» »

Novi varnostni mehanizmi slovenskih bank

1
2
»

Poldi112 ::

Pametne kartice bo bolj leva rešitev. Delajo zgolj v win okolju, plus da jih uporabniki večinoma puščajo v čitalcu.

>>port 80 je forvardan na drugo mašino kjer lavfa apache.
>Tukaj tudi. Ampak kaj ima to veze pri napadih na brskalnik oz. tvoj workstation?

Odhodni promet forwardiraš na apache? To je recimo tisto ko greš TI brat slo-tech.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

techfreak :) ::

Pametne kartice bo bolj leva rešitev. Delajo zgolj v win okolju, plus da jih uporabniki večinoma puščajo v čitalcu.

Govoriš tako, kot da jih zaenkrat še ne uporabljajo?

99% bank zahteva pametne kartice za pravne osebe/podjetja/...

bbf ::

preko 80 ne more komunicirat s kompom, kjer uporabljam bančno seanso, ker bo zahteva za branje prerutana na drug komp. edin hijack explorerja pride v upoštev, da zaobide firewal od xpjev (samo IE lahko dela preko 80). razen če je še možno nepooblaščeno odpiranje portov.

fiction ::

Tole je ze malo offtopic, ampak ok:

Odhodni promet forwardiraš na apache? To je recimo tisto ko greš TI brat slo-tech.
Jaz sem govoril o dohodnem prometu. Torej inbound traffic na TCP port 80 gre na webserver (druga kista kot gateway).
Moram pa priznati, da se vedno ne vem kaj tocno misli bbf.

99% bank zahteva pametne kartice za pravne osebe/podjetja/...
Zakaj ne bi bila uporaba obvezna se za fizicne osebe?

Delajo zgolj v win okolju, plus da jih uporabniki večinoma puščajo v čitalcu.
Ene par let nazaj sem probal neko ActiveCard zadevo na GNU/Linux. Citalec priklopljen preko USB je "delal", nisem pa mogel na noben nacin usposobiti samih kartic. Od takrat sem obupal. Ista naprava v Winsih namrec deluje normalno. Zal izgleda kot da se od takrat to ni bistveno spremenilo. Za paranoike, ki hocejo uporabljati Linux / BSD _in_ pametne kartice je to precej slabo.
Nasplosno vidim se kar nekaj problemov s kriptografijo, ki mora postati bolj prijazna do uporabnikov. Recimo S/MIME email. Zakaj zaboga ne mores v email clientu izbrati kako bos sifriral sporocilo, ne pa da se avtomaticno doloca vse skupaj glede na email naslov naslovnika? Recimo nekomu, ki ima v SIGEN-CA certifikatu napisan napacen email na noben nacin ne morem poslati sifrirane poste. Samo pri uporabi napacnega email naslova je mozno sifriranje, a potem to sporocilo seveda nikoli ne bo prispelo.

poweroff ::

preko 80 ne more komunicirat s kompom, kjer uporabljam bančno seanso, ker bo zahteva za branje prerutana na drug komp. edin hijack explorerja pride v upoštev, da zaobide firewal od xpjev (samo IE lahko dela preko 80). razen če je še možno nepooblaščeno odpiranje portov.


Dajmo nekaj razčistit.

Ti blokiraš izhodni promet lokalno s firewallom ali na routerju?

Ker če na routerju, potem ne moreš videti kateri program je poslal zahtevek.

Če pa s firewallom lokalno, se ga pa da zaobiti oziroma se uporabi hijack MSIE.
sudo poweroff

Matevžk ::

Zakaj ne bi bila uporaba obvezna se za fizicne osebe?

...
Za paranoike, ki hocejo uporabljati Linux / BSD _in_ pametne kartice je to precej slabo.


