Novice » Varnost » Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko
Invictus ::
Zakaj bi cel internet preverjal?
Fantje, vi ste pa res zeleni.
Fantje, vi ste pa res zeleni.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
darkkk ::
andromedar je izjavil:
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Dej novico preberi - nima veze bančna infrastruktura...
Lej predstavljaj si, da si namesto na slo-tech.com na slo_tech.com, ki zgleda (skoraj) identično kot originalni site. Nato hočeš postat in vpišeš username & geslo - no tam mu je pobralo certifikat.
Meni je to, ko da bi banko tožil, ker sem šel namest v poslovalnico NLB v poslovalnico NLB. in položil denar na račun.
celebro ::
Sicer dejansko ničesar ne vemo kako je bila zadeva v tem primeru speljana tako da malo ugibam ampak... Saj se niso prijavili brez certifikata.
Problem je ker je NLB sam svoj CA in so njihovi certifikati v bistvu self signed. Nepridiprav komot generira svoj strežniški certifikat in se izdaja za "ACNLB" ter postavi neko napadalno spletno stran, ki se izdaja za klik.nlb.si. Ko bo uporabnik priletel na tako stran ga bo seveda pričakalo opozorilo ala "The site security certificate is not trusted!" in user bo jasno kliknil "add exception" (ista procedura je, ko s clean browserjem prvič prideš na stran od klika). Napadalna stran nato lahko s pomočjo javascripta kriptira poljubne requeste (ki jih uporabnik jasno ne vidi) na uporabnikovi strani in jih posreduje naprej pravemu kliku.
Uporabnikova krivda je v tem primeru samo to, da se je strinjal z novim zaupanja nevrednim server side certifikatom. Na kar ga je pa NLB v bistvu že navadila še preden je sploh začel uporabljat klik.
Ta scenarij se pri NLB ne more zgoditi, ker se uporabljajo server in client certifikati (bi bilo pa čisto možno pri bankah, ki namesto certifikata uporabljajo generator gesel). Phising stran se lahko pretvarja da je NLB, glede self-signed certifikata imaš prav - tako lahko dobi uporabnikovo geslo. Ne more pa phising stran delati requestov v uporabnikovem imenu, ker nima njegovega certifikata. Ponarediti ga ne more, ker NLB preveri izdajatelja (samega sebe). Na NLB strani ni "add exception". Razen če nima v tem postopku NLB konkretne napake v sistemu, ampak če bi bilo to bi bilo tudi veliko več napadov.
Kdor koli je že pobral denar iz računa, je nujno moral imeti uporabnikov certifikat. Torej ali je komitent kar sam podelil certifikat (torej izvoženo datoteko, obisk phishing strani ni dovolj), ali pa je dobil virus/trojanca, ki je to storil namesto njega. Sklepam da je veliko težje ukrasti certifikat, če je zaščiten z geslom, kar je napaka oškodovanca. Mislim da bi edina napaka NLB lahko bila v pomankljivem obveščanju uporabnikov glede phising strani in načina shranjevanja gesel.
smash ::
andromedar je izjavil:
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Dej novico preberi - nima veze bančna infrastruktura...
Lej predstavljaj si, da si namesto na slo-tech.com na slo_tech.com, ki zgleda (skoraj) identično kot originalni site. Nato hočeš postat in vpišeš username & geslo - no tam mu je pobralo certifikat.
Meni je to, ko da bi banko tožil, ker sem šel namest v poslovalnico NLB v poslovalnico NLB. in položil denar na račun.
to ni isto, ker slo-tech ne hrani mojega denarja, poleg tega slo-tech nima v zakonu, da mora skrbeti za varno uporabo svojih storitev, medtem ko banka vse to MORA storiti
svecka ::
Dejstvo je da je imela NLB pred tem dogodkom, ko so se pričele phising strani na NLB zelo zelo slabo varnostno politiko in zelo zanič spletno banko kar se tiče varnosti (poleg tega pa še pobirajo oderuško najemnino za uporabo spletne banke). In že zaradi tega prikimavam sodni odločbi. Imajo denar, imajo sredstva, vendar ne naredijo 0 za svoje izboljšanje varnosti, čeprav so bile že leta pred tem analize, raziskave in odkritja podobnih napadov na tuje banke in delovanje "zlikovcev" na internetu. Torej so v bistvu samo čakali da se zgodi neizbežno.
To je zame isto, kot da bi puščal v skladišču zadnja vrata odklenjena in enkrat nekdo nekoč bo že notri prišel in malce pokradel. Kdo je torej kriv? Tisti ki je imel stvari v skladišču ali skladišče samo, ker ni imelo primerne zaščite? Meni je odgovor na dlani.
To je zame isto, kot da bi puščal v skladišču zadnja vrata odklenjena in enkrat nekdo nekoč bo že notri prišel in malce pokradel. Kdo je torej kriv? Tisti ki je imel stvari v skladišču ali skladišče samo, ker ni imelo primerne zaščite? Meni je odgovor na dlani.
Zgodovina sprememb…
- spremenil: svecka ()
RejZoR ::
Čak mal, kako je lahko krivda in malomarnost banke, če uporabnik namesto strani s ključavnico in napisom HTTPS obišče stran http://klik.nalbe.si in vanjo vnese svoje login podatke in je za to nekako kriva banka. To je zgolj in samo malomarnost uporabnika. Folk naj si zaboga že vtakne pomembne strani v bookmarke. Pa ta vnos prej 3x preveriš in ne moreš nikoli več zajebat. Ne pa da vsakič visiš v iskalniku. To je navadna šlamparija in malomarnost folka. Če pa se bo zgodil hack kjer bojo poneverili certifikate in se vrinili v varno povezavo oz bo šlo za vdor na strani strežnika, to pa je krivda banke, ker pri tem uporabnik ne more storit ničesar.
Kakorkoli je NLB krdogrdi in ne vem kaj še vse se tle strinjam z njimi. Draga lekcija za naprej, ampak lekcija nonetheless. Jebi ga.
Kakorkoli je NLB krdogrdi in ne vem kaj še vse se tle strinjam z njimi. Draga lekcija za naprej, ampak lekcija nonetheless. Jebi ga.
Angry Sheep Blog @ www.rejzor.com
Senitel ::
Ne ni, AC NLB je trusted. (razen na kakem open sours softveru, ki raje zaupa raznim Comodo-m in podobno... ).
V katerem vesolju je ACNLB trusted? Noben browser nima ACNLB kot zaupanja vrednega izdajatelja certifikatov (govorim za serverske certifikate). Nadaljevanje spodaj...
Sicer dejansko ničesar ne vemo kako je bila zadeva v tem primeru speljana tako da malo ugibam ampak... Saj se niso prijavili brez certifikata.
