W dniu niedziela, 20 marca 2016 16:20:36 UTC+1 użytkownik Sebastian Biały napisał:
> On 2016-03-20 16:06, Marek wrote:
> >> No właśnie. Po zastosowaniu prostackich środkow technicznych
> > problem
> >> udowaniania nie istnieje. Bo problem malw
> >> istnieje. Tadaaaam!
> > Kraje cywilizowane dawno z tym sobie poradziły stosując chargeback dla
> > transakcji nieautoryzowanych. I żadnych wyrafinowanych środków
> > technicznych do tego nie trzeba.
>
> One nie są *wyrafinowane*. To kawałek krzemu za $0.1 i kawałek
> wyświetlacza z klawiaturą za $0.5 + opakowanie za $1. Sprzedawane
> oczywiście za $100 ale to kwestia dania właściwej osobie po mordzie i
> rozkręcenia produkcji w chinach.
Jest jeszcze klient. Ja nie chcę żadnego tokena itp- zbyteczny wg mnie gadżet który
potrzebny mi byłby żeby zapłacić za zakupy na Allegro. Banki z tokenami omijam
łukiem. Hasła sms idealnie mi pasują.

do góry

On 2016-03-20 19:28, Rafal Jankowski wrote:
>> Z punktu widzenia banku istnieje zasada domniemanego zarażenia
>> malware. I słusznie, klient nie ma jak udowodnić że malware nie było
>> więc bank nie jest nigdy stratny.
> To samo możesz powiedzieć o każdym innym systemie, który nie jest OS.

Czekaj, bo to zdanie nie ma sensu. Co masz pod skrótem OS? Open Source?
Operating System?

Open Source nie sluzy do ochrony przed kompromitacją systemu przez malware.

> A
> Twojego kolegi (czy to prawnik czy nie to akurat bez znaczenia) równie
> dobrze mogło nie być i wtedy wszystkie poszlaki świadczą przeciwko Tobie.

Domniemanie niewinności w akcji :)

> Podany przez Ciebie przykład TPMa to tylko dodatkowa warstwa
> zabezpieczeń która rownie dobrze może być skompromitowana jak i OS

Dawaj. Mozesz pokazać przykład kompromitacji jakiegoś współczesnego
TPMa? Żeby nie było: Ja moge, ale mocno niepraktyczny w analizowanym
scenariuszu. A z uwagi na unikatowośc kluczy należy nie tyle złamać
jeden, co konkretny egemplarz.

, więc
> z tą "absolutną" pewnością to trochę pojechałeś. Nie mówiąc już o tym,
> że podobnie jak numer w totolotku można go "zgadnąć", chociaż w
> zależności od implementacji pewnie trochę więcej bitów jest do odgadnięcia.

TPM i inne metody zabezpieczania kryptograficznego planuje się i
impelmentuje z myślą o *NIEŁAMALNOŚCI* w realnych warunkach dzisiaj i za
kilkanascie lat. Jesli masz śladowe pojęcie o fizyce, połprzewodnikach
itp duperelach proponuje poczytać jakiego typu zabezpieczenia stosowane
są w scalakach TPM. Nigdzie sobie nie pojechałem. Odgadnięcie
czegokolwiek z TPMa jest niemożliwe w sensownym czasie, szczegolnie w
scenariuszu gdzie masz dostep do niego tylko przez interfejs. A do
komputerów kwantowych daleko. Prezentujesz rozumowanie typowego
debilomanagera z banku: przeciez wszystko można złamać, więc lepiej
spierdolić od razu. Chwilowo sprzętowy token jest niełamalny o ile nie
zrobili go debile co się czasem zdarza w świecie inżynierii.

Wykonanie nielamalnego, nawet profesjonalnie, tokena to kwestia max
kilku dolarow. Jestem gotów je zaplacić. Problem w tym że nie mam komu,
bo wszędzie uważa się że najlepszą ochorna moich pieniedzy jest stado
studentów developujących na produkcji tony gówna w javascripcie.

do góry

On 2016-03-20 19:40, Kris wrote:
> Hasła sms idealnie mi pasują.

