Stiftland, Volksbank a Waldviertler Sparkasse. alomounsky to vyeila spolenost Pharro Praha, která provozuje soukromou bankomatovou sí peván v obchodních centrech. Její bankomaty hotovost „vysypou“ do speciální pihrádky pod vdejním slotem, take ani není technicky moné, aby se vrátila zpt.

59


Testovan bankomat Pharro Praha

„V echny bankomaty GE Money Bank nevtahují neodebranou hotovost zpt a ta zstává k dispozici ve vdejním otvoru, dokud není odebrána. Jedinou vjimkou je depozitní bankomat, kter pokud klient vrácenou vlo enou hotovost neodebere, tak ji vtáhne zpt“, íká pro M ec.cz Milan Kí , mluví GE Money Bank a zárove odhaluje specifickou vlastnost depozitních bankomat GE Money Bank.

Testovan bankomat Euronet Worldwide

60


Vsledek testu serveru Mec.cz v eské republice Co se stane po vbru hotovosti z bankomatu v eské republice Majitel/provozovatel bankomatu eská spoitelna SOB + Potovní spoitelna Euronet Worldwide GE Money Bank HSBC Bank Komerní banka Oberbank Pharro Praha Raiffeisenbank Raiffeisenbank im Stiftland UniCredit Bank Volksbank Walddviertler Sparkasse von 1842

Peníze se vrátí zpt do bankomatu ne ano ne ne ano ne ne ne ano ne ne ne

Doba, po ní dojde ke zptnému vtaení hotovosti 6 0 vtein

1 6 vtein

3 0 vtein

ne

Penáet odpovdnost na klienta je trend Zajímalo nás, zda nastavení zpsob vrácení hotovosti je ovlivnno hardwarovm vybavením bankomatu, anebo jde jen o softwarové nastavení, které lze zmnit. Oslovili jsme proto dva vrobce bankomat, kteí jsou v eské republice nejvíce zastoupeni. Zástupce spolenosti Wincor Nixdorf byl bohuel na dovolené, ale Libor Fiala ze spolenosti NCR eská republika potvrdil, e jde o volbu bank. „Existují typy bankomat, kde hardwarové vybavení bankomatu neumouje zptné vtaení hotovosti, ale drtivá vtina instalovanch bankomat v R je pro tuto funkci pipravena. Záleí pouze na provozovateli bankomatu, zda ji vyuije“, píe Fiala. Zárove potvrdil, e nechat peníze v odbrní pihrádce a penést odpovdnost na klienta je nov trend, kter majitelé nebo provozovatelé bankomat preferují: „Pi nastavení funknosti bankomatu provozovatelé v souasnosti preferují zablokování funkce retraktu hotovosti“, potvrzuje Fiala. Na Slovensku je odpovdnost také na klientovi Spolupracující banky nám umonily testovat chování bankomat i v zahranií. Ale podrobn test evropskch bankomat by byl spíe obsáhlou studií, ne lánkem, proto jsme se zamili na pouze vybrané banky na Slovensku. Testovali jsme bankomaty tchto slovenskch bank: • • • • • •

SOB Dexia banka OTP Banka Slovenská sporitena UniCredit Bank Volksbank Slovensko

Krom Volksbank Slovensko ádn z testovanch bankomat nevzal neodebranou hotovost zpt, ani bankomaty SOB, které se v esku chovají opan. Bankomat Volksbank Slovensko neodebranou hotovost vtáhl zpt po 90 vteinách. „V pípad, e se hotovost vrátí zpt do naeho bankomatu a jde o klienta s naí kartou, nemusí transakci reklamovat a peníze se mu normáln vrátí na úet. Jde-li o kartu jiné banky, musí dritel karty kontaktovat svoji banku a podat bnou reklamaci“, potvrdila naemu redaktorovi pracovnice poboky Volksbank v adci. 61


Vsledek testu serveru M ec.cz na Slovensku Co se stane po vbru hotovosti z bankomatu na Slovensku Majitel/provozovatel bankomatu SOB Dexia banka Slovenská sporitena UniCredit Bank Volksbank Slovensko

Peníze se vrátí zpt do bankomatu ne ne ne ne ano

Doba, po ní dojde ke zptnému vtaení hotovosti

9 0 vtein

Kartu bankomat zadrí vdy, peníze jen nkdy Kdy v bankomatu zapomenete platební kartu, s ohledem na vysoké riziko jejího zneuití jakkoli bankomat platební kartu po nkolika vteinách vtáhne zpt. Zstanete sice bez karty, ale finanní prostedky, se ktermi mete prostednictvím platební karty disponovat, zstanou chránné. V pípad hotovosti tomu ale není. Jenom zlomek bank nechá neodebranou hotovost vtáhnout zpt do bankomatu, naprostá vt ina majitel a provozovatel bankomat pená í odpovdnost za nevyzvednutou hotovost na klienta. Je pravdpodobné, e smrem na vchod Evropy to bude podobné a smrem na západ, kde je silnj í vztah mezi bankou a klienty, se nevyzvednutá hotovost vrátí zpt do bankomatu. Poítejte s tím, e máte minimáln 16 vtein na to, abyste peníze odebrali, a u nkterch bankomat mete vyídit je t minutov hovor, ne peníze zajedou zpt. Jak se provádl test Poet testovanch bankomat v R: 30 Poet testovanch bankomat v SR: 8 Vrobci testovanch bankomat: NCR – 14 Wincor Nixdorf – 23 Diebold – 1x