Problem je ker je NLB sam svoj CA in so njihovi certifikati v bistvu self signed. Nepridiprav komot generira svoj strežniški certifikat in se izdaja za "ACNLB" ter postavi neko napadalno spletno stran, ki se izdaja za klik.nlb.si. Ko bo uporabnik priletel na tako stran ga bo seveda pričakalo opozorilo ala "The site security certificate is not trusted!" in user bo jasno kliknil "add exception" (ista procedura je, ko s clean browserjem prvič prideš na stran od klika). Napadalna stran nato lahko s pomočjo javascripta kriptira poljubne requeste (ki jih uporabnik jasno ne vidi) na uporabnikovi strani in jih posreduje naprej pravemu kliku.
Uporabnikova krivda je v tem primeru samo to, da se je strinjal z novim zaupanja nevrednim server side certifikatom. Na kar ga je pa NLB v bistvu že navadila še preden je sploh začel uporabljat klik.
Ta scenarij se pri NLB ne more zgoditi, ker se uporabljajo server in client certifikati (bi bilo pa čisto možno pri bankah, ki namesto certifikata uporabljajo generator gesel). Phising stran se lahko pretvarja da je NLB, glede self-signed certifikata imaš prav - tako lahko dobi uporabnikovo geslo. Ne more pa phising stran delati requestov v uporabnikovem imenu, ker nima njegovega certifikata. Ponarediti ga ne more, ker NLB preveri izdajatelja (samega sebe). Na NLB strani ni "add exception". Razen če nima v tem postopku NLB konkretne napake v sistemu, ampak če bi bilo to bi bilo tudi veliko več napadov.
Ja uporabljajo server in client certifikat. Ampak tudi njihov server certifikat je bil do nedavnega self-signed. Torej je lahko vsak lolek sproduciral nov server certifikat za svoj attack page, user je dobil "add exception" in attack page je lahko kriptiral requeste na clientu kot sem že opisal.
So pa to pred kratkim spremenili (19.6.2014) in so začeli uporabljat certifikat, ki ga browserji dejansko prepoznajo kot trusted, slava jim.
Njihov varnostni doseg dosedaj je bil, da so ob poteku njihovega self-signed certifikata (lani enkrat?) na prvo stran nabili obvestilo, da se bodo browserji pritoževali glede neveljavnega certifikata in naj userji kliknejo "add exception".
smash ::
glede na tale zadnji post pred mano pa sploh ni debate, kdo je kriv, namreč ne morem verjet kaj je napisano
celebro ::
Ja uporabljajo server in client certifikat. Ampak tudi njihov server certifikat je bil do nedavnega self-signed. Torej je lahko vsak lolek sproduciral nov server certifikat za svoj attack page, user je dobil "add exception" in attack page je lahko kriptiral requeste na clientu kot sem že opisal.
So pa to pred kratkim spremenili (19.6.2014) in so začeli uporabljat certifikat, ki ga browserji dejansko prepoznajo kot trusted, slava jim.
Request, ki je bil zakriptiran za phishing stran s self-signed certifikatom ne bo veljaven na NLB serverju, ki uporablja drug (pa čeprav tudi self-signed certifikat). Še prebrati ga ni možno brez privatnega ključa phishing strani. Phishing stran lahko zaradi "add exception" uporabniku pokaže karkoli in od uporabnika dobi poljuben input preko strani (npr. geslo), nikakor pa brez uporabnikovega certifikata ne more komunicirati z NLB strežnikom.
MrStein ::
Lej predstavljaj si, da si namesto na slo-tech.com na slo_tech.com, ki zgleda (skoraj) identično kot originalni site. Nato hočeš postat in vpišeš username & geslo - no tam mu je pobralo certifikat.
Še en, ki se ne spozna 3% na tehnologijo a je "ful pameten"?
Certifikat ne moraš tak mimogrede "pobrati" (če meniš drugače, to mnenje s čim podpri).
Meni je to, ko da bi banko tožil, ker sem šel namest v poslovalnico NLB v poslovalnico NLB. in položil denar na račun.
Sosedu Francu je pristanek na Luni zarota. Pepco pa duhovi obiščejo vsako soboto. Priseže!
Čak mal, kako je lahko krivda in malomarnost banke, če uporabnik namesto strani s ključavnico in napisom HTTPS obišče stran http://klik.nalbe.si in vanjo vnese svoje login podatke in je za to nekako kriva banka. To je zgolj in samo malomarnost uporabnika
Še en, ki ne ve kako HTTPS klient avtentikacija deluje.
Ne ni, AC NLB je trusted. (razen na kakem open sours softveru, ki raje zaupa raznim Comodo-m in podobno... ).
V katerem vesolju je ACNLB trusted? Noben browser nima ACNLB kot zaupanja vrednega izdajatelja certifikatov (govorim za serverske certifikate).
Noben, razen nekaj milijard instalacij IE (in Chrome in kar še uporablja Windows CryptoAPI).
Hitro, en z Windows Phone naj odpre https://klik.nlb.si/ da vidimo, če nekaj dodatnih milijono namestitev IE tudi ima ACNLB kot trusted.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
AndrejO ::
Čak mal, kako je lahko krivda in malomarnost banke, če uporabnik namesto strani s ključavnico in napisom HTTPS obišče stran http://klik.nalbe.si in vanjo vnese svoje login podatke in je za to nekako kriva banka.
Banka je v položaju, kjer lahko s svojimi bistveno večjimi sredstvi in tehničnim znanjem (tudi outsourcanim, če ga nima v hiši) poskrbi za uporabo takšnih tehničnih sredstev in postopkov, da se možnost takšne zlorabe zmanjša na stopnjo, ki je poslovno sprejemljiva.
Poslovno sprejemljiva stopnja je takšna, da bo banka lahko krila vso na takšen način povzročeno škodo - bodisi sama neposredno, bodisi z ustreznim zavarovanjem tveganja pri zavarovalnici.
Dosoditev odškodnine je nujno potreben mehanizem, ki banko prisili v takšno ravnanje, saj brez tveganja škode (torej, če bi banka vse zahtevke zavračala) banka ne bo motivirana za to, da bi bolje poskrbela za varnost.
Zgodovina sprememb…
- spremenil: AndrejO ()
Mr.B ::
celebro,
1.
za začetek en Vesrisig-ov certifikat stane banko manj kot kakšna plača popularnega populističnega zaposlenega...Pustimo to, da moraš imeti RESNE probleme "ne samo tehnične", da uporabljaš tako banko s tako storitvijo.
celebro,
2.
jaz, ma sem prepričan da zna cca 99% IT-jevcev generirati tak certifikat, ki bo zgleda "praktično" identičen NLB-jevem samo-podpisanem certifikatu.
celebro,
3.
Me zanima, kako boš ti nekemu uporabniku, ki je do sedaj uporablaj tako banko, ki kriči rip me off, in se mu pojavi okno o nezaupanju certifikat, da bo v 99% kliknit izjemo, če bo stran izgledala identično.
celebro,
4.
Veliko sreče, kako naučiti uporabnika ločiti med fake in pravo stran, če že v osnovi originalna stran kriči po fake strani.
1.
za začetek en Vesrisig-ov certifikat stane banko manj kot kakšna plača popularnega populističnega zaposlenega...Pustimo to, da moraš imeti RESNE probleme "ne samo tehnične", da uporabljaš tako banko s tako storitvijo.
celebro,
2.
jaz, ma sem prepričan da zna cca 99% IT-jevcev generirati tak certifikat, ki bo zgleda "praktično" identičen NLB-jevem samo-podpisanem certifikatu.
celebro,
3.
