On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 13:17, Rafal Jankowski wrote:
>> Tak czy inaczej dla mnie to przykład nie tylko głupoty sądu ale i
>> kiepskiej jakości prawa, które powinno pozostawiać możliwie mało pola
>> manewru subiektywnej ocenie
>
> Okiem informatyka: to wynik dziadostwa robionego przez banki. Zwóroc uwagę że
> banki robia wszystko aby "ułatwić" korzystanie z bankowości. Od zakładania
> kond przelewem za grosz przez używanie absurdalnie łatwych do złamania
> zabezpieczeń informatycznych.
>
> Oczywiście matematyka i informatyka mają skuteczne metody zabezpieczanie
> transakcji (np. tokeny sprzętowe). Problem w tym że znaczna częśc
> społeczeństwa to idioci a znaczna część managerów w bankach to debile.
> Efektem czego systemy zabezpieczeń banków bazują na poziomie mułu czyli
> zakładają że system operacyjny usera jest bezpieczny oraz że imie panieńskie
> babki jest absolutnie nie do podsłuchania podane 40 razy przez telefon.

Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
którego samochód zabił człowieka a on sam 100m dalej był chwilę później
nawalony jak Messerschmit. Niestety czasem przeprowadza się procesy
poszlakowe i jakoś trzeba z tym żyć, ale w sprawie której dotyczy wątek w
zasadzie nie pojawiają się żadne wątpiwości co do zdarzeń jakie miały
miejsce.

>
> , a obydwie omawiane sytuacje (dziura w
>> bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
>> bardzo proste do przewidzenia
>
> Nie da się w sposób oczywisty stwierdzić czy twoj komputer posiada malware.
> Nawet zaawansowany informatyk nie jest w stanie tego stwierdzić. Windows, bo
> o nim tu domyslnie mowa, jest pod tym wzgledem praktycznie niemożliwy do
> oceny. Innymi słowy twoje "przypadki proste do przewidzenia" powinny
> zakończyć się absolutnym zakazem uzywania kanałów informatycznych do operacji
> bankowych. Bo można prosto przewidzieć że każdy user ma jakieś malware. Da
> się? Da. To niech nie używa.
>
>> i to nie sąd a przepisy powinne jasno
>> określać zarówno to kto ponosi ciężar dowodu jaka z tych sytuacji miała
>> miejsce jak i to kto w konsekwencji płaci za wyprowadzone z konta środki.
>
> Ciężar dowodu? Wiesz, że nie da się w sposob bezwzględny ocenić czy komputer
> użytkownika zawiera malware? Tak technicznie rzecz biorąc, a nie prawnie.
> Technicznie nie masz szans ocenić przy ataku ukierunkowanym i unikatowym czy
> dowolnie wybrany system operacyjny z 3 obecnie używanych na rynku [1] jest
> bez malware. To wynika z faktu że 3 obecnie powszechnie używane OSy są po
> prostu gówno warte pod wzgędem bezpieczeństwa.
>
> [1] Win, OS X, Linux.

Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
stron nie poddaje w wątpliwość tego co się wydarzyło.

>
> PS. Banki migrują z tokentów sprzetowych w kierunku gówno wartych SMSów itp
> szitu. Trudno powiedzieć komu należy za to natłuc po mordzie. Byc może to
> "zarządzanie ryzykiem" które sprowadza się do stwierdzenia że przeciętny
> Kowalski nie ma czasu pozwać banku za ich żałosne zabezpieczenie.

I tutaj token sprzętowy nic by nie pomógł (zakładając, że przelewy
zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo kobieta
po prostu przepisałaby hasła z tokena.

do góry

W dniu 20-03-16 o 13:42, Sebastian Biały pisze:

> Okiem informatyka: to wynik dziadostwa robionego przez banki. Zwóroc
> uwagę że banki robią wszystko aby "ułatwić" korzystanie z bankowości. Od
> zakładania kont przelewem za grosz przez używanie absurdalnie łatwych do
> złamania zabezpieczeń informatycznych.