4.2

Finanní podvody na Internetu

Patrik Chrz

S oblibou Internetu roste také po et jeho podveden ch uivatel. Na jaké finan ní podvody si dát na Internetu pozor? O finanních internetovch podvodech ji byla zveejnna ada text. Poty nov zneuitch ale dokazují, e je vdy uitené na podvody znovu poukázat. Ped jakmi nabídkami byste se mli mít na pozoru a které typické znaky mají internetové finanní podvody spolené? 62


Nigerijské dopisy Pravdpodobn nejstarí podvod kolující internetem, kter ml i svoji papírovou obdobu, ml jednoduch princip. Obti piel dopis, ve kterém mu vysoce postaven vládní initel Nigérie sdloval, e uprchl nebo hodlá uprchnout ze zem a rád by si s sebou vzal peníze, které si za svého psobení nakradl. Dalí varianta podvodu byla v podob zprávy od bankovního úedníka, kter nael v bance oputn bankovní úet s vysokm zstatkem. Celá transakce mla probíhat tak, e ob sdlí své bankovní údaje, podvodník mu pole na jeho bankovní úet píslunou ástku, ze které si ob ponechá dohodnutou provizi (byly slibovány miliony USD) a zbytek pak njakm zpsobem pepole dál. Pokud se ob nachytala a na dopis odpovdla, zaalo „stahování penz“. Nejdíve si ekla nigerijská strana o poplatky na bankovní pevod, poté o úplatky pro zainteresované osoby (nap. bankovní úedníky), atd. V pípad, e ob zaplatila, poadavky se stupovaly, a to do té doby, dokud byla ob ochotná platit. Nkteí lidé se kvli tomu neváhali i zadluit, zvlát poté, co u v systému utopili vechny své úspory. Na policii skonilo jen málo z tchto pípad, protoe obti si byly vdomy toho, e mly v úmyslu se podílet na podvodu a obávaly se pípadného trestního postihu. Jinou variantou na stejné téma je i nabídka více i mén legálního podnikání s nigerijskou stranou (asto opt spoívající v provizi za vyvedení penz do zahranií, nap. z dvodu vyhnutí se daním). Situace má opt stejn scéná – zasílání rznch stupujících se ástek ped slibovanou transakcí. Veejnosti nejznámjí je asi pípad MUDr. Jiího Pasovského. Ten v Nigérii takto postupn utopil 2 miliony dolar a 19. února 2003 zastelil nigerijského konzula, kter se záleitostí neml nic spoleného. Nevinn konzul ho pi pedchozích návtvách od dalího zasílání penz dokonce zrazoval. Podle posledních informací, které bylo moné k tomuto pípadu dohledat na internetu, nebyl pan Pasovsk za svj in potrestán, protoe byl shledán v dob inu duevn nezpsobilm. Nebezpeí sociálních sítí Na nabídky královskch provizí dnes u málokdo naletí, a tak podnikavci pili s novm nápadem – s krádeí identity. Staí si na nkteré ze sociálních sítí vybrat vhodnou ob a pak poslat jejím známm ádost o finanní vpomoc. Podvodníci osloví pes e-mail pátele obti s informací, e je daná osoba v Nigerii a následkem nap. okradení se ocitla bez prostedk a potebuje nutn zaslat peníze na zaplacení hotelu nebo letenky. Vzhledem k jazykové bariée se ale tento druh podvodu vyskytuje tém vhradn v anglicky mluvících zemích. V tomto pípad také nejde o nic nového, tento druh podvodu se vyskytoval a vyskytuje i v R a je zamen pedevím na starí lidi. Podvodníci jim telefonují jménem dtí nebo vnouat a ádají o urychlenou pjku, vtinou kvli akutnímu vhodnému nákupu s tím, e pro peníze si pijde znám. Nigerijské balíky Podvod s nigerijskmi balíky má dv varianty – balíky odesílané a balíky pijímané. astjí a mén nároná varianta se tká odesílanch balík. Na vae nabízené zboí na nkteré z aukcí pihazuje nkdo, kdo chce, abyste ho zaslali do Nigérie. Osoba asto ádá i o staení zboí z aukce a uzavení obchodu mimo aukní server. O cen nesmlouvá a je ochotna pijmout jakkoliv vysoké zasílací náklady. Pekákou není ani fakt, e zboí pak me vyjít drá ne nové. Podvodníci se hájí vmluvou, e shánjí pesn dan typ zboí, kter není moné v Nigerii koupit. Finta podvodu spoívá v tom, e se vás snaí pesvdit, abyste zboí zaslali díve, ne dostanete slíbené finance. Pokud avizují platbu bankovním pevodem, polou vám e-mailem dokument, kter má prokazovat odeslání penz. Vtinou má podobu píkazu z njaké (nkdy i neexistující) banky. Peníze jsou tedy na cest, zboí mete odeslat. Podvodníci se také asto odvolávají na platbu prostednictvím Western Union. Polou vám potvrzení, které má prokazovat, e peníze jsou pro vás pipraveny. Na rozdíl od zabhnuté praxe (Western Union 63


