On 2016-03-23 21:35, Arek wrote:
> Co to jest "prawdziwe security"? Jakiś absolut?

Coś so korzysta ze zdobyczy techniki która nie dośc że jest odporna na
naciski polityczne to jeszcze odporna na debili. To nie oznacza że jest
to perfekcyjna metoda. Ona jest tylko o rzędy wielkości bardziej
skuteczna niż tępe panienki na infolini.

> Tak, można teoretycznie zaprojektować system dość bezpieczny, ale
> drogi i niewygodny (jak na dzisiejsze czasy wygodnictwa).

Nie jest to prawda. System chargeback jest bardzo drogi bo wymaga
utrzymywania masy ludzi. Jedyną jego zaletą jest fakt że placa frajerzy
a nie banki bo banki opłaty sobie zrzucą na ludzi. Jaka to obiektywnie
zaleta sam widzisz. Kiedys w TV była wypowiedź jednego debilomanagera
który powiedział "bank nie może być stratny" tlumacząc dlaczego bank
pozwał wlaściciela konta o to żeby zwrócił to co złodziej ukradł bankowi.

> 1. Nie ma znaczenia jak "zaawansowane" bedą techniki zabezpieczania.
> Na końcu jest klient i jak go jakiś Kevin Mitnick przekona żeby podał
> co trzeba to poda (zgodnie z tytułem ksiązki: "Łamałem ludzi, nie hasła").

Mozna te przypadki eliminować. Token kryptograficzny skutecznie
uniemożliwia dostęp do konta bez fizycznej obecności dongla i
właściciela. Czyli eliminuje praktycznie wszystkie spółczesne ataki
informatyczne na moja kasę.

> 2. O ile klient może jakoś przekonać sąd, że to nie on, to bank nie ma
> żadnej możliwości udowodnić, ze to klient. Kwestia niskiej asertywności
> klientów.

Juz napisałem: są osoby których czas jest gówno wart i mogą go sobie
spędzać w sądach do woli udowadniając co tylko chcą, być może skutecznie.

> 3. To państwo zachęca, a czasem już zmusza do korzystania z usług
> bankowych. Zmusza do ryzyka, więc niech odpowiada... Oczywiście
> po złodzieju, który w przypadku złapania powinien w kazamatach
> zasuwać aż spłaci z odsetkami.

No ba, a Państwo posiada pieniądze z plantacji drzew gotowkowych. Tak,
niech państwo płaci wszystko, za gówno robione przez banki i za 500
plus. To kwestia posadzenia gęściej drzewek z dwustekami.

> Jeżeli przegram w trzy karty to kto ma oddawać kasę? Bank z którego
> te akurat banknoty wypłaciłem? A może pracodawca, który tego dnia
> nimi zapłacił?

Cos mi sie wydaje że to wcale nie jest odlegle od idei chargeback.

do góry

Krzysztof Halasa napisał(a) w wiadomości: ...
>Marek <f...@f...com> writes:
>
>> Taa proponuję zatem pójść Twoim tokiem rozumowania u anulować kary,
>> mandaty, nakazy wyrównania szkody a może nawet i podatki tym, których
>> na to nie stać bo nie mają z czego zapłacić.
>
>Przyznaję że mnie to nie zaskoczyło.

Coraz więcej ludzi nie może zrozumieć, że za kradzież ma odpowiadać
złodziej a nie przypadkowy frajer, którego akurat wymieniono w jakimś
skleconym po pijaku przepisie prawa (chyba "lewa" raczej).
Oczywiście frajer jeżeli będzie miał możliwości będzie się bronił -
bank zapłaci pieniędzmi np. niejakiego Marka w taki czy inny sposób
ściągniętymi.

Arek

do góry

On 2016-03-22 14:17, Kris wrote:
> W dniu niedziela, 20 marca 2016 22:16:09 UTC+1 użytkownik Sebastian Biały napisał:
>> Ale niestety im ze slupków wyszło że szczęśliwy Kris
>> jest tańszy niż nieszczęśliwy Biały. Ot, takie cutting edge of security.
> Wiesz co? może i dobrze że oprócz inżynierów są tam również ludzie potrafiący
liczyć.

Inzynierowie całkiem sprawnie liczą. Zaryzykuje że znacznie lepiej niż
ludzie po bankowości. Są tylko znacznie mniej skurwysyńscy dlatego nie
nadają się do bankmowosci.

> Bo jak zlecisz taka robotę inżynierom to jest duża szansa
> że zrobią zabezpieczenie ale może to się okazac armata na muchę. I to droga armata.

Zamiast tego debilomanagerzy wpadli na pomysł zabezpiecznia konta smsami
na dziurawych systemach android. Wiec wyszedł pistolet na wodę.