Me zanima, kako boš ti nekemu uporabniku, ki je do sedaj uporablaj tako banko, ki kriči rip me off, in se mu pojavi okno o nezaupanju certifikat, da bo v 99% kliknit izjemo, če bo stran izgledala identično.
celebro,
4.
Veliko sreče, kako naučiti uporabnika ločiti med fake in pravo stran, če že v osnovi originalna stran kriči po fake strani.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
MrStein ::
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- zavarovalo slike: gzibret ()
mirancar ::
če prav razumem si včasih lahko delal v ebanki vse samo z certifikatom
torej brez gesla in dodatne kode ob transakciji?
torej brez gesla in dodatne kode ob transakciji?
RejZoR ::
Lej predstavljaj si, da si namesto na slo-tech.com na slo_tech.com, ki zgleda (skoraj) identično kot originalni site. Nato hočeš postat in vpišeš username & geslo - no tam mu je pobralo certifikat.
Še en, ki se ne spozna 3% na tehnologijo a je "ful pameten"?
Certifikat ne moraš tak mimogrede "pobrati" (če meniš drugače, to mnenje s čim podpri).
Meni je to, ko da bi banko tožil, ker sem šel namest v poslovalnico NLB v poslovalnico NLB. in položil denar na račun.
Sosedu Francu je pristanek na Luni zarota. Pepco pa duhovi obiščejo vsako soboto. Priseže!
Čak mal, kako je lahko krivda in malomarnost banke, če uporabnik namesto strani s ključavnico in napisom HTTPS obišče stran http://klik.nalbe.si in vanjo vnese svoje login podatke in je za to nekako kriva banka. To je zgolj in samo malomarnost uporabnika
Še en, ki ne ve kako HTTPS klient avtentikacija deluje.
Ne ni, AC NLB je trusted. (razen na kakem open sours softveru, ki raje zaupa raznim Comodo-m in podobno... ).
V katerem vesolju je ACNLB trusted? Noben browser nima ACNLB kot zaupanja vrednega izdajatelja certifikatov (govorim za serverske certifikate).
Noben, razen nekaj milijard instalacij IE (in Chrome in kar še uporablja Windows CryptoAPI).
Hitro, en z Windows Phone naj odpre https://klik.nlb.si/ da vidimo, če nekaj dodatnih milijono namestitev IE tudi ima ACNLB kot trusted.
In ti seveda veš. Bi te pa najprej vprašal kaj zaboga sploh delaš na strani klik.nalbe.si if you haven't fuckin noticed it... ker v 99% primerov gre za stran enakega izgleda s pretkano poimenovanim URL naslovom, ki ob hitrem pogledu deluje enako kot uradni. Kar vi bluzite so preklemano sofisticirani napadi s katerimi se skoraj nihče ne ukvarja. Oz se takrat niso, mogoče se sedaj, ko so začel dodajat gor varnostne "checkpointe".
Angry Sheep Blog @ www.rejzor.com
b3D_950 ::
Ne ni, AC NLB je trusted. (razen na kakem open sours softveru, ki raje zaupa raznim Comodo-m in podobno... ).
V katerem vesolju je ACNLB trusted? Noben browser nima ACNLB kot zaupanja vrednega izdajatelja certifikatov (govorim za serverske certifikate).
Noben, razen nekaj milijard instalacij IE (in Chrome in kar še uporablja Windows CryptoAPI).
Hitro, en z Windows Phone naj odpre https://klik.nlb.si/ da vidimo, če nekaj dodatnih milijono namestitev IE tudi ima ACNLB kot trusted.
Trusted je verjetno šele od letos enkrat? Če se prav spomnim je chrome vedno težil s tistim oranžnim/rdečim opozorilom, ko si šel na klik.
Zdaj ko je mir, jemo samo krompir.
mk766321 ::
andromedar je izjavil:
se strinjam - če banka ne more zagotoviti varnosti poslovanja, naj gre nazaj na papir
Banka te žal ne more zavarovati pred tvojo neumnostjo in nesposobnostjo upravljanja z računalnikom.
Kar se je zgodilo, je primerljivo s tem, da si ti osebno (vede ali nevede) pooblastil lopova na tvojem računu...pol pa se žališ banki, da je z računa dvignil denar.
Banka sploh ne bi smela dopustiti da se to zgodi.
A nič ne nadzorujejo svoje infrastrukture, sploh pa kritične zadeve?
Banka nadzoruje svojo ifrastrukturo zelo dobro, ne nadzoruje pa uporabnikove "ifrastrukture".
Napad se (očitno)ni zgodil na bančno ifrastrukturo amapak na uporabnikovo.
antonija ::
Uporabnik na svoji "infrastrukturi" (modem/switch od ISPja, verjetno en cheap router in en, mogoce dva compa plus telefoni in tablice) nima niti najmanjse moznosti da bi kakorkoli posegel v svoj bancni racun. V vsakem primeru se mora povezati na "infrastrukturo" od banke in tam poceti kar pac hoce.
Hudica, zivimo v drzavi kjer si lahko kupis vse; lahko si pravnomocno obsojen poslanec, lahko gres na faks brez srednje sole, lahko skoraj ubijes novinarja ker pise da si skorumpirana baraba, vse lahko pocnes. Ko pa naletimo na en zakon ki dejansko smiselno ureja zadeve (v nasprotju z ostalimi zakoni, ki so vecinoma pisano z namenom zascite kapitala) se pa zacnete usajat da taki zakoni pa niso OK? Pomoznosti pa druge teme smetite s komunajzarskimi idejami o "pravicnem" svetu... Perverznezi!
Hudica, zivimo v drzavi kjer si lahko kupis vse; lahko si pravnomocno obsojen poslanec, lahko gres na faks brez srednje sole, lahko skoraj ubijes novinarja ker pise da si skorumpirana baraba, vse lahko pocnes. Ko pa naletimo na en zakon ki dejansko smiselno ureja zadeve (v nasprotju z ostalimi zakoni, ki so vecinoma pisano z namenom zascite kapitala) se pa zacnete usajat da taki zakoni pa niso OK? Pomoznosti pa druge teme smetite s komunajzarskimi idejami o "pravicnem" svetu... Perverznezi!
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
smash ::
vsi bolj pametni od sodišča? verjetno mislite, da sodniki nimajo pojma o tej tematiki, da se niso podučili in da so odločili kartako malo po občutku, ker pač tako si danes ljudje predstavljajo sodišča, kjer nekdo kao o nečem odloči pa čeprav se mu sanja ne - zato smo lahko vsi bolj pametni od sodnikov, v čisto vsaki temi
telexdell ::
Zlikovec dejansko ni nič ukradel stranki ampak je preko njegovega računa oropal banko. Stvar je podobna, kot da bi stal na blagajni pred banko in bi v banko stopil ropar. Ker sem že popisal papirje za dvig denarja je ta ropar oropal banko ali je oropal mene in banka nima nič pri tem?S temle si pa ubistvu zmagal debato Zlikovci so preko racuna komitenta oropali banko, ce smo eksaktni. Zakaj naj bi lahko banka pobrala denar komitentu samo zato, ker imajo zanic porihtano varnost?