vyplatí peníze komukoliv, kdo zná potebné údaje) se vak v dopise tvrdí, e peníze budou vyplaceny na základ pedloení dokladu o odeslání balíku. Na pepáce vám vak samozejm nic nevyplatí. Podvod s pijímanmi balíky je ponkud sloitjí, ale tím více nebezpen. V dob internetu jsme zvyklí nakupovat v internetovch obchodech bez ohledu na státní hranice. Staí potenciální ob pesvdit, aby od podvodníka nakoupila zboí. Zpravidla prostednictvím nabídkového e-mailu. Pokud má podvodník vypadat vrohodnji, vytvoí i webové stránky a tím i iluzi fungujícího internetového obchodu. Platí se samozejm vdy pedem a je jasné, e objednané zboí nikdy nedorazí. Aby byla efektivita podvodného jednání úplná, pily tyto osoby s metodami, jak z napálench dostat více penz, ne byli pvodn ochotni zaplatit. Napíklad nejprve sdlí, e dan vrobek je moné koupit pouze v uritém minimálním potu kus. Následuje e-mail, e v dsledku chyby bylo odesláno více kus zboí, ne bylo zaplaceno a ádají o zaplacení i za toto zboí. Nkdy se v tchto pípadech objevuje i mezistupe, kdy zboí bylo ji zabaleno (opt víc, ne bylo objednáno) a je pipraveno k odeslání. Storno ji není moné (je ji zabaleno a pipraveno) a vám tak nezbvá nic jiného ne zaplatit, jinak nedostanete nic (co nakonec nedostanete stejn). Obrana proti tomuto podvodu je obtínjí. To, e jsou vrobky za podstatn nií ceny, ne je bné, je na internetu normální a samo o sob o niem nevypovídá. Není problém nakoupit nkteré zboí na internetu za mén ne polovinu tuzemské ceny. Rozpoznat podvod je moné snad jedin zpsobem platby. Tém vechny podvody mají spolené to, e jako zpsob platby upednostují Western Union. Platby zaslané tímto zpsobem jsou toti nevysledovatelné, vyzvedávají se v hotovosti a v nkterch pípadech není teba pedloit ani jakkoliv doklad totonosti. V bném obchodním styku se tento zpsob platby nepouívá, protoe krom vysokch náklad vyaduje osobní vyzvednutí hotovosti na pepáce Western Union. V pípad podvodník je to ale pesn to, co jim hraje do karet. Anglická auta Pestoe se u tohoto druhu podvodu Nigérie nikde neobjevuje, vypadá to, e i za ním stojí stejní lidé. Princip podvodu je následující. Na internetovém serveru (eBay nebo specializované servery na prodej aut) jsou nabídky opravdu levnch automobil. Aby byla legenda dokonalá, zpravidla se má jednat o auta s levostrannm ízením omylem dovezená do Británie. Prodejce na prodej velmi spchá a je ochoten jít s cenou jet ní. Své rozhodnutí podpoí asto tvrzením, e automobil je ji nevratn naloen na trajekt a bude odeslán do Nmecka. Podvodník napíklad uvádí, e vz byl pvodn prodán jinému zájemci, ale ten na poslední chvíli couvl. U tchto podvod je opt obtíné rozliit seriozní prodej od podvodu. Vodítkem by opt mlo bt poadování platby pes Western Union. ínské dopisy a ínské balíky V mnohém se podobají tm nigerijskm, ale jsou mnohem více propracované. V pípad dopis nejde o tak jednoduch podvod. Dopisy se tváí jako seriozní nabídka spolupráce. Podvodníci vás pozvou i do íny k prohlídce továrny a uzavení obchodu pímo na míst. Nabídnou zajistit i hotel pop. dalí sluby. Samozejm si ve nechají zaplatit a snaí se vás pimt i k njakm „drobnm“ dárkm s tím, e je to vlastn povinnost. Tento zpsob je velmi tce postiiteln, protoe jde vlastn o standardní obchodní jednání, které jen nedopadlo ke spokojenosti obou stran. V pípad balík jde vhradn o typ „pijímané balíky“, scéná je podobn tm nigerijskm. Britská loterie Piel vám dopis, e jste vyhráli milion liber? Pravdpodobn by bylo jednoduí spoítat lidi, kterm takové oznámení nepilo. Pro vbr vhry musíte zavolat na njaké íslo, které má pochopiteln velmi vysok tarif. Pokud ona komunikace vbec nkam vede, tak k tomu, abyste nejdíve zaplatili njaké poplatky, ne vám bude ástka vyplacena. Dále je scéná podobn jako u nigerijskch dopis. 64


