» »

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko

1 2
3
4 5

celebro ::

Invictus je izjavil:

Uporabniško ime + geslo je dovolj dobra zaščita.

Geslo je lahko naključno generirano s kalkulatorčki.

Druga opcija je pa uporaba virtualne tipkovnice, kjer se kode za posamezne črke spreminjajo glede na sejo. Če je random generator dovolj velik, potem ni panike ...

Certifikati so potuha. In definitivno se jih da prehitro ukrasti. Ves security software gor ali dol.


Če lahko ukrade certifikat, se enako enostavno namesti software, ki bo snemal kaj klikaš na vritualno tipkovnico, namesti napadalčev CA da nikoli ne boš vedel da nisi na originalni strani, in doda dns entry v hosts file da bo originalen url na katerem je tvoja banka kazal na napadalčev strežnik. Če napadalec dobi dostop do tvojega računalnika (kar za krajo certifikata mora storiti), ti noben varnostni mehanizem, ki ga izvajaš na istem računalniku, ne pomaga več. Kot sem že napisal, te lahko v tem primeru reši samo zunanja naprava na kateri potrdiš podatke v plačilnem nalogu.

Še enkrat, če je napadalec dobil tvoj certifikat, ti noben drug varnostni mehanizem ne pomaga več. Brez certifikata pa napad ni možen. Varnostnih mehanizmih brez certifikata si bolj ranljiv, ker napadalec ne potrebuje dostopa do tvojega računalnika.

antonija ::

WarpedGone je izjavil:

Katera banka danes za spletno bančništvo zahteva uporabo fizičnega ključka, ki generira časovno odvisne kode?
Pri sberbanku rabis za dostop do spletne banke
1. "kalkulatorcek"
2. bancno kartico (za vtaknit v kalkulatorcek)
3. PIN bancne kartice

#1 verjetno ni tezko dobit, za dobit kombinacijo #2 in #3 je pa verjetno malo tezje (ceprav se 100% ce so motivi dovolj dobri).

Pri SKBju so pa svoj cas imeli samo "kalkulatorcek" in PIN (brez kartice, pa PIN ni bil nujno isti kot PIN od kartice).
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Invictus ::

celebro je izjavil:


Če lahko ukrade certifikat, se enako enostavno namesti software, ki bo snemal kaj klikaš na vritualno tipkovnico, namesti napadalčev CA da nikoli ne boš vedel da nisi na originalni strani, in doda dns entry v hosts file da bo originalen url na katerem je tvoja banka kazal na napadalčev strežnik.

Nisi prebral. Kode za virtualno tipkovnico so za vsako sejo drugačne.

Ko bo napadalec poskušal uporabiti kar je prestregel, bo to že zastarelo ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

MrStein ::

Ej, malo slovnico preverite, ker so nekatera sporočila na meji razumljivosti (ali čez).

Invictus je izjavil:

celebro je izjavil:


Če lahko ukrade certifikat, se enako enostavno namesti software, ki bo snemal kaj klikaš na vritualno tipkovnico, namesti napadalčev CA da nikoli ne boš vedel da nisi na originalni strani, in doda dns entry v hosts file da bo originalen url na katerem je tvoja banka kazal na napadalčev strežnik.

Nisi prebral. Kode za virtualno tipkovnico so za vsako sejo drugačne.

Ko bo napadalec poskušal uporabiti kar je prestregel, bo to že zastarelo ...

Če prestreže tudi sliko, je čist dovolj prestregel.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

thramos je izjavil:


Resno, to je slo-tech in bi pričakoval, da se bo debata razvila okoli podrobnosti sodbe in zakaj je takšna kot je.

Imaš pa visoka pričakovanja. ;)

Koliko vem sodba (še) ni javna in ni kaj preveč za debatirati.

Senitel je izjavil:

Problem je ker je NLB sam svoj CA in so njihovi certifikati v bistvu self signed. Nepridiprav komot generira svoj strežniški certifikat in se izdaja za "ACNLB" ter postavi neko napadalno spletno stran, ki se izdaja za klik.nlb.si. Ko bo uporabnik priletel na tako stran ga bo seveda pričakalo opozorilo ala "The site security certificate is not trusted!" in user bo jasno kliknil "add exception" (ista procedura je, ko s clean browserjem prvič prideš na stran od klika). Napadalna stran nato lahko s pomočjo javascripta kriptira poljubne requeste (ki jih uporabnik jasno ne vidi) na uporabnikovi strani in jih posreduje naprej pravemu kliku.

Torej XSS? (beri: ranljivost spletne strani, ne klienta)

Glede CA NLB pretiravate. To je v namestitvenih navodilih omenjeno, da se ga namesti, citiram:
Za pravilno in varno delovanje spletnih storitev priporočamo, da namestite tudi digitalno potrdilo strežnika NLB.

(sledi link na https://elba.nlb.si/ac-nlb-identiteta-a... )
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

mk766321 ::

Zato pa ima NKBM to bolje rešeno. Brez certifikata, dostopaš lahko s katerega koli računalnika. Pa ne delam reklame...

Buggy ::


Pri SKBju so pa svoj cas imeli samo "kalkulatorcek" in PIN (brez kartice, pa PIN ni bil nujno isti kot PIN od kartice).


Ja sej Hypo Banka ima potem isto. Imas ta generator kode v katerega dostopas s 4 mestnim pinom (poljubno izbran). Prijavo na HypoNET naredis z usernamemom ter to 8-mestno stevilko, ki ti jo zgenerira "kalkulatrocek" in je aktivna mislim da minuto.

...kako pa je bilo se drugace misljeno?

Zgodovina sprememb…

  • spremenil: Buggy ()

antonija ::

Jaz vem samo za NLB da drka folk s certifikati, vecina drugih ti da tisti kalkulatorcek. S tem da pri enih moras imeti kartico in PIN, pri drugih pa samo PIN.

NLB je precej special (tudi po tem kako pridno placujemo njihove glupe odlocitve na vseh podrocjih). Ce bi bila NLB sportnica bi tekmovala na special olympics :))
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

MrStein ::

Ni edina s certifikati.
Recimo Sparkasse ima tudi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

s6c-gEL ::

Ter Abanka.

antonija ::

Kolega ima sparkasse pa ima kalkulatorcek in PIN. Dela po obeh variantah.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

MrStein ::

NLB ima tudi kalkulatorček. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

celebro ::

Kalkulator ti ne pomaga, če napadalec pridobi dostop do tvojega računalnika. Ti plačuješ položnico za telefon, napadalec izvede man-in-the-middle napada, v katerem ti spremeni znesek in št. računa na katerega nakažeš. Kodo iz generatorja si vnesel kar sam.