Od wielu oszustw internetowych uchroniłoby stosowanie prostych środków
przez banki. Po pierwsze identyfikacji osoby zakładającej rachunek na
podstawie osobistej ich obecności w banku i zbadania dokumentów. Po
drugie weryfikacja nazw na które są robione przelewy z nazwą właściciela
rachunku.
>
> Oczywiście matematyka i informatyka mają skuteczne metody zabezpieczanie
> transakcji (np. tokeny sprzętowe). Problem w tym że znaczna częśc
> społeczeństwa to idioci a znaczna część managerów w bankach to debile.
> Efektem czego systemy zabezpieczeń banków bazują na poziomie mułu czyli
> zakładają że system operacyjny usera jest bezpieczny oraz że imie
> panieńskie babki jest absolutnie nie do podsłuchania podane 40 razy
> przez telefon.

Dodatkowym problemem jest to, że proste telefony zostały teraz wyparte
przez różne smartfony podatne tak samo, jak komputery na złośliwe
oprogramowanie.
>
> , a obydwie omawiane sytuacje (dziura w
>> bezpieczeństwie i zainstalowanie złośliwego oprogramowania) to przypadki
>> bardzo proste do przewidzenia
>
> Nie da się w sposób oczywisty stwierdzić czy twoj komputer posiada
> malware. Nawet zaawansowany informatyk nie jest w stanie tego
> stwierdzić.

Te Malware są wymyślane co chwilę jest coś nowego. Programy antywirusowe
działają zawsze z pewnym opóźnieniem.

Natomiast są banki - nie będę tu ich reklamował - które mają odpowiednie
procedury powodujące reakcję na nietypowe działania klienta.

do góry

Marek <f...@f...com> writes:

> Oczywiście to jest problem dla banku, który nie jest w stanie odróżnic
> fizycznego użytkownika dokonującego transakcji, albo gorzej: inaczej
> rozumie "autoryzację" niż zakłada to ustawa. Ale to niestety jest
> już ryzyko działalności banku.

Bank autoryzację rozumie tak samo, ale nie jest w stanie na 100%
stwierdzić, czy rzeczywiście taką uzyskał. To jest ryzyko, które
z bankami jest związane "od zawsze". Natomiast faktycznie a) to bank
jest profesjonalistą, oraz b) to bank decyduje to sposobie weryfikacji
i autoryzacji. Jeśli metody stosowane przez bank nie są wystarczająco
bezpieczne (bo że nie są całkowie bezpieczne to chyba jasne), to bank
może je zmienić, np. (niewielkim kosztem) dając każdemu klientowi
np. sprytny token (taki weryfikujący w prosty sposób tożsamość klienta,
pobierający treść zlecenia płatniczego itd).

(Chwilowo) nie opłaca się, ale to nie wina klienta.
--
Krzysztof Hałasa

do góry

On 2016-03-20 13:58, Rafal Jankowski wrote:
>> Oczywiście matematyka i informatyka mają skuteczne metody
>> zabezpieczanie transakcji (np. tokeny sprzętowe). Problem w tym że
>> znaczna częśc społeczeństwa to idioci a znaczna część managerów w
>> bankach to debile. Efektem czego systemy zabezpieczeń banków bazują na
>> poziomie mułu czyli zakładają że system operacyjny usera jest
>> bezpieczny oraz że imie panieńskie babki jest absolutnie nie do
>> podsłuchania podane 40 razy przez telefon.
> Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
> którego samochód zabił człowieka a on sam 100m dalej był chwilę później
> nawalony jak Messerschmit.

Absolutnie nie widze związku. Nawalenie się odbywa się jeszcze w stanie
świadomym. Instalacja malware odbywa się w stanie kompletnie nieświadomym.

> Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
> wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
> stron nie poddaje w wątpliwość tego co się wydarzyło.