Ukrajinské dopisy U ukrajinskch dopis ani nejde o podvod, pesnji eeno ne pím. Zatímco v pípadech dosud zmínnch jste mohli pijít maximáln o peníze, které jste dobrovoln zaslali, zde mete pijít nejen o peníze, ale navíc se mete vystavit trestnímu stíhání. Podvod zaíná podobn jako nigerijské dopisy, tedy nabídkou na peposlání penz za provizi. Je zde ale podstatn rozdíl. Druhá strana nevyaduje ádné platby pedem a peníze skuten pijdou. Mohlo by se zdát, e jde o bezrizikov vdlek, proto pijmete peníze a polete dál (zpravidla na Ukrajinu). Následn získáte provizi a tím by pro vás záleitost mla konit. Opak je pravdou. Peníze, které jste obdreli a následn odeslali, toti budou nkde chybt. Jde o peníze z kont klient v západoevropskch bankách. Útoníci asto njakm zpsobem získali pístup do jejich internetového bankovnictví a jejich peníze pevedli na vae konto. Samozejm je jen otázkou velmi krátké doby, kdy se policie pi vyetování této krádee dostane a k vám. Vy tak pijdete nejen o vdlek, ale mete bt odsouzeni k náhrad kody, tedy zaplacení celé ástky, která sice pila na vá úet, ale vy u ji dávno nemáte. Navíc vám hrozí trestní stíhání s moností udlení trestu odntí svobody. A Ukrajinci? Ti jsou z obliga. Peníze jste jim toti nejspí poslali opt pes Western Union. Podvodníkm uvoluje ruce pehnaná dvra a neopatrnost Zajímá vás, jak získali podvodníci pístup k útm klient? Moností je celá ada. Nasazení njakého spyware do poítae (spyware je program, kter prostednictvím internetu odesílá data z napadeného poítae bez vdomí jeho uivatele. Me odesílat napíklad i hesla a ísla kreditních karet – pozn. red.), pomocí infikovaného programu (warez, porno stránky), prohledávání odpadkovch ko, atd. Ale nejjednoduí je vyhlédnutou ob o tyto údaje jen poádat. Je s podivem, kolik lidí je ochotno sdlit své bankovní údaje jen na e-mailovou vzvu, která vypadá jako oficiální e-mail z banky. Této metod se íká phishing. Pi rozeslání nkolika tisíc se vdy pár dvivch osob nachytá. Nedávné podobné události v R jsou dkazem, e jsou podvedené osoby ochotny sdlit opravdu hodn. Pihlaovací jméno, heslo, nkteí na zvolen server nahráli i svj certifikaní klí nebo zaslali potou seznam TAN hesel. Jak se zdá, lidská hloupost a chamtivost je ten nejlepí vrobní prostedek. Pro úplnost je nutné zmínit i tzv. dialery. Pes vytáené pipojení se u dnes ale tém nikdo nepipojuje, a tak je toto nebezpeí minimální. Dialer je kodliv program, kter modemem zmní zpsob pístupu na internet. Pesmruje vytáené íslo pro pipojení na linky s vysokm tarifem, co uivatel vtinou zjistí a na svém vyútování za telefon. Zde platí základní pravidlo – neinstalovat na poítai programy, o kterch nevíte, co dlají nebo pokud napíklad pocházejí z podezelého zdroje. Akoliv pesmrování na ísla s vysokm tarifem dnes u tém nehrozí, existuje nap. monost kompromitace pihlaovacích údaj do internetového bankovnictví.

4.3

Je titn elektronick vpis z útu plnohodnotnm dokladem?

Gabriela Klimánková

Je vyti t n elektronick vpis z b ného ú tu stejn plnohodnotn jako ten zaslan po tou? N kde je akceptován, jinde jako doklad nesta í. Jak jsme zjistili, jednotn pístup instituce nemají. Internetové bankovnictví uivateli dokáe zpíjemnit ivot. Uetí také místo a nae lesy svmi elektronickmi vpisy z útu. Jak ale vyplvá z veejnch diskuzních fór, stanou se i pípady, e je vytitn elektronick vpis z útu povaován za nevrohodn. Jeliko právní úprava jeho plnohodnotnost nikde nezmiuje, pistupují k nmu rzné organizace a instituce po svém.

65


Plnohodnotnost elektronického vpisu není právn upravena Uznatelnost elektronickch vpis z útu jako dokladu o provedench platbách i zmny zstatku na útu není podle Ministerstva financí R (MF R) nikde upravena. Pokud by dolo ke sporu, zda uritá platba byla nebo nebyla provedena, uplatnila by se obecná zásada volného hodnocení dkaz, co znamená, e by záleelo na soudu nebo na správním orgánu rozhodujícím spor, jak by posoudil prkaznost elektronického vpisu. V zásad ale nevidíme dvod, pro by (vytisknut) elektronick vpis neml mít stejnou relevanci jako vpis papírov (zaslan potou), sdlila serveru Mec Zuzana Chocholová z MF R. Dodala také, e co se te daové správy, musí daov doklad splovat náleitosti daovch doklad ve smyslu zákona o úetnictví a ve smyslu zákona o dani z pidané hodnoty. Daová správa akceptuje elektronickou formu, v pípad dokazování má poplatník monost poádat banku o pesn vpis vetn pohybu na útu, dodala Chocholová. S elektronickm vpisem z útu byste nemli mít problém ani u eské správy sociálního zabezpeení (SSZ). SSZ ve své praxi nevyaduje pedkládání vpisu z bankovního útu klient, uvedla Alena Fraková z SSZ s tím, e vjimkou je situace pi kontrole plateb pojistného osob samostatn vdlen innch, kdy by kontrolní orgány zjistily nejasnosti. V tomto pípad by pedloení vpisu z bankovního útu klienta mohlo bt hodnovrnm dokladem v elektronické podob tak, jak jej dostává klient z banky, doplnila Fraková s odkazem na § 13 zákona . 582/1991 Sb., o organizaci a provádní sociálního zabezpeení. Od 1.11.2009 bude zejm platit nov zákon o platebním styku, kter transponuje smrnici o platebních slubách. Zákon náleitosti vpisu eí v § 90 a § 91. Vcn ádné velké zmny nepináí. Jedná se spíe o drobnosti nebo zmnu terminologie, uvedla Chocholová z MF R. Náleitosti vpisu upravuje podle Ministerstva financí § 7 odst. 3 zákona . 124/2002 Sb., o platebním styku. Originál je nezpochybniteln pouze s podpisem eská národní banka (NB) pohlíí na vpisy z hlediska jejich zpochybnitelnosti. Je na správním orgánu, zda se spokojí s papírem z obálky s barevnm logem v záhlaví nebo s e-mailem, odpovdl Pavel Zúbek za BN s tím, e z hlediska pravosti jsou vak ob listiny zpochybnitelné. Pokud je vak jejich pvodcem banka, jde o originál. Zda jde o originál, vak me bt pi sporu také pedmtem dokazování. V takovém pípad me úad ádat o pedloení potvrzení písluné banky, e doklad vystavila. „O originál se bude jednat také u elektronické zprávy opatené elektronickm podpisem“, objasnil Zúbek. Z reakce NB tedy vyplvá, e o nepochybn originál se jedná pouze tam, kde je pvodce podepsán bu run, nebo pipojenm elektronickm podpisem. Cokoli jiného lze zpochybnit. Záleí na okolnostech a praxi úadu a také na zvyklostech. „NB obvykle podle svch právních pedpis akceptuje pouze zaruené elektronické podpisy, ale to nemusí platit vude“, doplnil jet. Samotné banky jsou v akceptaci opatrnjí Banky na titné elektronické vpisy pohlíí kadá po svém. asto krom vpisu poadují i jiné potvrzení, napíklad o trvajícím pracovním pomru. „Pi ádosti o úvr akceptujeme i elektronick vpis z útu jako plnohodnotn doklad. Chceme vak vidt pracovní smlouvu, e v podniku je stále zamstnán, aby bylo mono si tyto informace ovit“, uvedla pro server Mec Michaela Taschnerová z Oberbank. „Elektronické vpisy z útu uznáváme, v nkterch pípadech poadujeme od klient jet dalí doklady“, potvrdil Radim Luke z Waldviertler Sparkasse von 1842. Napíklad GE Money Bank tyto vpisy vyuívá jen pro ovení adresy. „V tomto pípad akceptujeme jak bn, tak i elektronick vpis“, sdlil serveru Milan Kí z GE Money Bank. Budete-li údaje elektronickm vpisem z útu dokládat u SOB, zde je jeho uznání podmínno obsahem v souladu se zákonem o úetnictví. „Elektronické vpisy i pi ádosti o úvr uznáváme. Pokud tedy postupují v souladu se Zákonem . 563/1991 Sb. o úetnictví, kter íká, e vpis není úetním dokladem, ale úetním záznamem a na vechny jeho formy je pohlíeno stejn“, informovala server Irena Zatloukalová z SOB.