Razlika med generatorjem in certifikatom je ta, da če uporabljaš certifikat, mora napadalec nujno dobiti dostop do tvojega računalnika (in si v tem primeru pečen ne glede na varnostni mehanizem), če pa uporabljaš kalkulator, se da man-in-the-middle izvesti tudi brez dostopa do tvojega računalnika.

WarpedGone ::

Trenutno se ubadam z delavsko hranilnico, ki prisega na digitalne certifikate.
Postopek se je iniciiral pred tremi tedni in še vedno ne živi.

V zadnjem mojem mejlu so dobili P.S. da za tak nivo storitve po preteku brezplačnega obdobja ne mislim plačevat.
Zbogom in hvala za vse ribe

WarpedGone ::

če pa uporabljaš kalkulator, se da man-in-the-middle izvesti tudi brez dostopa do tvojega računalnika

Kalkulator ne pomeni PlainText komunikacije, pomeni spremenljiv ključ kodiranja
Tip vmes je mrzu brez poznavanja trenutno veljavnega ključa za de/kodiranje.
Zbogom in hvala za vse ribe

SeMiNeSanja ::

Kar se tiče sodbe, ta temelji na PRAVNIH forah in ne na tehnoloških podrobnostih same zlorabe. Upam, da je to počasi že vsakomur jasno?

Glede hvaljenja kalkulatorčkov, ki generirajo OTP gesla, pa lahko samo to povem, da so se tudi že pojavile phishing strani, ki so uspele prestreči tako generirano geslo in ga uspešno zlorabiti za prenakazila.

Nekoliko bolj 'obetaven' je pristop, ki ga ima SKB net. Tudi tam bi zlikovec lahko prestregel OTP geslo, ki ga generiraš s pomočjo kalkulatorčka - zataknilo pa bi se mu, ko bi želel 'podpisati' posamezne transakcije, saj bi potreboval še eno dodatno generirano geslo, do katerega pa v tistem trenutku na bo tako zlahka prišel.
Še vedno pa lahko pripravi transakcije in upa, da jih bo uporabnik spregledal (npr. jih doda v obstoječ, še nepodpisan paket in jih tako nekoliko skrije) in sam podpisal ob njegovi naslednji uporabi e-bančništva.
-------------

Bistvo e-bančništva je to, da so si preko njega banke ustvarile velikanske prihranke (ukinili veliko število šalterjev).
e-bančništvo že po definiciji skriva določen rizik, ki so ga banke vkalkulirale in sploh nebi smelo biti pod vprašajem, da takšne zlorabe pokrije banka. Da so se spravili v tožbo naivnega oškodovanega uporabnika priča zgolj o neprimernem odnosu do komitentov, hkrati pa je še slaba reklama za samo banko.

100% zaščite ni, in je tudi nikoli ni bilo - niti v časih, ko se je še hodilo s hranilno knjižico na bančne šalterje in si lahko z ponarejenim osebnim dokumentom dvignil vse prihranke nekega komitenta.
Pričakovati, da bo v času elektronskega bančništva zadeva 100% varna je čista utopija.
Dolžnost banke je, da takšne incidente razišče in poskusi najti ustrezne rešitve, da se nebi mogli ponoviti. Preganjanje uporabnikov, češ da so bili skrajno malomarni, pa k temu definitivno ne pripomore.

Invictus ::

Na Unicreditu moraš za potrditev transakacij še 1x vpisati kodo iz kalkulatorčka.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

WarpedGone ::

Glede hvaljenja kalkulatorčkov, ki generirajo OTP gesla, pa lahko samo to povem, da so se tudi že pojavile phishing strani, ki so uspele prestreči tako generirano geslo in ga uspešno zlorabiti za prenakazila.

Pomeni le, da implementacija ni vredna pol K.
Geslo se nima kaj prenašat sem in tja, bistvo generatorja je, da generira enako geslo pri tebi doma,kot se v tistem momentu zgeneriralo na banki. To kar banka pošlje tebi s pomočjo kalkulatorja znaš odkodirat neko časovno okno. Tisto kar pošlješ banki, pa s kodo prej zakodiraš. Banka ma pa drugi del ključa za odprtje paketa.

On vmes vidi samo garbage, vse zakodirano z njemu neznanim geslom. Edina šansa je, da si pridobi algoritem in si ga ustrezno sinhronizira z generatorjem na banki/pri tebi doma. Je simpl - če ti ukrade generator kar je enak problem kot kraja hranilne knjižice in ponarejanje osebnega dokumenta.

Karkoli druzga (pošiljanje 'zakodiranih' gesl gor in dol po mreži) je MANJ varno kot hranilna knjižica + osebni dokument. Fakultetno izobraženim informatikom po bankah bi to moralo biti jasno.
Zbogom in hvala za vse ribe

SeMiNeSanja ::

WarpedGone je izjavil:


Pomeni le, da implementacija ni vredna pol K.
Geslo se nima kaj prenašat sem in tja, bistvo generatorja je, da generira enako geslo pri tebi doma,kot se v tistem momentu zgeneriralo na banki. To kar banka pošlje tebi s pomočjo kalkulatorja znaš odkodirat neko časovno okno. Tisto kar pošlješ banki, pa s kodo prej zakodiraš. Banka ma pa drugi del ključa za odprtje paketa.

Tak način, da ti banka na spletni strani ponudi 'seme' s pomočjo katerega generiraš geslo, sem videl zgolj pri podpisovanju transakcij, ne pa tudi pri prijavi v sistem.

Realno gledano se mi zdi, da imajo naše banke stvari še celo dokaj dobro poštimano v primerjavi z nekaterimi tujimi.
Zadnjič sem tako moral v okviru beta testa ameriškemu product manager-ju slikovito ponazoriti (screen shot-i), da se pri nas poleg samega certifikata uporablja tudi dodatno geslo! Očitno niti to ni ravno standard v celem svetu...?!? Se je potem kaj za čuditi, če je phishing tako priljubljena tematika?

Oberyn ::

SeMiNeSanja je izjavil:

Tak način, da ti banka na spletni strani ponudi 'seme' s pomočjo katerega generiraš geslo, sem videl zgolj pri podpisovanju transakcij, ne pa tudi pri prijavi v sistem.

