On Fri, 19 May 2017 09:27:42 -0700 (PDT), Dawid Rutkowski
<d...@w...pl> wrote:
> OK, niech będzie. Ale czy był tylko wymóg założeni
> a konta - czy również utrzymania go przez cały czas wsp?
> ?łpracy?

Zapłatę za usługi będą przelewać tylko na to konto u nich, więc na
jedno wychodzi.
W przypadku PKO BP było tak, że wystawiłem im piierwszą fakturę na
"obce" konto i przeszło, przy drugiej ktoś się zorientował i
wstrzymali płatność dopóki nie wskażę konta w pko zgodnie z umową. W
mBanku już nie ćwiczyłem dla świętego spokoju podawania zew. konta.

Drugi powód utrzymania konta w mB p.t. "nie chcem ale.muszem" to krąg
firm współpracujących, które też mają konto w mb ob dzięki temu
przelewy między nami są na tychmiast co często się przydaje.

Trzeci powód, to atrakcyjne warunki utrzymania rachunku dostępne
tylko dla podmiotöw współpracujących z mB.

--
Marek

do góry

W dniu piątek, 19 maja 2017 16:01:36 UTC+2 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> >> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
> >> CA" (zawierający w szczególności root CA, od którego zaczyna się
> >> "ścieżka").
> >>
> >
> > Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
> > robią.
>
> Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
> Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?
>

Tak. Aby ochronić przeglądarke przed tym na co jest nie połatana. Albo aby wychwycić
załaczniki w poczcie (dla programów pocztowych).
Dodałem ci linki, tam jest zajawka jak sie to dzieje.
Dzis to dosyc popularna funkcja AV.

> > Malware tez to moze zrobic.
>
> Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
> cokolwiek.
>

Ano może. Ale gdzies trzeba załozyć że istnieje granica.
Zakładam że malware nie będzie szukać we wszystkich obrazkach jakie user otwiera
informacji o numerkach modulo certyfikatów publicznych.

Ale tak, komputer z rootkitem jest zupełnie niewiarygodny jesli chodzi o zasade. Ale
praktycznie w części działa tak jakby działał bez rootkita czy innego malware.

> > Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie
> > musi byc on poprawny i taki sam jak wystawiany przez bank.
>
> Może też być taki sam.
> Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie
> ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku,
> czy pokazywanie czegoś innego?
> Bo nakład pracy jest taki sam.
>

Jakbym byl tworca to bym na bieżąco produkował ścieżkę certyfikatów z nazwami takimi
samymi jak produkuje oszukiwana strona. Nadanie nazw certyfikatom jest proste.
Nadanie numerków modulo juz nie.
Nie jest problemem zbudowanie ciagu certyfikacji takiego jak ma mbank. To jakieś 5-10
minut roboty ręcznie lub pare sekund skryptu. Oczywiście trzeba głowe ciągu
certyfikatów umiescic w przegladarce ale zakladamy ze malware ma wladze nad
oprogramowaniem usera więc to zrobic może.

Chyba że by mi sie nie chciało to bym zrobil tylko jeden certyfikat glowny, wsadzil
go do przegladarki a potem kazda strone podpisywal certyfikatem z jego nazwa. Pewnie
wiekszosc userow nie zaglada w "kłódeczke" w przegladarce jak jest ona zielona.

A jak user podejżliwy to i tak juz po ptokach i z oszustwa nici...

> Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony
> także może być inny. Ale poleganie na tym to IMHO kiepski pomysł.
>
> > No i co z tego?
> >
> > Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?
>
> Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi
> antywirusami w kontekście PKI i HTTPS.
> Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione
> certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli
> nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera.
>

Poszperaj sobie w sieci pod tym katem, jeden link ci przyslalem ale pewnie znajdziesz
więcej tego typu stronek.

W moim przypadku mialem sytuacje gdzie nie wiedzialem czy mam komputer zarazony czymś
czy modem/router sieciowy mial podmienione dns-y.

na szybko chcialem sprawdzic czy mam poprawnie zaszyfrowana komunikacje i nie
znalazlem innego info niz po prostu ciag certyfikacyjny wczytany na innym urządzeniu.

Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze.
Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie aby
zainteresowani mogli sie skonsultować.

> >> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
> >> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
> >
> > poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i
umiescila na imgurze.
> > Tego wirus nie podmieni...
>
> Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum,
> autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy,
> które nie mają możliwości modyfikacji oprogramowania w pececie. Autor
> wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak
> samo jak oryginał.

Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy już
realizowane?
O takim przypadku nie słyszałem.

> Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać
> w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę).
>
> > Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
> > środkami na koncie.
>
> W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
> (lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
> środki na koncie, ew. limity kredytowe itp.

> W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
> atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
> ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
> kogoś innego.
>

No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki (równiez przez sms-y
których nawet nie otwarli) i spokojnie w ciagu nocy oczyszczono konto wieloma
przelewami.

> >> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
> >> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
> >> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
> >> czegokolwiek tego typu na stronie banku to nieporozumienie
> >> (niezrozumienie idei PKI).
> >
> > Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.
>
> Certyfikat może się zmienić nawet bez malware.
>
> > A PKI jest fajne o ile nie masz po drodze firmowego proxy czy
> > antywirusa.
>
> Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy?
> No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy
> firmowe?
>

Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa.
Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha certyfikacji jest
silna ale swiadomosc ze sama zielonosc "kłódki w przeglądarce" to nie jest 100%
sukcesu.


> > Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie
> > bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest
> > wsparta mozliwoscia zewnetrznego sprawdzenia - recznie.
>
> Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc.
> Zrozum to, na malware na pececie żadne certyfikaty nie pomogą.
>

Na wszystkie malware nie. Ale na niektóre tak. W tym watku tylko o tym wspominam i
tylko pod tym katem.
Rodzajów oszustw realizowanych przez malware jest sporo ale narazie nie są one
strasznie wyszukane.