Bardzo dobrze. Polecam jednak uwadze:

https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-o
kradali-konta-bankowe-klientow-sieci-play/

do góry

On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 19:28, Rafal Jankowski wrote:
>> > Z punktu widzenia banku istnieje zasada domniemanego zarażenia
>> > malware. I słusznie, klient nie ma jak udowodnić że malware nie było
>> > więc bank nie jest nigdy stratny.
>> To samo możesz powiedzieć o każdym innym systemie, który nie jest OS.
>
> Czekaj, bo to zdanie nie ma sensu. Co masz pod skrótem OS? Open Source?
> Operating System?
>
> Open Source nie sluzy do ochrony przed kompromitacją systemu przez malware.

Open Source. O każdym systemie, który nie jest open source możesz
powiedzieć, że nie wiadomo co robi i nie widzę powodu dla specjalnego
wyróżnienia Windowsa.

>
>> A
>> Twojego kolegi (czy to prawnik czy nie to akurat bez znaczenia) równie
>> dobrze mogło nie być i wtedy wszystkie poszlaki świadczą przeciwko Tobie.
>
> Domniemanie niewinności w akcji :)

W polskim prawie nie ma nigdzie wprost napisane, że istnieje jakiekolwiek
domniemanie niewinności, chociaż winę trzeba udowodnić. Jak poszlaki
świadczą przeciwko Tobie to sąd może dać wiarę Twoim tłumaczenim albo nie
Jak nie da to te poszlaki stanowią właśnie "dowód" i masz przechlapane.


>
>> Podany przez Ciebie przykład TPMa to tylko dodatkowa warstwa
>> zabezpieczeń która rownie dobrze może być skompromitowana jak i OS
>
> Dawaj. Mozesz pokazać przykład kompromitacji jakiegoś współczesnego TPMa?
> Żeby nie było: Ja moge, ale mocno niepraktyczny w analizowanym scenariuszu. A
> z uwagi na unikatowośc kluczy należy nie tyle złamać jeden, co konkretny
> egemplarz.
>
> , więc
>> z tą "absolutną" pewnością to trochę pojechałeś. Nie mówiąc już o tym,
>> że podobnie jak numer w totolotku można go "zgadnąć", chociaż w
>> zależności od implementacji pewnie trochę więcej bitów jest do
>> odgadnięcia.
>
> TPM i inne metody zabezpieczania kryptograficznego planuje się i impelmentuje
> z myślą o *NIEŁAMALNOŚCI* w realnych warunkach dzisiaj i za kilkanascie lat.
> Jesli masz śladowe pojęcie o fizyce, połprzewodnikach itp duperelach
> proponuje poczytać jakiego typu zabezpieczenia stosowane są w scalakach TPM.
> Nigdzie sobie nie pojechałem. Odgadnięcie czegokolwiek z TPMa jest niemożliwe
> w sensownym czasie, szczegolnie w scenariuszu gdzie masz dostep do niego
> tylko przez interfejs. A do komputerów kwantowych daleko. Prezentujesz
> rozumowanie typowego debilomanagera z banku: przeciez wszystko można złamać,
> więc lepiej spierdolić od razu. Chwilowo sprzętowy token jest niełamalny o
> ile nie zrobili go debile co się czasem zdarza w świecie inżynierii.
>
> Wykonanie nielamalnego, nawet profesjonalnie, tokena to kwestia max kilku
> dolarow. Jestem gotów je zaplacić. Problem w tym że nie mam komu, bo wszędzie
> uważa się że najlepszą ochorna moich pieniedzy jest stado studentów
> developujących na produkcji tony gówna w javascripcie.