Sicer se strinjam da je bil komitent v tem primeru racunalnisko nepismen, ampak to lahko recemo tudi za precejsen del sodelujocih na temle forume, neglede na to da naj bi bil racunalnisko usmerjen. Ampak neumnost zaenkrat se ni kazniva, je pa kazniva malomarnost, ki pa je banka ni uspela dokazati.
Koga je ropar oropal? Ali banko ali mene saj sem izpolnil obrazec, banka pa je denar dala roparju? Sem bil malomaren, ker pred izpolnitvijo obrazca nisem preveril, če se okoli banke sprehaja kakšen ropar? Se nisem dovolj zaščitil, ker na banko nisem prišel v neprobojnem jopiču in s Kalašnikom na rami?
Tvezite neumnosti. Če da banka nek produkt na trg zanj tudi odgovarja. Ne more varnostne ukrepe zaupati vsakemu ampak mora biti storitev takšna, da povprečen uporabnik ne more z njo biti oškodovan brez lastne malomarnosti ali direktnega naklepa. Če mi lahko za vsak kredit nabijejo astronomsko zavarovalno premijo se pa naj tudi sami zavarujejo pred takšnimi in podobnimi primeri zlorab.
Precej je treba vedeti, preden opaziš, kako malo veš.
Spc ::
Zdaj lahko sam naredim fishing stran in sam sebi ukradem. Potem pa se od banke dobim. Zmaga.
Ja v sloveniji je to zgleda možno.
Se vidi kakšna sodišča imamo.
AndrejO ::
Preveč se ukvarjate z "uporabnikovo infrastrukturo". Ponudnikova infrastruktura je tista, ki na koncu napadalca narobe razpozna kot uporabnika. Ker "uporabnikove infrastrukture" ni možno izboljšati, lahko pa se izboljša ponudnikovo, je zakon spisan tako, da ponudnika "motivira", da jo dejansko res popravilja in zagotavlja njeno varnost.
Nič več, nič manj.
Nič več, nič manj.
antonija ::
Ce ti dokazejo goljufijo potem bos kar lepo sam kril skodo, poleg tega te pa caka se tozba za krsenje nekaj drugih zakonov, pa verjetno se kakasna civilna iz strani banke za odskodnino...Zdaj lahko sam naredim fishing stran in sam sebi ukradem. Potem pa se od banke dobim. Zmaga.
Ja v sloveniji je to zgleda možno.
Se vidi kakšna sodišča imamo.
Sej lepo pise v linkanem zakonu, pise celo kateri clen je najbolj relevanten.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
celebro ::
celebro,
1.
za začetek en Vesrisig-ov certifikat stane banko manj kot kakšna plača popularnega populističnega zaposlenega...Pustimo to, da moraš imeti RESNE probleme "ne samo tehnične", da uporabljaš tako banko s tako storitvijo.
celebro,
2.
jaz, ma sem prepričan da zna cca 99% IT-jevcev generirati tak certifikat, ki bo zgleda "praktično" identičen NLB-jevem samo-podpisanem certifikatu.
celebro,
3.
Me zanima, kako boš ti nekemu uporabniku, ki je do sedaj uporablaj tako banko, ki kriči rip me off, in se mu pojavi okno o nezaupanju certifikat, da bo v 99% kliknit izjemo, če bo stran izgledala identično.
celebro,
4.
Veliko sreče, kako naučiti uporabnika ločiti med fake in pravo stran, če že v osnovi originalna stran kriči po fake strani.
Popolnoma si zgrešil poanto mojega posta. Princip client in server certifikata (če je implementacija ok) popolnoma onemogoča man-in-the-middle napade. Uporabnik lahko geslo javno objavi, pa mu nihče ne more ukrasti denarja, dokler ne dobi njegovega privatnega ključa (certifikata). Ključ pa lahko dobi samo če ga uporabnik sam da ali če dobi virus/trojanca. Banka na to ne more vplivati. Phising stran lahko od uporabnika dobi samo geslo, ne more pa v uporabnikovem imenu delati requestov ali requeste spremeniti in posredovati na NLB strežnik. To je celoten koncept client/server certifikatov.
Razen, če je v tistem času bila možnost uporaba klika brez client certifikata - v novici žal podrobnosti o takratni zaščiti in napadu ni . Potem bi bil seveda man-in-the-middle napad čisto možen in banka odgovorna, ker ni uredila server certifikata. Ali pa če NLB-jev server ne bi ustrezno preverjal client certifikata - tudi o tem v novici ni govora.
Kar si mi ti očital nima nobene veze s tem, kar sem jaz napisal. Ampak vseeno:
1.
V novici piše, da je uporabnik nasedel phising strani. Če je bila to phising stran ki ima drugo domeno kot nlb.si, (npr. k1ik.n1b.si), si lahko napadalec povsem legalno za nekaj stotakov sam kupi Verisignov certifikat za to domeno, tako da uporabniku sploh ni potrebno kliknit na "add exception". Uporabnikova napaka. Če je phising stran bila dostopana na klik.nlb.si in preusmerjena na napadalčev strežnik preko kakšnega drugega načina, se mora napadalec malo bolj potruditi (link1, link2), pa bo v url-ju še vedno vse zeleno. "Zaupanja vreden" certifikat zagotavlja samo to, da te ne more napasti nekdo, ki ima 5 minut časa.
2.
Kako certifikat zgleda je povsem irelevantno. V kolikor nima istega para zasebnega in privatnega ključa kot originalen NLB-jev certifikat, je popolnoma neuporaben za dejansko krajo denarja. Lahko pa omogoči krajo gesla. Ampak tudi za to je povsem irelevantno kako zgleda.
Oberyn ::
Meni se tu zdi zanimivo vprašanje, čigav je pravzaprav ta denar, ki je bil ukraden? To vendar ni moj denar, ko ga dam banko, postane last banke in ni več moja last. Torej nekdo je ukradel banki njen lasten denar, ki ga je hranila v lastni infrastrukturi, kaj imam jaz s tem? Ukradel ga je tako, da je med postopkom kraje izkoristil mene, vendar jaz o tem nisem nič vedel. Jaz vendar nisem dolžan biti top stručko za vprašanje računalniške varnosti, da bi lahko uporabljal spletno banko. Banka je pripravila spletno banko in mi jo ponudila v uporabo s ciljem kovanja velikih dobičkov, pri čemer ni zahtevala, da sem jaz pri tem strokovnjak za vprašanja računalniške varnosti. Praktično noben klient to ni. Večina jih pojma nima, kaj je to fišing in tudi ni bila zahtevana od njih nobena diploma. Banka iz tega kuje dobiček, jaz pa naj bi prevzel vsa tveganja? Ne. Pravilno je, da banka prevzame tveganja. Oziroma bi bilo, ker jih itak ne, čemur rečemo dokapitalizacija iz mojega žepa.
