eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiCiekawe orzeczenie - bank ma oddać kasę
Ilość wypowiedzi w tym wątku: 165

  • 11. Data: 2016-03-20 13:58:41
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Rafal Jankowski <j...@o...wsisiz.edu.pl>

    On Sun, 20 Mar 2016, Sebastian Biały wrote:

    > On 2016-03-20 13:17, Rafal Jankowski wrote:
    >> Tak czy inaczej dla mnie to przykład nie tylko głupoty sądu ale i
    >> kiepskiej jakości prawa, które powinno pozostawiać możliwie mało pola
    >> manewru subiektywnej ocenie
    >
    > Okiem informatyka: to wynik dziadostwa robionego przez banki. Zwóroc uwagę że
    > banki robia wszystko aby "ułatwić" korzystanie z bankowości. Od zakładania
    > kond przelewem za grosz przez używanie absurdalnie łatwych do złamania
    > zabezpieczeń informatycznych.
    >
    > Oczywiście matematyka i informatyka mają skuteczne metody zabezpieczanie
    > transakcji (np. tokeny sprzętowe). Problem w tym że znaczna częśc
    > społeczeństwa to idioci a znaczna część managerów w bankach to debile.
    > Efektem czego systemy zabezpieczeń banków bazują na poziomie mułu czyli
    > zakładają że system operacyjny usera jest bezpieczny oraz że imie panieńskie
    > babki jest absolutnie nie do podsłuchania podane 40 razy przez telefon.

    Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
    którego samochód zabił człowieka a on sam 100m dalej był chwilę później
    nawalony jak Messerschmit. Niestety czasem przeprowadza się procesy
    poszlakowe i jakoś trzeba z tym żyć, ale w sprawie której dotyczy wątek w
    zasadzie nie pojawiają się żadne wątpiwości co do zdarzeń jakie miały
    miejsce.

    >
    > , a obydwie omawiane sytuacje (dziura w
    >> bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
    >> bardzo proste do przewidzenia
    >
    > Nie da się w sposób oczywisty stwierdzić czy twoj komputer posiada malware.
    > Nawet zaawansowany informatyk nie jest w stanie tego stwierdzić. Windows, bo
    > o nim tu domyslnie mowa, jest pod tym wzgledem praktycznie niemożliwy do
    > oceny. Innymi słowy twoje "przypadki proste do przewidzenia" powinny
    > zakończyć się absolutnym zakazem uzywania kanałów informatycznych do operacji
    > bankowych. Bo można prosto przewidzieć że każdy user ma jakieś malware. Da
    > się? Da. To niech nie używa.
    >
    >> i to nie sąd a przepisy powinne jasno
    >> określać zarówno to kto ponosi ciężar dowodu jaka z tych sytuacji miała
    >> miejsce jak i to kto w konsekwencji płaci za wyprowadzone z konta środki.
    >
    > Ciężar dowodu? Wiesz, że nie da się w sposob bezwzględny ocenić czy komputer
    > użytkownika zawiera malware? Tak technicznie rzecz biorąc, a nie prawnie.
    > Technicznie nie masz szans ocenić przy ataku ukierunkowanym i unikatowym czy
    > dowolnie wybrany system operacyjny z 3 obecnie używanych na rynku [1] jest
    > bez malware. To wynika z faktu że 3 obecnie powszechnie używane OSy są po
    > prostu gówno warte pod wzgędem bezpieczeństwa.
    >
    > [1] Win, OS X, Linux.

    Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
    wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
    stron nie poddaje w wątpliwość tego co się wydarzyło.

    >
    > PS. Banki migrują z tokentów sprzetowych w kierunku gówno wartych SMSów itp
    > szitu. Trudno powiedzieć komu należy za to natłuc po mordzie. Byc może to
    > "zarządzanie ryzykiem" które sprowadza się do stwierdzenia że przeciętny
    > Kowalski nie ma czasu pozwać banku za ich żałosne zabezpieczenie.

    I tutaj token sprzętowy nic by nie pomógł (zakładając, że przelewy
    zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo kobieta
    po prostu przepisałaby hasła z tokena.


  • 12. Data: 2016-03-20 14:02:53
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Robert Tomasik <r...@g...pl>

    W dniu 20-03-16 o 13:42, Sebastian Biały pisze:

    > Okiem informatyka: to wynik dziadostwa robionego przez banki. Zwóroc
    > uwagę że banki robią wszystko aby "ułatwić" korzystanie z bankowości. Od
    > zakładania kont przelewem za grosz przez używanie absurdalnie łatwych do
    > złamania zabezpieczeń informatycznych.