> Trzeba wypośrodkować trochę.

Ale to nie jest wyposrodkowane. To jest tylko tanie. Sam napisaleś że
potrafią liczyć. Potrafią *TYLKO* liczyć.

> Ja np. automatycznie rezygnuje z konta jeśli mi jakieś gowno
> sprzętowe wcisną.

To rezygnuj. Ja potrzebuje token na wniosek. Jestem przekonany że
większość społeczeństwa nie będzie w stanie pojąć co to jest i do czego
jest. I co mnie to obchodzi że reszta ludzi nie ma pojęcia o
czymkolwiek? Dlaczego muszę cierpieć równanie do mułu?

> Do moich zastosowań kody sms są idealne

Były by do moich równiez idealne gdyby nie fakt że trzeba ich uzywać na
Nokii 3310 bo to niezbędny warunek odporności na malware.

> Oczywiście gdybym na rachunku miał poł miliona to może i inaczej bym myślał.

No widzisz. A jak masz 20mln to też dostaniesz smsa. Bo, panie, komu te
tokeny potrzebne?

> A tak na marginesie dodam ze np. hasła dostępu do mbanku nie zmieniałem
> od początku(czyli naście lat już chyba)i złotówka z konta mi nie zginęła).

Ja zaś od kilkudziesięciu lat chodzę w półbutach i jeszcze noga mi się
nie zwichneła. Przepraszam za tą dygresję, ale skoro pozwoliłeś sobie na
argument od rzeczy to czemu ja nie miałbym.

> Nie korzystam z aplikacji mobilnych, nie robię przelewowo w hotelach
> restauracjach czy kawiarenkach internetowych.

Czyli ... jesteś BEZPIECZNY. Brawo. Nikt nigdy nie da rady zainstalować
Ci malware na kompie, w końcu nie ściągasz pornoli. Tylko kupne. Pełna
higiena. Tak trzymać. Jeszcze trzeba czapeczkę z folii aluminiowej na
głowę wsadzić, bo ONI mają metody.

> Na domofonie jest moje imie i nazwisko, mój nr konta jest
> podany np. na allegro, tym ze w księgach wieczystych moich nieruchomości
> sa pewnme dane tez się nie martwię;)

No ba. Ja podałem kiedyś na grupie numer buta. Tez sie nie martwie.

do góry

W dniu 23.03.2016 o 22:08, Sebastian Biały pisze:

> Inzynierowie całkiem sprawnie liczą. Zaryzykuje że znacznie lepiej niż
> ludzie po bankowości. Są tylko znacznie mniej skurwysyńscy dlatego nie
> nadają się do bankmowosci.

Nie przeczę, że jesteś świetnym inżynierem, ale nie sądzę, byś odniósł
sukcesy w zarządzaniu bankiem ;)

Ale nie o tym chciałem dyskutować. Chciałem tylko wspomnieć o
zabezpieczeniu, które nie występuje na rynku polskim, a które jest
oferowane przez AIB w Irlandii - jako jedyna opcja:

https://www.aib.ie/servlet/Satellite?c=SC_Content&ci
d=1291806113056&pagename=SecurityCentre%2Fsc_main&se
ction=S003

Coś jak token, a dodatkowo zabezpieczony koniecznością... wsadzenia do
niego karty i użycia jej pinu.

Dla jednym bezpieczne, dla drugich upierdliwe jak cholera (nosić to przy
sobie by zrobić przelew?) - cóż, albo coś jest wygodne albo bezpieczne.
Albo godzimy się na kompromis. I godzimy się na związane z nim straty.

I wcale nie zdziwię się, gdy wyrok zostanie utrzymany w apelacji. Jest
naprawdę solidnie uzasadniony, a że tu niektórzy zdążyli już zwyzywać
sędzię? Cóż, w Polsce wszyscy znają się na prawie...
i na zarządzaniu bankiem ;)

do góry

On 2016-03-23 22:30, gral wrote:
> Dla jednym bezpieczne, dla drugich upierdliwe jak cholera (nosić to przy
> sobie by zrobić przelew?)

Nikt tutaj nie napisał o tym że przelewy za 200zł można robić bez
tokena? Przeciez to oczywiste. Robisz przelew na 5tyś - autoryzuj.
Robisz za 50zł - a zrób se ze 4 dziennie bez i już.

Problemem nie jest uzywanie tego codziennie. Problemem jest fakt że
banki sa na tyle tępe że nie wychwytuja anomalii typu kredycik na 50k i
wylanie go na cypr.

