Forum » Loža » Vpogled v bančni račun
Vpogled v bančni račun
RandomUser1 ::
Zadnje čase študiram kako čimbolj zaščititi svoje podatke in mi je na misel prišlo, da v bistvu sploh ne vem kako varen je moj bančni račun. Glede na lastne izkušnje z delom v raznih slo podjetjih lahko rečem, da je veliko zaposlenih imelo dostop do baze strank. Kolikor sem zasledil imajo banke sistem (sisbon?), ki naj bi te vpoglede zabeležil. Me pa zanima če te podatke hranijo tudi na kakšnih ločenih SQL strežnikih za raznorazne "analitske" raziskave, do katerih pa lahko potem dostopa vsak junior brez kakršnegakoli nadzora. Malo me moti, ker poznam par bivših sodelavcev ki so trenutno zaposleni pri moji banki in nočem ravno da brskajo po transakcijah.
delavec44 ::
Pa zahtevaj od banke, po gdpr, seznam vseh, ki so dostopali do tvojega računa. Če je kdo neupravičeno, je to podlaga za izgubo zaposlitve.
Navadno kar ni na produkciji mora biti anonimizirano.
Navadno kar ni na produkciji mora biti anonimizirano.
BuDi79 ::
Pa zahtevaj od banke, po gdpr, seznam vseh, ki so dostopali do tvojega računa. Če je kdo neupravičeno, je to podlaga za izgubo zaposlitve.Ne vem kako je zdaj - ampak par let nazaj so bile dejansko na "seznamu" samo "tete na šalterju", če so one šle neupravičeno gledat one ali kdorkoli, ki se vpiše sam... si ti ti res zaslužijo odpoved.
Zgodovina sprememb…
- spremenilo: BuDi79 ()
WizzardOfOZ ::
Vsaka transakcija (tudi poizvedba na bazi), vsak vpogled v transakcije, vpogled v strankine podatke,.... se logira in banke te loge zelo podrobno pregledujejo, kdo je kaj pogledal. In to se gleda na dnevni bazi.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
telexdell ::
Vse kar ni le v tvoji denarnici (sefu, žepu...) in za kar NE VE ! nihče drug je javno (dokler ne zvejo, da imaš svojo denarnico, sef žepe...). Namesto, da se trudiš kako skriti nekaj, kar ni mogoče skriti se raje potrudi, da ne boš pokazal nič, kar bi bil problem, če ne bi bilo skrito. Le zakaj toliko najbogatejših Slovencev nimajo sedeža svoje kapo firme v Sloveniji?
Precej je treba vedeti, preden opaziš, kako malo veš.
JanBrezov ::
WizzardOfOZ je izjavil:
Vsaka transakcija (tudi poizvedba na bazi), vsak vpogled v transakcije, vpogled v strankine podatke,.... se logira in banke te loge zelo podrobno pregledujejo, kdo je kaj pogledal. In to se gleda na dnevni bazi.
V teoriji mogoče. V resnici pa ni za verjeti. Če ima bančni uslužbenec legitimen vpogled v podatke, jih vidi, nato pa govori okrog o tem, to noben log ne bo pokazal. Če ima sysadmin legitimen razlog za delo z bazami, ga nič ne ustavi, da "malce pogleda" po backupu v dev okolju in noben log tega ne bo pokazal. Če je kakšnemu sysadminu res v interesu pogledati, potem bo poskrbel, da tistih logov ne bo. Če se ne izvede digitalne forenzike, potem noben ne bo vedel.
Če do razkritja ne pride iz zlonamernosti, pa lahko zaradi neumnosti. Pred mnogimi leti se mi je pri večji banki zgodilo, da so po e-pošti poslali akcijsko ponudbo za nekaj, mogoče življensko zavarovanje. Pri tem je uslužbenka naredila napako in so bili vsi prejemniki te ponudbe v CC maila. Jaz sem pisal nazaj, če se zavedajo, da so mi ravno poslali seznam svojih strank in če je kdo dobil ta seznam na gmail, potem je prišlo do izvoza potencialno občutljivih podatkov v tretje države (GDPR pa to). Par dni za tem sem dobil mail s preklicom ponudbe.
Utk ::
Ah to ni še nič. Jaz sem dobil po pošti na moj naslov bančni izpisek od nekoga drugega. Moj naslov, samo ime njegovo, v resnici je bil on iz čist drugega kraja.
Na bančnem izpisku sem pa za foro pogledal kaj se bi dalo dobit. Trr, ime, pravi naslov, pa tudi davčno sem potegnil iz sklica neke položnice.
Potem sem tisto skuril, da ne bo kakih dokazov...
Na bančnem izpisku sem pa za foro pogledal kaj se bi dalo dobit. Trr, ime, pravi naslov, pa tudi davčno sem potegnil iz sklica neke položnice.
Potem sem tisto skuril, da ne bo kakih dokazov...
starfotr ::
Mi imamo toliko težav s tem. In potem firbci ne zmorejo zadržat sle po iskanju podatkov.
Skratka, mogoče bi bilo smiselno davčne podatke objavit javno - odpraviti davčno tajnost. Kot to počnejo nordijci. Tako bi bilo vpogledov v bančne in davčne evidence mnogo manj ali praktično nič.
Skratka, mogoče bi bilo smiselno davčne podatke objavit javno - odpraviti davčno tajnost. Kot to počnejo nordijci. Tako bi bilo vpogledov v bančne in davčne evidence mnogo manj ali praktično nič.