MrStein ::
In ti seveda veš. Bi te pa najprej vprašal kaj zaboga sploh delaš na strani klik.nalbe.si
Nič takega ne počnem.
Ugibam, da gre za tvoj privid. Tablete? (ST nivo...)
Zdaj lahko sam naredim fishing stran in sam sebi ukradem. Potem pa se od banke dobim. Zmaga.
Ja v sloveniji je to zgleda možno.
Ne, ni možno.
Tablete?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
Razen, če je v tistem času bila možnost uporaba klika brez client certifikata
Ni tega takrat omogočal. Pa verjetno prej tudi ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
sisemen ::
Ne da se mi cele klobase brati ampak moje mnenje je, da se je tukaj... grr.. žal ... grrr... zgodila krivica, pa naj je še tako težko pogoltniti. Zadeva je pribljižno na nivoju vloma v stanovanje, kjer ti iz omare ukradejo shranjene evre, potem pa tožiš banko slovenije, naj ti jih povrne. Edina stvar, ki je pri vsem skupaj pozitivna je, da bo mogoce NLB zdaj razmislila o tem, da ti OTPja ne chargajo ekstra, kar je svojevrstna svinjarija.
Zgodovina sprememb…
- spremenilo: sisemen ()
AndrejO ::
Uporabnik lahko geslo javno objavi, pa mu nihče ne more ukrasti denarja, dokler ne dobi njegovega privatnega ključa (certifikata). Ključ pa lahko dobi samo če ga uporabnik sam da ali če dobi virus/trojanca. Banka na to ne more vplivati.
Seveda lahko. Lahko vpelje takšen varnostni mehanizem, ki ga kraja zasebnega ključa ne bo pretentala.
Nekateri tukaj ste preveč obsedeni z reševanjem nerešljivega problema in popolnoma slepi za to, da je lahko na drugi strani probleme enostavno in elegantno rešiš v zadovoljstvo vseh. Če banka ni sposobna vpeljati ustreznega varnostnega mehanizma, potem mora sprejeti odgovornosti in pokriti povzročeno škodo.
Krivda tukaj ni bila objektivna, temveč kar neposredna. Rešitev, ki takšne zlorabe omejijo na poslovno sprejemljivo raven, je vedno dovolj na voljo. Malomarnost pri izbiri rešitev je posledično odgovornost banke.
Ali bi kdo z razumevanjem gledal banko, ki bi dovoljevala dvig iz bankomata brez PIN-a? Češ, če si dovolil, da ti zmaknejo kartico, si popolnoma sam kriv za vsko škodo. Čeprav vse ostale banke uporabljajo PIN in je takšnih zlorab pri njih neprimerno manj.
smash ::
Ne da se mi cele klobase brati ampak moje mnenje je, da se je tukaj... grr.. žal ... grrr... zgodila krivica, pa naj je še tako težko pogoltniti. Zadeva je pribljižno na nivoju vloma v stanovanje, kjer ti iz omare ukradejo shranjene evre, potem pa tožiš banko slovenije, naj ti jih povrne. Edina stvar, ki je pri vsem skupaj pozitivna je, da bo mogoce NLB zdaj razmislila o tem, da ti OTPja ne chargajo ekstra, kar je svojevrstna svinjarija.
Denar ni v omari ampak na banki, nekdo pa v tvojem imenu iz te banke ukrade denar. Kaj imas ti torej s tem razen skodo? Normalno je da od banke zahtevas denar.
MrStein ::
Ne ni, AC NLB je trusted. (razen na kakem open sours softveru, ki raje zaupa raznim Comodo-m in podobno... ).
V katerem vesolju je ACNLB trusted? Noben browser nima ACNLB kot zaupanja vrednega izdajatelja certifikatov (govorim za serverske certifikate).
Noben, razen nekaj milijard instalacij IE (in Chrome in kar še uporablja Windows CryptoAPI).
Hitro, en z Windows Phone naj odpre https://klik.nlb.si/ da vidimo, če nekaj dodatnih milijono namestitev IE tudi ima ACNLB kot trusted.
1.) slovenski CA-ji se namestijo na Windows XP z enim Windows update, ki pa ni Critical/Important ampak Optional: KB931125
Od Viste dalje pa je avtomatsko. Kdor še nima kakega slovenskega CA v trusted spisku, naj (z IE) obišče eno spletno stran, ki uporablja certifikat izdan od tega AC, in bo videl, da bo AC avtomatsko dodan v listo in bo naložilo stran brez opozoril o certifikatu.
2.) test z Windows Phone seveda nima pomena, odkar ima Klik drugi korenski certifikat (Entrust).
PS: Slovenske CA šteje MS za zaupanja vredne že dolgo časa, mislim da so jih dodali nekje med slovenskim predsedovanjem EU (leta 2008).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Markoff ::
Zdaj lahko sam naredim fishing stran in sam sebi ukradem. Potem pa se od banke dobim. Zmaga.
Raje ustanovi banko. To je šele kraja stoletja.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
celebro ::
Uporabnik lahko geslo javno objavi, pa mu nihče ne more ukrasti denarja, dokler ne dobi njegovega privatnega ključa (certifikata). Ključ pa lahko dobi samo če ga uporabnik sam da ali če dobi virus/trojanca. Banka na to ne more vplivati.
Seveda lahko. Lahko vpelje takšen varnostni mehanizem, ki ga kraja zasebnega ključa ne bo pretentala.
Nekateri tukaj ste preveč obsedeni z reševanjem nerešljivega problema in popolnoma slepi za to, da je lahko na drugi strani probleme enostavno in elegantno rešiš v zadovoljstvo vseh. Če banka ni sposobna vpeljati ustreznega varnostnega mehanizma, potem mora sprejeti odgovornosti in pokriti povzročeno škodo.
Krivda tukaj ni bila objektivna, temveč kar neposredna. Rešitev, ki takšne zlorabe omejijo na poslovno sprejemljivo raven, je vedno dovolj na voljo. Malomarnost pri izbiri rešitev je posledično odgovornost banke.
Ali bi kdo z razumevanjem gledal banko, ki bi dovoljevala dvig iz bankomata brez PIN-a? Češ, če si dovolil, da ti zmaknejo kartico, si popolnoma sam kriv za vsko škodo. Čeprav vse ostale banke uporabljajo PIN in je takšnih zlorab pri njih neprimerno manj.
Če je napadalcu uspelo pridobiti certifikat z oškodovančevega računalnika, bi lahko hkrati pustil na računalniku še poljuben virus/rootkit/spyware. Potem je edini varnostni mehanizem ki še lahko pomaga to, da na ločeno napravo dobiš vse podatke o plačilu (znesek, številko računa in sklic) ki ga izvajaš in ga potrdiš v kombinaciji s to napravo. Ko imaš okužen računalnik ti noben generator gesel, sporočilo na login strani, dodatno geslo, virtualna tipkovnica ne more preprečiti napada, lahko ga samo zakasni - okužba računalnika mora trajati dokler uporabnik na okuženem računalniku ne izvede plačila.