PRO SKB ima to od nedavnega tudi za prijavo v sistem (za podpisovanje posameznih transakcij pa že od nekdaj). Navadna SKB (torej za fizične osebe) ima tudi dvojno avtentikacijo za prijavo v sistem, nima pa dodatnega podpisovanja posamezne transakcije. Enkratno geslo, ki ga generira generator gesel, je veljavno 30 sekund. Če ta rok parkrat zajebeš, se generator desihronizira glede na strežnik in ni več uporaben, moraš po novega.

celebro ::

WarpedGone je izjavil:


Pomeni le, da implementacija ni vredna pol K.
Geslo se nima kaj prenašat sem in tja, bistvo generatorja je, da generira enako geslo pri tebi doma,kot se v tistem momentu zgeneriralo na banki. To kar banka pošlje tebi s pomočjo kalkulatorja znaš odkodirat neko časovno okno. Tisto kar pošlješ banki, pa s kodo prej zakodiraš. Banka ma pa drugi del ključa za odprtje paketa.

On vmes vidi samo garbage, vse zakodirano z njemu neznanim geslom. Edina šansa je, da si pridobi algoritem in si ga ustrezno sinhronizira z generatorjem na banki/pri tebi doma. Je simpl - če ti ukrade generator kar je enak problem kot kraja hranilne knjižice in ponarejanje osebnega dokumenta.


Pri uporabi kalkulatorja lahko napadalec izvede man-in-the-middle napad, npr. s ponarejenim ali neupravičeno pridobljenim certifikatom. Pri tem napadu se napadalec tebi predstavlja kot banka, banki pa kot ti. Lahko prestreže in poljubno spreminja vsebino komunikacije.

Ko ti opravljaš plačilo, boš v obrazec vnesel št. računa in znesek. To informacijo bo napadalec prestregel in zamenjal s svojim računom in zneskom. Banka ti v drugem koraku izpiše potrdilo vnešenega. Pošlje sicer napadalčev račun in znesek, vendar ju je napadalec ponovno zamenjal in ti še vedno misliš da plačuješ to kar si vnesel. Na tem mestu te banka prosi, da vneseš kodo iz generatorja, kar ti v dobri veri narediš. Napadalec tega ne spreminja, niti ne rabi gledati. Ti si odobril nakazilo na napadalčev račun, mislil pa, da plačuješ položnico. Z bankinega stališča si ti vnesel napadalčev račun in znesek ter potem še kodo s kalkulatorja - banka nima nobenega zagotovila, da si podatke nakazila, ki jih je prejela, dejansko vnesel ti, ne pa napadalec. Če uporabljaš certifikat, pa napadalec ne more delati zahtevkov v tvojem imenu, razen če ukrade certifikat.

Uporaba kalkulatorja se zanaša na zaupanja vredne strežniške certifikate, za kar sem podal linka, da ni ravno zanesljivo. Če pa napadalec pridobi dostop do tvojega računalnika (kar bi bilo potrebno za krajo tvojega osebnega certifikata), ti zelo enostavno namesti svoj CA, tako da sploh ne rabi ponarejati strežniškega certifikata. Tako s kalkulatorjem nisi čisto nič bolj varen kot s certifikatom, še manj, ker je možen napad iz prejšnjega odstavka.

SeMiNeSanja ::

@celebro - kljub vsemu pa moraš priznati, da je takšen mitm napad, pri katerem uporabnik do zadnjega nebi opazil, da ima opravka s prevaro, zelo zahteven za izvedbo. Kdor bi se ga lotil, to skoraj zagotovo ne bo izvajal na komitentih ljubljanske banke, ampak si bo raje našel kakšno bistveno večjo banko z večjim številom potencialnih žrtev.

Oberyn ::

Ali je kakšna razlika (kar se tiče phishinga), če do spletne banke dostopaš direktno z IP naslovom, ne z domenskim imenom?

smash ::

SeMiNeSanja je izjavil:

@celebro - kljub vsemu pa moraš priznati, da je takšen mitm napad, pri katerem uporabnik do zadnjega nebi opazil, da ima opravka s prevaro, zelo zahteven za izvedbo. Kdor bi se ga lotil, to skoraj zagotovo ne bo izvajal na komitentih ljubljanske banke, ampak si bo raje našel kakšno bistveno večjo banko z večjim številom potencialnih žrtev.


poleg tega je tako majhna verjetnost za tak napad, da ga banka za šalo pokrije preko zavarovanja

SeMiNeSanja ::

Oberyn je izjavil:

Ali je kakšna razlika (kar se tiče phishinga), če do spletne banke dostopaš direktno z IP naslovom, ne z domenskim imenom?

V bistvu vedno pristopaš z IP naslovom, samo predvidevam, da ti misliš na IP naslov namesto domenskega v naslovni vrstici brskalnika.

Phishing deluje tako, da dobiš neko sporočilo, ki te vabi, da se prijaviš v nek svoj account. Pri tem ti link, kamor te bo poslal poskuša prikriti, ali pa ga prikaže kot zelo podobnega pravemu linku, tako da zlahka pride do zamenjave, če nisi res hudo pazljiv. Zato velja splošno pravilo, da se za strani, kjer se moraš prijavljati, nikoli ne gre po enostavni poti, da klikneš link v mailu. Čisto dovolj je, če odpreš brskalnik in v njemu klikneš na bookmark za vprašljivo stran.

Vpisovanje IP naslova (številke) namesto domenskega pa lahko na nekaterih strežnikih ne deluje. Kadar se gre za strežnike, ki na isti IP adresi gostujejo več različnih domen hkrati, strežnik potrebuje domenski del, da te bo lahko interno preusmeril na pravo spletišče.

Skratka sporočila preko elektronske pošte se vzame kot 'informacijo', pogledati pa se gre stvari 'ročno' in ne s klikanjem po linkih v sporočilu, pa si varen pred tipičnimi phishing forami.

Pri tem mogoče še velja omeniti, da phishingu ni vedno namen, da te zvabi na lažno stran, kjer ti bodo ukradli geslo! Phishing se pogosto uporablja tudi za to, da te zvabijo na spletno stran, ki je 'preparirana', da bi se na njej okužil z malware-om. Ti misliš, da gledaš reklamo - v resnici pa si si naložil trojančka, ki bo 'bdel' nad tvojimi datotekami, tipkanjem, si te ogledal preko webcam-a,.....

sisemen  ::

smash je izjavil:

sisemen  je izjavil:

Ne da se mi cele klobase brati ampak moje mnenje je, da se je tukaj... grr.. žal ... grrr... zgodila krivica, pa naj je še tako težko pogoltniti. Zadeva je pribljižno na nivoju vloma v stanovanje, kjer ti iz omare ukradejo shranjene evre, potem pa tožiš banko slovenije, naj ti jih povrne. Edina stvar, ki je pri vsem skupaj pozitivna je, da bo mogoce NLB zdaj razmislila o tem, da ti OTPja ne chargajo ekstra, kar je svojevrstna svinjarija.