Kripto mesi ::
Ah to ni še nič. Jaz sem dobil po pošti na moj naslov bančni izpisek od nekoga drugega. Moj naslov, samo ime njegovo, v resnici je bil on iz čist drugega kraja.
Na bančnem izpisku sem pa za foro pogledal kaj se bi dalo dobit. Trr, ime, pravi naslov, pa tudi davčno sem potegnil iz sklica neke položnice.
Potem sem tisto skuril, da ne bo kakih dokazov...
Vse te nastete stvari vidis v ajpesu za vsakega spjevca, tako da ni neki big deal.
Utk ::
Dobro...tam vidiš še ostale samoumevne stvari. V katero trgovino hodi, kaj kupuje na internetu, porabo na položnicah, kakšno plačo ima itd.
Sej meni je vseeno tudi za to, marsikomu pa ni.
Sej meni je vseeno tudi za to, marsikomu pa ni.
ReRMh ::
Dobro...tam vidiš še ostale samoumevne stvari. V katero trgovino hodi, kaj kupuje na internetu, porabo na položnicah, kakšno plačo ima itd.
Sej meni je vseeno tudi za to, marsikomu pa ni.
temu se da izogniti, če nimaš naročenega izpiska trr prometa v papirni obliki, če odmisliš plačevanje na roko. sicer za največje in najbolj splošne firbce imaš lanskoletne bilance (za normirance ne)... davčni detajli nikdar niso bili, niso in ne bodo javno objavljeni...
BuDi79 ::
WizzardOfOZ je izjavil:
Vsaka transakcija (tudi poizvedba na bazi), vsak vpogled v transakcije, vpogled v strankine podatke,.... se logira in banke te loge zelo podrobno pregledujejo, kdo je kaj pogledal. In to se gleda na dnevni bazi.tudi par let nazaj je bil to PR odgovor če kdo vpraša, ja.
asdf_jklc ::
Ce mislis, da so tvoji podatki na banki tajni se hudo motis. Uradno je vse 'urejeno' kot mora bit in eden kr tko v banki res tezko pogleda nekaj pa ni logirano. Vendar sistemci in firme ki razvijajo software, pa raje ne bom razlagal laj vse sem ze videl v slovenskih bankah. To je tudi eden od razlogov, zakaj nimam v slovenski banki (ki ima slovenski it) racuna. Ker vem kaj vse delajo.
Ce pa more kodrkoli kaj skrit, pa naj se ne zanasa na tajnost racuna. Za take stvari so kripto valute in druge oblike placil.
Ce pa more kodrkoli kaj skrit, pa naj se ne zanasa na tajnost racuna. Za take stvari so kripto valute in druge oblike placil.
wahaxi ::
RandomUser1 je izjavil:
Zadnje čase študiram kako čimbolj zaščititi svoje podatke in mi je na misel prišlo, da v bistvu sploh ne vem kako varen je moj bančni račun. Glede na lastne izkušnje z delom v raznih slo podjetjih lahko rečem, da je veliko zaposlenih imelo dostop do baze strank. Kolikor sem zasledil imajo banke sistem (sisbon?), ki naj bi te vpoglede zabeležil. Me pa zanima če te podatke hranijo tudi na kakšnih ločenih SQL strežnikih za raznorazne "analitske" raziskave, do katerih pa lahko potem dostopa vsak junior brez kakršnegakoli nadzora. Malo me moti, ker poznam par bivših sodelavcev ki so trenutno zaposleni pri moji banki in nočem ravno da brskajo po transakcijah.
GDPR uporabi.
ReRMh ::
produkcijski podatki ne bi smeli biti berljivi prav vsakemu kekcu, se strinjam. je pa en znanec imel težave z banko, ker je menda imel redne prilive iz neoznačene kategorije, je moral eno pogodbo nosit na vpogled. potem so še nekaj izgovarjali, da ne prejema plače na trr - seveda ne, ker je imel iz poslovnega direktno v varčevalnega, na trr pa je nakazoval samo v skladu s potrebo po likvidnosti. ko so vse to preverili, so ga posebej poklicali, se mu opravičili in prosili, da naj ne zamenja banke, ker mladi nadzorniki poslovanja (nek lepši izraz uporabljajo) še ne poznajo procesa...
verjameš? jaz ne najbolj :D
verjameš? jaz ne najbolj :D
Zgodovina sprememb…
- spremenilo: ReRMh ()
Gama ::
Če imaš pa S.P je naprimer vse javno. Od davčne, prihodkov, dobička, kreditov ce jih imas, itd itd.
bemfa ::
Sigurno tvojega bivšega sodelavca zanima, ali kupuješ žemlje v Mercatorju ali v Lidlu, pa bo šel svojo službo reskirat zaradi tega. Če te res skrbi, lahko menjaš banko.
WizzardOfOZ ::
WizzardOfOZ je izjavil:
Vsaka transakcija (tudi poizvedba na bazi), vsak vpogled v transakcije, vpogled v strankine podatke,.... se logira in banke te loge zelo podrobno pregledujejo, kdo je kaj pogledal. In to se gleda na dnevni bazi.
V teoriji mogoče. V resnici pa ni za verjeti.
Kar verjemi. Po večkrat na leto so revizije. Pa ne samo slovenske, tudi tuje.
Če ima bančni uslužbenec legitimen vpogled v podatke, jih vidi, nato pa govori okrog o tem, to noben log ne bo pokazal.
Zakaj bi o tem govoril naokoli, če je pa to poslovna skrivnost in mora biti tiho. Če veš za primer, ga prosim prijavi. Takih, ki poslovne skrivnosti okoli trosijo noben ne rabi v službi.