"Pan na pewno ma zawirusowany komputer" usłyszałem nie tak dawno na
infolini. E panie, pieprzenie z tymi procesami poszlakowymi i "wszyscy
się zgadzają". Ponadto dla sądu jakiekolwiek dywagacjie techniczne i tak
są scifi. Kazdy taki proces jest poszlakowy bo nie sposób aby prawnik
zrozumiał dowód jesli jakims cudem by się pojawił.

> I tutaj token sprzętowy nic by nie pomógł

Token pojawił się jako przyklad równiania banków do poziomu mułu.

> zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo
> kobieta po prostu przepisałaby hasła z tokena.

To nie jest takie trywialne, token w powiązaniu z unikatową cechą
komputera (numer seryjny cpu etc) uniemożliwia tego typu przekręt w
sposób wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego się
cos przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy
debilomanager właśnie obcina koszty, bo komu potrzebne są jakieś numery
seryjne cpu.

PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko który
bank ma potrzebe im zapobiegać?

do góry

On Sun, 20 Mar 2016 13:49:33 +0100, Rafal Jankowski
<j...@o...wsisiz.edu.pl> wrote:
> Ani proste ani nie logiczne, bo wtedy zbędny byłby art 42 ustawy na
którą
> się powołujesz.

Dlaczego? On jest jasny i precyzyjny.

--
Marek

do góry

On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 13:58, Rafal Jankowski wrote:
>> > Oczywiście matematyka i informatyka mają skuteczne metody
>> > zabezpieczanie transakcji (np. tokeny sprzętowe). Problem w tym że
>> > znaczna częśc społeczeństwa to idioci a znaczna część managerów w
>> > bankach to debile. Efektem czego systemy zabezpieczeń banków bazują na
>> > poziomie mułu czyli zakładają że system operacyjny usera jest
>> > bezpieczny oraz że imie panieńskie babki jest absolutnie nie do
>> > podsłuchania podane 40 razy przez telefon.
>> Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
>> którego samochód zabił człowieka a on sam 100m dalej był chwilę później
>> nawalony jak Messerschmit.
>
> Absolutnie nie widze związku. Nawalenie się odbywa się jeszcze w stanie
> świadomym. Instalacja malware odbywa się w stanie kompletnie nieświadomym.

Związek jest taki, że tu też nie ma 100% pewności, tzn. ten gość mógł:
-nawalić się po tym zdarzeniu
-zostać do tego zmuszony
-nie mieć z tym nic wspólnego po za tym, że był to jego samochód

Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak gość
nie przedstawi wiarygodnego alibi to a małe szanse na taką linię obrony.

>
>> Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
>> wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
>> stron nie poddaje w wątpliwość tego co się wydarzyło.
>
> "Pan na pewno ma zawirusowany komputer" usłyszałem nie tak dawno na infolini.
> E panie, pieprzenie z tymi procesami poszlakowymi i "wszyscy się zgadzają".
> Ponadto dla sądu jakiekolwiek dywagacjie techniczne i tak są scifi. Kazdy
> taki proces jest poszlakowy bo nie sposób aby prawnik zrozumiał dowód jesli
> jakims cudem by się pojawił.
>
>> I tutaj token sprzętowy nic by nie pomógł
>
> Token pojawił się jako przyklad równiania banków do poziomu mułu.
>
>> zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo
>> kobieta po prostu przepisałaby hasła z tokena.
>
> To nie jest takie trywialne, token w powiązaniu z unikatową cechą komputera
> (numer seryjny cpu etc) uniemożliwia tego typu przekręt w sposób
> wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego się cos
> przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy debilomanager
> właśnie obcina koszty, bo komu potrzebne są jakieś numery seryjne cpu.
>
> PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
> zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko który bank
> ma potrzebe im zapobiegać?

