W dniu 2016-03-21 o 10:33, Aha pisze:

> Poszkodowana była setki razy informowana przez media , internet oraz
> swój bank, że należy sprawdzić, czy jest się zalogowany na stronie banku
> ( https) a ona mimo to podała swoje dane autoryzacyjne oszustom.

Przy obecnym stopniu zaawansowania ataków, przeciętny klient banku
nie jest w stanie zweryfikować bezpieczeństwa swojego komputera.

> A bank ma odpowiadać, mimo że nie ma żadnej możliwości sprawdzenia, kto używa
> prawdziwe dane autoryzacyjne.

Ma możliwości, ale prościej i taniej jest zwalać odpowiedzialność
na klientów, a od czasu do czasu zwracać kasę.

Na dodatek w tym konkretnym przypadku bank pozwolił przelać kasę
na konta które 2 tygodnie wcześniej otworzył, a następnie pozwolił
złodziejom wypłacić gotówkę w swoich własnych placówkach.

> IMHO ten wyrok niedouczonego sędziego się nie utrzyma przy rewizji.

A może po prostu sędzia skorzystał z pomocy kompetentnego biegłego.

do góry

W dniu 2016-03-21 o 08:50, Ghost pisze:

> Jakie?

Systemy pozwalające wykrywać symptomy podszycia się pod klienta
i usługi ograniczające skutki ataków phishingowych.

> Jesteś gotów zapłacić stówkę więcej rocznie?

Więcej tego typu wyroków spowoduje, że zainwestowanie w bezpieczeństwo
klientów zacznie się zbliżać do progu opłacalności.
To kto i ile ma zapłacić to już zweryfikuje rynek.

do góry

On Tue, 22 Mar 2016, Rafal Jankowski wrote:

[...]
> Może tak, sam podpis przez Bank faktycznie niczego tu nie daje, ale jeśli
> dodatkowo znany jest jej hash i on był częścią tego co podpisał TPM to można
> wymagać od banku aby dostarczył kod źródłowy z którego da się skompilować
> aplikację o takim właśnie hashu i wtedy to już można stwierdzić czy aplikacja
> ma zaimplementowaną logikę, która może robić taki wał. Nie twierdzę, że to
> najlepsze zaadresowanie tego problemu, ale jakieś jest.

Mała autokorekta. To powyżej też jest słabe, bo przecież bank może
wypuścić aplikację dobrą i złą i ta zła będzie dawać do podpisu hash tej
dobrej. Ja chyba odpuszczam temat bo w końcu to miałem być oskarżycielem
tego rozwiązania a stałem się jego autorem i obrońcą ;).
Inna sprawa, że w wersji z tokenem, który ma kamerkę i tą kamerką zczytuje
kod QR z zawirusowanego systemu też mamy problem tego typu, że na tym
tokenie musi być aplikacja zaufana, więc jak bank nie jest zaufany to mamy
dokładnie ten sam problem. Pewnie i to da się jakoś rozwiązać, ale mi się
już chyba nie chce kombinować, bo ja tu miałem być od czepiania się a nie
od podawania rozwiązań.

do góry

W dniu 2016-03-22 o 17:46, Kamil Jońca pisze:
> Kris <k...@g...com> writes:
>
>> W dniu wtorek, 22 marca 2016 14:41:34 UTC+1 użytkownik Piotr Gałka napisał:
>>> Użytkownik "Kris" <k...@g...com> napisał w wiadomości
>>> news:c38e6181-2d5a-46c0-812c-8c599a07dc4d@googlegrou
ps.com...
>>>
>>>> Oczywiście gdybym na rachunku miał poł miliona to może i inaczej bym
>>>> myślał.
>>>
>>> Do innego myślenia skłania też to, że jak się słyszy to włamywacze potrafią
>>> (nawet jak na koncie 0) w parę sekund wziąć kredyt i go zutylizować.
>>> P.G.
>> Jakieś prasowe bzdury zapewne
>> Który bank daje możliwość wzięcia kredytu w parę sekund?
>
> Parę sekund to może nie, ale poniżej 5 min to spokojnie się w mBanku
> wyrobisz. Been there, done that.

Co więcej - już takie przypadki pirackiego zakredytowania się zdarzały.

--
Liwiusz

do góry

Dnia Tue, 22 Mar 2016 17:46:40 +0100, Kamil Jońca napisał(a):

>>> Do innego myślenia skłania też to, że jak się słyszy to włamywacze potrafią
>>> (nawet jak na koncie 0) w parę sekund wziąć kredyt i go zutylizować.
>>> P.G.
>> Jakieś prasowe bzdury zapewne
>> Który bank daje możliwość wzięcia kredytu w parę sekund?
>
> Parę sekund to może nie, ale poniżej 5 min to spokojnie się w mBanku
> wyrobisz. Been there, done that.

ZTCP to kiedyś w mBanku najpierw trzeba było podpisać specjalną "umowę
ramową", a dopiero potem była możliwość wzięcia "kredytu w 15 minut".

Czy teraz taka umowa nadal jest wymagana, czy naprawdę każdy kto
dysponuje loginem, hasłem i ewentualnie kodem jednorazowym, jest w
stanie pociągnąć kredyt? (jaki by on nie był, gotówkowy, odnawialny, na
samochód...)

