On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 14:42, Rafal Jankowski wrote:
>> Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak
>> gość nie przedstawi wiarygodnego alibi to a małe szanse na taką linię
>> obrony.
>
> Nie da się przedstawić alibi kiedy w gre wchodzi współczesny system
> operacyjny z rodziny Windows. Da się przedstawić alibi kiedy kolega prawnik
> widział mnie po wypadku trzeźwego. To *różne* sytuacje.
>
> Z punktu widzenia banku istnieje zasada domniemanego zarażenia malware. I
> słusznie, klient nie ma jak udowodnić że malware nie było więc bank nie jest
> nigdy stratny.

To samo możesz powiedzieć o każdym innym systemie, który nie jest OS. A
Twojego kolegi (czy to prawnik czy nie to akurat bez znaczenia) równie
dobrze mogło nie być i wtedy wszystkie poszlaki świadczą przeciwko Tobie.

>> > PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
>> > zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko
>> > który bank ma potrzebe im zapobiegać?
>> Jak OS był skompromitowany to powiązanie tokena z konkretną osobą,
>> numerem seryjnym, CPU dalej nic nie da.
>
> Da się. Transakcje da się wykonać wyłacznie kiedy robi to ktoś posiadający
> fizyczny token. Możesz sobie kompromitować dowoli: obecność tokena (np.
> wyświetlającego kwotę, konto i potwierdzającego pinem na jego własnej
> klawiaturze) jest absolutnie nie do zlamania, choc należy wtedy zakładać
> niedebilnośc inzynierów o co coraz trudniej. Mimo to można w sposob
> absolutnie pewny powiązać obecność tokena, danych transakcji, upoważnionego
> usera w jedność. Malware możesz mieć w dowolnej ilości, co najwyżej
> transakcja nie zostanie zaakceptowana przez bank.

Podany przez Ciebie przykład TPMa to tylko dodatkowa warstwa zabezpieczeń
która rownie dobrze może być skompromitowana jak i OS, więc z tą
"absolutną" pewnością to trochę pojechałeś. Nie mówiąc już o tym, że
podobnie jak numer w totolotku można go "zgadnąć", chociaż w zależności od
implementacji pewnie trochę więcej bitów jest do odgadnięcia.

>> Musiałbyś jeszcze coś w rodzaju
>> bezpiecznej enklawy na najnowszym skylake'u.
>
> Ależ są takie rozwiązania, TPM. Tylko że przygłupy bankowe jeszcze wiele
> dziesięcioleci dzieli od zaczajenia co z tym można zrobić. Oni na razie
> tworzą kolejny gówno warty portal bankowości opierający się o JavaScript i
> studentów-programatorów kupowanych na rynku na kilogramy. "Więcej ikonek i
> animacji, k..wa".

Ja podałem przykład SGXa, Ty TPMa, jeden 8====o. To tylko różne
implementacje sprzętowych DRMów, które stanowią dodatkowe zabezpieczenie,
ale jeśli chodzi o absolutną pewność to dobrze wiesz, czego w życiu
człowiek może być pewien.

>
>> Moje przesłanie było takie, że banki robią pełno wałów polegających na
>> podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic
>> się nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
>> głupotą usprawiedliwiony.
>
> Czekam na "dobra zmianę" ktora uniemozliwi zakładanie kont przelewami,
> otwieranie kredytu smsami, realizowanie kasy kresokopia dowodu. Ale się nie
> doczekam. Wyraźnie widać że nie ma nikt w tym interesu.

Nie mam nic przeciwko kontom zakładanym na SMSa, mogą być nawet anonimowe
dopóki tylko na takim koncie nie może powstać debet czy inne zobowiązanie
po stronie klienta.