    Od wielu oszustw internetowych uchroniłoby stosowanie prostych środków
    przez banki. Po pierwsze identyfikacji osoby zakładającej rachunek na
    podstawie osobistej ich obecności w banku i zbadania dokumentów. Po
    drugie weryfikacja nazw na które są robione przelewy z nazwą właściciela
    rachunku.
    >
    > Oczywiście matematyka i informatyka mają skuteczne metody zabezpieczanie
    > transakcji (np. tokeny sprzętowe). Problem w tym że znaczna częśc
    > społeczeństwa to idioci a znaczna część managerów w bankach to debile.
    > Efektem czego systemy zabezpieczeń banków bazują na poziomie mułu czyli
    > zakładają że system operacyjny usera jest bezpieczny oraz że imie
    > panieńskie babki jest absolutnie nie do podsłuchania podane 40 razy
    > przez telefon.

    Dodatkowym problemem jest to, że proste telefony zostały teraz wyparte
    przez różne smartfony podatne tak samo, jak komputery na złośliwe
    oprogramowanie.
    >
    > , a obydwie omawiane sytuacje (dziura w
    >> bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
    >> bardzo proste do przewidzenia
    >
    > Nie da się w sposób oczywisty stwierdzić czy twoj komputer posiada
    > malware. Nawet zaawansowany informatyk nie jest w stanie tego
    > stwierdzić.

    Te Malware są wymyślane co chwilę jest coś nowego. Programy antywirusowe
    działają zawsze z pewnym opóźnieniem.

    Natomiast są banki - nie będę tu ich reklamował - które mają odpowiednie
    procedury powodujące reakcję na nietypowe działania klienta.


  • 13. Data: 2016-03-20 14:04:26
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Marek <f...@f...com> writes:

    > Oczywiście to jest problem dla banku, który nie jest w stanie odróżnic
    > fizycznego użytkownika dokonującego transakcji, albo gorzej: inaczej
    > rozumie "autoryzację" niż zakłada to ustawa. Ale to niestety jest
    > już ryzyko działalności banku.

    Bank autoryzację rozumie tak samo, ale nie jest w stanie na 100%
    stwierdzić, czy rzeczywiście taką uzyskał. To jest ryzyko, które
    z bankami jest związane "od zawsze". Natomiast faktycznie a) to bank
    jest profesjonalistą, oraz b) to bank decyduje to sposobie weryfikacji
    i autoryzacji. Jeśli metody stosowane przez bank nie są wystarczająco
    bezpieczne (bo że nie są całkowie bezpieczne to chyba jasne), to bank
    może je zmienić, np. (niewielkim kosztem) dając każdemu klientowi
    np. sprytny token (taki weryfikujący w prosty sposób tożsamość klienta,
    pobierający treść zlecenia płatniczego itd).

    (Chwilowo) nie opłaca się, ale to nie wina klienta.
    --
    Krzysztof Hałasa


  • 14. Data: 2016-03-20 14:15:32
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Sebastian Biały <h...@p...onet.pl>

    On 2016-03-20 13:58, Rafal Jankowski wrote:
    >> Oczywiście matematyka i informatyka mają skuteczne metody
    >> zabezpieczanie transakcji (np. tokeny sprzętowe). Problem w tym że
    >> znaczna częśc społeczeństwa to idioci a znaczna część managerów w
    >> bankach to debile. Efektem czego systemy zabezpieczeń banków bazują na
    >> poziomie mułu czyli zakładają że system operacyjny usera jest
    >> bezpieczny oraz że imie panieńskie babki jest absolutnie nie do
    >> podsłuchania podane 40 razy przez telefon.
    > Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
    > którego samochód zabił człowieka a on sam 100m dalej był chwilę później
    > nawalony jak Messerschmit.

    Absolutnie nie widze związku. Nawalenie się odbywa się jeszcze w stanie
    świadomym. Instalacja malware odbywa się w stanie kompletnie nieświadomym.

    > Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
    > wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
    > stron nie poddaje w wątpliwość tego co się wydarzyło.

    "Pan na pewno ma zawirusowany komputer" usłyszałem nie tak dawno na
    infolini. E panie, pieprzenie z tymi procesami poszlakowymi i "wszyscy
    się zgadzają". Ponadto dla sądu jakiekolwiek dywagacjie techniczne i tak
    są scifi. Kazdy taki proces jest poszlakowy bo nie sposób aby prawnik
    zrozumiał dowód jesli jakims cudem by się pojawił.

