"Paweł" <n...@k...ru> wrote:

> systemy ze "stałą" listą haseł jednorazowych + stałe hasło umożliwiające
> zalogowanie też są narażone
> oczywiście w mniejszym stopniu ale również można wyobrazić sobie
> sytuację gdy to jednorazowe hasło zostanie poprostu przesłane do
> złodzieja zamiast do banku - taki atak miał już podobno miejsce w
> Niemczech

Co to jest "stała" lista haseł jednorazowych?
Inna sprawa, że jak ktoś jest na tyle głupi, żeby sobie zainstalować
trojana to potem niech nie płacze, ze nagle mu się konto wyczyściło.

Kiedyś widziałem jak pewien gościu dzwonił na infolinię Inteligo i podawał
pani konsultantce swoje dane, nie omieszkał też oczywiście podać swoje
hasło WWW :)

--
Jacek Wojaczyński

do góry

Marcin Kasperski <M...@a...waw.pl> wrote:
> Znaczy się, zakładasz że bank zwróci te pieniądze klientom?
>
> Ktoś wie, czy tak się faktycznie stanie? Bo ja bym się wcale nie
> zdziwił, gdyby nie...

Przy takiej skali chyba jednak zwroci ;)
BTW: ponad połowa amerykańskich użytkowników bankowości internetowej (57%)
opuściłaby swój bank już w przypadku jednorazowego złamania zabezpieczeń?
Tak wynika z badania przeprowadzonego w USA przez Ponemon Institute.

--
Michał 'Amra' Macierzyński || http://PRnews.pl
Banki, karty, konta oraz public relations.
Zadbaj o swoje pieniądze!

do góry

> Hm, nawet nieźle... ponoć zwinęli 1 000 000 zł.

Pisze o tym GW http://wiadomosci.gazeta.pl/wiadomosci/1,53600,27033
70.html
To BPH.

Andrew

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Dnia 12 May 2005 11:05:18 +0200, a...@o...pl napisał(a):

>> Hm, nawet nieźle... ponoć zwinęli 1 000 000 zł.
>
> Pisze o tym GW http://wiadomosci.gazeta.pl/wiadomosci/1,53600,27033
70.html
> To BPH.

ten fragment powyższej wiadomości mnie rozbawił:
"Rzecznik prasowy BPH Jacek Balcer .... Zapewnia, że stosowany system
bankowości internetowej Sez@m "gwarantuje najwyższy poziom bezpieczeństwa i
ciągle jest udoskonalany"."

do góry

Użytkownik RBproof napisał:

>>Pisze o tym GW http://wiadomosci.gazeta.pl/wiadomosci/1,53600,27033
70.html
>>To BPH.
>
> ten fragment powyższej wiadomości mnie rozbawił:
> "Rzecznik prasowy BPH Jacek Balcer .... Zapewnia, że stosowany system
> bankowości internetowej Sez@m "gwarantuje najwyższy poziom bezpieczeństwa i
> ciągle jest udoskonalany"."

No wlasnie. To juz nawet nie jest smieszne. To jest niestety zalosne.

Bartol

do góry

> > zakładając z komputer z którego robisz przelewy jest zainfekowany jakimś
> > trojanem
> > jedyny system który daje jakie takie szanse "przetrwania" to coś a'la
> > Volkwagen bank z ich tokenem i kodami ważnymi jedynie przez krótki okres
> > czasu
>
> Eeee, kody jednoraowe tez sa ok, ale token ma oczywiscie swoje zalety.

są ok, tyle że sytuacja o której pisałem jest jak najbardziej
prawdopodobna - specjalizowany np zrobiony pod mbank trojan, czekający tylko
na moment w którym będziesz musiał skorzystać z listy haseł jednorazowych -
np by potwierdzić przelew jednorazowy, wtedy on przesyła zdobyty kod
złodziejowi

przy tokenie ten numer nie przejdzie - raz że samo zalogowanie już wymaga
użycia zmiennego, ważnego tylko 60 sekund kodu - w mbanku kod do logowania
masz stały, dwa że taki złodziej po zdobyciu kodu musiałby być naprawde
szybki


> > systemy ze "stałą" listą haseł jednorazowych + stałe hasło umożliwiające
> > zalogowanie też są narażone
> > oczywiście w mniejszym stopniu ale również można wyobrazić sobie
sytuację
> > gdy to jednorazowe hasło zostanie poprostu przesłane do złodzieja
zamiast do
> > banku - taki atak miał już podobno miejsce w Niemczech
>
> Bandzior musialby specjalnie polowac, bardzo chciec i liczyc na to, ze
> bedziesz mial na koncie kilkaset tys. zeby mu sie oplacalo ruszyc dupe.
> Dlatego do BePeHahahaha wlamali sie na pewno, a w Niemczech podobno. ;-)

napisałem podobno bo nie chciało mi się szukac informacji którą czytałem już
nie pamiętam gdzie, ale brzmiała dośc wiarygodnie a w dodatku była jak
najbardziej wyobrażalna od strony technicznej - więc w czym problem ?

