Witam,

Koresponduje z bankiem na temat wprowadzania autoryzacji przelewów za
pomocą SMS.
System ten w porównaniu do infroastruktury klucza publicznego (klucz
mam u siebie na dyskietce) na pewno oferuje znacznie mniejsze
bezpieczeństwo.
Dodatkowo rezygnacja z autoryzacji niekótrych transakcji powoduje, że
system przestaje byc odporny na działąnei trojanów i innych ciekawych
robaczków.

Co ciekawe bank cały czas powołuje sie na

&65 pkt5 Bank zastrzega sobie prawo odmowy wykonania lub
wwprowadzenia dodatkowych ograniczeń i zabezpieczeń w stosunku
do dyspozycji składanych poprzez systemy bankowości
elektronicznej.

Tylko, że brak autoryzacji nie jest dodatkowym ograniczeńiem

i przyesyła różne takie śmieszne odpowiedzi w stylu

"Szanowny Panie,
W odpowiedzi na Pana maila uprzejmie informuję, iż zgodnie
z &65 pkt5 Bank zastrzega sobie prawo odmowy wykonania lub
wwprowadzenia dodatkowych ograniczeń i zabezpieczeń w stosunku
do dyspozycji składanych poprzez systemy bankowości
elektronicznej. W związku z powyższą informację chciałam Pana
poinformować, iż jednorazowe kody autoryzacyjne SMS, służące
do potwierdzeń transakcji są jedyną możliwą i akceptowana
przez Bank formą autoryzacji przelewów.
Z poważaniem, ..........., ING Bank Śląski S.A. "

Czyli wyłaczenie autoryzacji jest poniesieniem bezpieczeństwa

"Szanowny Panie
W odpowiedzi na Pana maila uprzejmie informuję, iż Bank dokonuje
oceny dyspozycji internetowych uwzględniając wiele różnych
parametrów m.in. kwota transakcji, rachunek beneficjenta,
łączna suma kwot kolejnych transakcji, rodzaj składanej
dyspozycji, historia składanych transakcji. W związku z tym,
nie wszystkie transakcje wysyłane za pośrednictwem systemu,
będą wymagały potwierdzenia za pomocą kodu SMS, jednakże moduł
oceny ryzyka składnej dyspozycji klasyfikuje każdą transakcję.
Z poważaniem ......... ING Bank Śląski S.A. "


TYLKO CAŁY CZAS ZAPOMINA, ŻE RYZYKO MOŻE
KALKULOWAC W ODNIESIENIU DO SWOICH ŚRODKÓW
A NIE DO PIENIĘDZY KLIENTÓW.

i w &63 pkt 2 dodaje

Każda dyspozycja złożona przez użytkownika systemu bankowości
elektronicznej
za pośrednictwem tego systemu i poprawnie zautoryzowana jest
równożnaczna z
dyspozycją pisemną i posiadacza rachunki i nie może być kwestionowana.

Czyli wyłączenie autoryzacji części przelewów jest ok. i za poronione
pomysły banku odpowiada klient.

do góry

On Tue, 8 Apr 2008 23:51:50 +0200, "Dariusz Młyński"
<m...@p...pl> wrote:

>Witam,
>
>Koresponduje z bankiem na temat wprowadzania autoryzacji przelewów za
>pomocą SMS.

Najwyższy czas zagłosować nogami, nie sądzisz?
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Na Szaniec 23/70 31-560 Kraków (012 378 31 98)
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/foto.html
___________/ mail: _...@i...pl GG: 3524356

do góry

On 8 Kwi, 23:51, "Dariusz Młyński" <m...@p...pl> wrote:
m.in. kwota transakcji, rachunek beneficjenta,
> łączna suma kwot kolejnych transakcji, rodzaj składanej
> dyspozycji, historia składanych transakcji.

Mhm, czyli wystarcy ze trojan przeleje na konto najpierw 10 groszy 10
razy zeby potem mogl przelac bez potwierdzenia 5 tysiecy. bo to bedzie
tylko 5 tysiecy i zlotowka. a konto beneficjenta bedzie ok bo przeciez
10 razy juz przelew byl robiony. I o ile klient nie wie jakie sa
limity kwot od ktorych system kwalifikuje czy jakie rodzaje transakcji
to pewnie ci ktorzy kradna pieniadze taka wiedza posiadaja.

Chyba jednak lepiej pokazac ING ze ten ich on-line to raczej sama lina.

do góry

SzalonyKapelusznik pisze:
> On 8 Kwi, 23:51, "Dariusz Młyński" <m...@p...pl> wrote:
> m.in. kwota transakcji, rachunek beneficjenta,
>> łączna suma kwot kolejnych transakcji, rodzaj składanej
>> dyspozycji, historia składanych transakcji.
>
> Mhm, czyli wystarcy ze trojan przeleje na konto najpierw 10 groszy 10
> razy zeby potem mogl przelac bez potwierdzenia 5 tysiecy. bo to bedzie
> tylko 5 tysiecy i zlotowka. a konto beneficjenta bedzie ok bo przeciez
> 10 razy juz przelew byl robiony. I o ile klient nie wie jakie sa
> limity kwot od ktorych system kwalifikuje czy jakie rodzaje transakcji
> to pewnie ci ktorzy kradna pieniadze taka wiedza posiadaja.