Če ima sysadmin legitimen razlog za delo z bazami, ga nič ne ustavi, da "malce pogleda" po backupu v dev okolju in noben log tega ne bo pokazal.
sysadmin nima dostopa do baz. Database administrator jih ima. Nima pa write ali delete dostopa do logov, da bi jih lahko zbrisal.
Backup v dev okolju? To so enterprise sistemi. Tam se produkcijskih podatkov ne kopira na dev okolje. Če pa že, so podatki anonimizirani.
O ostalih bedarijah raje nebi.
Ce mislis, da so tvoji podatki na banki tajni se hudo motis. Uradno je vse 'urejeno' kot mora bit in eden kr tko v banki res tezko pogleda nekaj pa ni logirano.
Mogoče 20 ali 30 let nazaj. Danes ti poslovati ne bodo pustili, če ne bo vse logirano.
Vendar sistemci in firme ki razvijajo software, pa raje ne bom razlagal laj vse sem ze videl v slovenskih bankah. To je tudi eden od razlogov, zakaj nimam v slovenski banki (ki ima slovenski it) racuna. Ker vem kaj vse delajo.
Sistemci ne razvijajo nič.
Ce pa more kodrkoli kaj skrit, pa naj se ne zanasa na tajnost racuna. Za take stvari so kripto valute in druge oblike placil.
Tajnosti računa ni, ker se vsaka sprememba na računu mora pošiljat še na furs. Vsakodnevno.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Zgodovina sprememb…
- spremenilo: WizzardOfOZ ()
BuDi79 ::
WizzardOfOZ je izjavil:
blabla vse je ok...Življenje ni teoretična knjiga. Sem delal 10 let na banki. Je pa res da nisem bil 'Marjeta iz šalterja v Medvodah'. Kot pravim - ona in njen šef sta logirana. Kar nekaj drugih ni tako kot si predstavljaš. Lahko pa, da se je v zadnjih par letih vse spremenilo, ne rečem da ni nemogoče.. če verjameš.
Zgodovina sprememb…
- spremenilo: BuDi79 ()
JanBrezov ::
WizzardOfOZ je izjavil:
V teoriji mogoče. V resnici pa ni za verjeti.
Kar verjemi. Po večkrat na leto so revizije. Pa ne samo slovenske, tudi tuje.
In kaj je v teh revizijah? Pogledajo vseh 10.000.000 transakcij? Dvomim. Mogoče preverijo za par velikih imen, ostalo ne. Tudi če preverijo, zakaj je delavka za šalterom pogledala v račun nekoga nepomembnega, se lahko izgovori, da se je pač zatipkala pri vpisu TRR.
WizzardOfOZ je izjavil:
Če ima bančni uslužbenec legitimen vpogled v podatke, jih vidi, nato pa govori okrog o tem, to noben log ne bo pokazal.
Zakaj bi o tem govoril naokoli, če je pa to poslovna skrivnost in mora biti tiho. Če veš za primer, ga prosim prijavi. Takih, ki poslovne skrivnosti okoli trosijo noben ne rabi v službi.
Ker ljudje pač ne morejo biti tiho, sploh na rojstnodnevnih zabavah. Niste slišali od mene, ampak [data dump here].
WizzardOfOZ je izjavil:
Če ima sysadmin legitimen razlog za delo z bazami, ga nič ne ustavi, da "malce pogleda" po backupu v dev okolju in noben log tega ne bo pokazal.
sysadmin nima dostopa do baz. Database administrator jih ima. Nima pa write ali delete dostopa do logov, da bi jih lahko zbrisal.
sysadmin (root račun) ima dostop do vsega. Baza je samo datoteka. Če je OS virtualiziran, je celoten računalnik samo datoteka. Če se ta datoteka znajde izven produkcijskega sistema, lahko s to datoteko narediš karkoli, brez da bi kdo kaj vedel. Tudi, če je šifrirano, še posebej, če je komu v interesu.
WizzardOfOZ je izjavil:
Backup v dev okolju? To so enterprise sistemi. Tam se produkcijskih podatkov ne kopira na dev okolje. Če pa že, so podatki anonimizirani.
V teoriji. V praksi se dogaja vse živo. Vključno s tem, da se nešifriran backup znajde na USB ključku na pultu gostilne ali na public FTP serverju dovolj dolgo, da je backup možno najti kar preko Googla.
Ce mislis, da so tvoji podatki na banki tajni se hudo motis. Uradno je vse 'urejeno' kot mora bit in eden kr tko v banki res tezko pogleda nekaj pa ni logirano.
Drži. V teoriji so pravila in postopki, ki se jih vsi držijo. V praksi pa se tu pa tam kaj spregleda, tudi pri revizijah, po nesreči ali namenoma. V stvar je vpletena cela veriga ljudi in nekateri, sploh v IT, imajo dostop, kjer se sledi izgubijo. In tudi če je vse ok, če je v tem verigi en "bad actor", bo vse skupaj vprašljivo, npr. Suisse Secrets @ Wikipedia.
Invictus ::
V teoriji mogoče. V resnici pa ni za verjeti. Če ima bančni uslužbenec legitimen vpogled v podatke, jih vidi, nato pa govori okrog o tem, to noben log ne bo pokazal. Če ima sysadmin legitimen razlog za delo z bazami, ga nič ne ustavi, da "malce pogleda" po backupu v dev okolju in noben log tega ne bo pokazal. Če je kakšnemu sysadminu res v interesu pogledati, potem bo poskrbel, da tistih logov ne bo. Če se ne izvede digitalne forenzike, potem noben ne bo vedel.
