(Nie)bezpieczna bankowość elektroniczna

	B O A R D
	» Board » Zadaj pytanie » Archiwum » Szukaj » Stylizacja

M E N U

» Nowości

» Archiwum

» Recenzje / Testy

» Board

» Rejestracja

Szukaj @ TwojePC

	OBECNI NA TPC
	» Kenny 15:31 » Doczu 15:28 » Chavez 15:23 » soyo 15:18 » adolphik 15:13 » Holyboy 15:07 » ToM78 15:04 » Logan 14:49 » DJopek 14:42 » maddog 14:41 » rooter666 14:40 » wielo 14:37 » rainy 14:27 » coolio 14:25 » Bonifacyz 14:24 » KHot 14:23 » Paweł27 14:16 » Wedelek 14:14 » Visar 14:12 » GLI 13:55 Dzisiaj przeczytano 36884 postów, wczoraj 25433 Szybkie ładowanie jest: włączone.

ccc

A R C H I W A L N A W I A D O M O Ś Ć

(Nie)bezpieczna bankowość elektroniczna , black-bird 18/02/06 21:19
Zespół Bezpieczeństwa PCSS (Poznańskiego Centrum Superkomputerowo - Sieciowego) opublikował dość szokujący raport dotyczący bezpieczeństwa polskich banków elektronicznych.

Autorzy raportu przekonują, że w większości zbadanych przypadków stan zabezpieczeń nie spełniał standardów, jakich należałoby oczekiwać od bankowości, nie tylko tej stricte elektronicznej. Niezaktualizowane oprogramowanie, źle zaprojektowane bezpieczne (w założeniu...) kanały dostępowe, zła konfiguracja serwerów, warstwy sieciowej i systemów IDS to tylko niektóre zarzuty. Warto przeczytać i mieć na uwadze nie tylko przy wyborze banku dla siebie, ale i podczas codziennego z niego korzystania.

http://security.psnc.pl/...g_polska_ssl_report.pdf

Zrodlo:http://wss.pl/NewsList/1,7278.aspx

no mBank ... porażka , Yosarian 18/02/06 21:37
a vw bank OK
All the best people in life seem to like
LINUX.
Steve Wozniak
1. Niestety. , Mms 18/02/06 21:54
  J.w.
  Pozdrawiam
2. no ale co z tego , Mackie Messer 19/02/06 01:13
  ze ktos bedzie mogl dostac sie do mojego profilu w mbanku. Co zrobi bez hasel jednorazowych? Obejrzy sobie stan konta ?
  "Predzej sam siebie zgasze, niz sie wypale"
  F. Nietzsche
  1. no ale to z tego , macol 19/02/06 02:22
    ze moze przejac twoje haslo i usera oraz haslo jednorazowe, ktore przeciez musisz rowniez netem przeslac :P No chyba ze przesyla sie je jakas inna droga. Lecz jesli jest przesylane netem i po sslu 2.0 to porazka bo na zajeciach z bso pisalismy programiki przechwytujace ssl 2 i lamiace md5 (funkcji skrotu md5 nie mozna juz nazwac bezpieczna) - i w sprawozdaniu trzeba bylo podac co Pani Ania przesylala ;) Moc obliczeniowa kompow posowa sie dosc szybko do przodu i znalezienie kolizji przy md5 na zwyklym pececie to kilka godzin.
    ja chce 100% jasne tpc
    1. przeciez to jest , Mackie Messer 19/02/06 03:54
      haslo jednorazowe. W tym samym momencie kiedy osoba nieporzadana je "przechwyci" zostanie wykorzystane. Raz wprowadzone (nie wazne czy ze skutkiem ) traci swoja wartosc. Nie odtworzy na podstawie jednego hasla calej listy. A to ze ma moje haslo do logowania to jasne, przeciez zalogowal sie na moje konto. Ale co dalej ? Przeciez aby zmienic chocby parametry logowania potrzebne jest h. jednorazowe.
      