Jesteś fanatykiem. Nie znam TPMów, nie będę się wypowiadał. Jest to jednak
zwykły kawałek krzemu realizujący jakieś funkcje kryptograficzne pewnie
podobne do np. HSMów albo SGXa i owszem, zwiększają one bezpieczeństwo ale
o ile ich model matematyczny może wyglądać bardzo fajnie to zawsze są
pewne słabości albo od takich trywialnych że wpinasz się kabelkami
pomiędzy scalak a ściezki na płycie i wyciągasz wrażliwe informacje. Może
być tak, że klucz nigdynie opuszcza scalaka i niby to nie da się go (w
teorii) stamtąd wyskrobać, nie mówiąc już o przypadku użycia go przez
nieuprawnioną osobę (do tego pewnie była ta kamerka) i inne cuda niewida.

do góry

On 2016-03-20 20:32, Rafal Jankowski wrote:
>> Czekaj, bo to zdanie nie ma sensu. Co masz pod skrótem OS? Open
>> Source? Operating System?
>> Open Source nie sluzy do ochrony przed kompromitacją systemu przez
>> malware.
> Open Source. O każdym systemie, który nie jest open source możesz
> powiedzieć, że nie wiadomo co robi i nie widzę powodu dla specjalnego
> wyróżnienia Windowsa.

Przecież to samo można powiedzieć o każdym systemie OpenSource! Wiesz co
robi twoje Ubuntu kiedy instaluje setkę aktualizacji? Myslisz że miliny
oczu sledzą? Milony ludzi sprawdza każdą linie kodu nastepnego programu
do ściągania pornoli? Serio?

>> Domniemanie niewinności w akcji :)
> W polskim prawie nie ma nigdzie wprost napisane, że istnieje
> jakiekolwiek domniemanie niewinności, chociaż winę trzeba udowodnić. Jak
> poszlaki świadczą przeciwko Tobie to sąd może dać wiarę Twoim
> tłumaczenim albo nie Jak nie da to te poszlaki stanowią właśnie "dowód"
> i masz przechlapane.

Bierzemy więc technologie i już nie muszę się przed nikim tłumaczyć. Na
sasiedniej grupie "prawo" jest całe zbiegowisko ludzi których czas nie
posiada ceny i z chęcia udowodnia sobie cokolwiek przed sądem. Ja nie
mam czasu aby mnie jakieś bankowe debile miały czołgać udowadniając że
ich dziadostwo to moja wina.

>> Wykonanie nielamalnego, nawet profesjonalnie, tokena to kwestia max
>> kilku dolarow. Jestem gotów je zaplacić. Problem w tym że nie mam
>> komu, bo wszędzie uważa się że najlepszą ochorna moich pieniedzy jest
>> stado studentów developujących na produkcji tony gówna w javascripcie.
> Jesteś fanatykiem.

Nie. Jestem programista i elektronikiem. O maly włos również
materiałoznawcą z dziedziny kryształów i okolic. Daje mi to pewne
podstawy do wypowiadania się o tym i o owym.

> Nie znam TPMów, nie będę się wypowiadał. Jest to
> jednak zwykły kawałek krzemu realizujący jakieś funkcje kryptograficzne
> pewnie podobne do np. HSMów albo SGXa i owszem, zwiększają one
> bezpieczeństwo ale o ile ich model matematyczny może wyglądać bardzo
> fajnie to zawsze są pewne słabości albo od takich trywialnych że wpinasz
> się kabelkami pomiędzy scalak

No właśnie. Nic nie wiedz o TPM. Czasy Januszy Kryptografii mineły
bezpowrotnie.

Tu możesz sobie zobaczyć te twoje kabelki na scalak:

https://www.youtube.com/watch?v=rEUH1WGa2_0

Koszt wyciągniecia jednego klucza z jednego ezemplarza TPM szacuje się
na 1ml zł i bez gwarancji powodzenia z uwagi na złożone zabezpieczenia.
*Egzemplarza* powtarzam, bo to ważne. Koszt produkcji scalaka jest
pomijalny.

> informacje. Może być tak, że klucz nigdynie opuszcza scalaka i niby to
> nie da się go (w teorii) stamtąd wyskrobać, nie mówiąc już o przypadku
> użycia go przez nieuprawnioną osobę (do tego pewnie była ta kamerka) i
> inne cuda niewida.