To je sicer res, ampak ne more/sme pa brskati po podatkih. Bistvena razlika.
Sicer pa, kdo še hodi na banko????? Da bi uslužbenec videl tvoje podatke? Tudi če dvigaš denar, ni treba da se uslužbencu pokaže stanje na računu. Samo ali je znesek na računu dovolj visok za dvig. Več on ne rabi vedeti.
BTW. za tako strogo preverjanje je kriva Helena Blagne. Na FURSu je folk brskal po njenih podatkih, sploh o tem koliko je stara in takrat so bistveno zaostrili vse te vpoglede.
Ni to neka znanost, sam danes je to nekaj normalnega. Kak admin bi mogoče še lahko brskal, pa še to pogojno, če so zanič nastavili pravice, navadni uslužbenci pa te opcije skoraj nimajo več.
WizzardOfOZ je izjavil:
Tajnosti računa ni, ker se vsaka sprememba na računu mora pošiljat še na furs. Vsakodnevno.
FURS ima že leta svojo OLAP kocko, ki beleži vse dnevne transkacije.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- spremenil: Invictus ()
Invictus ::
sysadmin (root račun) ima dostop do vsega. Baza je samo datoteka. Če je OS virtualiziran, je celoten računalnik samo datoteka. Če se ta datoteka znajde izven produkcijskega sistema, lahko s to datoteko narediš karkoli, brez da bi kdo kaj vedel. Tudi, če je šifrirano, še posebej, če je komu v interesu.
sysadmin accounta NIMA NIHČE. Kdor dela na ta način v velikih enterprise firmah, je navaden šalabajzer.
sysadmin geslo je v trezorju, in to geslo lahko dobijo samo določene osebe. Zapisane v seznamu. Ko tega ne potrebujejo več, se geslo spremeni in shrani v trezor. In to preverjanje dela en glup varnostnik, ki tega ne bo dal vsakemu, ker se boji za svojo službo.
Produkcijske baze NISO v virtualki, ampak ponavadi v posebnem hardveru pri velikih firmah kot so banke. In te datoteke se ne znajdejo kar tako izven produkcijskega sistema. Nihče nima interesa za tako stvar, ker te dobijo v enem dnevu, čemur sledijo odškodninske in kazenske sankcije. Z varnostjo se na zahodu ne zafrkavajo, pa niti pri nas ne.
Se vidi, da nisi nikoli delal za velike firme, da bi vedel, da tam varnost ni neka fraza na papirju, ampak je vse kar lepo realizirano. In noter zmetano tudi cel kup denarja.
V teoriji. V praksi se dogaja vse živo. Vključno s tem, da se nešifriran backup znajde na USB ključku na pultu gostilne ali na public FTP serverju dovolj dolgo, da je backup možno najti kar preko Googla.
V resnih firmah ti sploh ne moreš vtaknit nikamor USB ključka, ker so USB porti blokirani. Že zadnjih 20 let.
Bluziš iz perspektive garažnega samouka.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- spremenil: Invictus ()
BuDi79 ::
V resnih firmah ti sploh ne moreš vtaknit nikamor USB ključka, ker so USB porti blokirani.Ti tako res pojma nimaš kako je v Slovenskih bankah. Res.
Bluziš iz perspektive garažnega samouka.
fakin' teoretičarji iz pravljic.
Ker je sistem drugačen ni sicer tako hudo kot je bil Fujitsu pri sistemu za britansko pošto (če je kdo spremljal pogrevanje zadnje tedne), prav zelo daleč od tega pa ni.
Zgodovina sprememb…
- spremenilo: BuDi79 ()
JanBrezov ::
WizzardOfOZ je izjavil:
Tajnosti računa ni, ker se vsaka sprememba na računu mora pošiljat še na furs. Vsakodnevno.
FURS ima že leta svojo OLAP kocko, ki beleži vse dnevne transkacije.
In kako je kaj poskrbljeno za varnost na FURS-u? Enako kot na bankah? Je še kdo drug, ki je prilepljen na informacije bank? Hiše za izračun bonitetnih ocen? Kako je tam z varnostjo? Resno vprašam.
Invictus ::
Ti tako res pojma nimaš kako je v Slovenskih bankah. Res.
fakin' teoretičarji iz pravljic.
Ker je sistem drugačen ni sicer tako hudo kot je bil Fujitsu pri sistemu za britansko pošto (če je kdo spremljal pogrevanje zadnje tedne), prav zelo daleč od tega pa ni.
Bom pač vberjel tistim, ki res delajo v slovernskih bankah. Jaz pač delam po tujini, ne velikih sistemih, tudi na področju security. Pa vem...
Banka in pošta imata pa res isto funkcijo...
In kako je kaj poskrbljeno za varnost na FURS-u? Enako kot na bankah? Je še kdo drug, ki je prilepljen na informacije bank? Hiše za izračun bonitetnih ocen? Kako je tam z varnostjo? Resno vprašam.
Zelo dobro.
Brez jasnega razloga zakaj bi nekaj brskal in pridobival podatke, ne prideš niti mimo papirologije.
Vsi remote sessioni zunanjih se snemajo. Zato da se vidi, da so zunanji res delali in ne samo nabijali ure. Kolikor sem slišal, se session snema tudi na banki.