Se ti ne zdi, da si tule malo protisloven?
lp, Matevžk

Matevžk ::

V sosednji temi se je zgrnilo precej nejevolje nad Abanko (vsaj kar se "epoti" tiče) in tudi v tej temi so bile proti njej uperjene kritike, po mojem upravičeno. Ti novi varnostni mehanizmi (v kombinaciji s slabim osnovnim varnostnim mehanizmom - tj. strežniškim certifikatom, pri katerem je podpisan ranljiv MD5 hash) uporabniku prinesejo več nevšečnosti kot varnosti (sploh če bo vnos glavnega gesla preko "navidezne" tipkovnice res postal obvezen). Ampak kot komitent te banke moram reči, da sem z njihovimi storitvami zadovoljen; napake pri vodenju računa se mi ne dogajajo (kot pri prejšnji banki, od katere sem pobegnil), delovni čas izpostav je sicer kratek, vendar so uslužbenci prijazni, in kar je na tem forumu še bolj pomembno - spletna stran z elektronskim bančništvom vred se mi zdi prijazna, pregledna, enostavna za uporabo (kar niti slučajno ne bi mogel reči za svojo prejšnjo banko). No, malo so se mi zamerili le s tem, da elektronsko podpisovanje (za vezane vloge ipd.) deluje le v Windowsih.

Ampak vseeno, če slučaaajno tako kapitalno zamočijo z novimi varnostnimi mehanizmi, da se odločim pobegniti ...bi pa rad od tistih, ki imajo izkušnje z več bankami (tako izkušnje s samo banko kot z elektrosnkim poslovanjem z njo), izvedel še o tem, kakšno je stanje pri drugih slovenskih bankah (ki imajo izpostavo tudi na območju Gorenjske). Predvsem me zanima, če je delo z elektronskim bančništvom tako enostavno in pregledno. (Naj jo kar imenujem - Gorenjska banka je v tem oziru zgled za "how not to ...".)

Upam, da ni narobe, če poimensko imenujemo podjetja ...
lp, Matevžk

fiction ::

Zakaj ne bi bila uporaba obvezna se za fizicne osebe?
...
Za paranoike, ki hocejo uporabljati Linux / BSD _in_ pametne kartice je to precej slabo.

Se ti ne zdi, da si tule malo protisloven?

No ja, forcati uporabe itak ne morejo. Mislil sem na to, da bi ob narocilu ebancnistva zraven ponudili subvencioniran citalec pametnih kartic in kartico ter razlozili prednosti, kar bi spodbujalo rabo. Ko prevzames SIGEN-CA certifikat se itak lahko odlocis ali bos tisto hranil na disku ali pa skopiral na pametno kartico in (varno) izbrisal z diska. Banka pa tudi od dalec ne more vedeti ali si uporabljal citalec pametnih kartic ali ne.

V koncni fazi upam, da bodo pametne kartice dovolj razsirjene kar bo potem najbrz vplivalo tudi na dostopnost programske opreme za alternativne operacijske sisteme. Tako da ALI / ALI odlocitev ne bo vec potrebna.

fiction ::

... vendar so uslužbenci prijazni ...
Jasno, saj gre za banko prijaznih ljudi ;)

S kritiko v tej temi se cisto strinjam, medtem ko je tisto v drugi temi privleceno za lase. Treba je tudi vedeti, da ideja o "virtualni tipkovnici" ni nastala pri IT-ju ampak je zrasla na zelniku kaksnega od sefov, ki je to smatral kot dobro reklamo. Ce bo stvar postala obvezna bo pa bolj anti-reklama.

(Naj jo kar imenujem - Gorenjska banka je v tem oziru zgled za "how not to ...".)
Mene je Gorenjska banka tudi precej razocarala kar se tice cakanja v vrsti in prijaznosti, nisem pa uporabljal ebancnistva.
Najbolj me je motilo to, ko so kar na enkrat problikovali moj studentski racun v navaden racun in mi racunali vodenje racuna. Ko sem jim cez par dni prinesel potrdilo o vpisu (za kar sem moral precej casa cakati v vrsti), so mi razlozi, da je tisto o obveznem potrdilu o vpisu za studente pisalo na zadnji strani prejsnjega izpiska o stanju. Tega ne morem ne potrditi ne zanikati, vem pa da napisa nisem opazil. Zanimivo, da pri drugi banki cesa podobnega niso nikoli naredili. In po tem koliko studentov je bilo v vrsti zaradi "pozabljenega potrdila", sklepam, da nisem bil edini, ki so ga tako "nategnili".