Jak OS był skompromitowany to powiązanie tokena z konkretną osobą, numerem
seryjnym, CPU dalej nic nie da. Musiałbyś jeszcze coś w rodzaju
bezpiecznej enklawy na najnowszym skylake'u.
Moje przesłanie było takie, że banki robią pełno wałów polegających na
podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic się
nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
głupotą usprawiedliwiony.

do góry

On Sun, 20 Mar 2016, Marek wrote:

> On Sun, 20 Mar 2016 13:49:33 +0100, Rafal Jankowski
> <j...@o...wsisiz.edu.pl> wrote:
>> Ani proste ani nie logiczne, bo wtedy zbędny byłby art 42 ustawy na
> którą
>> się powołujesz.
>
> Dlaczego? On jest jasny i precyzyjny.


A art. 42 nie jest?

do góry

On 2016-03-20 14:42, Rafal Jankowski wrote:
> Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak
> gość nie przedstawi wiarygodnego alibi to a małe szanse na taką linię
> obrony.

Nie da się przedstawić alibi kiedy w gre wchodzi współczesny system
operacyjny z rodziny Windows. Da się przedstawić alibi kiedy kolega
prawnik widział mnie po wypadku trzeźwego. To *różne* sytuacje.

Z punktu widzenia banku istnieje zasada domniemanego zarażenia malware.
I słusznie, klient nie ma jak udowodnić że malware nie było więc bank
nie jest nigdy stratny.

>> PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
>> zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko
>> który bank ma potrzebe im zapobiegać?
> Jak OS był skompromitowany to powiązanie tokena z konkretną osobą,
> numerem seryjnym, CPU dalej nic nie da.

Da się. Transakcje da się wykonać wyłacznie kiedy robi to ktoś
posiadający fizyczny token. Możesz sobie kompromitować dowoli: obecność
tokena (np. wyświetlającego kwotę, konto i potwierdzającego pinem na
jego własnej klawiaturze) jest absolutnie nie do zlamania, choc należy
wtedy zakładać niedebilnośc inzynierów o co coraz trudniej. Mimo to
można w sposob absolutnie pewny powiązać obecność tokena, danych
transakcji, upoważnionego usera w jedność. Malware możesz mieć w
dowolnej ilości, co najwyżej transakcja nie zostanie zaakceptowana przez
bank.

> Musiałbyś jeszcze coś w rodzaju
> bezpiecznej enklawy na najnowszym skylake'u.

Ależ są takie rozwiązania, TPM. Tylko że przygłupy bankowe jeszcze wiele
dziesięcioleci dzieli od zaczajenia co z tym można zrobić. Oni na razie
tworzą kolejny gówno warty portal bankowości opierający się o JavaScript
i studentów-programatorów kupowanych na rynku na kilogramy. "Więcej
ikonek i animacji, k..wa".

> Moje przesłanie było takie, że banki robią pełno wałów polegających na
> podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic
> się nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
> głupotą usprawiedliwiony.

Czekam na "dobra zmianę" ktora uniemozliwi zakładanie kont przelewami,
otwieranie kredytu smsami, realizowanie kasy kresokopia dowodu. Ale się
nie doczekam. Wyraźnie widać że nie ma nikt w tym interesu.

do góry

On Sun, 20 Mar 2016 14:15:32 +0100, Sebastian
Biały<h...@p...onet.pl> wrote:
> To nie jest takie trywialne, token w powiązaniu z unikatową cechą
> komputera (numer seryjny cpu etc) uniemożliwia tego typu przekręt w
> sposób wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego
się
> cos przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy
> debilomanager właśnie obcina koszty, bo komu potrzebne są jakieś
numery
> seryjne cpu.

Ale po co bijecie pianę? Zasady są bardzo proste, transakcja
autoryzowana jest tylko wtedy, gdy dokonuje ją upoważniony umową
(autoryzowany) użytkownik. W przypadkach spornych to problem stron
sporu aby wykazać/udowdnić czy transakcja była autoryzowana czy nie.

--
Marek

do góry

On Sun, 20 Mar 2016 14:43:52 +0100, Rafal Jankowski
<j...@o...wsisiz.edu.pl> wrote:
> A art. 42 nie jest?

Oczywiście, że jest. Nie rozumiem do czego pijesz.

--
Marek

do góry