Bonitetne ocene se tako malo uporabljajo v Sloveniji, da marsikdo niti ne ve, da to obstaja. Sicer je pa stvar v lasti bank...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- spremenil: Invictus ()
WhiteAngel ::
Tale debata me spominja na tisto o pacientovih podatkih. Ja, vsak zdravstveni delavec ima vpogled v vsakršno kartoteko v sistemu. Ampak zavezal se je hipokratovi zavezi, kar vključuje tudi varovanje pacientovih podatkov. To ne gre kar tako, da "malo počvekaš" na kavi o nekom. Morda s sodelavcem, ki je ravno tako njej zavezan, nikakor in nikdar pa to ne sme zapustiti štirih sten bolnišnice. Ne gre samo za izgubo službe, ampak so lahko hude civilne tožbe zadaj. Skratka, ne le, da to ni etično, tega se ne počne, ker gre lahko zelo zelo narobe potem.
Morda je v bankah kaj drugače, ker so psihopati. Ampak regulatorji na drugi strani samo čakajo na odtekajoče podatke in potem vzamejo licenco banki oz. obrišejo milijonsko kazen. Spet, zelo zelo slabo. Tako da jaz ne bi kar opletal, da itak vsi vse vidijo in vejo. Morda. A tega ti in kdor koli drug nikoli ne boš izvedel.
Morda je v bankah kaj drugače, ker so psihopati. Ampak regulatorji na drugi strani samo čakajo na odtekajoče podatke in potem vzamejo licenco banki oz. obrišejo milijonsko kazen. Spet, zelo zelo slabo. Tako da jaz ne bi kar opletal, da itak vsi vse vidijo in vejo. Morda. A tega ti in kdor koli drug nikoli ne boš izvedel.
Utk ::
Imamo kak primer teh strašnih kazni in odvzemov licenc v Sloveniji? Kaj je blo že tisto ko so se po njivi valjale škatle osebnih podatkov?
JanBrezov ::
sysadmin accounta NIMA NIHČE... (few words later) ...in to geslo lahko dobijo samo določene osebe.Haha.
Produkcijske baze NISO v virtualki, ampak ponavadi v posebnem hardveru pri velikih firmah kot so banke.Ali bi vse banke v Sloveniji okarakteriziral kot "velike firme"? NLB in NKBM mogoče. Pa ostalo?
Nihče nima interesa za tako stvar, ker te dobijo v enem dnevu, čemur sledijo odškodninske in kazenske sankcije. Z varnostjo se na zahodu ne zafrkavajo, pa niti pri nas ne.Potem mi pa razloži dogajanje okrog FTX Trading Ltd, ki je bila "third-largest cryptocurrency exchange". Pa ne mi govorit, da to ni banka. Šlo je za tretjo največjo kripto organizacijo na svetu. Ljudje so glupi ali pa koruptivni.
Se vidi, da nisi nikoli delal za velike firme, da bi vedel, da tam varnost ni neka fraza na papirju, ampak je vse kar lepo realizirano. In noter zmetano tudi cel kup denarja.
Res nisem nikoli delal za velike firme. A preveč gledam Johna Oliverja, da bi verjel, kako je vse ok. Ampak zadel si bistvo: na koncu je problem denar. Si lahko mala banka privošči vse to? Marsikatera si privošči dovolj, da izpolni pogoje za obratovanje, vmes pa lahko standard malce pade, vsaj do naslednje certifikacije. Ker denar. Saj oni varnostnik za sysadmin geslo ni toliko pomemben, bomo dali to tajnici preko in malce prišparali. Pa tisti serverji z USB porti so čisto ok.
V teoriji. V praksi se dogaja vse živo. Vključno s tem, da se nešifriran backup znajde na USB ključku na pultu gostilne ali na public FTP serverju dovolj dolgo, da je backup možno najti kar preko Googla.
V resnih firmah ti sploh ne moreš vtaknit nikamor USB ključka, ker so USB porti blokirani. Že zadnjih 20 let.
To sploh ni bistveno. Resna firma verjetno prakticira backup 3-2-1 (vsaj tri kopije backupov na vsaj dveh različnih medijih, ena kopija off-site). To pomeni, da podatki zapustijo sistem. Še vedno lahko podatki končajo na USB-ju. Če ima strežnik kakršenkoli izhodni port ali izhodno napravo, lahko podatki končajo na USB-ju. Še več: če ima LED lučko za aktivnost diska, lahko podatki končajo na USB-ju, glej Tempest (codename) #Public research (tule malce pretiravam).
JanBrezov ::
WhiteAngel je izjavil:
Tale debata me spominja na tisto o pacientovih podatkih. Ja, vsak zdravstveni delavec ima vpogled v vsakršno kartoteko v sistemu. Ampak zavezal se je hipokratovi zavezi, kar vključuje tudi varovanje pacientovih podatkov. To ne gre kar tako, da "malo počvekaš" na kavi o nekom. Morda s sodelavcem, ki je ravno tako njej zavezan, nikakor in nikdar pa to ne sme zapustiti štirih sten bolnišnice. Ne gre samo za izgubo službe, ampak so lahko hude civilne tožbe zadaj. Skratka, ne le, da to ni etično, tega se ne počne, ker gre lahko zelo zelo narobe potem.