źle rozumujesz, to nie jest tak że złodziej będzie polował akurat na Ciebie
i Twoje kilkaset tysięcy ,
on zrobi masówkę, będzie starał sie zarazić jak najwięcej komputerów np
trojanem obliczonym pod mbank

a potem zwinie tak dużo klientów jak mu sie uda, zresztą z tego co jest w
artykule o BPH wynika że metoda była właśnie taka, infekować jak dużo się
nawinie, a wśród nich zawsze trafią się Ci na których to jest obliczone

a co bandzior ma innego do roboty ? :-)
zresztą myślę że kwotą pare razy mniejszą też by nie pogardzili - ryzyko
wbrew pozorom i tak mniejsze niż głupi skok na kiosk a szansa na zysk sporo
większa

do góry

Dnia Thu, 12 May 2005 12:55:35 +0200, Bartol Partol napisał(a):

> Użytkownik RBproof napisał:
>
>>>Pisze o tym GW http://wiadomosci.gazeta.pl/wiadomosci/1,53600,27033
70.html
>>>To BPH.
>>
>> ten fragment powyższej wiadomości mnie rozbawił:
>> "Rzecznik prasowy BPH Jacek Balcer .... Zapewnia, że stosowany system
>> bankowości internetowej Sez@m "gwarantuje najwyższy poziom bezpieczeństwa i
>> ciągle jest udoskonalany"."
>
> No wlasnie. To juz nawet nie jest smieszne. To jest niestety zalosne.
>

zastanawiam się tylko dlaczego zrezygnowano z hasła maskowanego (wydaje mi
się, że z punktu widzenia bezpieczeństwa było ono dużo lepsze)

do góry

> Co to jest "stała" lista haseł jednorazowych?

uruchom wyobraźnię, przeczytaj całą treść - powinieneś to wywnioskować , nie
jest takie trudne


> Inna sprawa, że jak ktoś jest na tyle głupi, żeby sobie zainstalować
> trojana to potem niech nie płacze, ze nagle mu się konto wyczyściło.

jak ja kocham takich pewnych siebie, aroganckich osobników,
założę się że nigdy nie miałeś żadnego wirusa ani komputerowego ani grypy
:-)

założę się również, że każdy program który instalujesz na komputerze -
najpierw dekompilujesz a potem dogłębnie analizujesz jego kod bo przecież
zdarzało się już nawet największym czasopismom komputerowym wytłoczyć płyty
CD zainfekowane jakimiś świństwami, a wirus może być nowy , jeszcze nieznany
autorom antywirusów wiec na program antywirusowy nie można liczyc w 100%

> Kiedyś widziałem jak pewien gościu dzwonił na infolinię Inteligo i podawał
> pani konsultantce swoje dane, nie omieszkał też oczywiście podać swoje
> hasło WWW :)

a ja parę razy widziałem już osobników którym wydawało się że są niesamowici
a życie boleśnie obnażało ich słabości właśnie wtedy gdy najmniej się tego
spodziewali

do góry

"Paweł" <n...@k...ru> wrote:

>> Co to jest "stała" lista haseł jednorazowych?
> uruchom wyobraźnię, przeczytaj całą treść - powinieneś to wywnioskować ,
> nie jest takie trudne

Będę jednak nalegał, żebyś wyjaśnił. Serio nie wiem.
Jeśli rozróżniasz stałe listy haseł jednorazowych to rozumiem też, że są
zmienne listy haseł jednorazowych. W którym banku? I z czym to się je?

>> Inna sprawa, że jak ktoś jest na tyle głupi, żeby sobie zainstalować
>> trojana to potem niech nie płacze, ze nagle mu się konto wyczyściło.
> jak ja kocham takich pewnych siebie, aroganckich osobników,
> założę się że nigdy nie miałeś żadnego wirusa ani komputerowego ani
> grypy
> :-)

Grypę, owszem... A wirusy mam, ale raczej w celach kolekcjonerskich.
Chcesz kilka? :)

> założę się również, że każdy program który instalujesz na komputerze -
> najpierw dekompilujesz a potem dogłębnie analizujesz jego kod

Nie. Nie jestem paranoikiem. Skanuję po prostu programem antywirusowym.

> bo przecież zdarzało się już nawet największym czasopismom komputerowym
> wytłoczyć płyty CD zainfekowane jakimiś świństwami, a wirus może być
> nowy , jeszcze nieznany autorom antywirusów wiec na program antywirusowy
> nie można liczyc w 100%

Oczywiście, można mieć wyjątkowego pecha i trafić na nowego, nieznanego
wirusa. Równie dobrze można mieć pecha i zginąć w wypadku.

>> Kiedyś widziałem jak pewien gościu dzwonił na infolinię Inteligo i
>> podawał pani konsultantce swoje dane, nie omieszkał też oczywiście
>> podać swoje hasło WWW :)
> a ja parę razy widziałem już osobników którym wydawało się że są
> niesamowici a życie boleśnie obnażało ich słabości właśnie wtedy gdy
> najmniej się tego spodziewali

Pewnie to tacy, co konsultantowi z Inteligo podają swoje hasło...

--
Jacek Wojaczyński

do góry

Paweł wrote:

> są ok, tyle że sytuacja o której pisałem jest jak najbardziej
> prawdopodobna - specjalizowany np zrobiony pod mbank trojan, czekający tylko
> na moment w którym będziesz musiał skorzystać z listy haseł jednorazowych -
> np by potwierdzić przelew jednorazowy, wtedy on przesyła zdobyty kod
> złodziejowi

Zaraz zaraz. Jeśliby miał przesłać kod złodziejowi, ZAMIAST do banku, to
musiałby nie tylko czytać klawiaturę, ale tez byc zalogowany razem ze
mną do banku i blokowac transmisję. Czy to nie oznacza konieczności
łamania 128-bitowego szyfru? A to już chyba nie takie hop-siup?
Inna możliwość, to podstawianie podrobione strony transakcyjne np. mB z
jakimś dodatkowym maskowaniem adresu www i podrabianiem certyfikatu (o
ile akurat bym go sprawdzał - a czasami sprawdzam). Nie za wiele tego?

>

do góry