"Tomasz Chmielewski" news:7pca3kF3sa89dU2@mid.uni-berlin.de

> > Jak daleko to jest "obok siebie"? W toruńskim Carrefourze stoją Euronet
> > i BZWBK.

> "Takich samych" - czyli np. bankomat BZWBK obok bankomatu BZWBK obok
> bankomatu BZWBK.
> Przynajmniej ja tak zrozumialem ;)

Otóż to :)

do góry

Użytkownik "RobertS" <b...@x...pl> napisał w wiadomości
news:hgqv04$3g6$1@opal.icpnet.pl...

> oj takie przypadki są spotykane, stoją obok siebie (5m) bankomaty BZWBK,
> PKO rowniez widzialem...

5m to za dużo :) Mam na myśli centymetry, niewielką ich ilość :)

do góry

Dnia Tue, 22 Dec 2009 17:23:15 +0100, Tomasz Chmielewski napisał(a):

> "Takich samych" - czyli np. bankomat BZWBK obok bankomatu BZWBK obok
> bankomatu BZWBK.
> Przynajmniej ja tak zrozumialem ;)

Wrocław Rynek. Bankomat BZWBK, tuż obok drugi, w środku budynku trzeci. Po
drugiej stronie rynku 2 bankomaty Pekao obok siebie i kawałek dalej 2
bankomaty PKOBP :)

--
Kojer

do góry

>> Wszytko pieknie, tylko podaj prosze do wiadomosci ile w ten sposob
>> perzejeto hasel do bankow?
>> Sa takie dane?
>
> Mozna szacowac. Bylo sporo przypadkow dosc niedawno, mechanizm nieco
> inny.

Szacowac... czyli wrozenbie z fusow.
Generalnie jeszcze sie nie zdarzylo by ktos przeja dane klienta na zasadzie
podsluchu transmisji, zdekodwania tej transmisji - to tylko w filmach
mozliwe:)

>> Zludzenia?
>> Napisalem, podaj przypadek przejecia konta poprzez "pdsluchanie"
>> transmisji szyfrowanej.
>
> A co to jest podsluchanie? Jakie znaczenie ma samo "podsluchanie"?

Snifing. "zalapanie" na zywo transmisji klient - bank i zwrotnej, bo jak
inaczej wyobrazasz sobie przejecie danych klogowania, jesli eliminujemy
fizyczny dostep do nich (zagladniecie przez ramie, uzycie falszywej strony
wyludzajacej dane itp)

> Realny problem to np. atak na dostep internetowy do banku, zakladajac
> uzycie typowej i typowo skonfigurowanej przegladarki, "publicznego"
> dostepu do sieci itd. Samo "podsluchanie" transmisji np. ADSL albo
> Ethernet to jest tylko czesc metody, wazne sa zalozenia i cel, nie
> metoda.

Byc moze, ja wiem, ze technicznie mozna "pdsluchac" kazda transmisje w
necie, jesli idzie czystym tekstem nie ma problemu, ale jesli jest kodowana
to pozostaje mi zyczyc powodzenia...

>> Ja nie pytam o mozliwosci - bo takie na pewno sa tylko o praktyke.
>> 95% wlamu, to wejscia z wewnatrz.
>
> Podaj zrodlo tej informacji.

W Polsce?:))
UOP.

> Owszem, kiedys bylo tak, ze wiekszosc atakow pochodzila z wnetrza sieci,
> ale nie wiem czy to bylo 95%, oraz to dotyczylo raczej innych atakow.
> Nie ma zadnej uniwersalnej zasady na ten temat.

Jest:))
Nadal ponad 95% atakow jest wenatrz sieci, te zewnetrzne to sa procenty, a
skuteczne to dziesiate promila.

>> Nie mam na mysli wyludzenia certyfikatow, ale ich konkretnego
>> zastosowania.
>> Najslabsze ogniow to sam bank wewnatrz.
>
> Niekoniecznie.
> Jesli wyludzisz certyfikat (to nie jest zaden specjalny problem) oraz
> masz mozliwosc przekierowania ruchu klienta do swojej maszyny, to typowo
> jestes w stanie zrobic co chcesz z dostepem do konta klienta (+/- limity
> itp). Ta mozliwosc ma kazdy provider w lancuchu klient-bank, dodatkowe
> mozliwosci sa takze w przypadku np. wifi, niezabezpieczonych fizycznie
> kabli, trucia DNSow falszywymi rekordami itd.