> i na zarządzaniu bankiem ;)

Na tym sie nikt nie zna. To po prostu dryfowanie i omijanie anomalii w
celu utrzymania zdolnosci kredytowej na jachty.

do góry

On Wed, 23 Mar 2016, Sebastian Biały wrote:

> On 2016-03-23 19:10, Rafal Jankowski wrote:
>> Symetryczny klucz niewyjmowalny? Szkoda tylko, że bank nie będzie miał
>> jak odszyfrować tego co TPM zaszyfruje.
>
> Ale te krypotologi głupie głupki. Cale szczęscie dowiedzieli się na newsach
> że kryptografia symetryczna polega na posiadaniu jednego ezemplarza
> niewyjmowalnego klucza. A te głupki myslały że klucz posiada rowniez bank!
> Haha.

Możesz ten bełkot ubrać ten bełkot w jakąś sensowną logikę?

>
>> Czyli mam wierzyć, że ten kawałem plastiku z krzemem, który dostałem w
>> kopercie od banku jest bezpiecznym urządzeniem przy którym nikt nie
>> majstrował, a tą aplikację co wgrywał do TPMa bank pisali dobrzy ludzie?
>
> Tak. Tak samo jak wierzysz że kasjer w twoim banku jest zawodowym
> grafologiem. W profesjonalnej bankowości słowo harcerza jest niezwykle ważnym
> składnikiem bezpieczeństwa!
>
> https://zaufanatrzeciastrona.pl/post/prawie-udany-sk
ok-na-150-milionow-dolarow-za-pomoca-podrobionego-fa
ksu/
>
> PS. Kawałek plaskiku który masz obecnie w portfelu był projektowany przez
> imbecyli:
>
> https://niebezpiecznik.pl/post/karty-kredytowe-z-chi
pem-podatne-na-atak/

Ale po co mi to piszesz? Po to, żeby mi udowodnić że może być jeszcze
gorzej? Ja po prostu zarzuciłem przedstawionemu modelowi bezpieczeństwa,
że zakładasz tam zaufanie do banku po którym cały czas jedziesz w sytuacji
gdy nie jest to konieczne. Że już nie wspomnę tej Twojej legendarnej
"absolutnej pewności". W sumie to nawet nie bardzo zrozumiałem o co
właściwie proponujesz bo ten paragraf powyżej o symetrycznej kryptografii
gdzie tylko jedna strona zna klucz to jakieś pijackie mamrotanie a pisałeś
to chyba jeszcze przed końcem meczu.

do góry

On Wed, 23 Mar 2016, Sebastian Biały wrote:

> On 2016-03-21 00:20, Rafal Jankowski wrote:
>> > A po co komu malware w jądrze? Zdecydowanie najwięcej atakow
>> > przeprowadza się przez byle jak naklepane aplikacje z gatunku
>> > albańskich (uruchom mnie, jestem waznym wir^M^M^Mfakturą).
>> Po co komu malware w jądrze? Np. po to, żeby nie było konieczności
>> wysyłania mailem takich albańskich aplikacji i czekania aż ktoś kliknie.
>
> A jak sie niby ten malware ma dostać do jądra? Telepatycznie?

OMG, Ty pamiętasz wogóle na co odpisujesz? Przecież byłą mowa o "próbach
wstawienia backdorów do jądra". Czyli jak rozumiem przemycenia ich w
kodzie pomimo wszelkich code review jakie muszą przejść zanim zostaną
zaakceptowane.
A nawet jeśli zrozumiałeś to inaczej to co ma Twoje pytanie "jak ma się
ten malware do tego jądra dostać" do mojej odpowiedzi na Twoje pytanie "po
co malware w jądrze". Po co i jak to chyba dwie różne sprawy.

do góry

Użytkownik "Rafal Jankowski" napisał w wiadomości grup
dyskusyjnych:alpine.LFD.2.20.1603240842410.169031@oc
eanic.wsisiz.edu.pl...
On Wed, 23 Mar 2016, Sebastian Biały wrote:
>> A jak sie niby ten malware ma dostać do jądra? Telepatycznie?

>OMG, Ty pamiętasz wogóle na co odpisujesz? Przecież byłą mowa o
>"próbach wstawienia backdorów do jądra". Czyli jak rozumiem
>przemycenia ich w kodzie pomimo wszelkich code review jakie muszą
>przejść zanim zostaną zaakceptowane.

a) kto robi review ? i ile zarabia :-)
b) po review - kto wstawia do dystrybucji/jadra ?
c) a jak sie jakis hacker zakradnie po review ?
d) drobna literowka i pojdzie inny include niz sie czytajacym wydaje,
e) mozna nie w jadrze, ale kompilatorze. Albo w biliotekach.
f) mozna w sprzecie - dysk, USB pen, procesor nawet - choc to
oczywiscie zadanie dla Intela czy AMD.