Aja btw: baje obstajajo neuradni nacrti, da bi Gorenjsko banko zdruzili z Abanko, tako da mogoce tudi v Abanki ne bos varen. :)

Zgodovina sprememb…

  • spremenil: fiction ()

Matevžk ::

Za tiste neuradne načrte sem slišal, ampak kolikor sem razumel, bi pri tem Abanka imela glavno besedo (ali je bilo mišljeno celo kot prevzem GB s strani Abanke?).
Meni je GB poslala poseben dopis glede tega potrdila, če se prav spomnim. Takrat sem zaprl račun. Uporabljal ga pa že prej par let nisem, odkar so naredili kapitalno napako pri vodenju računa (se jim je dogajalo podobno kot NLB-jevcem takrat).

Z drugimi bankami pa nimam izkušenj, zato sprašujem, če bo ravno kriza in bo treba menjat. :)
lp, Matevžk

Jst ::

Komentarjev do tega nisem bral, tako, da če je bilo to že omenjeno, se oproščam.

>Tale ta zadnja je še najboljša. Edino cena bi bila morda velika oziroma prevelika. Kaj pa da dobiš TAN + USB ključek, ki bi
>bil narejen tako, da se ne da spreminjat in bi se vtaknil stvar v računalnik in se preko tistega prijavil. Poleg tega bi bil
>vsak ključek uporaben le za določen račun in še imel bi posebaj TAN. Samo pol če ti ukradejo potem pa je ...

Dobra ideja. Ključek bi bil bootable, kot imaš racimo sedaj nekje na travnku mac on stick. Ali pa da skoraj vsak linux inštaliraš na USB ključ. Tako, da OS na ključku sploh ne bi rabil biti podoben DOSu ali WIn 3.11 ampak sodobna zadeva. Sploh glede na to, da imam jaz na enemu ključku WinXP. Če pa dodaš še Aktivno Kartico, ki bi lahko bila vključena v sam USB ključek, je pa totalna zmaga. Seveda, pred bootom takšnega USB ključka, bi moram vpisati pin, če bi vseboval še aktivno kartico pa še pri vsaki transakciji.

Bi bilo pa seveda potrebno narediti natančno analizo kaj je dražje: stvar, ki se priklopi na omrežje ali pa moj predlog. In subtilno analizo varnosti omenjenih zadev.

edit:
@fiction

>Jah to z USB ne vem kako je kaj varno pri kompromitiranem racunalniku

Z mojo predlagano rešitvijo, ti ni treba skrbeti za komprimitiran račnalnik...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()

fiction ::

Ja, samo tole s svojim desktop OS na kljucku ni najbolj elegantno. Problem je v tem, da ima OS in brskalnik znotraj njega lahko svoje varnostne ranljivosti. Racunaj, da bos recimo uporabljal zadevo se po kaksnem letu in najbrz noces, da se stvar na njem kakorkoli spreminja. Torej iz varnostnih razlogov odpadejo updati, kar pa po drugi strani pomeni, da si vedno ranljiv.
Druga tezava je v tem, da ljudje niso nujno navajeni na druge sisteme. Moja ideja je zato tak minimalisticen OS, ki se samo uporablja za "potrjevanje", medtem ko vse drugo poteka na navadnem OS (na katerega so uporabniki navajeni in kjer so programi poupdatani). Seveda pa to lahko pomeni tudi teoreticno, da je racunalnik kompromitiran.

techfreak :) ::

Ti misliš, da bi samo zaradi banke bootal v drug sistem? Ti se moraš hecati. Nobeden te ne bo resno jemal.

Od vseh ljudi, ki jih poznam, bi ti 99% reklo, da si bedak. Kaj takšnega je nemogoče izvesti.

Zgodovina sprememb…

ender ::

Popravkov za tak zaprt sistem ni noben problem izdelovat - pač vsakega podpišeš z digitalnim potrdilom, sistem pa ne namešča popravkov, ki nimajo veljavnega podpisa (nekaj podobnega, kot je na Visti x64 z gonilniki).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

fiction ::

Ti misliš, da bi samo zaradi banke bootal v drug sistem? Ti se moraš hecati. Nobeden te ne bo resno jemal.
Najvecji paranoiki to ze zdaj pocnejo. Ampak ja, za povprecnega uporabnika to ni prakticno pa mogoce tudi noce uporabljati za e-bancnistvo sistema, ki mu ga ti vsilis. Ceprav ti mislis, da je najbolj varen, najbolj kul ali pa karkoli.

