W dniu 2015-03-17 o 23:15, J.F. pisze:
> Falszywy major tez to wiedzial, widac lepiej, bo order dostal :-)

Przypadek jednostkowy. Natomiast ciekawa sprawa do audytu.

> Ta, juz to widze jak przyjezdza goniec ze sztabu i wzywaja komendanta na
> brame do wypisania przepustki :-)

Za długo tłumaczyć jak to działa.

> Ale nie trzeba byc od razu ochroniarzem - klientow wyprosili, a
> pracownikow nie :-)

Faktycznie było tak, że pracownicy banku okradli konta klientów. I bank
próbował i to przerzucić na klientów twierdząc, że nie jest stroną w sporze.

> A to owszem. Ten Internet to samo zlo, powinni tego zabronic :-)

Zmęczony już jesteś chyba...

--
-----------
Pozdrawiam
Szymon

do góry

> > Słucham?? Uwierzytelnianie na podstawie IP i MACów? Możesz podać nazwę choć
jednego współczesnego systemu który tak działa? :D
>
> Tak. Jarsat. Popularna osiedlówka w Gdańsku.
>
> http://www.jarsat.pl/internet/pomoc-techniczna/108-j
ak-odczytac-adres-fizyczny

Gdzie tu jest słowo o uwierzytelnianiu kogokolwiek? Ja widzę tylko sposób odczytania
w systemie IP i MACa.

> To już ustaliliśmy: banki mogą, ale nie chcą.

Nic nie ustaliliśmy. Nadal nie wiem w jaki to magiczny sposób banki mogą w 100%
bezpieczny autoryzować zdalnego klienta, który ma skompromitowany system.

do góry

Użytkownik "jj" napisał w wiadomości grup
dyskusyjnych:85ae41c3-87bd-424e-8f70-cba161cfbc09@go
oglegroups.com...
>> > Słucham?? Uwierzytelnianie na podstawie IP i MACów? Możesz podać
>> > nazwę choć jednego współczesnego systemu który tak działa? :D
>> Tak. Jarsat. Popularna osiedlówka w Gdańsku.
>
>> http://www.jarsat.pl/internet/pomoc-techniczna/108-j
ak-odczytac-adres-fizyczny

>Gdzie tu jest słowo o uwierzytelnianiu kogokolwiek? Ja widzę tylko
>sposób odczytania w systemie IP i MACa.

"W przypadku zmiany karty sieciowej za pomocą, której nasz komputer
łączy się z siecią ATTU konieczne jest odczytanie go i powiadomienie o
takiej zmianie biura obsługi klienta, bowiem dopiero po jego
aktualizacji w systemie obsługi sieci, możliwe będzie dalsze
korzystanie z usługi dostępu do Internetu"

>> To już ustaliliśmy: banki mogą, ale nie chcą.
>Nic nie ustaliliśmy. Nadal nie wiem w jaki to magiczny sposób banki
>mogą w 100% bezpieczny autoryzować zdalnego klienta, który ma
>skompromitowany system.

Ale pozwolic mu na ograniczenie ip z ktorych moze sie laczyc, to by
mogly.

Tylko ze pewnie 90%, jesli nie 99% laczy sie ze zmiennych IP ... ale
polskich ... choc nie zawsze :-)

J.

do góry

> "W przypadku zmiany karty sieciowej za pomocą, której nasz komputer
> łączy się z siecią ATTU konieczne jest odczytanie go i powiadomienie o
> takiej zmianie biura obsługi klienta, bowiem dopiero po jego
> aktualizacji w systemie obsługi sieci, możliwe będzie dalsze
> korzystanie z usługi dostępu do Internetu"

Wystarczy sobie na nowej karcie sieciowej ustawić MAC jaki był na starej i już
działa. Tyle w temacie "uwierzytelniania" na podstawie MAC/IP.

> Ale pozwolic mu na ograniczenie ip z ktorych moze sie laczyc, to by
> mogly. Tylko ze pewnie 90%, jesli nie 99% laczy sie ze zmiennych IP ... ale
> polskich ... choc nie zawsze :-)

Powtórzę - podszycie się pod cudze IP jest banalne i nikt przy zdrowych zmysłach nie
oprze na tym żadnego systemu. Zresztą o czym my tu mówimy - jak klient ma wirusy, to
złośliwy soft łączy się z bankiem z "wiarygodnego" IP...

do góry

Użytkownik "S" napisał w wiadomości
>heh... W latach 90-tych w Wiadomościach pojawiały się komentarze w
>stylu "na skutek pomyłki komputera...". Pamiętam, jak Paweł Wimmer
>ośmieszał bodaj w PC Kurierze te wiadomości. Twierdził wówczas, iż
>żaden szanujący się dziennikarz nie przyznałby, iż dyktafon nagrał
>słowa, których on nie wypowiedział, bo jest to po prostu niemożliwe.
>Tymczasem komputer był tak egzotycznym urządzeniem, iż potrafił się
>sam... pomylić.