Ba, pomyśl co bedzie jak w taki token przypierd... meteoryt. To
dyskwalifikuje tą technologię od razu. Back to javascript i dużo number
of animacji. Niech zyje security by poverty!

do góry

W dniu niedziela, 20 marca 2016 19:47:55 UTC+1 użytkownik Sebastian Biały napisał:
> On 2016-03-20 19:40, Kris wrote:
> > Hasła sms idealnie mi pasują.
>
> Bardzo dobrze. Polecam jednak uwadze:
>
> https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-o
kradali-konta-bankowe-klientow-sieci-play/
Jeśli ktoś ma jak "Pan Łukasz" na bieżącym rachunku
160tys i do tego jakieś tele play to troche nireprezentatywny przykład.
U mnie co miesiąc jest to ok 3tys na biezące opłaty i zakupy via net i token to tyko
dodatkowy kłopot dla mnie. Szukać trzeba, zgubić można;)

do góry

On 2016-03-20 21:02, Kris wrote:
>> Bardzo dobrze. Polecam jednak uwadze:
>> https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-o
kradali-konta-bankowe-klientow-sieci-play/
> Jeśli ktoś ma jak "Pan Łukasz" na bieżącym rachunku
> 160tys i do tego jakieś tele play to troche nireprezentatywny przykład.

Pan Łukasz ma taże możliwośc otworzenia lini kredytowej. Zapewne bez
możliwosci zablokowania, lub z możliwością odblokowania "kanałem
teleinformatycznym". Panów Łukaszów w PL jest od groma. Byc może masz
rację, po co przejmować się frajerami mającymi pieniądze na koncie. Co
innego mała przerwa w managerskiej pracy w celu przeglądniecia katalogu
z jachtami.

> token to tyko dodatkowy kłopot dla mnie. Szukać trzeba, zgubić można;)

Super. Nikt nie zmusza do używania tokenów. Kupa banków w PL dalej
potrafi zautoryzować duże przelewy za pomocą podpisu rodem ze
średniowiecza wspomaganym przypadkową facjatą z masą tapety i zielonym
kapeluszem (bo czerwone sa zawsze podejrzane!).

do góry

On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 20:32, Rafal Jankowski wrote:
>> > Czekaj, bo to zdanie nie ma sensu. Co masz pod skrótem OS? Open
>> > Source? Operating System?
>> > Open Source nie sluzy do ochrony przed kompromitacją systemu przez
>> > malware.
>> Open Source. O każdym systemie, który nie jest open source możesz
>> powiedzieć, że nie wiadomo co robi i nie widzę powodu dla specjalnego
>> wyróżnienia Windowsa.
>
> Przecież to samo można powiedzieć o każdym systemie OpenSource! Wiesz co robi
> twoje Ubuntu kiedy instaluje setkę aktualizacji? Myslisz że miliny oczu
> sledzą? Milony ludzi sprawdza każdą linie kodu nastepnego programu do
> ściągania pornoli? Serio?


Świetnie, czym więc windows zasłużył na wyróżnienie w tym zestawie?

> Nie. Jestem programista i elektronikiem. O maly włos również materiałoznawcą
> z dziedziny kryształów i okolic. Daje mi to pewne podstawy do wypowiadania
> się o tym i o owym.
>
[...]
> No właśnie. Nic nie wiedz o TPM. Czasy Januszy Kryptografii mineły
> bezpowrotnie.
>
> Tu możesz sobie zobaczyć te twoje kabelki na scalak:
>
> https://www.youtube.com/watch?v=rEUH1WGa2_0
>
> Koszt wyciągniecia jednego klucza z jednego ezemplarza TPM szacuje się na 1ml
> zł i bez gwarancji powodzenia z uwagi na złożone zabezpieczenia.
> *Egzemplarza* powtarzam, bo to ważne. Koszt produkcji scalaka jest pomijalny.
>
>> informacje. Może być tak, że klucz nigdynie opuszcza scalaka i niby to
>> nie da się go (w teorii) stamtąd wyskrobać, nie mówiąc już o przypadku
>> użycia go przez nieuprawnioną osobę (do tego pewnie była ta kamerka) i
>> inne cuda niewida.
>
> Ba, pomyśl co bedzie jak w taki token przypierd... meteoryt. To
> dyskwalifikuje tą technologię od razu. Back to javascript i dużo number of
> animacji. Niech zyje security by poverty!