Pazi zdaj to: par mesecev nazaj sedim jaz v neki privat ordinaciji v Sloveniji, kjer imajo nek skener (v stilu CT ali MRI). Noter pripeljejo starejšo gospo na invalidskem vozičku, pripelje jo nek bolničar (pač oseba, ki vozi rešilcu podobno vozilo za nenujne primere, če pacient sam ne more). Za potrebe pregleda dobiš vbrizgano neko tekočino, zato je pred tem potrebno izpolniti nek vprašalnik. Gospa tega sama ne more, zato vprašanlik izpolni bolničar, a seveda ne ve vseh podatkov. Ker je gospa hkrati naglušna, oni bolničar precej na glas pridobi naslednje podatke: ime, priimek, naslov, letnico rojstva, ali trenutno jemlje katero od petih zdravil s seznama, če ima katero od navedenih alergij in če ima katere od navedenih bolezni. In vsi v čakalnici to slišimo.
Invictus ::
Potem mi pa razloži dogajanje okrog FTX Trading Ltd, ki je bila "third-largest cryptocurrency exchange". Pa ne mi govorit, da to ni banka. Šlo je za tretjo največjo kripto organizacijo na svetu. Ljudje so glupi ali pa koruptivni.
Kriptoborze niso regulirane borze...
FTX je izpostavili samo zato, ker je noter dalo denar nekaj zelo bogatih ameriških investitorjev. Z dobrimi odvetniki.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
WizzardOfOZ ::
WizzardOfOZ je izjavil:
blabla vse je ok...Življenje ni teoretična knjiga. Sem delal 10 let na banki. Je pa res da nisem bil 'Marjeta iz šalterja v Medvodah'. Kot pravim - ona in njen šef sta logirana. Kar nekaj drugih ni tako kot si predstavljaš. Lahko pa, da se je v zadnjih par letih vse spremenilo, ne rečem da ni nemogoče.. če verjameš.
Jaz pa že 30 let delam za banke in ti povem, kaj vse se mora vkomponirat zato, da se logira vse, ampak res čisto vse. Čisto vsaka zadeva se logira in to se tudi pregleduje redno.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Utk ::
Če po 30 letih dela tam ne poznaš načina kako bi prišel do nekega podatka o računu brez da kdorkoli lahko to zve oz. dokaže, potem si upam mislit svoje o tvoji iznadljivosti...
Zgodovina sprememb…
- spremenil: Utk ()
WizzardOfOZ ::
sysadmin (root račun) ima dostop do vsega. Baza je samo datoteka.
Slab sistem, če je tako dovoljeno. Pri nas ni root računov na tak način kot na linuxu, delamo na mainframe. Vsaka stvar se posebaj definira in admin za sistem nima dostopa do baze, db administrator nima dostopa do logov baze. In podobno. V glavnem mainframe je pojem kar se tiče varnosti.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
WizzardOfOZ ::
Če po 30 letih dela tam ne poznaš načina kako bi prišel do nekega podatka o računu brez da kdorkoli lahko to zve oz. dokaže, potem si upam mislit svoje o tvoji iznadljivosti...
Pokaže predvsem to, zakaj takim kot si ti, ne dovolijo dostopa do podatkov, ki se jih ne razkriva naokoli.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Utk ::
Jaz imam svoj dostop do česar imam, ampak meni tega ne rabijo skrivat, niti se nihče ne slepi, da teh dostopov nimam.
Po drugi strani, bi očitno vi vse ven znesli, če je res tako skrito...
Po drugi strani, bi očitno vi vse ven znesli, če je res tako skrito...
WizzardOfOZ ::
Resna firma verjetno prakticira backup 3-2-1 (vsaj tri kopije backupov na vsaj dveh različnih medijih, ena kopija off-site). To pomeni, da podatki zapustijo sistem. Še vedno lahko podatki končajo na USB-ju.
9 kopij. Vse kriptirane. Pa nobena ne gre na medij kot je USB.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
WizzardOfOZ ::
Jaz imam svoj dostop do česar imam, ampak meni tega ne rabijo skrivat, niti se nihče ne slepi, da teh dostopov nimam.
Po drugi strani, bi očitno vi vse ven znesli, če je res tako skrito...
Nič ne skrivajo. Preprečujejo. To je normalen IT. Do česar ne rabiš, nimaš dostopa. Manj možnosti pri vdorih, manj možnosti pri zlorabah.
Očitno je, da ne razumeš da se "pri denarju vse neha".
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Zgodovina sprememb…
- spremenilo: WizzardOfOZ ()
nosiyo ::
In še zgodba iz prakse, ki bo razorožila vse teoretike. Grem v poslovalnico zamenjat paket, sedimo v oni mini pisarni jaz, ena tanova, ki se uvaja in njena sodelavka. Na lastna ušesa slišim, kaj vse vidita o meni v sistemu, ko ji tastara vse pokaže. Resda moram dat kartico (za osebno se itak ne spomni), ampak me v sistemu najdeta preko nekega iskalnika (ne skenira kartice). Komentar: "čitalec nekaj jezi, boma ročno poiskali". Potem pa:
- glej tu vidiš če so kake neporavnane obveznosti, to je mastercard za tekoči mesec XXX eur, to je odobreni limit, ...
- tu maš zgodovino vseh kreditov, obrokov, ... vidiš to je Harvey Norman, obroki za neko pohištvo (že vsaj 5 let odplačano)
- tu so pa vsi računi, varčevanja, ...
- tu bi pa vidla če ma kako življensko zavarovanje
Verjamem da se v IT oddelku malo resneje lotevajo stvari, ampak tete na šalterjih majo še vedno gesla pod tipkovnico in vse dostope, zato da nena vsakih 15minut gnjavijo nekoga da nekaj praveri.
Tako da teorija je eno, praksa pa marsikatero stvar poenostavi. Enak primer zgoraj pri zdravniku - verjetno so ugotovili da je fajn, če imajo dostop do podatkov (starci, nezavestni, ...) in je pač enostavno omogočeno, čeprav predstavlja varnostno tveganje.