Popravkov za tak zaprt sistem ni noben problem izdelovat - pač vsakega podpišeš z digitalnim potrdilom, sistem pa ne namešča popravkov, ki nimajo veljavnega podpisa (nekaj podobnega, kot je na Visti x64 z gonilniki).
Ok, imas prav. Ampak se vedno je vse skupaj silno nadlezno za banko, ki mora skrbeti za "pushanje" popravkov za desktop OS. Poleg vzdrzevanja svojih sistemov mora prakticno skrbeti se za tebe. Najbrz bi to kar precej stalo. Pa problem je se v tem, da ti lahko ne uporabljas stalno tega in imas se vedno precej zastarel software. Ko se naslednjic odlocis in zbootas ta OS, si lahko se vedno nekaj casa (dokler se ne namestijo popravki) ranljiv. Ce se da namescati software, obstaja moznost da se z izkoriscanjem dolocene ranljivosti namesti tudi koda, ki mogoce ni podpisana. In ta bo potem stalno prisotna.

Moja resitev vsebuje en tak cheap embedded sistem, ki ima manj kompleksno kodo (na ekranu samo izpisuje za kaksno
transakcijo gre). Torej vse skupaj bi bilo precej manj obsezno kot povprecen brskalnik in zato bi bilo tudi manj moznosti za napake. V zadevo vstekas ethernet kabel pa je. Kljub zamegljenemu pogledu na tvojem racunalniku (poljuben OS, poljuben browser) tako se vedno vidis dejansko stanje. In s tisto napravo potem samo se reces ACK. Na zadevo fizicno sploh ne bi mogel pisati brez da bi zlomil pecat, ki bi prepreceval nadaljnjo uporabo. Banka bi ti zadevo dala za eno leto potem bi pa tisto vrnil. Banka ali podizvajalec bi potem zbral stare naprave, jih odprl in morebiti na EEPROM namestil nov software. Ideja je v tem, da prakticno ne bi mogel namestiti gor backdoora (po rebootu bi vse skupaj izginilo). Torej napadalec bi moral vedno znova in znova izkoriscati morebitno ranljivost. To bi pa pomenilo, da bi se dalo potencialno hitreje najti napako.

blackbfm ::

In kok manj zlorab misliš da bi bilo s tvojim sistemom? Aja toliko da se ne splača banki s tem ukvarjat. Sicer pa bi se itak najdu nek geek, ki bi zlomil tut tak sistem. Brezveze. Recimo bančna kartica ima tut lahko "uber uncrackable" čip in nevem kakšne varnostne mehanizme, potem pa uporabnik nosi kartico skupaj s pin številko na listku. Nima smisla.

Jst ::

Pri mojem primeru BankOnStick, sploh ni nujno, da delaŠ z banko preko brskalnika. Naloži se ti kernel, en minimalistični x server, mogoče posebna aplikacija za delo z banko (v kiosk mode).

Glede popravkov: bili bi večinoma samo nujni (ali kernel) popravki, mogoče še kakšna malenkost. Vse verificirano, da se ne naloži ZlobnaKodaTM. Minimalni grafični server podpira večino kartic in monitorjev, magar prvo vse na default 800x600. Tako kot imajo linux live cdji, ko si lahko nastaviš persistent disk space, bi pri temu bil za takšne nastavitve oziroma lep setup process, ki bi zadevo nastavil in bi se ponovno zagnal, če bi ga zadegal v drug računalnik.

Ne rečem, da je moja rešitev boljša... lahko bi zadeva delovala tudi direkt iz winsev (če bi zadeva vsebovala tudi aktivno kartico - tist kalkulaatorček), bi pa v navodilih pisalo, da je v takšnem načinu manj varno.