Nie będę poznawał nowej technologii tylko do tego, żeby prowadzić taką
dyskusję, bo na razie nie podałeś żadnych konkretów, a ludzi potencjalnie
sprytniejszych od Cieie (managerów bankowych doskonale orientujących się w
dostępnych na rynku technologiach bezpieczeństwa) wyzywasz od debiili.
Skoro uważasz że ten TPM jest takim lekarstwem na całe zło to powiedz na
jakiej podstawie tak twierdzisz? Że niby generuje się w nim niemożliwy do
wyciągnięcia klucz prywatny i wszystkie operacje są nim podpisywane? Że
aplikacja, która żąda tego podpisu też musi być podpisana? Nie wiem jak w
takim wypadku przebiega przekazanie klucza publicznego do banku. Pewnie
bank sam tego TPMa używa żeby dostać klucz publiczny i potem wysyła z już
wygenerowanym prywatnym, ale nie jestem pewien czy można ufać jakiemuś
chińskiemu scalakowi przy którym manipulowali bankowcy, bo jak poznam czy
to co dostałem nie jest czymś o tym samym API ale z już wyciągniętym
kluczem prywatnym?

do góry

On Sun, 20 Mar 2016 19:37:04 +0100, Rafal Jankowski
<j...@o...wsisiz.edu.pl> wrote:
> Jak rozumiem to do czego się odnosisz to definicja tego kto to jest
> płatnik i co to jest zlecenie (art 2 pkt 22 i 36). Tylko po
pierwsze to
> nie zdejmuje z klienta obowiązku nieudostępniania danych
autoryzacyjnych,

Zgoda, ale udostępnienie (świadome) byłoby już złamaniem umowy
bank-klient, pewnie trudne do obrony ale zapewne z pkt. widzenia sądu
nadal nie spełniające definicji autoryzacji na jaką powołuje się sąd
w omawianym orzeczeniu.

> "proste i logiczne" jak piszesz to użytkownik nie miałby dokładnie
żadnego
> interesu w pilnowaniu dostępu do swojego konta,

Ależ to już by można spokojnie podciągnąć pod rażące niedbalstwo,
brudzo trudne do obrony.

>Podobnie w sumie
> działają karty kredytowe, które z technicznego punktu widzenia nie
mają
> właściwie żadnych zabezpieczeń tylko weź pod uwagę jakie są
prowizje za
> ich korzystanie. To chyba coś ok 1-2% za transakcję karcianą. Nie
wiem czy
> byśmy chcieli tyle płacić za przelewy.

Co wcale nie oznacza, że nie nastąpi. W bardziej rozwiniętych krajach
nie ma takiej swobody w dystępności i różnorodnošci narzędzi
płatniczych jak to jest u nas.

--
Marek

do góry

On Sun, 20 Mar 2016, Marek wrote:

>> "proste i logiczne" jak piszesz to użytkownik nie miałby dokładnie
> żadnego
>> interesu w pilnowaniu dostępu do swojego konta,
>
> Ależ to już by można spokojnie podciągnąć pod rażące niedbalstwo, brudzo
> trudne do obrony.

I tu właśnie wracamy do początku dyskusji. Czy zainstalowanie na swoim
komputerze malware (nie polegające tak jak pisze sąd w uzasadnieniu na
żadne zdjęcie tylko na zignorowaniu serii komunikatów ostrzegających co
się robi) jest rażące czy nie. Sąd stwierdził, że nie, ale to jest na tyle
typowy przypadek że powinien być jasno określony w prawie a nie podlegać
ocenie sądu.

do góry