66


V nkterch pípadech je vpis uznáván pouze s razítkem banky. Pohodlí, které uivateli piná í elektronické bankovnictví, je v tomto pípad tedy potlaeno, nebo klient stejn musí do banky zajít pro razítko. „Elektronické vpisy ostatních bank uznáváme v pípad, e jsou opateny razítkem vydávající banky“, upozornila Denisa Salátková z Po tovní spoitelny. „Pokud klient chce pedloit elektronick vpis ze svého útu (u jiné banky), akceptujeme elektronické vpisy, které jsou potvrzeny jeho bankou“, potvrdila shodn i Martina Lambert z LBBW Bank, stejn jako Tomá Pavlík z UniCredit Bank. Podobn k ti tnm elektronickm vpism pistupuje i eská spoitelna. „V pípad vpis z útu u jiné banky poadujeme originál vpisu, elektronick vpis z útu akceptujeme pouze za pedpokladu, e je opaten razítkem banky, která úet vede“, uvedla pro server M ec Kristna Havligerová z eské spoitelny. Akceptaci elektronického vpisu z útu potvrdili zástupci Banco Popolare, Raiffeisenbank a Volksbank. Vdy ale poítejte i s moností, e po vás v pípad pochybností bude banka vyadovat potvrzení vpisu bankou, která jej vydala. „Elektronick vpis z útu u jiné banky akceptujeme. V pípad pochybností o pravosti takového vpisu si vyhrazujeme právo vyádat si od klienta potvrzení o píjmech na vlastním formulái Volksbank“, uvedla Lucie Hálová z Volksbank. Platba za energii – vpis z útu staí, píkaz k úhrad se neakceptuje A jak pochodíte v pípad, e budete chtít vyti tnm elektronickm vpisem z útu dokázat uskutennou platbu zálohy za energii? Vpis z útu je pro vt inu spoleností dostatenm dokladem. Neuspli byste naopak s pedkládáním píkazu k úhrad, protoe ten je t nedokazuje skuten pohyb prostedk na bankovním útu. „Za uznateln doklad o úhrad platby akceptujeme mimo jiné i vpis z internetového bankovnictví o realizaci platby. V pípad, e je pouze zadán píkaz k úhrad, takov doklad neakceptujeme“, informovala server Eva Nováková ze spolenosti EZ. „Elektronick vpis z útu je pro na i spolenost platnm dokladem. Neuznáváme pouze píkazy k platb, ale vpisy ano“, potvrdil Petr Holubec ze spolenosti Praská energetika. Stejn tak akceptaci elektronickch vpis avizoval i Luká Pokrupa z CENTROPOL ENERGY. Pi nejasnostech u plateb za zdravotní poji tní vpis nestaí Máte-li jako poji tnec Zdravotní poji ovny ministerstva vnitra R (ZP MV R) uzavenou smlouvu o bném útu a vyuíváte i pímé bankovnictví, bude se na vá elektronick vpis z útu pohlíet jako na plnohodnotn doklad k prokázání plateb. V pípad pochybností si ale poji ovna vyhrazuje právo poadovat i dal í doklady. „Pi nejasnostech ohledn data odepsání z útu a elektronického vpisu proto pracovníci poji ovny mohou poadovat pedloení smlouvy o bném útu s bankou klienta“, upozornila server Hana Richterová ze ZP MV R.