Denar ni v omari ampak na banki, nekdo pa v tvojem imenu iz te banke ukrade denar. Kaj imas ti torej s tem razen skodo? Normalno je da od banke zahtevas denar.


Torej: nalozim leatest and the greatest trojancka, ti iz moje masine izpraznis racun, deliva 50/50 potem jaz tozim banko. Pa bodimo se bolj zviti, vzamem laptop, grem v lokal, pustim ga prikljenjenga na mizo s prijavljenim nlb accountom, nastavljenim na prenakaziko 10k eurov. In potem tozim banko. Bodite no resni.

SeMiNeSanja je izjavil:

Pri tem mogoče še velja omeniti, da phishingu ni vedno namen, da te zvabi na lažno stran, kjer ti bodo ukradli geslo! Phishing se pogosto uporablja tudi za to, da te zvabijo na spletno stran, ki je 'preparirana', da bi se na njej okužil z malware-om. Ti misliš, da gledaš reklamo - v resnici pa si si naložil trojančka, ki bo 'bdel' nad tvojimi datotekami, tipkanjem, si te ogledal preko webcam-a,.....


In brez trojancka tako ali tako ni slo, ker sicer ne bi mogel priti do certifikata. Username in geslo pac ni dovolj.

Zgodovina sprememb…

  • spremenilo: sisemen  ()

MrStein ::

sisemen  je izjavil:


Torej: nalozim leatest and the greatest trojancka, ti iz moje masine izpraznis racun, deliva 50/50 potem jaz tozim banko. Pa bodimo se bolj zviti, vzamem laptop, grem v lokal, pustim ga prikljenjenga na mizo s prijavljenim nlb accountom, nastavljenim na prenakaziko 10k eurov. In potem tozim banko. Bodite no resni.

Saj sodišča so resna.
Ko bodo videli polovico manjkajočega zneska pri tebi bodo:
a) se praskali po glavi in vprašali na forumu, ali je boljši Linux ali Windows
ali
b) napisali bodo na papir v kateri zapor greš in za kako dolgo.

Kaj misliš?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

AndrejO ::

sisemen  je izjavil:

Torej: nalozim leatest and the greatest trojancka, ti iz moje masine izpraznis racun, deliva 50/50 potem jaz tozim banko.


Čez nekaj mesecev tebe in tvojega prijatelja ob 6h zjutraj zbudijo kriminalisti z nalogom za hišno preiskavo. Naslednjih 48 ur prebivakiraš v priporu, medtem ko pregledujejo kakšne sledove še si pustil za seboj. Če približno leto dni sta na sodišču spoznana za krivega goljufije in sodelovanja v kriminalni združbi ter obsojena na povrnitev celotne škode ter nepogojno kazen. Dve leti po protižbi, ki vama jo odvetnik odsvetuje, višje sodišče kazen potrdi, zaradi česar pristaneta za pol leta vsak v zaporu.

Izsledena sta bila po poti denarja, ki sta ga "izpraznila" iz računa.

Profesionalen kriminal naj se prepusti profesionalnim kriminalcem. Amaterji si to predstavljate preveč zlahka.

WarpedGone ::

Pri uporabi kalkulatorja lahko napadalec izvede man-in-the-middle napad, npr. s ponarejenim ali neupravičeno pridobljenim certifikatom. Pri tem napadu se napadalec tebi predstavlja kot banka, banki pa kot ti. Lahko prestreže in poljubno spreminja vsebino komunikacije.

Še vedno razmišljaš v okvirih polK ne-vredne implementacije. Ja, ta smrdi do neba.

Stvar katero opisujem NE uporablja nikakršnih certifikatov. Namesto tega imaš generator, ki si ga dobil na šalterju banke zato mu zaupaš. Banka ma svoj generator ki sočasno generira enaka gesla. ManInTheMiddle tega generatorja nima zato ne more niti odpret tvojih sporočil, niti banki pošiljat spremenjenih paketov brez detekcije oz. neuspele komunikacije. Koda je veljavna le kratko časovno obodbje oz. le omejeno število transkacij - idealno le eno samo ergo postane v principu nezlomljiva koda - OneTimePad.
Zbogom in hvala za vse ribe

MrStein ::

To misliš ključ za enkripcijo?
Kdo ali kaj bo enkriptiralo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

Stvar katero opisujem NE uporablja nikakršnih certifikatov. Namesto tega imaš generator, ki si ga dobil na šalterju banke zato mu zaupaš. Banka ma svoj generator ki sočasno generira enaka gesla. ManInTheMiddle tega generatorja nima zato ne more niti odpret tvojih sporočil, niti banki pošiljat spremenjenih paketov brez detekcije oz. neuspele komunikacije. Koda je veljavna le kratko časovno obodbje oz. le omejeno število transkacij - idealno le eno samo ergo postane v principu nezlomljiva koda - OneTimePad.


Ti malo mešaš stvari med seboj. TUDI če se uporablja generator ali po domače rečeno 'kalkulatorček', se do bančne spletne strani pristopa preko https protokola, le da se v tem primeru samo banka identificira s certifikatom, ti pa se s pomočjo OTP gesla.

Sploh pa tak načrtovan napad ne rabi nujno prikazovati 'fake' stran - lahko celo prikazuje čisto ta pravo stran banke, če se napadalec poslužuje dekripcije in ponovne enkripcije https prometa.
Ko si v e-bančništvu, lahko po prijavi klikneš na možnost 'odpri v novem oknu'. Dovolj prebrisan in podkovan napadalec bi to teoretično tudi lahko izvedel na proxiju - le da se bo v tem primeru to 'novo okno' odprlo pri njemu in ne pri tebi. V tem oknu potem lahko počne, kar mu je volja. Lahko pripravi transakcije in 'v zasedi' čaka, kdaj boš ti v prvem oknu opravil plačevanje položnic. V trenutku, ko boš stisnil gumb za potrditev transakcije in bo sistem od tebe zahteval ponovni vnos gesla, pa lahko napadalec 'podtakne' še svoj paket plačil, ki jih boš potrdil poleg svojih položnic.
No, jaz upam, da je bančni software vendarle malenkost bolje spisan, tako da tisto 'seme' za generiranje gesla ob potrditvi transakcij bazira na vnešenih transakcijah, tako da ti bo v primeru 'podtikanja' to geslo postalo neveljavno. Vprašanje je le, če boš opazil, da se je prikradel še en paket, sicer bo naslednjič, ko boš vnesel geslo (verjetno boš mislil, da si se zatipkal), zadeva šla gladko čez in boš plačal še barabinu 'njegove položnice'...