Widzisz, gdyby to bylo takie realne, to juz dawno banki by zaniechaly
e-kont. W obawie o masowe takie dzialania.
To o czym, piszesz to czysta teoria, teoretycznie tez mozesz uzyskac wieksze
predkosci niz swiatlo ale w praktyce?
Poza tym, by przekierowac ruch na swoja strone by wyludzic dane musisz miec
dostep bezposredni do maszyny na ktorej dane te beda wprowadzane, jesli nie
masz dostepu - zpaomnij.
Same pakiety sie nie przekieruja:)
Wychodzi wiec, ze to od uzytkowika zalezy jak bezpieczne jest korzystanie z
e-bankingu. Jesli nie otwiera przypadkowych maili, nie daje sie zrobic na
podroboione strony, to dzialajac na zwyklym hasle nic mu nie grozi...
Najslabsze ogniwo na lini bezpieczenstwa to wlasnie uzytkownik i sec
wewnetrzna ta zewnetrzna jest bardzo mocno chroniona.


> Bank moze byc najslabszym ogniwem w porownaniu do dobrze zarzadzanej
> sieci (terminala), z zabezpieczonym odpowiednio DNSem, z zupelnie inna
> niz domyslna konfiguracja przegladarki itd. Wtedy tak. Natomiast
> porownywanie do tzw. Kowalskiego z Windows XP OEM i neostrada jest
> nieporozumieniem.

Ale w banku kazdy osobnik na pozycji kasjera w gore ma dostep do twoich
danych:) Ba! W odziale gdzie skladales papiery ma dostep nawet do twojego
wzoru podpisu...
Czy problem jest dla kogos w banku "dorobic" karte?:)
Byc moze wiekszosc ludzi mysli, ze tak, ze pracownik nie moze, ze sa
zabezpieczenia ect... otoz nie ma!
A potem do prasy idzie notka, ze hakerzy sie wlamali albo ktos zamontowal
kamere w bankomacie:)))
Zrozum, pracownik banku moze nawet kompletnie zniesc limit z karty i
wyplacic wszystko z konta nieomal jednorazowo. Wierz mi, ze moze:)))
Naprawde zapamietaj: pracownik banku ma FIZYCZNY dostep do twoich danych - i
to jest najslabsze ogniwo, a ze nie ma o tym w prasie? A jak sadziesz
dlaczego:)))? Czy ty bys dal do banku oszczednosi zycia powiedzmy 500 000
majac swiadomosc, ze pracownicy banku moga to w kazdym momencie zwinac:)?
Zrozum, wszelkiego rodzaju ograniczenia, limity nie sa by ciebie chronic!
Limity, ograniczenia, blokady sa po to by bank ochronic. A nie posiadacza
kasy, o takowego banki zadko dbaja i to na calym swiecie, bo tak naprawde,
jak juz jestemy przy systemach bankowych, to moze nie wiesz, ale zanoszac do
banku kase oddajesz 100% kontroli nad nia bankowi. Bank staje sie
wlascicielem twoje kasy i jedynie obiecuje ci wypate twoich srodkow (nawet
nie nazywa sie to pieniedzmi tylko srodki):))
Wszelkie tokeny, czytniki, hasla sms-owe itp... maja dac ci poczucie
bezpieczenstwa tylko i wylacznie.

do góry

> Z innych ciekawych rzeczy za Odra:
> - 5 najwiekszych bankow daje swoim klientom darmowe wyplaty ze
> wszystkich swoich bankomatow (tzn klient Dresdnera za darmoche wyplaca
> pieniadze z bankomatu Postbanku) - u nas chyba nie do pomyslenia

Ktos pisal na tym forum, ze w Polsce tez sa konta ktore daja wszystkie
bankomaty w Polsce i w UE za darmo, bez zadnych warunkow.

do góry

> W Niemczech do obciazania konta dluznika przez wierzyciela nie
> potrzebne jest zadne upowaznienie tego pierwszego zlozone w jego
> banku. W Polsce do polecenia zaplaty cos takiego jest konieczne i
> dlatego takie rozliczenie byloby malo sensowne w przypadku
> nieregularnych naleznosci dla sklepow internetowych.

W UK tez w banku nie dajesz upowaznienia jak np. zakladasz zlecenie stale,
czy placisz za cos w internecie.

> Generalnie w Niemczech jest o wiele wiecej transakcji obciazeniowych
> niz w PL, prawie kazdy rachunek telefoniczny, za prad czy gaz placony
> jest ichnim poleceniem zaplaty: po prosto podpisujesz kontrakt z
> dostawca i raz na miesiac widzisz obciazenie na swoim koncie.