Dokládat platbu budete muset pravdpodobn i v pípad, e nezaplatíte pojistné pod správnm variabilním symbolem. Ani u V eobecné zdravotní poji ovny (VZP) nebude stait píkaz k úhrad a ani v pípad elektronického vpisu není plná akceptace zaruena. „Z peti tné formy elektronického vpisu nemusí bt zcela zejmá autenticita takovéhoto dokladu. Proto by k takovémuto dokladu ml bt piloen podpis se sdlením dotyné osoby, tak aby bylo zejmé, kdo dokládá uritou úhradu“, sdlil serveru Jií Rod z VZP s tím, e pokud by úhradu nebylo moné pesto dohledat, je nutné ji doloit originálním vpisem z útu.

67


4.4

Nov zákon o platebním styku zpsobil zmatek u platebních karet

Dalibor Z. Chvátal

Dritelé platebních karet m li b t od listopadu klidn jí. Jene vydavatelé karet si odpov dnost dritele karty vyloili kad po svém a nastal zmatek. Implementace evropské smrnice o platebních slu bách do eské legislativy pidlala leckteré bance vrásky na ele. Zejména jeden bod je v novém zákon o platebním styku velmi sporn a banky se v koneném pístupu li í. Zjistili jsme, kter zpsob je ten správn a jak se budou muset nakonec banky zaídit, a ministerstvo financí novelou právní úpravu zpesní. Lapálie kvli jednomu slovu Nov zákon o platebním styku v § 116 uvádí: Plátce nese ztrátu z neautorizované platební transakce. Tím, e je v zákon uvedeno jednotné íslo, byl umo nn vklad v tom smyslu, e majitel karty odpovídá pi zneu ití do 150 eur za ka dou uskutennou transakci, která probhne do nahlá ení zneu ití karty bance. Tento vklad ale odporuje logice vci, proto e tím, e se jedná o neautorizovanou transakci, nepjde v pípad zneu ití o tak vysoké sumy a vt inou limit 150 eur ani nepesáhnou. Majitel karty by tak vlastn nesl tém poka dé celou kodu sám a banka by se podílela na kod jen ve vjimench pípadech, pokud by byla jedna neoprávnná transakce vy í ne 150 eur. V lánku uva ujeme pípad, kdy klient v pípad zneu ití karty nejednal podvodn a ani nijak neporu il obchodní podmínky. Evropská smrnice pitom ve svém anglickém originále hovoí v tom smyslu, e majitel platební karty nese odpovdnost za kodu do 150 eur v soutu v ech neoprávnnch transakcí, které se vá í k danému zneu ití do jeho ohlá ení bance. „Správn vklad evropské smrnice by ml hovoit o celkové ztrát ze zneu ití do okam iku nahlá ení bance“, potvrdila serveru M ec.cz Markéta Hálová, hlavní právník pro EU z eské národní banky. Pravidla eské legislativy urují formulaci právních norem primárn v jednotném ísle. Tato zákonitost se v tomto pípad respektovala na úkor uritosti a správného vkladu evropské smrnice. „Jednotné íslo je v tomto pípad matoucí a vede k nesprávnému vkladu smyslu evropské smrnice. Ta by v tomto pípad mla bt do eské legislativy implementována eurokonformn, tedy bez odchlení od smyslu smrnice“, doplnila Hálová. Z toho vyplvá, e díve i pozdji bude muset Ministerstvo financí R pipravit novelizaci, která zákon v tomto bod zpesní. Chybu potvrdilo i ministerstvo financí Vklad eské národní banky serveru M ec.cz potvrdili i zástupci ministerstva financí. „Z textu smrnice o platebních slu bách jednoznan vyplvá, e limit 150 eur se má vztahovat na v echny transakce, ke kterm do lo v dsledku jedné ztráty jednoho platebního prostedku. Stejnm zpsobem je tedy teba vykládat i uvedené ustanovení eského zákona o platebním styku“, zdraznil pro server M ec.cz Radek Le atka z Ministerstva financí R. Pipustil také, e uvedené ustanovení zákona bude upesnno pi nejbli í novelizaci zákona o platebním styku. „Zmínná novela je v souasnosti projednávána v pracovních komisích legislativní rady vlády. Její schválení v Parlamentu se pedpokládá v prbhu prvního pololetí roku 2010, dodal Le atka. Banky si zákon vylo ily po svém, nyní zaínají couvat Jak server M ec.cz zjistil, banky si vykládají znní zákona rznmi zpsoby. Nkteré od poátku zavedly odpovdnost klienta pouze do 150 eur za souet neoprávnnch transakcí a prezentují svj krok jako podanou ruku klientm. Po novelizaci zákona tak nebudou muset znovu mnit své obchodní podmínky. 68