Opisani scenarij po moje ni neka znanstvena fantastika, je pa po moje bolj omejen na 'lokalne barabine' - teško si predstavljam, da se bo nek ruski barabin to trudil izvajati na NLB-ju, da bi ves zafrustriran moral ugotoviti, da je vsak drugi račun že tako na limitu in omembe vredne transakcije niso možne.

Resni barabini, bodo najprej preučili žrtev, da se bodo prepričali, da se sploh splača ves trud. Istočasno bodo iskali takšno banko, kjer je čim več takšnih 'obetavnih žrtev', da bi lahko v kratkem času večkrat ponovili postopek.

Skratka tudi OTP generatorčke se da okolprinesti - morda celo lažje, kot nekomu ukrasti certifikat. Zato nikar ne pljuvati čez uporabniške certifikate! Če so pravilno uporabljeni (nameščeni brez možnosti exporta) in njihovo kopijo ne valjaš še v svoji home mapi (po možnosti brez gesla za namestitev), so z mojega vidika celo bolj varni kot OTP gesla.

sisemen  ::

MrStein je izjavil:

Kaj misliš?

AndrejO je izjavil:

Profesionalen kriminal naj se prepusti profesionalnim kriminalcem. Amaterji si to predstavljate preveč zlahka.


Skratka, banka je zascitena s tem, da nimam prijatelja, ki bi bil profesionalen kriminalec. In s tem, da sem dovolj neumen, da tistih 50% dam v stumf ali banko. Bravo fanta, ravnokar sta neznansko znizala stroske varovanja, v bistvu imajo lahko ves denar spravljen kar v belih vreckah na ulici. Ker profesionalnih kriminalcev pac ne pozna veliko ljudi, denar ki pa ga bodo ljudje pobrali bodo pa tako ali tako nazaj prinesli.

Pa vidva sta genialca.

(naj vama nekaj razlozim, ker ocitno nista sama dojela: govorim o nepostenosti obsodbe NLB zaradi uporabnikove malomarnosti in aplikacije te sodbe na prakticne primere. ne zanima me, kje in kako te bodo potem dobili - sodba je nepostena do NLB)

Zgodovina sprememb…

  • spremenilo: sisemen  ()

smash ::

kako nepoštena, če pa je banka kriva, da ni poskrbela za varno poslovanje in je izgubila strankin denar

glede na to, da sem stranka sam, vidim to sodbo kot pošteno in vzpodbudno za naprej, ko se kaj takega zgodi meni

AndrejO ::

sisemen  je izjavil:

Skratka, banka je zascitena s tem, da nimam prijatelja, ki bi bil profesionalen kriminalec.

Ne mešati svoje kavč-generalske naivnosti in neznanja z dejanskim kriminalom proti katerem se mora banka braniti. Samo zato, ker se tukaj ukvarjamo z enim vidikom varovanja in varnosti, to ne pomeni, da je ta edini ali najpomembnejši.

Kar bi ti naredil z levo roko, je za resnične kriminalne združbe prekleto trd oreh. Pametnjakovič.

celebro ::

WarpedGone je izjavil:

Pri uporabi kalkulatorja lahko napadalec izvede man-in-the-middle napad, npr. s ponarejenim ali neupravičeno pridobljenim certifikatom. Pri tem napadu se napadalec tebi predstavlja kot banka, banki pa kot ti. Lahko prestreže in poljubno spreminja vsebino komunikacije.

Še vedno razmišljaš v okvirih polK ne-vredne implementacije. Ja, ta smrdi do neba.

Stvar katero opisujem NE uporablja nikakršnih certifikatov. Namesto tega imaš generator, ki si ga dobil na šalterju banke zato mu zaupaš. Banka ma svoj generator ki sočasno generira enaka gesla. ManInTheMiddle tega generatorja nima zato ne more niti odpret tvojih sporočil, niti banki pošiljat spremenjenih paketov brez detekcije oz. neuspele komunikacije. Koda je veljavna le kratko časovno obodbje oz. le omejeno število transkacij - idealno le eno samo ergo postane v principu nezlomljiva koda - OneTimePad.


Da bi spletna banka z otp dodatno kriptirala vsebino prenesenega v javascriptu je bolj redkost kot pravilo, ker so banke načeloma še vedno mnenja, da mora stran delovati na prastarem IE-ju in brez javascripta (ironično jih za moderne alternative IE-ju bolj malo briga). Hypo banka recimo otp pošilja direktno (vsaj na login page-u), Unicredit pa zgleda da ima neko dodatno enkripcijo tudi na client side. Vendar man-in-the-middle napada tudi taka enkripcija ne ustavi. Napadalec it lahko enostavno doda nekaj svojega javascripta na spletno stran, pa se zamenjava oziroma prikrivanje računa in zneska izvede direktno v tvojem brskalniku, ne na njegovem proxyju. Ti sicer vidiš v obrazcu to kar si vpisal, tvoj browser pa zakriptira in pošlje to, kar napadalec hoče. Vse v tvojem brskalniku. Napadalčev proxy mora samo v vsak html page, ki gre skozi njega, dodati svojo kodo. Tega ti pa otp ne more preprečiti.

sisemen  ::

AndrejO je izjavil:

Ne mešati svoje kavč-generalske naivnosti in neznanja z dejanskim kriminalom proti katerem se mora banka braniti. Samo zato, ker se tukaj ukvarjamo z enim vidikom varovanja in varnosti, to ne pomeni, da je ta edini ali najpomembnejši.

Kar bi ti naredil z levo roko, je za resnične kriminalne združbe prekleto trd oreh. Pametnjakovič.


No o pametnjakovicih bi se pa dalo govoriti. Ker to, da tule v temi delas samopromocijo in govoris o stvareh, ki so za samo temo popolnoma nerelevantne, medtem ko ti dajem lep primer, kjer bi sodisce razsodilo enako bi lahko dali v kategorijo pametnjakovicev. To da pa nekaj natolcujes o kavcih itd pa tako ali tako spada v prehitre zakljucke. Samo nekateri ne rabimo samopromocije na spletnih forumih in iz enakega razloga ne uporabljamo nickov, ki bi razkrili naso identiteto. Sicer pa NLBju tako ali tako ni treba nic placati ker so po tvojem storilce ze dobili.