--
Imka

do góry

Imka <s...@g...pl> writes:

> Dnia Tue, 22 Mar 2016 17:46:40 +0100, Kamil Jońca napisał(a):
>
>>>> Do innego myślenia skłania też to, że jak się słyszy to włamywacze potrafią
>>>> (nawet jak na koncie 0) w parę sekund wziąć kredyt i go zutylizować.
>>>> P.G.
>>> Jakieś prasowe bzdury zapewne
>>> Który bank daje możliwość wzięcia kredytu w parę sekund?
>>
>> Parę sekund to może nie, ale poniżej 5 min to spokojnie się w mBanku
>> wyrobisz. Been there, done that.
>
> ZTCP to kiedyś w mBanku najpierw trzeba było podpisać specjalną "umowę
1. Mam wrażenie, że teraz jest ona domyślna. Nawet jeśli nie, to masz
może kolejne 5 min. Razem 10.

> [...]czy naprawdę każdy kto
> dysponuje loginem, hasłem i ewentualnie kodem jednorazowym, jest w
> stanie pociągnąć kredyt? (jaki by on nie był, gotówkowy, odnawialny, na
> samochód...)
Tak.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
The bomb will never go off. I speak as an expert in explosives.
-- Admiral William Leahy, U.S. Atomic Bomb Project

do góry

Użytkownik "Imka" <s...@g...pl> napisał w wiadomości
news:1eea67x3cmh2e$.10al8w2ul8ruh$.dlg@40tude.net...

> ZTCP to kiedyś w mBanku najpierw trzeba było podpisać specjalną "umowę
> ramową", a dopiero potem była możliwość wzięcia "kredytu w 15 minut".
>
Umowę ramową podpisałem przy okazji karty kredytowej.
OIDP potem kredyt w rachunku chyba po prostu wyklikałem - zaakceptowałem
wiadomość p.t. promocja (specjalnie dla mnie ! :) ) kredyt w rachunku bez
prowizji za uruchomienie.
P.G.

do góry

W dniu 2016-03-23 o 09:47, Kamil Jońca pisze:
> Imka <s...@g...pl> writes:
>
>> Dnia Tue, 22 Mar 2016 17:46:40 +0100, Kamil Jońca napisał(a):
>>
>>>>> Do innego myślenia skłania też to, że jak się słyszy to włamywacze potrafią
>>>>> (nawet jak na koncie 0) w parę sekund wziąć kredyt i go zutylizować.
>>>>> P.G.
>>>> Jakieś prasowe bzdury zapewne
>>>> Który bank daje możliwość wzięcia kredytu w parę sekund?
>>>
>>> Parę sekund to może nie, ale poniżej 5 min to spokojnie się w mBanku
>>> wyrobisz. Been there, done that.
>>
>> ZTCP to kiedyś w mBanku najpierw trzeba było podpisać specjalną "umowę
> 1. Mam wrażenie, że teraz jest ona domyślna. Nawet jeśli nie, to masz
> może kolejne 5 min. Razem 10.

Domyślna zdaje się nie jest, ale mbankowcy dużo zrobili, aby wielu
klientów taką umowę ramową podpisało, nawet jak na chwilę obecną kredytu
nie potrzebowali.

--
Liwiusz

do góry

On 2016-03-22 17:32, Krzysztof Halasa wrote:
> Np. ja używam "zwykłych pojemnościowych" :-) klawiatur ekranowych,
> ale ich koszt jest nieco inny niż < $0.5.

Więc zainteresuj sie faktem że od groma mikrokontrolerów implementuje
różnego rodzaju TouchWhatever za friko. Innymi słowy dotarliśmy do
momentu kiedy klawiatura kosztuje tyle co napylenie grafitu na plastik i
jest niezniszczalna.

do góry

On 2016-03-22 08:46, Rafal Jankowski wrote:
> Owszem, ale ja nie podważałem przydatności TPMa tylko "absolutnej
> pewności" jaką on daje.

Zauważyłeś że TMP sa słabo zabezpieczne przed pierdolnięciem meteorytu?
Skandal. Panienka pytająca o nazwiska w rodzinie po założeniu garnka na
glowę mogła by więcej wytrzymać.

> A fizycznego dostępu nie można wykluczyć.

Ba, a jesli ten meteoryt to statek marsjan ablo mesjasz albo kupa
zamarzniętego moczu z samolotu? Niczego nie można wykluczyć.

Innymi slowy wracamy do czeków podpisanych kulfonem i wydawanych na
gębę. Albo nie, czekaj, przelewy faksem. To jest dopiero pewność i
bezpieczeństwo w jednym.

> A więc
> jest możliwy (bardzo trudny do zrealizowania, ale mówimy o "absolutnej
> pewności") scenariusz, że ten klucz zostanie wyskrobany a transakcja
> przeprowadzona w momencie gdy użytkownik jest w posiadaniu tokena.

Tak, podobnie jak pierdolnięcie meteorytu. Musimy to brać pod uwage,
prawda? To kluczowe że z TPMa mozna wyskrobać hasło do konta kowalskiego
już za tylko 1mln dolarów. To calkowicie dyskwalifikuje tą technologię.
No i jak zwykle zostają podpisy i panienki od interesujących pytań.

PS. Tak wiem, zaraz napiszeszm maila o tym jakim chamem jestem że takie
chamskie mam odzywki. Ale przepraszam, na Twoj poziom absurdu traktowany
poważnie jedyną odtrutką jest poziom absurdu do kwadratu.

do góry