Koliko bank ti pred plačilom pokaže vse podatke o plačilu na ločeni napravi?
NLB je uporabljala "PIN in kartico" (geslo in certifikat). Uporabnik je "PIN" vnesel v napravo, ki ni bila bankomat, kartico je pa izgubil. Kar se ti dejansko pritožuješ je: "Ali bi kdo z razumevanjem gledal banko, ki bi dovoljevala dvig iz bankomata brez potrdila dviga na telefonu".
Ali ti mogoče poznaš kakšen drug varnostni mehanizem, ki se ga ne bi dalo obiti v trenutku kraje certifikata z računalnika? Pa da ga kdo dejansko uporablja.
thramos ::
Seveda lahko. Lahko vpelje takšen varnostni mehanizem, ki ga kraja zasebnega ključa ne bo pretentala.
Vse varnostne mehanizme se da pretentati. Vprašanje je samo, ali banka vpelje dovolj stroge mehanizme, da jih skrben a povprečen uporabnik lahko uporablja brez zlorabe. Oziroma ali jih zavestno ne uvede (zaradi preprostosti uporabe), noče pa prevzeti odgovornosti za posledične vdore.
Brez podrobnejših informacij (kot so v novici) o tem, kakšen je bil način vdora oz. kakšna naj bi bila uporabnikova malomarnost je precej težko soditi, ali je sodba upravičena ali ne.
AndrejO ::
Seveda lahko. Lahko vpelje takšen varnostni mehanizem, ki ga kraja zasebnega ključa ne bo pretentala.
Vse varnostne mehanizme se da pretentati. Vprašanje je samo, ali banka vpelje dovolj stroge mehanizme, da jih skrben a povprečen uporabnik lahko uporablja brez zlorabe. Oziroma ali jih zavestno ne uvede (zaradi preprostosti uporabe), noče pa prevzeti odgovornosti za posledične vdore.
Da, seveda se da vse mehnizme pretentati. Naslednjič lahko prebereš vse, kar sem napisal, vključno z ravnijo poslovnega tveganja. Tudi tebi se je zapisalo "uporablja brez zlorabe", čeprav je obeme jasno, da se gre zgolj za zmanjašanje rizika z zmanjšanjem verjetnosti negativnega dogodka. Obešanje na žargon je tako odveč, ker se ne da nikomur več pisati "uvede postopke, ki zmanjšajo verjetnost neželjenega dogodka".
Zavestno ali po malomarnosti izbrati slabe mehanizme tudi ne igra vloge. Če bi bilo zavestno, potem so zavestno sprejeli tudi večje tveganje tovrstne škode in bi morali za poplačilo te škode ustvariti več rezervacij ali pa pridobiti drugačno zavarovanje. Če je to bila malomarnost, potem so si krivi sami. V poslovnem smislu je idealna točka tam, kjer imaš namanjšo vsoto vseh stroškov: ocenjen izpad prihodka zaradi prezahtevne uporabe + neposreden strošek tehnologije + strošek rezervacij/zavarovanja.
Zato odpade tudi vprašanje strogih mehanizmov. Edina dva razloga, da odškodnine ne bi plačali, sta goljufija oz. poskus goljufije (ugotavljanje česar je sicer delo organov pregona) ali pa huda malomarnost uporabnika.
Brez podrobnejših informacij (kot so v novici) o tem, kakšen je bil način vdora oz. kakšna naj bi bila uporabnikova malomarnost je precej težko soditi, ali je sodba upravičena ali ne.
Ne glede na omejene informacije, je iz dosegljivih razvidno, da se je banka branila s poskusom dokazovanja domnevne hude malomarnosti uporabnika, pri čemer ji te malomarnosti ni uspelo dokazati. Vse ostalo je sledilo iz te, za postopek bistvene ugotovitve.
Pa še tako čisto realno: osnovni cilj vedno novih kvazi varnostnih mehanizmov, ki jih vpeljujejo banke, nimajo ničesar z varnostjo, temveč več s tem, da banka v postopku lažje dokaže hudo malomarnosti. Karikirano: "Uporabnik si ni zapomnil 27 različnih gesel in PIN številke za 28-faktorsko avtentikacijo, temveč jih zapisal na ukraden list papirja, čeprav je bil v pogojih jasno opozorjen, da tega ne sme nikoli storiti. Hudo je bil malomaren."
Zgodovina sprememb…
- spremenil: AndrejO ()
thramos ::
No, saj. Kako lahko brez informacij o tem, kaj je uporabnik počel, sodiš, ali je ravnal hudo malomarno ali ne? Stopnja malomarnosti pa je seveda odvisna od mehanizmov varnosti. In v čem se "kvazi novi" razlikujejo od "starih"?
antonija ::
Kako lahko brez informacij o tem, kaj je uporabnik počel, sodiš, ali je ravnal hudo malomarno ali ne?O tem je sodilo sodisce, njihova sodba je pa znana. Glede na budget ki ga imajo banke za jebanje komitentov v glavo, bi sel stavit da so se zelo potrudili prepricati sodisce v hudo malomarnost svojega komitenta, pa jim vseeno ni uspelo. Meni to veliko pove, sploh ker ni nikjer indica da je res prislo do malomarnosti.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
thramos ::
No, no, to je slo-tech, tukaj smo pametnejši od sodišč.
Resno, to je slo-tech in bi pričakoval, da se bo debata razvila okoli podrobnosti sodbe in zakaj je takšna kot je.
Resno, to je slo-tech in bi pričakoval, da se bo debata razvila okoli podrobnosti sodbe in zakaj je takšna kot je.
AndrejO ::
No, saj. Kako lahko brez informacij o tem, kaj je uporabnik počel, sodiš, ali je ravnal hudo malomarno ali ne?
Citat iz novice: "Banka o vračilu ni hotela slišati, češ da je bil potrošnik malomaren, ker da ni primerno zaščitil računalnika in ni prepoznal lažne spletne strani. Argument o neprimerni zaščiti sploh ne drži, saj je imel potrošnik nameščeno ustrezno protivirusno in protivohunsko opremo."
Iz tega citata je razvidno:
- obramba banke se je glasila: malomarnost uporabnika;
- odločitev sodišč na obeh stopnjah se je glasila: malomarnost ni bila dokazana.
Glede na to, da edini drugi razlog (goljufija) ni niti omenjen, je to vse, kar je. Druge obrambe banka tako ali tako ni imela.
Stopnja malomarnosti pa je seveda odvisna od mehanizmov varnosti. In v čem se "kvazi novi" razlikujejo od "starih"?
Narobe. Stopnja malomarnosti je pri povprečnem uporabniku odvisna od upoštevanja navodil banke in ravnanja povprečne osebe. Če so bila vsa navodila banke izpolnjena in bi povprečna oseba v enakem položaju ravnala enako, potem o malomarnosti ni možno govoriti.
Uporabljeni varnostni mehanizmi so pri tem ugotavljanju dejansko nepomembni. Za S-T so zanimivi zgolj toliko, da je lepo videti kako malo je dala konkretna banka na varnost in kako je očitno računala, da ne bo nikoli rabila izplačati kakršne koli škode.