Sicer sem ti pa tule ze na vse odgovoril:

sisemen  je izjavil:

(naj vama nekaj razlozim, ker ocitno nista sama dojela: govorim o nepostenosti obsodbe NLB zaradi uporabnikove malomarnosti in aplikacije te sodbe na prakticne primere. ne zanima me, kje in kako te bodo potem dobili - sodba je nepostena do NLB)

WarpedGone ::


Da bi spletna banka z otp dodatno kriptirala vsebino prenesenega v javascriptu je bolj redkost kot pravilo, ker so banke načeloma še vedno mnenja, da mora stran delovati na prastarem IE-ju in brez javascripta (ironično jih za moderne alternative IE-ju bolj malo briga).

Sej, implementacije, ki niso vredne pol K.
Zato je še tolk bol prav, da vso škodo trpijo banke. Ampak itak na koncu vseeno pride iz naših žepov, tko da jim je sorajda direkt vseeno. Delajo se da neki delajo na varnosti in konec.

Js jim bom še dolgo težil na šalterih, spletno banko pa metal v glavo.
Zbogom in hvala za vse ribe

MrStein ::

sisemen  je izjavil:


(naj vama nekaj razlozim, ker ocitno nista sama dojela: govorim o nepostenosti obsodbe NLB zaradi uporabnikove malomarnosti in aplikacije te sodbe na prakticne primere. ne zanima me, kje in kako te bodo potem dobili - sodba je nepostena do NLB)

Naj ti razložim, ker očitno nisi dojel:
Sodbo je prejelo sodišče (v dveh instancah, celo) na podlagi dokazov.
Na čem pa temelji tvoje nepriznavanje sodbe? (ki jo niti od daleč videl nisi, kaj šele prebral)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

sisemen  ::

MrStein je izjavil:

sisemen  je izjavil:


(naj vama nekaj razlozim, ker ocitno nista sama dojela: govorim o nepostenosti obsodbe NLB zaradi uporabnikove malomarnosti in aplikacije te sodbe na prakticne primere. ne zanima me, kje in kako te bodo potem dobili - sodba je nepostena do NLB)

Naj ti razložim, ker očitno nisi dojel:
Sodbo je prejelo sodišče (v dveh instancah, celo) na podlagi dokazov.
Na čem pa temelji tvoje nepriznavanje sodbe? (ki jo niti od daleč videl nisi, kaj šele prebral)


Seveda sodisce jo je sprejelo na podlagi dokazov, da je nekdo uporabil racunalnik oskodovanca, da je prenakazal njegov denar. V cem se razlukuje od mojega primera - kjer ti uporabis moj racunalnik da si prenakazes denar (pa da zadovoljimo se Andrejevim derailom - si sposoben prekanalizirat nakazilo preko nekaj ukradenih racunov na koncnega, odprtega z fake osebnimi dokumenti iz katerega pobere denar romunski drzavljan, nekaj minut po prenakazilu)? Z obsodbo kot je bila dana, ima NLB na siroko odprta vrata trezorja za vsakogar, ki na taksen ali drugace dostopa do accounta njenega komitenta in od tam prenakaze denar. Komitent ne nosi nobene odgovornosti ampak mora skodo poplacati banka. Skratka denarja ne krades komitentu ampak neposredno banki.

Seveda je tudi sicer stalna praksa, da ce nekdo z avtomobilom zakrivi nesreco, krije iztozeno odskodnino zaradi posledic, preko civilne tozbe, RS Slovenija, saj je neposredno kriva za nesreco, ker je dala povzrocitelju vozniski izpit.

Zgodovina sprememb…

  • spremenilo: sisemen  ()

Oberyn ::

sisemen  je izjavil:

Seveda sodisce jo je sprejelo na podlagi dokazov, da je nekdo uporabil racunalnik oskodovanca, da je prenakazal njegov denar. V cem se razlukuje od mojega primera - kjer ti uporabis moj racunalnik da si prenakazes denar?

Meni se zdi, da se to bistveno razlikuje od tvojega primera, namreč tu oškodovanec ni vedel, da nekdo uporablja njegov računalnik za goljufijo, bil je žrtev napada, ne storilec. V tvojem primeru je to lepo načrtovana goljufija, v kateri sodelujeta oba. Banka bo enemu sicer mogoče vrnila škodo, ampak policija vaju bo pozneje dobila, naprej pa kot je AndrejO rekel. Komintent ne nosi odgovornosti, če ni sodeloval v goljufiji ali bil preko mere malomaren, ne pa kar v vsakem primeru.

sisemen  ::

sisemen  je izjavil:

/.../ ne krades komitentu ampak neposredno banki /.../


... s tem da banka nima nobene moznosti vplivati na zascito komitentovega racunalnika, njegove brskalne navade, zaganjanje programov iz sumljivih virov, itd., itd.,..


Oberyn je izjavil:

Meni se zdi, da se to bistveno razlikuje od tvojega primera, namreč tu oškodovanec ni vedel, da nekdo uporablja njegov računalnik za goljufijo, bil je žrtev napada, ne storilec. V tvojem primeru je to lepo načrtovana goljufija, v kateri sodelujeta oba. Banka bo enemu sicer mogoče vrnila škodo, ampak policija vaju bo pozneje dobila, naprej pa kot je AndrejO rekel. Komintent ne nosi odgovornosti, če ni sodeloval v goljufiji ali bil preko mere malomaren, ne pa kar v vsakem primeru.


Aha razumem, torej, ce bi to naredil v dogovoru, jaz bi me dobili, ce se je pa to zgodilo brez dogovora, pa storilcev ne dobijo. S tem da je vsa razlika dogovor ali ne. Ne bom se strinjal.

Razsodba kot je bila sprejeta prav prosi ljudi po taksnih dogovorih. Mogoce zacne tisti zlikavec iz 2009 ponujati odtujevanje denarja komitentom, z delitvijo dobicka, kot poslovni model. :P

Zgodovina sprememb…

  • spremenilo: sisemen  ()

AndrejO ::

sisemen  je izjavil:

No o pametnjakovicih bi se pa dalo govoriti. Ker to, da tule v temi delas samopromocijo in govoris o stvareh, ki so za samo temo popolnoma nerelevantne, medtem ko ti dajem lep primer, kjer bi sodisce razsodilo enako bi lahko dali v kategorijo pametnjakovicev.