Glede bank:
SKB za fizične osebe ponuja skb.net, kjer dobiš Aktivno kartico, zadeva izgleda kot kalkulatorček, in ko pravilno vpišeš PIN, se ti izpiše številka, ki je one time access only. Vmesnk je lep in pregleden; meni je všeč. Dosti bolj, kot klik - klik za fizične osebe, da ne bo pomote - kjer če pravilno vem, dobiš navaden certifikat za v browser in že online bankuješ. (hmmm, ima kdo boljši predlog za glagol besede "banka"?)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

zee ::

Banka Koper ima prav tako kalkulatorcek, kjer po vpisu PIN kode dobis enkratno geslo za vstop v spletno banko.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Jst ::

To se mi zdi kar dobra (varnostno gledano) resitev. Prakticna tudi. In uporabniku prijazna.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

blackbfm ::

Mamo doma en tak kalkulatorček. Daleč od tega da bi bil praktičen. Mam rajš certifikat+geslo.

fiction ::

No ja, uporabniku ni tako zelo prijazna. One-time-password generatorji so dveh vrst: event pa time based. Event based pomeni, da samo enkrat (kadarkoli) lahko uporabis tisto geslo, medtem ko banke uporabljajo bolj varen (casovno osnovan) nacin, kjer geslo velja recimo 30 sekund. Torej v 30 sekundah moras pretipkati npr. 10 stevilk v brskalnik. Za stare mame je to precej komplicirano. :)

Poleg tega pa ni problem samo vstop v spletno banko, ampak izvajanje vsake transakcije. Trojanec ti recimo lahko pusti, da se normalno logiras potem pa nakaze denar. Tudi, ce ti uporabis vsakic OTP (kar je se malo manj prakticno), se zmeraj lahko mislis, da nakazujes denar znancu, v resnici pa ti je zlobna koda nekaj podtaknila in si denar nakazal v Rusijo (ker recimo
tvoje transakcije ni spustila cez in je samo zlorabila enkratno geslo).

Ravno zato, ker ne mores zaupati tistemu kar vidis na kompromitiranem racunalniku, se uporablja out-of-band signalizacija. Kjer recimo dobis SMS ali res hoces, nakazati temu in temu denar. (No pri nas dobis SMS sele naknadno, ko je denar ze sel, ampak ok). Problem s tem je, da je prenos podatkov s pomocjo SMS sporocil razmeroma drag pa tudi telefonu kmalu ne bos vec mogel zaupati (lahko je okuzen tako kot racunalnik).

Posebna naprava bi komunicirala kar preko interneta (ki ga ze itak uporabljas za spletno bancnistvo) tako da odpadejo vsi stroski v zvezi s tem (ljudje imajo itak vec ali manj flatrate). Pa tudi bolj prakticno je vse skupaj. Najprej se prijavis (za to lahko recimo porabis tudi 10 minut) potem pa samo stiskas YES / NO za vsako transakcijo, ki se ti prikaze. Vse ostalo (prej) naredis v brskalniku. Za prijavo bi se lahko recimo uporabljal enostavno certifikat.

Zgodovina sprememb…

  • spremenil: fiction ()

CaqKa ::

No ja, uporabniku ni tako zelo prijazna. One-time-password generatorji so dveh vrst: event pa time based. Event based pomeni, da samo enkrat (kadarkoli) lahko uporabis tisto geslo, medtem ko banke uporabljajo bolj varen (casovno osnovan) nacin, kjer geslo velja recimo 30 sekund. Torej v 30 sekundah moras pretipkati npr. 10 stevilk v brskalnik. Za stare mame je to precej komplicirano. :)

tote stare mame in ateji ki jim je to zakomplicirano itak ne plačujejo preko računalnika, ampak stojijo v banki v vrsti da bodo pogledali če je njihov denar še vedno na banki.
meni ta sistem prav ustreza imajo ga na nkbm in številka je veljavna 60s. sistemz ono identifikacijsko kartico je po mojem mnenju manj varen... tiste kartice se da hitro skopirat, secureID kartice pa ne kar tak.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NLB klik amaterji? (strani: 1 2 )

Oddelek: Omrežja in internet
6813225 (3800) branc
»

Spletno bančništvo in varčevalni računi.

Oddelek: Omrežja in internet
173049 (2599) branc
»

Internetno bančništvo (strani: 1 2 )

Oddelek: Loža
7415524 (11210) Tilen
»

Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )

Oddelek: Novice / Varnost
7110860 (7351) CaqKa
»

NLB tarča phishing-a (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11918998 (7437) Poldi112

Več podobnih tem