    > I tutaj token sprzętowy nic by nie pomógł

    Token pojawił się jako przyklad równiania banków do poziomu mułu.

    > zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo
    > kobieta po prostu przepisałaby hasła z tokena.

    To nie jest takie trywialne, token w powiązaniu z unikatową cechą
    komputera (numer seryjny cpu etc) uniemożliwia tego typu przekręt w
    sposób wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego się
    cos przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy
    debilomanager właśnie obcina koszty, bo komu potrzebne są jakieś numery
    seryjne cpu.

    PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
    zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko który
    bank ma potrzebe im zapobiegać?


  • 15. Data: 2016-03-20 14:30:12
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Marek <f...@f...com>

    On Sun, 20 Mar 2016 13:49:33 +0100, Rafal Jankowski
    <j...@o...wsisiz.edu.pl> wrote:
    > Ani proste ani nie logiczne, bo wtedy zbędny byłby art 42 ustawy na
    którą
    > się powołujesz.

    Dlaczego? On jest jasny i precyzyjny.

    --
    Marek


  • 16. Data: 2016-03-20 14:42:49
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Rafal Jankowski <j...@o...wsisiz.edu.pl>

    On Sun, 20 Mar 2016, Sebastian Biały wrote:

    > On 2016-03-20 13:58, Rafal Jankowski wrote:
    >> > Oczywiście matematyka i informatyka mają skuteczne metody
    >> > zabezpieczanie transakcji (np. tokeny sprzętowe). Problem w tym że
    >> > znaczna częśc społeczeństwa to idioci a znaczna część managerów w
    >> > bankach to debile. Efektem czego systemy zabezpieczeń banków bazują na
    >> > poziomie mułu czyli zakładają że system operacyjny usera jest
    >> > bezpieczny oraz że imie panieńskie babki jest absolutnie nie do
    >> > podsłuchania podane 40 razy przez telefon.
    >> Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
    >> którego samochód zabił człowieka a on sam 100m dalej był chwilę później
    >> nawalony jak Messerschmit.
    >
    > Absolutnie nie widze związku. Nawalenie się odbywa się jeszcze w stanie
    > świadomym. Instalacja malware odbywa się w stanie kompletnie nieświadomym.

    Związek jest taki, że tu też nie ma 100% pewności, tzn. ten gość mógł:
    -nawalić się po tym zdarzeniu
    -zostać do tego zmuszony
    -nie mieć z tym nic wspólnego po za tym, że był to jego samochód

    Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak gość
    nie przedstawi wiarygodnego alibi to a małe szanse na taką linię obrony.

    >
    >> Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
    >> wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
    >> stron nie poddaje w wątpliwość tego co się wydarzyło.
    >
    > "Pan na pewno ma zawirusowany komputer" usłyszałem nie tak dawno na infolini.
    > E panie, pieprzenie z tymi procesami poszlakowymi i "wszyscy się zgadzają".
    > Ponadto dla sądu jakiekolwiek dywagacjie techniczne i tak są scifi. Kazdy
    > taki proces jest poszlakowy bo nie sposób aby prawnik zrozumiał dowód jesli
    > jakims cudem by się pojawił.
    >
    >> I tutaj token sprzętowy nic by nie pomógł
    >
    > Token pojawił się jako przyklad równiania banków do poziomu mułu.
    >
    >> zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo
    >> kobieta po prostu przepisałaby hasła z tokena.
    >
    > To nie jest takie trywialne, token w powiązaniu z unikatową cechą komputera
    > (numer seryjny cpu etc) uniemożliwia tego typu przekręt w sposób
    > wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego się cos
    > przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy debilomanager
    > właśnie obcina koszty, bo komu potrzebne są jakieś numery seryjne cpu.
    >
    > PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
    > zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko który bank
    > ma potrzebe im zapobiegać?

    Jak OS był skompromitowany to powiązanie tokena z konkretną osobą, numerem
    seryjnym, CPU dalej nic nie da. Musiałbyś jeszcze coś w rodzaju
    bezpiecznej enklawy na najnowszym skylake'u.
    Moje przesłanie było takie, że banki robią pełno wałów polegających na
    podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic się
    nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
    głupotą usprawiedliwiony.