Sodišče bi malega tatiča tvojega kova, po kratkem postopku pospravilo na hladno. Če ne verjameš, poskusi in poročaj. Bojda dobiš dostop do neta in lahko tvitaš, če si miren zapornik.

Tvoja prva napaka je, da na stvar gledaš izjemno ozko iz zgolj in samo enega zornega kota. Preostanek sveta in vse, kar ta preostanek sveta počne, da zapre druge "varnostne luknje" v tvojem razmišljanju pa, kakor da ne obstajajo.

sisemen  je izjavil:

Samo nekateri ne rabimo samopromocije na spletnih forumih in iz enakega razloga ne uporabljamo nickov, ki bi razkrili naso identiteto.

Nekaterih pa ne moti, da za svojimi besedami, stališči in mnenji stojijo z imenom in priimkom in to izkoristijo tudi v tistih redkih primerih, ko se odločijo sklicevati na lastno referenco.

sisemen  je izjavil:

Sicer pa NLBju tako ali tako ni treba nic placati ker so po tvojem storilce ze dobili.

Morebitni nepovezani kazenski postopki ter njihovi izidi, so za to civilno pravdo nerelevantni. Relevantni bi bili, če bi bil oškodovanec osumljen goljufije. Nekako tako, kot se bi to primerilo tebi, če bi tako naivno poskušal storiti, kar si predlagal.

sisemen  je izjavil:

(naj vama nekaj razlozim, ker ocitno nista sama dojela: govorim o nepostenosti obsodbe NLB zaradi uporabnikove malomarnosti in aplikacije te sodbe na prakticne primere. ne zanima me, kje in kako te bodo potem dobili - sodba je nepostena do NLB)

Uporabniku v postopku pred dvema sodiščema malomarnosti ni bila dokazana, čeprav je banka to poskušala dokazati.

Kakšen je pa tvoj argument, da je bilo govora o uporabnikovi malomarnosti?

sisemen  je izjavil:

sisemen  je izjavil:

/.../ ne krades komitentu ampak neposredno banki /.../


... s tem da banka nima nobene moznosti vplivati na zascito komitentovega racunalnika, njegove brskalne navade, zaganjanje programov iz sumljivih virov, itd., itd.,.


Še ti ni jasno. Banka je pred trezor postavila nesposobne varnostnike. To je odgovornost banke.

Zgodovina sprememb…

  • spremenil: AndrejO ()

AndrejO ::

sisemen  je izjavil:

Aha razumem, torej, ce bi to naredil v dogovoru, jaz bi me dobili, ce se je pa to zgodilo brez dogovora, pa storilcev ne dobijo. S tem da je vsa razlika dogovor ali ne. Ne bom se strinjal.

Saj se ne rabiš. Če si misliš, da lahko banko tako zlahka ogoljufaš, potem se prekleto motiš.

sisemen  je izjavil:

Razsodba kot je bila sprejeta prav prosi ljudi po taksnih dogovorih.

Tvoji naivni zaključki so vsi po vrsti popolnoma napačni. Poskusi in boš videl kako uspešen bo ta tvoj "poslovni model" in koliko let boš za takšno neumnost sedel.

Verjetno nimaš s pregonom tovrstnih kljukcov niti toliko izkušenj, da bi se ti sploh sanjalo kako to organiziran kriminal počne in kako jim to sploh uspeva. Tukaj pa predavaš o temu kako zlahka bi ti to znal.

sisemen  ::

AndrejO je izjavil:

Še ti ni jasno. Banka je pred trezor postavila nesposobne varnostnike. To je odgovornost banke.


Ampak obstaja majhna tezava, ta varnostnik je bil v tem primeru komitent. Kaj torej pravis, kaj naj banka naredi, zavrne prosnje za spletno bancnistvo vsem, ki niso varnostni eksperti?

Ampak razumem, isces posel in si delas reklamo na slotechu. Good luck :D

Razen tega se ves cas sklicujes na posledice dejanja, odkrivljivost itd. gre pa se za dejanje samo. Zlikovca iz leta 2009 niso nasli, ergo SE DA! In ne vidim nobenega razloga, da bi sam to pocel, ne vem katere paranoicne misli ti ves cas rojijo po glavi, da mi to stalno predlagas, konec koncev gre za napeljevanju k kaznivemu dejanju, mar ne?!

Zgodovina sprememb…

  • spremenilo: sisemen  ()

Oberyn ::

AndrejO je izjavil:

Uporabniku v postopku pred dvema sodiščema malomarnosti ni bila dokazana, čeprav je banka to poskušala dokazati.

A je v takem primeru, kot ga je opisal SeMiNeSanja (včeraj, 23:38:34) sploh v teoriji možno uporabniku obesiti malomarnost? Pa recimo, da še uporabljaš banko kot PRO SKB, ki ima generator enkratnega gesla in ni certifikata, ki bi se ga dalo ukrasti s tvojega računalnika? Saj nimaš nobene šanse, da bi se takemu napadu uprl, če nisi ravno en hud geek. Spletno bančništvo uporablja morje povsem običajnih ljudi, ki so avtomehaniki in frizerji, ne pa eni doktorji računalništva.

sisemen  ::

Oberyn je izjavil:

AndrejO je izjavil:

Uporabniku v postopku pred dvema sodiščema malomarnosti ni bila dokazana, čeprav je banka to poskušala dokazati.

A je v takem primeru, kot ga je opisal SeMiNeSanja (včeraj, 23:38:34) sploh v teoriji možno uporabniku obesiti malomarnost? Pa recimo, da še uporabljaš banko kot PRO SKB, ki ima generator enkratnega gesla in ni certifikata, ki bi se ga dalo ukrasti s tvojega računalnika? Saj nimaš nobene šanse, da bi se takemu napadu uprl, če nisi ravno en hud geek. Spletno bančništvo uporablja morje povsem običajnih ljudi, ki so avtomehaniki in frizerji, ne pa eni doktorji računalništva.


Tako je. Banka je by default kriva necesa proti cemur ne more storiti spet nicesar. In zdaj naj zaprejo spletne banke kar je edina mozna obramba, ocitno bi se nekateri pac radi spet drenjali pred okenci. S tem da je zanimivo, da prakticno nihce nima taksnih problemov kot komitent iz leta 2009, kar spet kaze na to, da je bila ta oseba specialen primerek.

Zgodovina sprememb…

  • spremenilo: sisemen  ()

AndrejO ::

sisemen  je izjavil:

AndrejO je izjavil:

Še ti ni jasno. Banka je pred trezor postavila nesposobne varnostnike. To je odgovornost banke.