Niekoniecznie, system wcale nie musi się opierać tylko na zbiorze
stałych reguł. Można dodać np. elementy nie deterministyczne plus jakieś
metody sztucznej inteligencji, sieci neuronowe czy programy genetyczne.
Najpierw będzie uczony przez "specjalistów", później na własnych błędach.

Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie jest
tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może wliczono
w koszta np. bardziej elastyczną politykę reklamacji i dodatkowo system
dba żeby niezależnie od warunków duże kwoty zawsze były autoryzowane.

--
Pozdrawiam
Sebastian

do góry

Sebastian pisze:
[...]

> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może wliczono
> w koszta np. bardziej elastyczną politykę reklamacji

Wierzysz w to?
KJ

do góry

Sebastian <n...@n...com> writes:

> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie jest
> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń.

Eee tam. Po prostu silne zabezpieczenia sa zbyt trudne dla normalnego
uzytkownika.

> Może
> wliczono w koszta np. bardziej elastyczną politykę reklamacji

To by bylo cokolwiek nierozsądne.
--
Krzysztof Halasa

do góry

Kamil Jońca pisze:
> Sebastian pisze:
> [...]
>
>> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może
>> wliczono w koszta np. bardziej elastyczną politykę reklamacji
>
> Wierzysz w to?
> KJ

No może rzeczywiście trochę się zapędziłem. Nie mam zielonego pojęcia
jaki ten system jest naprawdę. Łatwo mi się komentuje bo prawie
wszystkie środki przelewam krótko po wypłacie gdzie indziej, żadnych
przelewów na przypadkowe konta.

Tak czy inaczej bank nie udostępnia danych na podstawie, których można
by rzetelnie ocenić bezpieczeństwo. Lamenty i zapewnienia o
bezpieczeństwie są tak samo wiarygodne. Jak jest naprawdę przekonamy się
już niedługo z mediów :)

--
Pozdrawiam
Sebastian

do góry

Krzysztof Halasa pisze:
> Sebastian <n...@n...com> writes:
>
>> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
>> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie jest
>> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń.
>
> Eee tam. Po prostu silne zabezpieczenia sa zbyt trudne dla normalnego
> uzytkownika.

Fakt nie do podważenia a i tak 100% zabezpieczeń nie ma.

>> Może
>> wliczono w koszta np. bardziej elastyczną politykę reklamacji
>
> To by bylo cokolwiek nierozsądne.

Dlaczego? Zmieniamy system na wygodny dla użytkownika i tani w
utrzymaniu ale generujący w sposób nieunikniony starty z włamań, których
jednak wielkość jesteśmy w stanie kontrolować. Ta kontrola strat też
musi być cechą systemu, w ING jest bo jest przecież mechanizm decydujący
o wysłaniu SMS'a. Jeśli:

straty z reklamacji + koszty nowego < koszt starego

to wybieramy łatwiejszy system. Prosty rachunek ekonomiczny.
Ale przyznaje że trudno mi sobie wyobrazić menadżera w banku, który by
podjął taką decyzje, no bo w końcu:

koszty nowego < straty z reklamacji + koszty nowego < koszt starego

Chociaż może w Monako albo Szwajcarii, kto wie ;)

--
Pozdrawiam
Sebastian

do góry

Sebastian <n...@n...com> writes:

> Dlaczego? Zmieniamy system na wygodny dla użytkownika i tani w
> utrzymaniu ale generujący w sposób nieunikniony starty z włamań,
> których jednak wielkość jesteśmy w stanie kontrolować.

To tak nie dziala - dziura w systemie, za ktora placi bank,
natychmiast sciagnelaby wielu chetnych.


> Ta kontrola
> strat też musi być cechą systemu, w ING jest bo jest przecież
> mechanizm decydujący o wysłaniu SMS'a. Jeśli:
>
> straty z reklamacji + koszty nowego < koszt starego
>
> to wybieramy łatwiejszy system. Prosty rachunek ekonomiczny.

Ale niezbyt realny.
--
Krzysztof Halasa

do góry

Krzysztof Halasa pisze:
> Sebastian <n...@n...com> writes:
>
>> Dlaczego? Zmieniamy system na wygodny dla użytkownika i tani w
>> utrzymaniu ale generujący w sposób nieunikniony starty z włamań,
>> których jednak wielkość jesteśmy w stanie kontrolować.
>
> To tak nie dziala - dziura w systemie, za ktora placi bank,
> natychmiast sciagnelaby wielu chetnych.

Nie pisałem o dziurze w systemie, takiej jaka była np. w Polbanku.
tylko o:
zmniejszenie zabezpieczeń -> wzrost włamań i reklamacji
Ciągle obstaje przy tym, że nie ma 100% szczelnych systemów, można tylko
regulować strumień, którym pieniądze wyciekają.

/-> straty, koszty utrzymania
zabezpieczenia - > łatwość użycia
\-> niezadowolenie oszukanych, opinia banku

a to tylko najważniejsze elementy

Banki ciągle szukają optymalnego rozwiązania i ciągle będą bo wszystkie
te czynniki zmieniają się w czasie użytkowania systemu.

--
Pozdrawiam
Sebastian

do góry