AndrejO ::
Ups, pa se moram popraviti. Varnostni mehanizmi niso dejansko nepomembni. V tem postopku so pomembni v toliko, da z njihovo zapletenostjo banka dokazuje malomarnost v odostnosti prič. Npr. pokazati na malomarnost, če imaš OTP je lažje, ker je moral nekdo imeti fizičen dostop do OTP, itd.
Na koncu je cilj, da se vpelje takšen "varnostni" mehanizem, da sodišče oceni, da je zloraba najverjetneje sledila iz malomarnosti uporabnika, ker se v določenem trenutku scenariji zlorab slišijo kot neverjetne pravljice.
No, s časom se kriminalci prilagodijo in včerajšnje pravljice postanejo današnji vsakdan, tehnologija pa se mora s časom premakniti naprej.
Na koncu je cilj, da se vpelje takšen "varnostni" mehanizem, da sodišče oceni, da je zloraba najverjetneje sledila iz malomarnosti uporabnika, ker se v določenem trenutku scenariji zlorab slišijo kot neverjetne pravljice.
No, s časom se kriminalci prilagodijo in včerajšnje pravljice postanejo današnji vsakdan, tehnologija pa se mora s časom premakniti naprej.
thramos ::
Citat iz novice: "Banka o vračilu ni hotela slišati, češ da je bil potrošnik malomaren, ker da ni primerno zaščitil računalnika in ni prepoznal lažne spletne strani. Argument o neprimerni zaščiti sploh ne drži, saj je imel potrošnik nameščeno ustrezno protivirusno in protivohunsko opremo."
Iz tega citata je razvidno:
- obramba banke se je glasila: malomarnost uporabnika;
- odločitev sodišč na obeh stopnjah se je glasila: malomarnost ni bila dokazana.
Glede na to, da edini drugi razlog (goljufija) ni niti omenjen, je to vse, kar je. Druge obrambe banka tako ali tako ni imela.
Če slepo verjamemo sodiščem, potem je debata nepotrebna, se strinjam. Če pa želimo debatirat o tem, kaj so primerna zaščita banke in uporabnika, ter kaj je malomarno dejanje, je informacij premalo.
Narobe. Stopnja malomarnosti je pri povprečnem uporabniku odvisna od upoštevanja navodil banke in ravnanja povprečne osebe. Če so bila vsa navodila banke izpolnjena in bi povprečna oseba v enakem položaju ravnala enako, potem o malomarnosti ni možno govoriti.
Ja, navodila pa so odvisna od varnostnih mehanizmov. Ampak če te prav razumem, je edini namen novih varnostnih mehanizmov (še enkrat, se v čem razlikujejo od starih) lažje dokazovanje malomarnosti?
Utk ::
Če je banko njena malomarnost stala v 5 letih teh 5 jurjev plus odvetniki, potem je res vsak evro vložen v varnost brezvezen.
Lahko tudi geslo ukinejo.
Lahko tudi geslo ukinejo.
Buggy ::
Ker se nisem spuscal v podrobnosti, me pa mocno zanima, morda kdo ve na katerem OS-u se je zgodil ta primer?
Nekaj mi govori da bi znal biti MacOS user
Nekaj mi govori da bi znal biti MacOS user
WarpedGone ::
Posamezni detjali so relevanti le letoliko, kolikor je očitno da so neprimerna metoda za it se spletno bančništvo. Digitalni certifikati kot se jih gre velika večina so zelo slaba šala. Obupno štorasti, obupno neprijazni za uporabo, na koncu pa dajejo kvečjemu povsem lažen videz varnosti. Hence takšne zlorabe.
Varno je to kar se ne da enostavno skopirat in lahko vsaj opaziš,da si zadeve ne lastiš veš aka izguba hranilne knjižice, izguba bančne kartice etc. A za spletno banko pa kr nekak fizična identifikacija ni več potrebna, dovolj je absurdna telovadba z nekimi kodami in je stvar kao OK. V okolju kjer so nedelujoče zadeve (==n internet) povsem normalna stvar.
Katera banka danes za spletno bančništvo zahteva uporabo fizičnega ključka, ki generira časovno odvisne kode?
Varno je to kar se ne da enostavno skopirat in lahko vsaj opaziš,da si zadeve ne lastiš veš aka izguba hranilne knjižice, izguba bančne kartice etc. A za spletno banko pa kr nekak fizična identifikacija ni več potrebna, dovolj je absurdna telovadba z nekimi kodami in je stvar kao OK. V okolju kjer so nedelujoče zadeve (==n internet) povsem normalna stvar.
Katera banka danes za spletno bančništvo zahteva uporabo fizičnega ključka, ki generira časovno odvisne kode?
Zbogom in hvala za vse ribe
Buggy ::
Katera banka danes za spletno bančništvo zahteva uporabo fizičnega ključka, ki generira časovno odvisne kode?
Jaz imam na HypoNET taksno resitev.
Invictus ::
Uporabniško ime + geslo je dovolj dobra zaščita.
Geslo je lahko naključno generirano s kalkulatorčki.
Druga opcija je pa uporaba virtualne tipkovnice, kjer se kode za posamezne črke spreminjajo glede na sejo. Če je random generator dovolj velik, potem ni panike ...
Certifikati so potuha. In definitivno se jih da prehitro ukrasti. Ves security software gor ali dol.
Geslo je lahko naključno generirano s kalkulatorčki.
Druga opcija je pa uporaba virtualne tipkovnice, kjer se kode za posamezne črke spreminjajo glede na sejo. Če je random generator dovolj velik, potem ni panike ...
Certifikati so potuha. In definitivno se jih da prehitro ukrasti. Ves security software gor ali dol.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
AndrejO ::
Če slepo verjamemo sodiščem, potem je debata nepotrebna, se strinjam. Če pa želimo debatirat o tem, kaj so primerna zaščita banke in uporabnika, ter kaj je malomarno dejanje, je informacij premalo.
Nekako je moj običajen instinkt, da zaključkom sodišč verjamem, dokler višja instanca ne dokaže nasprotno.
Primerna zaščita uporabnika je takšna, ki ga bo zavarovala pred škodo in, pogosto, tudi njegovo lastno neumnostjo.
Primerna zaščita banke je takšna, ki jo bo zavarovala pred škodo in, pogosto, tudi njeno lastno malomarnostjo.
Občasno ta dva cilja sovpadata, ne pa vedno. Zakon je spisan tako, da v sporu ščiti šibkejšo stranko in banko sili v izbiro takšnih vrst zaščite, ki sočasno ščitijo tudi njene uporabnike.
Za malomarno dejanje pa je iz besedila že jasno: če bi uporabnik opustil kateri koli ukrep o katerem ga je banka obvestila (ga ni, ker se izrecno omenja kaj vse je storil) ali pa bi ravnal na način, ki bi bil drugačen od ravnanja povprečne osebe (kar po mnjenju sodišča ni).
