> Hm, nawet nieźle... ponoć zwinęli 1 000 000 zł.

Tak się podepnę, żeby pogratulowć AMRZE krótkiego wstępniaka z dzisiejszego
newslettera - to zdecydowanie coś innego niż komunikaty prasowe banków :-)
Jak tak dalej pójdzie, to spędzę dużo czasu odszczekując pod stołem kalumnie :-(

Pozdrawiam
Jacek


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Jacek Wojaczyński napisał(a):
> W sensie bezpieczeństwa? To pewnie niczym.
> Bardziej chodziło mi o to, że z mBanku to jest taka płachta papieru, którą
> niewygodnie trzyma się w portfelu...

Aaaa! To o to chodzi :) Fakt. Ja swoją przycinam, zostawiając tylko to,
co istotne. Mieści się wtedy w każdym standardowym portfelu.

--
Pozdrawiam
Piotr Hołda

do góry

Paweł wrote:

> > No to numer mozliwy do wykonania raz, drugi, moze 10-ty.

> no w BPH zanim sie połapali to jednak trochę trwało
> zakładając nawet że BPH to poziom dna - mbankowi pewnie i tak
zajęłoby parę
> dni odkrycie sprawy,

No jesli jednego dnia kilku klientow zglosiloby ze nie moga wykonac zadnej
operacji to powinien byc alert dla security teamu - zbadanie co sie dzieje
zajeloby godziny.

> a przy zmasowanym ataku - gdyby udało się takiego trojana szybko i
masowo
> rozpowszechnić - np na tej grupie reklamując super kolejny program który
> pomaga zarządzać wydrukami z mbanku czy cos liczącego iban, pokazującego
> bank lub dowolny inny program finansowy- i już masz co najmniej
> kilkadziesiat osób które mają konto w mbanku i ściągną ten program

Od tego powinien byc security team zeby w godzine zbadac sytuacje w ktorej
nastepuja serie logowan na na te same konta z roznych IP lub z tego samego
IP na rozne konta.
Jesli w wyniku takigo screeningu okazuje sie ze jedno logowanie bylo z Wawy
a drugie z Chin to na 99% wiadomo ze ktos dziala przez proxy bynajmniej
nie w celach charytatywnych :))


> po 1-sze - żona ze swojej pracy, ja ze swojej wiele razy logowaliśmy
się
> równocześnie i przynajmniej mbank nie robił z tego powodu problemu

IMHO dziurka do wykorzystania w przypadku kolejnego ataku tych zlych
hiakerow... wykrywanie rownoczesnego logowania z roznych IP to chocby
podstawa zabezpieczenia roznych serwisow opartych na subskrypcji - admini
orientuja sie wtedy ze koles albo oszukuje (bo dal haselko 10-ciu osobom
za cene jednej subskrypcji) albo jego konto zostalo hackniete...

> po drugie logowanie nie musi być jednoczesne - znając wcześniej z
klawiatury
> Twój login i hasło, można przecież Twoją sesje
zakończyć i otworzyć nową +
> skorzystać z wpisanego przed momentem hasła jednorazowego do
jakiegoś
> przelewu

To sie wiaze z tym co wyzej - zgloszenia uzytkownikow + ciagle
monitorowanie logowan - nie mowcie mi ze tego sie nie da zrobic przy
pomocy banalnego analizatora logow ktory w sekundy wykryje ze po sesji o
10.10 ktos zaczal sesje o 10.20 z innego IP, inna przegladarka.
Sam korzystam z serwisu w ktorym moge sobie ustawic np. powiadamianie
mailem o kazdym moim logowaniu.


> a to fakt, to podniosłoby calkiem nieĽle bezpieczeństwo

> nie bierzesz tylko pod uwagę że bank to musi być produkt
masowy,
> łopatologiczny

Podejrzewam ze BPH teraz masowo udowodni ograbionym glupkom ze nie
zachowali nalezytych zasad bezpieczenstwa korzystania z serwisu i tyle.


> kiedyś wysyłałem klientom podpisane maile - po tym jak połowa
nie umiała
> otworzyc takiego listu dałem sobie spokój

Nie chodzi o szyfrowanie tylko o podpisywanie - np. maile z serwisu
hush.com mozesz podpisac PGP, odbiorca dostaje razem z majlem informacje
ze moze zweryfikowac ta wiadomosc uzywacac jedynie zabiegu copy+paste na
stronie hushtools.com


--
Franz

do góry

> >> Kartę kodów z Inteligo mam zawsze przy
> >> sobie w portfelu. Nie wyobrażam sobie trzymania cały czas przy sobie
> >> karty kodów z mBanku.
> > A to ciekawe. Możesz wyjaśnić czemu?
> > Czym się różni skradziona karta-zdrapka od skradzionej karty mBanku?
>
> W sensie bezpieczeństwa? To pewnie niczym.
> Bardziej chodziło mi o to, że z mBanku to jest taka płachta papieru, którą
> niewygodnie trzyma się w portfelu...