Nkteré penní ústavy, které se zachovaly opan, zaínají obracet a prezentují zmny jako vstícnost smrem ke klientm. Mní svá pvodní stanoviska a zaínají odpovdnost klienta omezovat na 150 eur za souhrn vech neautorizovanch transakcí. Zmnu lze jen tko nespojovat s piznáním ministerstva financí, které poukázalo na pochybné znní v zákon a pipustilo, e v blízké dob se opravdu bude legislativa znovu novelizovat. Banky tedy díve i pozdji stejn svj pístup a obchodní podmínky budou muset zmnit. Tebae nkteré pipoutí, e me bt v legislativ chyba, odpovídá zde klient 150 eury za kadou transakci. To do verejka platilo napíklad pro Raiffeisenbank. „V tuto chvíli se ídíme pesnm znním zákona, tzn. klient odpovídá do ve 150 eur za kadou transakci. Samozejm ale víme, e zejm v zákonu dolo k chyb, pokud tedy dojde k úprav, jsme pipraveni se ídit touto úpravou“, piznal Tomá Kofro, kter ale hned druh den upozornil na to, e banka na základ vyjádení ministerstva financí o chybném vkladu, svj pístup mní na opané stanovisko. Stejn zmnila bhem verejka postoj i spolenost Cetelem. Ke cti jim je nutné piznat, e neekají na novelizaci zákona, kter by zmnu pístupu vyloen naídil, ale krok uinily ob spolenosti dobrovoln a díve, ne musí. „Dle naeho vkladu zákona klient v uritch pípadech nese ztrátu do ástky 150 EUR za jednotlivou transakci a v tomto ohledu jsme té upravili nae obchodní podmínky. Pokud pevládající aplikaní praxe zákona bude jiná, budeme se jí samozejm ídit“, uvedl Branislav Cehlárik ze Citibank. Nkteré banky „mlí“ SOB na otázku, jakou odpovdnost klient v tomto pípad ponese, odpovdla ibalsky. „Míru odpovdnosti banka v tomto pípad bude posuzovat individuáln, oba pístupy spoluúasti na kod jsou moné“, sdlila serveru Mec.cz Irena Zatloukalová. Lakonická odpov vak nemní nic na tom, e Potovní spoitelna, která v rámci skupiny nastavuje své podmínky vdy stejn, jako SOB pipustila, e odpovdnost ponese klient ve vi 150 eur za transakci. Postoj SOB nastínilo i vyjádení Banco Popolare. Vzhledem k tomu, e Banco Popolare poskytuje svm klientm karty vydavatele SOB, bude uplatovat stejn pístup jako tato banka. „Dle naich informací bude SOB uplatovat odpovdnost dritele karty do ve 150 EUR za kadou jednotlivou transakci v rámci zneuití do doby nahláení zneuití karty“, informoval server Mec.cz Gabriel Tká z Banco Popolare. Neochotu se jasn vyjádit projevují i jiné banky. „V souasné dob nelze jednoznan odpovdt. Banka bude monitorovat situaci na trhu a rozhodnutí je závislé na vvoji situace a na konkrétní kauze“, sdlila tajupln Monika Heiserová z Oberbank. Jinmi slovy, v souasné dob platí pro Oberbank doslovná litera zákona, co znamená 150 eur za kadou transakci. „Za transakce provedené do nahláení této skutenosti je spoluzodpovdn klient, a to a do ve odpovídající ástce 150 EUR. Tato ástka se vztahuje na kadou transakci. Vechny takové pípady budeme ale posuzovat individuáln a zohledníme i férové jednání klienta“, uvedla neurit Lucie Hálová z Volksbank. Odpovdnost 150 eur za kadou transakci pi zneuití karty ponechává na klientovi i GE Money Bank. Jsou i banky s proklientskm pístupem Mezi banky, které naopak nechají odpovídat klienta za kodu jen do 150 eur za vechny transakce, patí eská spoitelna, Komerní banka, J&T banka, mBank, Waldviertler Sparkasse von 1842, UniCredit Bank a podle obchodních podmínek i Commerzbank. „Majitel útu odpovídá za kody, které byly zpsobeny do oznámení odcizení, ztráty nebo zneuití, do ástky odpovídající 150 eur“, uvádí dokument banky. Commerzbank vydává kreditní karty pro spolenost Cofidis. LBBW Bank dokonce uvedla, e v pípad, e klient hrub neporuí obchodní podmínky, hradí banka kodu klientovi v plné vi. „V souladu se znním nového zákona o platebním styku je v naich obchodních podmínkách uvedena formulace – vlastník útu nese vechny náklady a kody z neautorizované platební transakce vzniklé zneuitím karty a do ve odpovídající hodnot 150 eur. Nae banka po celou dobu vydávání karet pistupuje ke 69


vem klientm individuáln, a pokud se neprokáe hrubé poruení podmínek ze strany klienta, hradí klientm kody ze zneuitch karet v plné vi“, informoval server Mec.cz Richard Hajduk z LBBW Bank. Podobn pistupuje ke klientm i spolenost Diners Club. „Diners Club na sebe bere vekeré ztráty zpsobené ztrátou i odcizením, pokud dritel karty zablokuje kartu do 48hodin od této události – a to vetn transakcí uskutennch ped blokací“, uvedl Miloslav Bouek s tím, e v pípad, e dritel karty zablokuje kartu a po 48 hodinách, jeho celková spoluúast je omezena ástkou 150 eur. Proklientsk pístup zvolila i HSBC Bank. „Pro vklad Zákona o platebním styku, konkrétn díl 6, Odpovdnost poskytovatele za neautorizovanou transakci § 116 není zatím jednotné stanovisko“, píe ve svém vyjádení pro server Mec.cz Petr Plocek z HSBC Bank. eská poboka HSBC Bank se k jeho vkladu v zájmu klient staví tak, e klient nese ztrátu z neautorizované transakce do celkové maximální ve 150 EUR ze vech neautorizovanch transakcí (tedy ne za kadou transakci zvlá). „V segmentu HSBC Premier poskytujeme vdy exkluzivní bankovní sluby, a proto v pípad odcizení i ztráty karty a neprodleného oznámení této skutenosti pokryje HSBC Bank plc – poboka Praha neautorizované transakce v plné vi“, dopluje Plocek. Jak banky pistupují k odpovdnosti klienta za kodu pi zneuití karty bez poruení obchodních podmínek do doby nahláení: Odpovdnost za kodu pi zneuití karty nesená klientem Ve odpovdnosti a forma spoluúasti Finanní instituce

Max. 150 eur za 1 transakci

Banco Popolare

X

Cetelem Citibank

X X

Cofidis Credium

X X

eská spoitelna SOB

Max. 150 eur za souet vech transakcí

X X

Diners Club

X

Fio

1

GE Money Bank

X

Home Credit

X

HSBC Bank

X

J&T banka

X

Komerní banka

X

LBBW Bank

X

mBank

X

Oberbank

X

Potovní spoitelna

X

PPF banka

X

Raiffeisenbank

X

Raiffeisenbank im Stiftland

X

UniCredit Bank

X

Volksbank Waldviertler Sparkasse von 1842

X X 70


1

– Do data uzávrky se zálona nevyjádila.