PS: boljše da ne načnemo teme o mobilnih operaterjih in dostopu do naših SMS-ov
- glej tu vidiš če so kake neporavnane obveznosti, to je mastercard za tekoči mesec XXX eur, to je odobreni limit, ...
- tu maš zgodovino vseh kreditov, obrokov, ... vidiš to je Harvey Norman, obroki za neko pohištvo (že vsaj 5 let odplačano)
- tu so pa vsi računi, varčevanja, ...
- tu bi pa vidla če ma kako življensko zavarovanje
Verjamem da se v IT oddelku malo resneje lotevajo stvari, ampak tete na šalterjih majo še vedno gesla pod tipkovnico in vse dostope, zato da nena vsakih 15minut gnjavijo nekoga da nekaj praveri.
Tako da teorija je eno, praksa pa marsikatero stvar poenostavi. Enak primer zgoraj pri zdravniku - verjetno so ugotovili da je fajn, če imajo dostop do podatkov (starci, nezavestni, ...) in je pač enostavno omogočeno, čeprav predstavlja varnostno tveganje.
PS: boljše da ne načnemo teme o mobilnih operaterjih in dostopu do naših SMS-ov
WizzardOfOZ ::
In še zgodba iz prakse, ki bo razorožila vse teoretike. Grem v poslovalnico zamenjat paket, sedimo v oni mini pisarni jaz, ena tanova, ki se uvaja in njena sodelavka. Na lastna ušesa slišim, kaj vse vidita o meni v sistemu, ko ji tastara vse pokaže. Resda moram dat kartico (za osebno se itak ne spomni), ampak me v sistemu najdeta preko nekega iskalnika (ne skenira kartice). Komentar: "čitalec nekaj jezi, boma ročno poiskali". Potem pa:
- glej tu vidiš če so kake neporavnane obveznosti, to je mastercard za tekoči mesec XXX eur, to je odobreni limit, ...
- tu maš zgodovino vseh kreditov, obrokov, ... vidiš to je Harvey Norman, obroki za neko pohištvo (že vsaj 5 let odplačano)
- tu so pa vsi računi, varčevanja, ...
- tu bi pa vidla če ma kako življensko zavarovanje
To je njihovo delo. Oni to morajo videti. Zato so tam. Razen če misliš, da tete na šalterjih delajo z zavezanimi očmi, pa nekaj na pamet tipkajo.
In vse to je logirano in točno se ve kdo je kaj gledal in kaj je kliknil v tistem času, ko si bil ti tam. In ko si šel, te ni šla še enkrat preverit.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
nosiyo ::
Seveda. Ko pride sosed dvignit 50eur, mu je treba še prešnofat za koliko eur je nabavil pohištvo pred 5 leti. To je tvoje delo.
WizzardOfOZ ::
Zakaj bi gledal transakcije za 5 let nazaj?
Mislim da tiste tete na šalterju nimajo ne časa in ne interesa brskat po teh podatkih (razen, če ima stranka takšne želje).
Mislim da tiste tete na šalterju nimajo ne časa in ne interesa brskat po teh podatkih (razen, če ima stranka takšne želje).
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
nosiyo ::
Ni tema 'zakaj bi', ampak 'ali lahko'. Ti si trdil da se ne more, ker živimo v idealnem svetu in so pri denarju res vsi smrtno resni in odgovorni.
WizzardOfOZ ::
Na šalterju mora pogledat tvoje podatke. Zato je tam in ti ko stopiš na šalter in se identificiraš, ženska tam odpre klienta, kjer vidi vse tvoje podatke. Na vseh bankah je tako, na vseh zavarovalnicah, na davčni, ...
In ne, ne gleda transakcij za brezveze, ker nima časa.
In ne, ne gleda transakcij za brezveze, ker nima časa.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
nosiyo ::
Torej sam sebi negiraš zgornji post
Torej maš dostop do stvari, ki jih ne rabiš, ampak nimaš časa tega gledat. Torej je v bančništu popolnoma enako kot pri sestrah, ki vidijo vse, samo pač nimajo časa gledat in se 'rpi denarju to ne konča'. In v praksi potem lahko nekdo vpraša kolega, ki dela nekje, naj preveri nekaj za tretjega kolega, ker je pač firbčen. Ker varnost temelji na tem 'zakaj bi to kdo gledal', 'nima časa gledat', ... Upam da res nena ti že 30 let skrbiš za varnost našega denarja.
Nič ne skrivajo. Preprečujejo. To je normalen IT. Do česar ne rabiš, nimaš dostopa. Manj možnosti pri vdorih, manj možnosti pri zlorabah.
Očitno je, da ne razumeš da se "pri denarju vse neha".
Torej maš dostop do stvari, ki jih ne rabiš, ampak nimaš časa tega gledat. Torej je v bančništu popolnoma enako kot pri sestrah, ki vidijo vse, samo pač nimajo časa gledat in se 'rpi denarju to ne konča'. In v praksi potem lahko nekdo vpraša kolega, ki dela nekje, naj preveri nekaj za tretjega kolega, ker je pač firbčen. Ker varnost temelji na tem 'zakaj bi to kdo gledal', 'nima časa gledat', ... Upam da res nena ti že 30 let skrbiš za varnost našega denarja.
Zgodovina sprememb…
- spremenilo: nosiyo ()
WizzardOfOZ ::
Torej maš dostop do stvari
Te moram razočarat. Nimam dostopa do produkcijskih podatkov. Sem razvijalec programske opreme in delamo samo na razvojnem okolju, kjer si moraš podatke sam pripravit.