W UK nawet daja upusty na rachunkach by ludzie placicli przez zlecenia
stale.
Przy czym takie mozna w kazdej chwili wycofac przed np. net lub
telefonicznie.
W Uk jest firma ktora sie tym zajmuje to DirectDebit, ja upowazniasz online,
czy listownie do pobierania z konta oplat za to czy za tamto (naturalnie bez
prowizyjnie)

> Z innych ciekawych rzeczy za Odra:
> - 5 najwiekszych bankow daje swoim klientom darmowe wyplaty ze
> wszystkich swoich bankomatow (tzn klient Dresdnera za darmoche wyplaca
> pieniadze z bankomatu Postbanku) - u nas chyba nie do pomyslenia

W UK wszystkie bankomaty nalezace do bankow sa darmowe - bezprowizyjne bez
wzgledu jaka operacje przeprowadzasz. Mozesz miec konto w Banku A a wyplacac
w bankomacie nalezacym do banku B, C, D, E.... bez zadnych oplat.

do góry

On 22 Gru, 19:27, "pmlb" <p...@d...com> wrote:
> > W Niemczech do obciazania konta dluznika przez wierzyciela nie
> > potrzebne jest zadne upowaznienie tego pierwszego zlozone w jego
> > banku. W Polsce do polecenia zaplaty cos takiego jest konieczne i
> > dlatego takie rozliczenie byloby malo sensowne w przypadku
> > nieregularnych naleznosci dla sklepow internetowych.
>
> W UK tez w banku nie dajesz upowaznienia jak np. zakladasz zlecenie stale,
> czy placisz za cos w internecie.
>

Ciekawe jest to co piszecie o poleceniach zaplaty, ze odbywaja sie bez
upowaznienia. Rozumiem zlecenie stale mozna zrobic bez upowaznienia
ale polecenie zaplaty? Nie bardzo widze taka mozliwosc. Mozna cos
wiecej?

> > Generalnie w Niemczech jest o wiele wiecej transakcji obciazeniowych
> > niz w PL, prawie kazdy rachunek telefoniczny, za prad czy gaz placony
> > jest ichnim poleceniem zaplaty: po prosto podpisujesz kontrakt z
> > dostawca i raz na miesiac widzisz obciazenie na swoim koncie.
>
> W UK nawet daja upusty na rachunkach by ludzie placicli przez zlecenia
> stale.
> Przy czym takie mozna w kazdej chwili wycofac przed np. net lub
> telefonicznie.
> W Uk jest firma ktora sie tym zajmuje to DirectDebit, ja upowazniasz online,
> czy listownie do pobierania z konta oplat za to czy za tamto (naturalnie bez
> prowizyjnie)

W Polsce tez sa liczne promocje zwiazane z korzystaniem z polecenia
zaplaty. Dostawcy uslug masowych uwielbiaja ta forme platnosci
rachunkow - konsumenci niekoniecznie. Szczerze mowiac nie dziwie sie
im bo odpada im reczna mozliwosc weryfikacji wysokosci zaplaconego
rachunku. Co prawda prawo jest dosc korzystne dla konsumenta i nawet
wykonane polecenie zaplaty mozna bez problemu odwolac i odzyskac kase
ale zawsze to pare dni "stresu". Polecenia zaplaty chodza w troche
skomplikowanym systemie bo bierze w tym udzial bank, wierzyciel,
konsument i KIR :) IMO o wiele sensowniejsze jest rozwiazanie w stylu
systemu BILIX kiedy w bank w systemie bankowosci internetowej pokazuje
Ci twoje rachunki, a ty akceptujesz czy placisz czy nie :)

do góry

On 22 Gru, 19:11, "pmlb" <p...@d...com> wrote:

> Ale w banku kazdy osobnik na pozycji kasjera w gore ma dostep do twoich
> danych:)

Nie kazdy. Nie ma chyba banku, w ktorym 100% kadry ma dostep do bazy
danych klientow.

> Ba! W odziale gdzie skladales papiery ma dostep nawet do twojego
> wzoru podpisu...

A to niekoniecznie prawda, bo moze miec dostep znacznie wiecej osob :)

> Czy problem jest dla kogos w banku "dorobic" karte?:)

Zasadniczo tak. Chyba, ze konto jest nieaktywne. Latwiej jest to
zrobic np. gdy nieuczciwy pracownik banku dowie sie o smierci klienta.
Natomiast w przypadku aktywnego klienta jest to [prawie] niemozliwe w
wiekszosci bankow.

> Byc moze wiekszosc ludzi mysli, ze tak, ze pracownik nie moze, ze sa
> zabezpieczenia ect... otoz nie ma!

Zabezpieczenia sa. Skad glupi pomysl, ze zabezpieczen nie ma? ;)

> A potem do prasy idzie notka, ze hakerzy sie wlamali albo ktos zamontowal
> kamere w bankomacie:)))

Ale to akurat prawda. Wiekszosc wypadkow kradziezy srodkow z rachunkow
bankowych w Polsce to skimming i dzialania "hackerow" wyludzajacych
hasla i inne dane np. przez falszywe strony lub telefony.