Mam wrażenie że dzisiejsze malware są sporo słabsze technicznie niż wirusy z czasów
dosa czy win95 bo wtedy były to bardzo zgrabnie pisane programiki a dziś to w
praktyce skrypty montowane z dosyć duzych klocków.

do góry

W dniu 2017-05-19 o 23:12, Marek pisze:
> On Fri, 19 May 2017 09:27:42 -0700 (PDT), Dawid Rutkowski
> <d...@w...pl> wrote:
>> OK, niech będzie. Ale czy był tylko wymóg założeni
>> a konta - czy również utrzymania go przez cały czas wsp?
>> ?łpracy?
>
> Zapłatę za usługi będą przelewać tylko na to konto u nich, więc na jedno
> wychodzi.
> W przypadku PKO BP było tak, że wystawiłem im piierwszą fakturę na
> "obce" konto i przeszło, przy drugiej ktoś się zorientował i wstrzymali
> płatność dopóki nie wskażę konta w pko zgodnie z umową. W mBanku już
> nie ćwiczyłem dla świętego spokoju podawania zew. konta.
>
> Drugi powód utrzymania konta w mB p.t. "nie chcem ale.muszem" to krąg
> firm współpracujących, które też mają konto w mb ob dzięki temu przelewy
> między nami są na tychmiast co często się przydaje.
>
> Trzeci powód, to atrakcyjne warunki utrzymania rachunku dostępne tylko
> dla podmiotöw współpracujących z mB.


Ale czy to Cię zmusza do używania konta?
Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa na
miesiąc.

do góry

On Sat, 20 May 2017 07:40:09 +0200, cef <c...@i...pl> wrote:
> Ale czy to Cię zmusza do używania konta?
> Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa
na
> miesiąc.

Przeczytaj powód nr 2. Miesięcznie robię ok 200 przelewów między
kontrahentami, którzy w większości są w mB.

--
Marek

do góry

W dniu 2017-05-20 o 08:39, Marek pisze:
> On Sat, 20 May 2017 07:40:09 +0200, cef <c...@i...pl> wrote:
>> Ale czy to Cię zmusza do używania konta?
>> Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa
> na
>> miesiąc.
>
> Przeczytaj powód nr 2. Miesięcznie robię ok 200 przelewów między
> kontrahentami, którzy w większości są w mB.

Cóż, 200 przelewów, to już argument.
Skoro płacą dobrze (?) za niewygody.

do góry

Dnia Fri, 19 May 2017 16:01:32 +0200, Krzysztof Halasa napisał(a):
> s...@g...com writes:
>> Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
>> robią.
>
> Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
> Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?

A propos - mBank wlasnie zmienil certyfikat ... i chyba nie ostrzegl,
ze zmienia.

Czy po prostu mam wirusa ?

>> Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
>> środkami na koncie.
>
> W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
> (lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
> środki na koncie, ew. limity kredytowe itp.
>
> W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
> atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
> ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
> kogoś innego.

Chyba, ze wirus siegnie tez telefonu.
Wtedy znow mozna stracic wszystko, i nawet sie nie dowiedziec kiedy.

J.

do góry

s...@g...com writes:

>> Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
>> cokolwiek.
>
> Ano może. Ale gdzies trzeba załozyć że istnieje granica.

Owszem, ale ta granica jest w zupełnie innym miejscu. A przynajmniej
powinna być.

> Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze.
> Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie
> aby zainteresowani mogli sie skonsultować.

Chyba po to, by dać im fałszywe poczucie bezpieczeństwa.

> Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy
> już realizowane?

Chciałbyś sprawdzić to na sobie, gdy już będzie realizowane?

> No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki
> (równiez przez sms-y których nawet nie otwarli) i spokojnie w ciagu
> nocy oczyszczono konto wieloma przelewami.

No jednak tak. Oczywiste jest, że pisałem o przypadku, w którym
zawirusowany był tylko pecet. Jeśli ktoś jest na tyle nierozgarnięty
(albo ma na tyle zdeterminowanych wrogów), że wykonuje przelewy używając
zawirusowanego" komputera ORAZ jednocześnie zawirusowanego telefonu
(jako końcówki do kodów "SMS"), i dodatkowo oba "wirusy" współpracują ze
sobą (muszą się ze sobą lub z atakującym komunikować, komórka musi
wiedzieć co ma wyświetlić, albo musi przesłać SMSa komputerowi), to
rzeczywiście ryzyko tej sytuacji jest zasadniczo takie samo jak w
przypadku kodów papierowych i zawirusowanego "tylko" komputera.

BTW wystarczy do tego 1 przelew.

> Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa.

Ale jest tykającą bombą, to "mechanizm" dla samobójców.

> Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha
> certyfikacji jest silna ale swiadomosc ze sama zielonosc "kłódki w
> przeglądarce" to nie jest 100% sukcesu.

Prawda jest zupełnie inna. PKI jest zawodne. Słabe strony PKI znajdują
się jednak w zupełnie innych miejscach - to jest słabość procedur
stosowanych przez poszczególne CA, podatność na wyłudzenia certyfikatów,
podatność na działania np. służb itd. Prawidłowo wystawiony certyfikat
nie gwarantuje, że jego użytkownik jest tym, za kogo się podaje (chociaż
prawdopodobieństwo jest znaczne).

Natomiast porównywanie słabości PKI do sytuacji z malware na komputerze,
i recepta w postaci sprawdzania łańcucha certyfikatów (w czasie każdego
żądania?) to, nazwijmy to, nieporozumienie.
--
Krzysztof Hałasa

do góry