Arek wrote:

> Użytkownik "Andrzej Lawa" <a...@l...com> napisał w wiadomości
> news:mli85v$mtj$1@node2.news.atman.pl...
>>W dniu 13.06.2015 o 22:06, Robert Tomasik pisze:
>>
>>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
>>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
>>> miały luki, to mieli byśmy serię przełamań.
>>
>> Nie czytałem dokładnie wcześniejszych przebąkiwań na ten temat, ale czy
>> czasem nie chodziło o szkolne błędy w oprogramowaniu ich strony
>> internetowej z dostępem do systemu bankowego?
>
> Swoją drogą możliwość włamu przez interfejs użytkownika czy nawet
> przez jakąkolwiek inną stronę banku do wewnętrznego systemu to
> gorzej niż partactwo.

Widziałeś kiedykolwiek jakikolwiek system informatyczny od środka?

Akurat interfejs bankowości elektronicznej jest taką aplikacją, która
wykonuje interakcje z pozostałymi systemami bankowymi. Jeżeli została
odkryta luka w obrębie tej aplikacji, to jest to dosyć prosta i łatwa
możliwość na eksplorowanie tych systemów, które stoją za bankowością
elektroniczną - czyli prawdopodobnie baz danych, etc.

Co innego "jakakolwiek inna strona banku" - jeżeli włamanie by było przez
stronę informacyjną - ok, to by było naprawdę partactwo, bo stron
informacyjnych nie powinno się umieszczać w taki sposób, że zdobycie dostępu
do serwerów stron informacyjnych, dawałoby dostęp gdziekolwiek głębiej.

Niestety z bankowością elektroniczną jest inaczej - była luka, ktoś ją
zidentyfikował i użył jej. W ten sposób oczywiście uzyskał dostęp do głębiej
umieszczonych zasobów banku. Zresztą nawet z podsłuchiwania tejże aplikacji
bankowości elektronicznej można się wiele dowiedzieć.

Czy istnienie luki w bankowości elektronicznej, która pozwala na przejęcie
kontroli nad tym systemem, to rzeczywiście partactwo? No nie wiadomo. Może
to było celowe działanie kogoś z wewnątrz? Może bank świadomie ustawiał
priorytety tak, że łatanie znanej dziury było zaplanowane na później? Może
rzeczywiście pracownicy niechlujnie obsługiwali system i na tyle poluzowali
jakieś zasady, że doprowadziło to do możliwości włamania?

Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie, tylko sposób
obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy. Ogólnie
Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
(bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
Dziwne, że głosu nie zabiera nadzór. To wszystko powoduje, że cała ta sprawa
wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego bank.
Może komuś po prostu zależało, żeby postawić właścieciela tego banku w złym
świetle?


> Zdaje się, że kolejni twórcy systemów zbyt często wykorzystjują
> Ctrl-C Ctrl-V (oczywiście w przenośni). Pewne rzeczy trzeba po
> prostu napisać od nowa z inną filozofią.
> Jest jeszcze możliwość wejścia przez drzwi "serwisowe". Ale to
> chyba na poziomie takich systemów powinno być wykluczone.
>
> Arek

--
Wysłane z pola.