Hmmm, ja jakoś nie mogę dostrzec żadnych zalet zdrapki,
(poza estetycznymi, może się komuś bardziej podobać)
lista z mBanku złożona wpół jest mniejsza od karty,
z 10 razy cieńsza, co ostotne, bo przy większej ilości
kart portfel paskudnie pęcznieje, no i nie brudzi,
a dodatkowo w razie napadu łatwiej ją ... zjeść ;-)

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Bartol Partol napisał(a):
> W ogole nie pisze programow. Ja mysle. :-P

Właściwie nie musiałeś tego pisać. Można to było wyczytać, między
wierszami, z Twoich poprzednich postów w tym wątku. Tylko, skoro się na
tym nie znasz, czemu z takim uporem bronisz swojej błędnej tezy o
niemożliwości napisania trojana, przeznaczonego dla mBanku? To już
zakrawa na mitomanię :)

Wszystko co opisał Paweł jest jak najbardziej możliwe do zrobienia.
Powiem więcej: Większość gotowych komponentów takiego trojana można
znaleźć gotowych w sieci. Nie będę tutaj przytaczał źródeł, bo ten wątek
zaczyna powoli przypominać instrukcję, jak takiego trojana napisać :)

Dla mnie dużo ciekawszym zagadnieniem jest konstrukcja psychiczna
osobnika, który to robi. Musi być na tyle inteligentny, żeby stworzyć
nietrywialny program, na tyle sprytny i przedsiębiorczy, żeby to
wszystko zorganizować (lewe konta) i jednocześnie na tyle głupi, żeby
sądzić że nie pójdzie na kilka albo kilkanaście lat za kratki. I
wreszcie: Z takimi umiejętnościami nie potrafi sobie znaleźć legalnej,
dobrze płatnej pracy.

--
Pozdrawiam
Piotr Hołda

do góry

PshemeK wrote:

> BPH ma klawiatury wirtualne. Zarówno przy logowaniu, jak i przy
> podpisywaniu zlecenia.
> Tyle, że prawdopodobnie mało kto z tego korzysta...

Pic na wode ta klawiaturka.
Znaki nie sa rozmieszczane losowo, znaczenie klawiszy nie jest losowo
przypisywane klawiszom, kod strony jest jawny.
Hiakier kiedy przygladnie sie dzialaniu skrypu ze strony
https://www.bph.pl/pi/0/keyboard.html w try miga napisze trojana ktory
bedzie analizowal jakie 'wiryalne klawisze' zostaly nacisniete.

--
Franz

do góry

> > Nikt (nawet Bartol;-)) nie twierdzi, że się nie da.
> > Tylko który "logiczny, precyzyjnie myślący" programista
> > będzie się niepotrzebnie męczył z włamywaniem do banku
> > wymagającego haseł jednorazowych, skoro pod nosem ma
> > takie kfiatki jak BPH czy Citi?
>
> To ja ci podpowiem - samo hasło możesz co najwyżej w wordzie wysłać
> jako laurkę.

Jednorazowe?
Komu i po co?
I czemu samo?
Do czego w koncu ma być ta podpowiedź,
skoro tu wcześniej nikt nie miał żadnych wątpliwości,
że _samo_ hasło (jednorazowe) nic nie znaczy?

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Jacek <j...@p...onet.pl> napisał(a):


> Tak się podepnę, żeby pogratulowć AMRZE krótkiego wstępniaka z dzisiejszego
> newslettera - to zdecydowanie coś innego niż komunikaty prasowe banków :-)
>

To ja sie - dla odmiany - przyczepie (do tego wstepniaka): jakiz
to "przecientny klient" banku nie odczuje straty 10k zlotych? :-p

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Fri, 13 May 2005 09:44:09 +0200, w <d61loi$447$1@news.onet.pl>, Paweł Korobczak
<P...@p...onet.pl> napisał(-a):

> Czy razem ze mną przegląda moją
> aktywność na stronach transakcyjnych?

Oczywiście, dla programisty to jest niemalże banalne.

> Tak sobie gdybam: czy mB nie śledzi IP uzytkownika w czasie dokonywania
> transakcji?

Nie.

do góry

Fri, 13 May 2005 08:43:43 +0200, w <d61i5m$34b$1@inews.gazeta.pl>, Marcin
Lubojański <marcin.lubojanski_usun_to@i_to_tez.gmail.com> napisał(-a):

> Pomysł dobry, wykonanie gorsze. Po jednym dniu trzymania tego w portfelu
> wszystko miałem uświnione tym "sreberkiem" a większość haseł i tak widoczna.

Heh, ja włożyłem zdrapkę do zmywarki, a i tak nie zmyło się :)

do góry