Vem pa kaj vse moram implementirat, da imajo dostop do ključnih podatkov samo tisti, ki imajo prava pooblastila za delo s tistimi podatki.
Poznam pa sisteme dovolj dobro, da tvoje blebetanje kako vsi gledajo tvoje podatke, postane brezpredmetno.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Utk ::
Se pravi, sploh ne delaš na produkcijskih podatkih, nimaš dostopa do njih, ampak veš pa tudi, da jih nima nihče drug.
Seveda, ker produkcijski podatki so nekje v oblaku (ne mislim na ta naš oblak, ampak na bolj "nebeškega"), ki se sam vzdržuje, popravlja, backupira in obnavlja.
Seveda, ker produkcijski podatki so nekje v oblaku (ne mislim na ta naš oblak, ampak na bolj "nebeškega"), ki se sam vzdržuje, popravlja, backupira in obnavlja.
Zgodovina sprememb…
- spremenil: Utk ()
Invictus ::
Na produkcijskih podatkih NE DELA nihče pameten. Ker je to skregano z vsako logiko varnosti, zakona o osebnih podatkih, itn...
Tudi nikoli nočeš imeti na produkcijskih sistemih nekih admin, root, sysadmin in podobnih dostopov, razen če te res določijo, ali pa je to tvoje osnovno delo.
Ko so pizdarije na sistemih, so najprej na udaru ljudje z prevelikimi dostopi.
Pametem Itjevec si uredi okolje, ki mu daje čim manj dostopov do podatkov zaradi katerih te lahko odškodninsko ali kazensko preganjajo.
Tudi nikoli nočeš imeti na produkcijskih sistemih nekih admin, root, sysadmin in podobnih dostopov, razen če te res določijo, ali pa je to tvoje osnovno delo.
Ko so pizdarije na sistemih, so najprej na udaru ljudje z prevelikimi dostopi.
Pametem Itjevec si uredi okolje, ki mu daje čim manj dostopov do podatkov zaradi katerih te lahko odškodninsko ali kazensko preganjajo.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
WizzardOfOZ ::
Se pravi, sploh ne delaš na produkcijskih podatkih, nimaš dostopa do njih, ampak veš pa tudi, da jih nima nihče drug.
Seveda, ker produkcijski podatki so nekje v oblaku (ne mislim na ta naš oblak, ampak na bolj "nebeškega"), ki se sam vzdržuje, popravlja, backupira in obnavlja.
Verjamem, da še nikoli nisi videl enterprise okolja in razvoja v takem okolju.
Nihče nima kaj delat ročno s produkcijskimi podatki. Dela se samo preko klientov, za katere pa morajo delavci imeti prava pooblastila, da lahko sploh vidijo tiste podatke. In tisti, ki imajo prava pooblastila sigurno ne trosijo informacij naokoli.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
nosiyo ::
Vse kar implementiraš nič ne pomaga, ker imajo nekateri preveč pooblastil. Ker je to veliko enostavneje in ceneje za implementirat, kot pa če bi res zavarovali stvari. Npr. da mora stranka s podpisom (recimo cert na novi osebni) najprej avtorizirat operacijo (npr. vlogo za kredit) in šele potem odločevalci dobijo vpogled v njegovo kreditno sposobnost. In hkrati da ima vsak vpogled (npr. v spletni banki) v to, kaj je kdo o njem brskal in ni treba pošiljat zahteve o izpisu (po GDPR) in s tem sprožat nekega postopka, ko se 10 ljudi čudi kaj mu je treba odgovorit. To bi recimo bil pomik k višji stopnji varnosti. Ampak je preveč dela oz. denarja. Lažje je pač rečt, da vsak na šalterju vidi vse, ker 1x na leto pa res rabi ta podatek o 1 stranki, zato ga kar pooblastimo da lahko nonstop gleda to za vse stranke.
Če bi poznal sisteme, bi tudi vedel, da se to dogaja. Videno na nič koliko področjih, kjer sem delal. Ne dogaja se redno, ker potem bi že zdavnaj nadgradili sisteme, se pa dogaja dovolj pogosto, da je problem. In inžinerji smo te probleme dolžni reševat. Ampak očitno se jih po 30 letih eni niti zavedate ne.
Če bi poznal sisteme, bi tudi vedel, da se to dogaja. Videno na nič koliko področjih, kjer sem delal. Ne dogaja se redno, ker potem bi že zdavnaj nadgradili sisteme, se pa dogaja dovolj pogosto, da je problem. In inžinerji smo te probleme dolžni reševat. Ampak očitno se jih po 30 letih eni niti zavedate ne.
Utk ::
Tako je. Mi za vsak slučaj delamo backup kar svojih podatkov, ne produkcijskih, da ja ne bi bilo kaj narobe.
Razen ko se ne.
Dela se samo preko klientov
Razen ko se ne.
Zgodovina sprememb…
- spremenil: Utk ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )Oddelek: Novice / Varnost | 132560 (97793) | AndrejO |
» | Kredit, zakaj kopijo TRR 3 mesecev (strani: 1 2 )Oddelek: Loža | 27111 (24617) | krneki0001 |
» | Odkrit trojanec za Linux (strani: 1 2 3 )Oddelek: Novice / Varnost | 37502 (31115) | SeMiNeSanja |
» | Diskretnost na banki (strani: 1 2 )Oddelek: Loža | 17836 (14560) | solatko |