      >>Moc obliczeniowa kompow posowa sie dosc szybko do przodu i znalezienie >>kolizji przy md5 na zwyklym pececie to kilka godzin.
      
      o mamo !!! Powaznie ? To czym ja bede teraz robil swoje czeksumy? A tak na powaznie to co z tego ze jestes w stanie znalesc kolizje w md5. Jak to w pozniej wykorzystasz pozniej w realnej sytuacji ?
      "Predzej sam siebie zgasze, niz sie wypale"
      F. Nietzsche
  2. no np. to .. , Yosarian 19/02/06 14:42
    "Co zrobi bez hasel jednorazowych? Obejrzy sobie stan konta ?"
    ... że wykorzystując zdefiniowane przelewy porozsyła ci kasę a do tego hasła jednorazowe niepotrzebne ... poza tym moze złośliwie blokować ci konto robiąc błedy przy logowaniu ... zamawówić listę haseł jednorazowych i jako zwykły list ... trochę pogłówkować i przejąć :)
    All the best people in life seem to like
    LINUX.
    Steve Wozniak
    1. jest , Mackie Messer 19/02/06 16:03
      ubezpieczenie od nieautoryzowanych transakcji. Ciekawe czy to podchodzi pod to. Pozatym zeby wykorzystac nowa liste hasel jednorozawych trzeba skorzystac z ostaniego hasla starej. Tak wiec nie moze przejac na wlasnosc moich funduszy.
      "Predzej sam siebie zgasze, niz sie wypale"
      F. Nietzsche
      1. hmm... , Yosarian 19/02/06 16:24
        "ubezpieczenie od nieautoryzowanych transakcji. Ciekawe czy to podchodzi pod to."
        MSZ na pewno nie (99,99%), no bo skąd bank ma wiedzeić że to nie ty się logowałeś ? ... tamto pewnie dotyczy kart
        
        "Pozatym zeby wykorzystac nowa liste hasel jednorozawych trzeba skorzystac z ostaniego hasla starej."
        no tu masz rację ... hmm, ale zawsze (małe ale jest) ryzyko przęcia, podpatrzenia i odłożenia ... ja np. zamawiam 2,3 listy naraz.
        
        p.s. zmieniłem w IE odznaczajac SSl 2.0 i zostawiając tylko SSL3.0 i w mabanku poszło ... może to efekt przerwy w dostępie ostaniej nocy ;-)
        All the best people in life seem to like
        LINUX.
        Steve Wozniak
zeby , kubazzz 18/02/06 21:47
zostac okradzionym w ten sposob to trzeba miec naprawde pecha...
chyba wieksze jest prawdopodobienstwa trafienia przez piorun albo wygrania w lotto.
SM-S908
1. wystarczy , Yosarian 18/02/06 21:54
  że ktoś skorzysta z Twoich przelewów zdefiniowanych i porozsyła kasę ... miłego odjręcania
  All the best people in life seem to like
  LINUX.
  Steve Wozniak
  1. no ok , kubazzz 18/02/06 22:01
    ale wsrod milionow transakcji i setek tysiecy i milionow kont, musi pasc na moje:)
    predzej dostane w glowe na ulicy i mi zabiora karte debetowa i wydadza pieniadze, albo ukradna dowod.
    zabezpieczenia sa wazne, wiadomo, ale ja tu wesze kolejna psychoze;))
    SM-S908
    1. ... , Brendyman 18/02/06 22:27
      to sobie wyobraz lepszy motyw, niewiem jak jest aktualnie ale jeszcze do niedawna majac konto internetowe w banku millennium, mozna bylo dokonac dowolnej operacji za pomaca 2 stalych hasel, teraz doloz do tego potencjalna latwosc w uzyskaniu tychze hasel i...pa pa pieniazki :-)
      - ..started talking to yourself I see..
      - The only way I can be sure of intelligent conversation
      1. przecież , ViS 18/02/06 22:50
        w BPH było tak samo, dołożyli tylko niedawno autoryzację przelewów przez sms ;)
        I will not buy this record - it is
        scratched.
        bo klucz , jtr 19/02/06 23:32
        się trzyma u siebie, a nie w repozytorium banku.
hmm... , Yosarian 18/02/06 22:16
"ale wsrod milionow transakcji i setek tysiecy i milionow kont, musi pasc na moje:)"

no a dlaczego by nie, skoro tak łatwo i względnei szybko jest poznać Twój login i hasło (a te ostanie to najcześciej jest krótkie i rzadko kto "idzie na maxa"