W sumie ... redundancja. Pomijajac to ze magnetofon artykulow nie
pisal,
to analogowy zapis magnetofonowy mial jej na tyle duzo, ze nie
przeklamywal,
aczkolwiek - osoby sie mogly pomylic, bliskobrzmiace wyrazy sie mogly
pomylic.

Komputer ... wczesne pecety mialy bit parzystosci w pamieci,
pozniejsze juz nie.
Pamiec raczej nie przeklamywala ... ale jakby tak przeklamala, to
mogloby sie konto o okragla kwote zmienic :-)
Choc oczywiscie zazwyczaj mylil sie programista.

No i automatyzacja - dzis juz nie trzeba pomocy czlowieka, aby
pieniadze zmienily wlasciela :-)

>Dziś na hasło "wirus" ludzie drżą. Co lepsi instalują po 2 rezydentne
>antywirusy naraz. Ech...

Takis pewny ze twoj komputer jest bezpieczny, a tylko jednego antywira
masz ? :-)

J.

do góry

Użytkownik "S" napisał w wiadomości
W dniu 2015-03-17 o 22:13, Kamil Jońca pisze:
>> Jesteś bardzo pewny siebie w tym temacie. To raz.
>Owszem, bo to nie jest takie niezwykłe. Zawsze najsłabszym ogniwem
>jest człowiek.

No coz, byly takie wirusy, gdy do zakazenia windowsa wystarczylo ze
byl na wspolnej sieci z drugim.
Tamta dziure zalatali ... ale ile ich zostalo i jeszcze przybedzie ?

>> Dwa. Owszem, może 1 czy 2 % ludzi potrafi się zabezpieczyć i syfu
>> nie
>> złapie.
>To trzeba tak zabezpieczyć resztę, by system niwelował ich błędy.

>>Może kolejnych 10 % się zastanowi. Ale pozostaje >70% prywatnych
>> kompów które spkojnie można zainfekować.
>I to problem banku, by zabezpieczyć konta klientów.

Czyli co - zlikwidowac obsluge przez internet ?
Czy wymagac linuxa z lynxem ?
A moze rozdawac "bezpieczne tablety" ?


>> KJ (który już parę zasyfionych maszyn widział)
>OK, ale to nie jest tak, że wirus=ogolone konto. Dużo rzeczy musi
>zaistnieć, by to konto ogolić.

Owszem. Tym niemniej sa programy pozwalajace przejac kontrole nad
komputerem.
Mozna wiedziec co delikwent wstukuje na klawiaturze, co mu sie
wyswietla na ekranie itp ...

J.

do góry

Michal Tyrala wrote:
> On Mon, 16 Mar 2015 16:50:02 +0100, forestdumb wrote:
>> W pko jak ida duze przelewy (30, 40tys?) to dzwonia dodatkowo czy
>> Pan XY wykonal taki przelew? Moze to jest rozwiazanie.
>
> Tak z ciekawości -- co jak się nie dodzwoni? I czy gdzieś jest to
> wprost napisane, czy taki-se zwyczaj?

Przelew nie pojdzie?

do góry

W dniu 2015-03-17 o 22:10, S pisze:

> Tylko wtedy, gdy dobierzesz się do mojego komputera i IP, a to wymaga
> włamania do lokalu. Innej opcji nie ma. Za dużo filmów oglądacie ;-)

:)

do góry

W dniu 2015-03-17 o 22:27, S pisze:

> OK, ale to nie jest tak, że wirus=ogolone konto. Dużo rzeczy musi
> zaistnieć, by to konto ogolić. Bez większego problemu możesz się
> dowiedzieć, jaki mam IP. Wiesz też, że mam konto w Eurobanku. Zapraszam
> do podjęcia próby zainfekowania mojego systemu, skoro to taki banał.
> Przekonasz się, że to nie jest takie proste nawet przy niskim
> bezpieczeństwie, jakie banki dziś oferują.

Właściwie jedynym liczącym się czynnikiem poprawiającym bezpieczeństwo
Twojego komputera, jest to że spodziewasz się zagrożenia, a większość
klientów po prostu chce korzystać z konta w wygodny sposób do czego
ich zresztą zachęcają banki.

Tym zaproszeniem zapewne rzuciłeś wyzwanie paru gimnazjalistom,
lepiej szybko zmień adres ip :)

do góry

W dniu 2015-03-17 12:07, Liwiusz pisze:
> W dniu 2015-03-16 o 22:46, S pisze:
>> Poprzez odpowiedni system zabezpieczeń. Podałem Ci co najmniej kilka
>> rozwiązań jak to można zrobić. Posiadanie wirusa lub nie, w ogóle nie
>> jest istotne. To bajeczka dla naiwnych. Istotny jest sposób autoryzacji
>> czyli uwierzytelnienia Klienta. Jeśli bank nie jest w stanie zapewnić
>> właściwej autoryzacji, nie powinien świadczyć usługi.
>
> Komputer, z którego wykonano przelewy autoryzując je poprawnymi hasłami
> (czyli komputer złodzieja) na pewno nie był zawirusowany.

Hasłami sms na telefon? Numer telefonu miał ten sam, czy co?


--
animka

do góry