  • 17. Data: 2016-03-20 14:43:52
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Rafal Jankowski <j...@o...wsisiz.edu.pl>

    On Sun, 20 Mar 2016, Marek wrote:

    > On Sun, 20 Mar 2016 13:49:33 +0100, Rafal Jankowski
    > <j...@o...wsisiz.edu.pl> wrote:
    >> Ani proste ani nie logiczne, bo wtedy zbędny byłby art 42 ustawy na
    > którą
    >> się powołujesz.
    >
    > Dlaczego? On jest jasny i precyzyjny.


    A art. 42 nie jest?


  • 18. Data: 2016-03-20 15:00:21
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Sebastian Biały <h...@p...onet.pl>

    On 2016-03-20 14:42, Rafal Jankowski wrote:
    > Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak
    > gość nie przedstawi wiarygodnego alibi to a małe szanse na taką linię
    > obrony.

    Nie da się przedstawić alibi kiedy w gre wchodzi współczesny system
    operacyjny z rodziny Windows. Da się przedstawić alibi kiedy kolega
    prawnik widział mnie po wypadku trzeźwego. To *różne* sytuacje.

    Z punktu widzenia banku istnieje zasada domniemanego zarażenia malware.
    I słusznie, klient nie ma jak udowodnić że malware nie było więc bank
    nie jest nigdy stratny.

    >> PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
    >> zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko
    >> który bank ma potrzebe im zapobiegać?
    > Jak OS był skompromitowany to powiązanie tokena z konkretną osobą,
    > numerem seryjnym, CPU dalej nic nie da.

    Da się. Transakcje da się wykonać wyłacznie kiedy robi to ktoś
    posiadający fizyczny token. Możesz sobie kompromitować dowoli: obecność
    tokena (np. wyświetlającego kwotę, konto i potwierdzającego pinem na
    jego własnej klawiaturze) jest absolutnie nie do zlamania, choc należy
    wtedy zakładać niedebilnośc inzynierów o co coraz trudniej. Mimo to
    można w sposob absolutnie pewny powiązać obecność tokena, danych
    transakcji, upoważnionego usera w jedność. Malware możesz mieć w
    dowolnej ilości, co najwyżej transakcja nie zostanie zaakceptowana przez
    bank.

    > Musiałbyś jeszcze coś w rodzaju
    > bezpiecznej enklawy na najnowszym skylake'u.

    Ależ są takie rozwiązania, TPM. Tylko że przygłupy bankowe jeszcze wiele
    dziesięcioleci dzieli od zaczajenia co z tym można zrobić. Oni na razie
    tworzą kolejny gówno warty portal bankowości opierający się o JavaScript
    i studentów-programatorów kupowanych na rynku na kilogramy. "Więcej
    ikonek i animacji, k..wa".

    > Moje przesłanie było takie, że banki robią pełno wałów polegających na
    > podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic
    > się nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
    > głupotą usprawiedliwiony.

    Czekam na "dobra zmianę" ktora uniemozliwi zakładanie kont przelewami,
    otwieranie kredytu smsami, realizowanie kasy kresokopia dowodu. Ale się
    nie doczekam. Wyraźnie widać że nie ma nikt w tym interesu.


  • 19. Data: 2016-03-20 15:12:27
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Marek <f...@f...com>

    On Sun, 20 Mar 2016 14:15:32 +0100, Sebastian
    Biały<h...@p...onet.pl> wrote:
    > To nie jest takie trywialne, token w powiązaniu z unikatową cechą
    > komputera (numer seryjny cpu etc) uniemożliwia tego typu przekręt w
    > sposób wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego
    się
    > cos przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy
    > debilomanager właśnie obcina koszty, bo komu potrzebne są jakieś
    numery
    > seryjne cpu.

    Ale po co bijecie pianę? Zasady są bardzo proste, transakcja
    autoryzowana jest tylko wtedy, gdy dokonuje ją upoważniony umową
    (autoryzowany) użytkownik. W przypadkach spornych to problem stron
    sporu aby wykazać/udowdnić czy transakcja była autoryzowana czy nie.

    --
    Marek


  • 20. Data: 2016-03-20 15:13:04
    Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Od: Marek <f...@f...com>

    On Sun, 20 Mar 2016 14:43:52 +0100, Rafal Jankowski
    <j...@o...wsisiz.edu.pl> wrote:
    > A art. 42 nie jest?

    Oczywiście, że jest. Nie rozumiem do czego pijesz.

    --
    Marek

strony : 1 . [ 2 ] . 3 ... 10 ... 17


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1