První soud poskytne precedens Jasn vklad zákona je v tomto pípad velice dleit. „V pípad, e by se jednalo o 150 eur za transakci, ponese klient kodu na svch bedrech vícemén sám a opatení nebude mít tém úinnost“, upozornil server Mec.cz Patrik Nacher, provozovatel serveru www.bankovnipoplatky.com. Nejasnost v zákon nyní umouje, aby klienti bank, které se rozhodly jít cestou doslovného vkladu zákona, platili nyní kodu takka v plné vi, akoliv evropská smrnice hovoí o opaku. V souasné dob není proto ani jasné, jak by dopadl spor v pípad, e by se klient chtl proti tomuto rozhodnutí banky, vycházejícího z doslovného vkladu zákona o platebním styku, odvolat. „Vimnte si jednotného ísla v úvodu dané citace zákona. To je píina vkladu nkterch bank, které zkrátka vyuili monosti, e se to takto dá interpretovat. Dvodem pijetí vak bylo ochránit spotebitele do ve limitu 150 eur za jednu kartu, pak hradí vydavatel. Pokud to bude nkdo interpretovat jinak, je to jeho monost, ale opravdu nakonec rozhodne soud. Tomu prvnímu soudci to nezávidím. Moná bude nejprve rozhodovat finanní arbitr, tam bych to vidl jako jednoduí, nebo je to orgán, kter chrání zájmy spotebitele“, komentuje problematiku v poradn o bankovních poplatcích Otakar Schlossberger, pedseda pedstavenstva spoitelního drustva Akcenta. „Jinak vím, e pokud bude klient pouívat elektronickou kartu s ipem, kter je chránn PIN kódem, neme nastat situace, která by mohla vyvolat potebu odpovdnosti spotebitele i do dané ve 150 eur, i bez nahláení ztráty karty. Tato karta by toti nemla i dokonce nemohla bt bez znalosti PINu uita, take bych byl celkem v klidu, pokud spotebitel bude dret v tajnosti svj PIN kód“, uzavírá Schlossberger. Novela zákona má trhliny Odborníci mají vhrady k vkladm novely zákona o platebním styku. Podle nich je vklad nejasn a hrozí zbytené problémy a spory. „Nebezpené je, e ten vklad zákona má kad jin. Njak vklad má Evropská komise, jin zase eská národní banka. A ve velkém rozporu je zákon s vkladem bank jako takovch. Teprve realita ukáe, co ten zákon pináí a jak bude vklad," uvedl Frantiek Klufa na mezinárodní konferenci finanních arbitr.

71


5

Kontakty

Lupa.cz Lupa.cz je jeden z nejstarích a nejznámjích specializovanch zpravodajskch server na eském Internetu. Jádrem jeho obsahu jsou pvodní denní komentáe z oblasti Internetu a telekomunikací se zvlátním zetelem na problematiku poskytovatel pipojení, internetového obsahu, marketingu a e-commerce.

Mec.cz Finanní server Mec.cz pináí aktuální informace ze svta osobních a firemních financí. Poskytuje podrobné charakteristiky a srovnávací analzy produkt, je nabízejí finanní instituce. Umouje tenám, aby se díky dostatku informací, které naleznou na jednom míst, dokázali efektivn rozhodovat, kam uloit své úspory, kde získat úvr, kde se pojistit i jaké formy platebního styku pouívat.

Podnikatel.cz Podnikatel.cz je business server uren pro podnikatele, ivnostníky a manaery malch a stedních firem. Svm tenám pináí kompletní informaní servis, aktuální zpravodajství ze svta podnikání, databáze zákon, firem a úad státní správy, právní poradenství nebo manaerské rady pro úspn business.

Root.cz Root.cz je nejstarím a nejvtím eskm zpravodajskm serverem o Linuxu a open-source technologiích. V eském a slovenském internetovém prostedí je jeho pozice zcela unikátní. Velká ást z více ne 120.000 uivatel, kteí ho bhem msíce navtíví, jsou vysoce kvalifikovaní odborníci v oblasti informaních technologií.

Produkce Internet Info, s.r.o. Spolenost Internet Info, s.r.o., je jednou z nejvtích mediálních spoleností eského internetového trhu s irokm portfoliem slueb. Je vydavatelem známch zpravodajskch a zábavních server (nap. Lupa, Mec, Root, DigiZone, Podnikatel, Slunenice, Bomba, Vitalia), provozuje profesionální systém pro mení a analzu návtvnosti NAVRCHOLU.cz a pod znakou Dobr web poskytuje konzultaní sluby v oblasti internetového marketingu a realizuje studie internetového trhu v eské republice. Organizan zajiuje také chod sdruení TUESDAY Business Network, které poádá odborné konference a setkání IT odborník.

Kontakt: Milady Horákové 109/116, 160 41 Praha 6 tel:+420 277 004 600, fax:+420 277 004 601 web: www.iinfo.cz e-mail: [email protected]

72

16. února 2010 Konferenční centrum City. Pořadatelé

Recommend Documents