J.

do góry

On Thu, 24 Mar 2016, J.F. wrote:

> Użytkownik "Rafal Jankowski" napisał w wiadomości grup
> dyskusyjnych:alpine.LFD.2.20.1603240842410.169031@oc
eanic.wsisiz.edu.pl...
> On Wed, 23 Mar 2016, Sebastian Biały wrote:
>> > A jak sie niby ten malware ma dostać do jądra? Telepatycznie?
>
>> OMG, Ty pamiętasz wogóle na co odpisujesz? Przecież byłą mowa o "próbach
>> wstawienia backdorów do jądra". Czyli jak rozumiem przemycenia ich w kodzie
>> pomimo wszelkich code review jakie muszą przejść zanim zostaną
>> zaakceptowane.
>
> a) kto robi review ? i ile zarabia :-)
> b) po review - kto wstawia do dystrybucji/jadra ?
> c) a jak sie jakis hacker zakradnie po review ?
> d) drobna literowka i pojdzie inny include niz sie czytajacym wydaje,
> e) mozna nie w jadrze, ale kompilatorze. Albo w biliotekach.
> f) mozna w sprzecie - dysk, USB pen, procesor nawet - choc to oczywiscie
> zadanie dla Intela czy AMD.

Jak chcecie sobie dyskutować na temat absurdalnych literówek w includach
to sobie dyskutujcie. Ja odpowiedziałem tylko na pytanie "po co malware w
jądrze".

do góry

On 2016-03-24 08:42, Rafal Jankowski wrote:
>> On 2016-03-23 19:10, Rafal Jankowski wrote:
>>> Symetryczny klucz niewyjmowalny? Szkoda tylko, że bank nie będzie miał
>>> jak odszyfrować tego co TPM zaszyfruje.
>> Ale te krypotologi głupie głupki. Cale szczęscie dowiedzieli się na
>> newsach że kryptografia symetryczna polega na posiadaniu jednego
>> ezemplarza niewyjmowalnego klucza. A te głupki myslały że klucz
>> posiada rowniez bank! Haha.
> Możesz ten bełkot ubrać ten bełkot w jakąś sensowną logikę?

Ma. Pokazuje że w sposob idiotyczny zakładasz że niejaki Biały miał na
mysli istnienie jednego egzemplarza klucza symetrycznego mimo że między
zdaniami była kropka i dotyczyły innych rzeczy.Z moich obserwacji wynika
że na takie nadęte opinie najlepiej nadaje sie ironia bo luzuje krawat.

>> https://niebezpiecznik.pl/post/karty-kredytowe-z-chi
pem-podatne-na-atak/
> Ale po co mi to piszesz? Po to, żeby mi udowodnić że może być jeszcze
> gorzej?

Wrażasz już poraz kolejny opinie że nie ufasz programistom, sprzetowi,
bankowi i diabli wiedza komu jeszcze. Jednocześnie ufasz (bo uzywasz,
czy nie?) gównie zaimplementowanemu na kartach chipowych. Ja rozumiem że
mozna mieć wątpliwości, alw twoje tezy zmierzają do pozostania przy
przelewach na faks, panience od nazwisk panieńskich z czasów dinozaurów
i kasjerów grafologów. To dopiero SZAMBO które kazdy bank nazywa cutting
edge bezpieczeństwa. Czy rozumiesz dlaczego nazywam managerów i
dyrektorów bankow idiotami zajętymi wertowaniem katalogow z jachtami?

> Ja po prostu zarzuciłem przedstawionemu modelowi bezpieczeństwa,
> że zakładasz tam zaufanie do banku po którym cały czas jedziesz w
> sytuacji gdy nie jest to konieczne.

Ufać bedę matematyce. Na szczęscie bankowe przygłupy tym razem nie mają
za dużo do spieprzenia bo technologia jest już używana.

> Że już nie wspomnę tej Twojej
> legendarnej "absolutnej pewności".

Legendarnej powiadasz? Nie wiedziałem że będę wygłaszał legendarne
opinie. Jak rozumie twoja przesada "legendarna" jest dopuszczalna, ale
moja "absolutna" już nie? OK, w koncu to newsy.

> W sumie to nawet nie bardzo
> zrozumiałem o co właściwie proponujesz bo ten paragraf powyżej o
> symetrycznej kryptografii gdzie tylko jedna strona zna klucz to jakieś

Miedzy zdaniem o 1 egzemplarzu klucza a zdaniem o kryptografi
symetrycznej była kropka. To dośc istotny element do zauważenia jeśli
nie chce się wyjśc na trola internetowego.

> pijackie mamrotanie a pisałeś to chyba jeszcze przed końcem meczu.

Nie pije w zasadzie żadnego alkocholu. Proponuje nie bawić się w
domoroslego psychologa bo to nigdy nie działa.

do góry