"predzej dostane w glowe na ulicy i mi zabiora karte debetowa i wydadza pieniadze, albo ukradna dowod."

hmm ... jeżeli już to raczej kredytową ... w mbanku moższ debetową doładować do bierzacych potrzeb

"zabezpieczenia sa wazne, wiadomo, ale ja tu wesze kolejna psychoze;))"

nie chodz tyle o psychozę ale o pewne ... olewactwo ze strony naków w aktualizacji oprogramowania, protokołów ... z jedenj strony hasła swms'owe a z drugiej ... obsługa słabych szyfrów czy mozliwość degradacji połączenia
no ale dzisiejsza kilkugodzinna przerwa we wszystkich kanałach w mBanku moze z tym się wiąze :)
All the best people in life seem to like
LINUX.
Steve Wozniak
1. yhmm... , waski 18/02/06 22:50
  bieżących potrzeb raczej :)
  
  Zgadzam sie z ostatnimi stwierdzeniami - jesli nikt bankom nie wytknie ich bledow palcem to nic nie zrobia, zeby je naprawic. Bo i po co? Skoro nikt (no prawie nikt) nie wie i nie jest tego swiadom...
  Takze takie raporty sa potrzebne... nawet jesli potencjalnie szansa na to, ze ktos wykorzysta luke w bezpieczenstwie jest stosunkowo niska, to dlaczego ja zostawiac?
  SNAFU
  Situation Normal, All Fucked Up
  1. czepiasz się , Yosarian 18/02/06 22:55
    a poza tym to ludzie maja różne potrzeby ;-))
    All the best people in life seem to like
    LINUX.
    Steve Wozniak
2. to fakt , kubazzz 19/02/06 00:03
  postep i dmuchanie na zimne to w tym wypadku podstawa, zwlaszcza ze tak naprawde to w ostatecznosci banki tez traca:)
  SM-S908
łe tam. zabezpieczenia? kupa śmiechu. , Wedrowiec 18/02/06 23:38
PKO SA. dostęp przez www. pola nr klienta i hasło. Na górze wielki napis polityka bezpieczeństwa czy inny szajs.

No i focus po załadowaniu strony ustawiony na pole z otwartym tekstem.

O co chodzi? Szybciutko wklepujesz nr klienta, wciskasz TAB -> przeskakujesz na PIN, wklepujesz... okazuje się, że w momencie przeskoczenia na PIN załadowała się strona, focus przeskakuje na pole z otwartym tekstem... PIN elegancko pojawia się na monitorze.

Ale to norma. Normą jest taka sama praktyka (focus na otwarty tekst) połączony z zapamiętywaniem loginów w nowszych wersjach przegladarek... strzałeczka w dól i znamy część/całość hasła.

Idioci webmasterzy? Chyba tak. Mi do głowy nie przyszło zrobienie czegoś takiego na stronach które pisałem, nie chce mi się jednocześnie poświęcać czasu na przekonanie ludzi w firmie na zmianę tego na naszej stronie pocztowej.
"Widziałem podręczniki
Gdzie jest czarno na białym
Że jesteście po**bani"
1. a w PKOBP INTELIGO , malcolm_x 19/02/06 02:47
  haslo nie moze zawierac znakow specjalnych :/ i to jest dopiero porazka
czyli , mike013 19/02/06 23:30
w jakim banku jest jeszcze w miarę "bezpiecznie" [o ile taki jest]?????????
(oczywiście chodzi o konta internetowe)
1. praktycznie.. , beef 20/02/06 09:52
  ...we wszystkich. To wyżej to takie popierdółki znudzonych marudów. Najbardziej rozbawił mnie tekst o możliwości przejęcia hasła jednorazowego. Się wystraszyłem :p
  this is the time of the revolution
  keepin' it in the right track
  feelin' it in my mind back