> Zrozum, pracownik banku moze nawet kompletnie zniesc limit z karty i
> wyplacic wszystko z konta nieomal jednorazowo. Wierz mi, ze moze:)))

Nie moze. Albo inaczej - przy prawidlowo opracowanym systemie nie
powinien miec takiej mozliwosci.

> Naprawde zapamietaj: pracownik banku ma FIZYCZNY dostep do twoich danych - i
> to jest najslabsze ogniwo, a ze nie ma o tym w prasie? A jak sadziesz
> dlaczego:)))? Czy ty bys dal do banku oszczednosi zycia powiedzmy 500 000
> majac swiadomosc, ze pracownicy banku moga to w kazdym momencie zwinac:)?

Sorry najslabszym ogniwem pozostaje jednak uzytkownik koncowy. Ludzie
dalej zapisuja piny na kartach debetowych czy potrafia obcej osobie
przez telefon podac wszystkie swoje istotne dane.

Z czysto logicznego powodu to jest najsbalsze ogniwo. Kazdy zlodziej,
ktory chce "wyzyc" z okradania kont w pierwszej kolejnosci uderzy do
klienta banku - ukradnie mu karte, zeskanuje ja lub wyludzi dane. Tym
sposobem uzyska dostep do danych klienta. Zaden zlodziej nie bawi sie
w zatrudnianie w banku i "skubanie" klientow. Zawodowcy wiec nie
zatrudniaja sie w bankach tylko zajmuja sie krojeniem uzytkownika
koncowego. Natomiast przestepst w bankach dopuszcza sie tylko taki
pracownik, ktory albo czuje sie do tego zmuszony okolicznosciami
zyciowymi albo naiwnie uzna, ze trafila mu sie okazja. Dlatego to
jednak ochrona uzytkownika koncowego jest wiekszym problemem.

Co do czytania o tym w prasie - kwestia kto jaka prase czyta. W Polsce
takie sprawy sa opisywane. Wystaczy wygooglac fraze "pracownik banku
ukradl" :)


> Zrozum, wszelkiego rodzaju ograniczenia, limity nie sa by ciebie chronic!
> Limity, ograniczenia, blokady sa po to by bank ochronic.

I tak i nie. Limity maja chronic i bank, i klienta. Chociaz w wielu
wypadkach to bank [na mocy przepisow prawa lub ubezpieczenia] bardziej
zaboli dzialanie typu skimming niz klienta. Dlatego banki inwestuja w
bezpieczenstwo bo staraja sie zarzadzac ryzykiem. Tam gdzie koszty
zabezpieczen oplaca sie poniesc bardziej niz koszty braku zabezpieczen
bank wybierze to pierwsze :)

> A nie posiadacza
> kasy, o takowego banki zadko dbaja i to na calym swiecie, bo tak naprawde,
> jak juz jestemy przy systemach bankowych, to moze nie wiesz, ale zanoszac do
> banku kase oddajesz 100% kontroli nad nia bankowi. Bank staje sie
> wlascicielem twoje kasy i jedynie obiecuje ci wypate twoich srodkow (nawet
> nie nazywa sie to pieniedzmi tylko srodki):))

Jakby nie patrzec taka jest cywilnoprawna konstrukcja rachunku
bankowego. Oddajemy swoje pieniadze bankowi i mamy roszczenie o ich
zwrot. Kwestia nazwania czegos srodkami to akurat jest w tym wypadku
bez znaczenia. Co za roznica czy nazwiesz to srodkami zgromadzonymi na
rachunku, pieniedzmi czy aktywami? :)

do góry

"Robert Kois" news:mujruq2junle$.dlg@kojer.kojer

> Wrocław Rynek. Bankomat BZWBK, tuż obok drugi, w środku budynku trzeci. Po
> drugiej stronie rynku 2 bankomaty Pekao obok siebie i kawałek dalej 2
> bankomaty PKOBP :)

No to mamy maksymalnie trzy tej samej sieci w jednym miejscu... :)
I teraz powstaje pytanie, czy nastawianie np. 6 - 7 bankomatów tej samej
sieci/banku to specyficzna cecha Niemiec, Wysp i Włoch (w tym kraju dwa razy
zetknąłem się z takim "natężeniem" ATMów he he) czy też w innych krajach też
można spotkać takie lokalizacje?

do góry

W dniu 09-12-22 20:25, Valdi pisze:
> I teraz powstaje pytanie, czy nastawianie np. 6 - 7 bankomatów tej samej
> sieci/banku to specyficzna cecha Niemiec, Wysp i Włoch (w tym kraju dwa razy
> zetknąłem się z takim "natężeniem" ATMów he he) czy też w innych krajach też
> można spotkać takie lokalizacje?

W innych krajach daje się płacić kartą w sklepie, więc nie ma potrzeby ;>

--
Raf

do góry