Sicer mi je zabavna debata o relativni kvaliteti phishing strani, vendar pa v času dogodka banka ni sprejela že takrat znanih in razumnih ukrepov, da bi svoj sistem izvedla tako, da bi uporabnik lažje ugotovil, da gre za phishing (self-signed potrdila?), zaradi česar bi lahko bila čisto povprečna oseba zlahka zavedena in to ne po lastni krivdi.
Ja, navodila pa so odvisna od varnostnih mehanizmov. Ampak če te prav razumem, je edini namen novih varnostnih mehanizmov (še enkrat, se v čem razlikujejo od starih) lažje dokazovanje malomarnosti?
Za banko je fokus na odvračanju škode, kar lahko storijo tudi tako, da lažje dokažejo malomarnost stranke. V smislu "kako neumen moraš biti, da ..." Izbira teh mehanizmov se lahko pokrije tudi z interesi strank (dejansko zmanjšanje števila zlorab ali obsega posamičnih zlorab), lahko pa tudi ne (moja redukcija do absurda z 28-faktorskim preverjanjem je redukcija dejanskih "varnostnih" idej kakšnih bank v ZDA).
Primer takšnega odvračanja pozornosti so npr. kartice s čipom. V fazi uvajanja se je število zlorab zmanjšalo, sedaj pa znova raste, ker je kriminalcem zmanjkalo "poceni tarč" in so to pač naslednje najlažje po vrsti. Če je včasih veljala teorija, da skimming čipov in možen, je danes že jasno, da je praksa čisto drugačna.
Pri temu ne pozabiti, da so varnostni mehanizmi niso samo na točki avtorizacije, temveč tudi na točki naknadnega preverjanja. Npr. dnevna omejitev obsega prometa preko te poti, kontakt uporabnika, ko se pojavijo transakcije, ki odstopajo od povprečja, ... Tudi to je varnost, ne samo preverjanje enih ključkov.
McMallar ::
V bistvu bi moral s certifikatom narediti takole:
- pri prevzemu ga uvozis v browser
- exportiras za backup
- izbrises certifikat iz sistema
- uvozis nazaj brez moznosti exporta privatnega kljuca
Simple...
(Edit: typo)
- pri prevzemu ga uvozis v browser
- exportiras za backup
- izbrises certifikat iz sistema
- uvozis nazaj brez moznosti exporta privatnega kljuca
Simple...
(Edit: typo)
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25
Because OCT31 = DEC25
Zgodovina sprememb…
- spremenil: McMallar ()
FTad ::
Ne vem, ali je bilo že kaj govora o tem, ampak kako bi lahko izvedel še dodatno geslo, ki ga dobiš po pošti? Namreč tisto geslo se potem uporablja, ko želiš npr. prenakazati denar ipd, in potem vneseš 3 znake v virtualno tipkovnico....
WarpedGone ::
Gesla so že kul, dokler jih ni treba imet v glavi. Ja, kalkulator gesel je primer kul rešitve. Si ga zgubu? Tough luck, čimprej javit in konec nevarnosti.
Kdor si je zamislu, da mora človek si vsak mesec zmislit in nato zapomnit 8+ mestno geslo sestavljeno iz številk, velikih in malih črk in ločil je ODGOVORen za vse zlorabe sistema, ki uporablja tako zaščito.
Enako z digitalnimi certifikati, ki so OK zadeva v matematični teoriji, v praksi pa povsem zblojena zadeva. Najpej hodit od poncija do pilata, da ga dobiš, (nato to zgodb0 ponavljaš vsaj vsakih 5 let). Nato rokoborba s (PRAVIM!) brskalnikom, da hudiča dobiš k sebi v pravi browser v PRAVI browser, ob tem morš spreminjat njegove priveze nastavitve etc. Browser bo morda živel toliko kot OS, tipično pa precej manj. Ergo nucaš certifikat v obliki svojega fajla (izvoz), za kar si moraš spet zmislit in zapomnit geslo. In nato met nekje ne kozadevo, ki to datoteko hrani in ne crkne in je ne zgubiš. Ja, so ključki za hranjene teh certifiktov. Ki so spet zaščiteni z gesli in pini, kar si je treba zapomnit.
Računačnik imam zato, ker imam premajhno glavo za vse podatke, katere potrebujem.
HypoNET je torej en junak, ki je že skapiral da so certifikati zblojeni, še kak junak? Al je tut on le delno skapiral problem? Pri teh zadevaj je največji problem fachidiotizem, ko o vsakodnevni uporabnosti teh zadev presojajo mentalno pohabljeni osebki,katerim ni nikakršen problem imet za geslo 122313 decimalk števila PI.
Zgovarjanje na 'problem phisinga' in nesposobne uporabnike je tipičen refleks tega fach idiotizma. Realen problem se rešuje s prijemi, ki funkcionirajo v okviru realnega problema. Ni dovolj da funkcionirajo v teoriji.
Kdor si je zamislu, da mora človek si vsak mesec zmislit in nato zapomnit 8+ mestno geslo sestavljeno iz številk, velikih in malih črk in ločil je ODGOVORen za vse zlorabe sistema, ki uporablja tako zaščito.
Enako z digitalnimi certifikati, ki so OK zadeva v matematični teoriji, v praksi pa povsem zblojena zadeva. Najpej hodit od poncija do pilata, da ga dobiš, (nato to zgodb0 ponavljaš vsaj vsakih 5 let). Nato rokoborba s (PRAVIM!) brskalnikom, da hudiča dobiš k sebi v pravi browser v PRAVI browser, ob tem morš spreminjat njegove priveze nastavitve etc. Browser bo morda živel toliko kot OS, tipično pa precej manj. Ergo nucaš certifikat v obliki svojega fajla (izvoz), za kar si moraš spet zmislit in zapomnit geslo. In nato met nekje ne kozadevo, ki to datoteko hrani in ne crkne in je ne zgubiš. Ja, so ključki za hranjene teh certifiktov. Ki so spet zaščiteni z gesli in pini, kar si je treba zapomnit.
Računačnik imam zato, ker imam premajhno glavo za vse podatke, katere potrebujem.
HypoNET je torej en junak, ki je že skapiral da so certifikati zblojeni, še kak junak? Al je tut on le delno skapiral problem? Pri teh zadevaj je največji problem fachidiotizem, ko o vsakodnevni uporabnosti teh zadev presojajo mentalno pohabljeni osebki,katerim ni nikakršen problem imet za geslo 122313 decimalk števila PI.
Zgovarjanje na 'problem phisinga' in nesposobne uporabnike je tipičen refleks tega fach idiotizma. Realen problem se rešuje s prijemi, ki funkcionirajo v okviru realnega problema. Ni dovolj da funkcionirajo v teoriji.
Zbogom in hvala za vse ribe
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nadgradnja informacijskega sistema v britanski banki TSB ljudi odrezala od denarja zaOddelek: Novice / Ostalo | 6185 (3787) | feryz |
» | Poizkus zlorabe bančne karticeOddelek: Informacijska varnost | 3873 (2999) | K3kec |
» | Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 98827 (92038) | sisemen |
» | NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )Oddelek: Novice / Varnost | 51186 (44257) | tony1 |