Ampak obstaja majhna tezava, ta varnostnik je bil v tem primeru komitent. Kaj torej pravis, kaj naj banka naredi, zavrne prosnje za spletno bancnistvo vsem, ki niso varnostni eksperti?

Varnostnik v tem primeru je bančni sistem, ki mora z dovoljšno stopnjo zanesljivosti ugotoviti, če je govora o komitentu ali ne. Kaj je dovoljšna stopnja zanesljivosti v kontekstu poslovanja o poslovnega tveganja, sem tudi že opisal.

sisemen  je izjavil:

Ampak razumem, isces posel in si delas reklamo na slotechu. Good luck :D

A bejžno. Kakšen posel pa iščem, če smem vprašati?

sisemen  je izjavil:

Razen tega se ves cas sklicujes na posledice dejanja, odkrivljivost itd. gre pa se za dejanje samo. Zlikovca iz leta 2009 niso nasli, ergo SE DA!

Seveda se da, samo ne tako zlahka, kot si ti to uspel spisati. Tebi se bi zataknilo že pri temu, da ne bi znal niti denarja spraviti nazaj do sebe tako, da se te ne bi dalo enostavno izslediti.

Ko enkrat butneš ob takšne zadeve, hitro ugotoviš, da imaš okvirno samo tri možnosti za krajo denarja iz banke: organizirane kriminalne združbe, s pištolo nad uslužbenca v manjši poslovalnici ali pa ustanovitev lastne banke. Vmesne variante se hitro končajo v arestu.

sisemen  je izjavil:

In ne vidim nobenega razloga, da bi sam to pocel, ne vem katere paranoicne misli ti ves cas rojijo po glavi, da mi to stalno predlagas, konec koncev gre za napeljevanju k kaznivemu dejanju, mar ne?!

Oho! Si ugotovil, da je to celo kaznivo dejanje in se bi verjetno še kdo drug ukvarjal s tvojim odškodninskim zahtevkom, ne samo banka?

Oberyn je izjavil:

AndrejO je izjavil:

Uporabniku v postopku pred dvema sodiščema malomarnosti ni bila dokazana, čeprav je banka to poskušala dokazati.

A je v takem primeru, kot ga je opisal SeMiNeSanja (včeraj, 23:38:34) sploh v teoriji možno uporabniku obesiti malomarnost?

Ne, ni možno. In tako je tudi prav, saj je breme vzpostavitve varnega sistema in s tem povezanega dokazovanja malomarnosti na banki. Uporabnikova dolžnost je, da dokaže, da je spoštoval vsa navodila banke in to je to.

Geeks need not apply.

sisemen  je izjavil:

S tem da je zanimivo, da prakticno nihce nima taksnih problemov kot komitent iz leta 2009, kar spet kaze na to, da je bila ta oseba specialen primerek.

To kaže predvsem na to, da so varnostni ukrepi sprejemljivi in poslovno tveganje relativno majhno.

Tvoje razmišljanje o temu, da banka na to temo ne more ničesar ukreniti, je v celoti napačno. Banka je edina, ki tukaj sploh lahko kaj ukrene in zakon je spisan tako, da je v to tudi prisiljena.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Invictus ::

Banka je popušila ker se je napačno branila. Hotela je prevaliti krivdo na uporabnika, pa se je sodišče odločilo da pač tako ne gre. V tem primeru se bankam z varnostjo sploh ne bi bilo treba ukvarjati.

Uporabnik pač ne more biti 100% odgovoren za varno spletno bančno poslovanje. Banka je bila tudi zgleda tudi nesposobna dokazati da je šlo za popolnoma pravilno transakcijo. Auditing is a bitch ...

Če bi izbrali drug način obrambe namesto blatenja uporabnika, bi mogoče zmagali. Sploh ker banka nima točno specificiranih zahtev/standardov kakšen mora biti računalnik da lahko varno uporablja spletno banko. In sodišče se je odločilo kot se je.

Zafrknili so se preprosto na papirjih ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

sisemen  ::

Invictus je izjavil:

Banka je popušila ker se je napačno branila. Hotela je prevaliti krivdo na uporabnika, pa se je sodišče odločilo da pač tako ne gre. V tem primeru se bankam z varnostjo sploh ne bi bilo treba ukvarjati.

Uporabnik pač ne more biti 100% odgovoren za varno spletno bančno poslovanje. Banka je bila tudi zgleda tudi nesposobna dokazati da je šlo za popolnoma pravilno transakcijo. Auditing is a bitch ...

Če bi izbrali drug način obrambe namesto blatenja uporabnika, bi mogoče zmagali. Sploh ker banka nima točno specificiranih zahtev/standardov kakšen mora biti računalnik da lahko varno uporablja spletno banko. In sodišče se je odločilo kot se je.

Zafrknili so se preprosto na papirjih ...


Kar se mene tice, vsak skrbi za varnost na svoji strani, banka poskrbi, da nekdo brez kljuca ne more dostopati do spletnega bancnistva, na uporabniku pa je, da poskrbi, da nekomu ne omogoci dostopa do kljuca. Edini posteni mehanizem, ki zagotavlja, da vsakdo skrbi za varnost na svoji strani. Kar pa se sedaj dogaja je, da banka na svoji strani poskrbi za varnost, po drugi strani pa je odgovorna se, da uporabnik ne omogoci dostopa do kljuca, s tem, da nima moznosti vplivati na uporabnika. Neumnost.

AndrejO ::

sisemen  je izjavil:

Kar pa se sedaj dogaja je, da banka na svoji strani poskrbi za varnost, po drugi strani pa je odgovorna se, da uporabnik ne omogoci dostopa do kljuca, s tem, da nima moznosti vplivati na uporabnika. Neumnost.

Banka si lahko vedno izbere takšen mehanizem, kjer:
- ne zadošča samo ključ
- se ključa sploh ne uporablja
- se uporablja ključ, ki ga uporabnik veliko težje "izgubi"
- ... itd ...

Uporabnik si lahko izbere mehanizem:
- ki mu ga določi banka.

Ali sedaj razumeš na komu je teža odgovornosti za minimizacijo tveganja?
1 2
3
4 5


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nadgradnja informacijskega sistema v britanski banki TSB ljudi odrezala od denarja za

Oddelek: Novice / Ostalo
135625 (3227) feryz
»

Poizkus zlorabe bančne kartice

Oddelek: Informacijska varnost
163595 (2721) K3kec
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23291572 (84783) sisemen 
»

NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )

Oddelek: Novice / Varnost
12848361 (41432) tony1

Več podobnih tem