"Krzysztof Halasa" m...@p...waw.pl

> Bank sam w sobie (mury itd) nic złego nam nie zrobi. Osoby mogą.

Mury mogą runąć -- jak śpiewa Kaczmarski. ;)





> Np. bank decyduje, że dostęp do niego odbywa się przeglądarką
> internetową i hasłami SMS - to niech odpowiada za przeglądarkę
> i telefon z SMSami (oczywiście w granicach sensu, działanie klienta
> w złej wierze itp. pomijam). Zawsze przecież może wyposażyć klienta
> w te narzędzia :-)

,,Nasz' klient zainstalował komplementarną parkę -- na smartfon i na peceta.
Jak oceniasz prawdopodobieństwo nieumyślnego zainstalowania takiej parki?

Pewna pani profesor zgłosiła mi kiedyś problem. Okazało się, że zniknęły
pliki odpowiedzialne za dostęp do netu. Pani profesor twierdziła, że niczego
nie majstrowała, ale wśród masy plików zginęły akurat te, które odpowiadały
za dostęp do netu. Wrzuciłem te pliki i zauważyłem, że winę ponosi ona, nie
ja i nie ktoś inny, gdyż uznałem, że żaden chochlik nie był zdolny do takiego
selektywnego podejścia -- że skasowania dokonał dendrytowy białkotwór. ;)

[zanim tę panią zobaczyłem, sporo słyszałem o spełecznej uciążliwości tejże pani]




Aplikacje androidowe są serwowane z chronionego sklepu.
Podobnie mogłoby być z programami pecetowymi. Co
więcej -- te programy mogłyby jakoś kontrolować się.

> Bank decyduje, że do autoryzacji potrzebny jest token i kanał QR,
> to niech za to odpowiada. Przeglądarka z wirusem nie jest wtedy
> problemem (pomijając ew. niewykonanie dyspozycji).

IMO drobne operacje (powiedzmy do 10 kpln) mogłyby być zabezpieczane
słabo a poważniejsze -- silniej. Można wprowadzić kilka stopni wagi.

() SMS do 10 kpln
() SMS i zdrapka od 10 kpln do 100 kpln
() jeszcze mocniejsze zabezpieczenie transakcji poważniejszych

> Bank decyduje, że jest otwarty system z podpisem cyfrowym, niech
> odpowiada za realizację prawidłowo podpisanych zleceń. BTW realizowane
> w praktyce, chociaż do bezpieczeństwa po stronie klienta można mieć
> pewne "uwagi".

Klient zawsze może świadomie udostępnić komuś swoje hasełka, PINy, SIMkę...

> Bank decyduje, że wystarczy nazwisko panieńskie jako hasło, no cóż.

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

"J.F." fjtgfvbij49c$....@4...net

> Ostatnio mnie bank prosil o dwa dokumenty ze zdjeciem.
> No to dostal ... ale co z osobami, ktore nie maja ani PJ, ani
> paszportu, ani legitymacji sluzbowej ?

To samo, co z tymi, którzy nawet DO nie mają.
(są inne metody weryfikacji)


Ode mnie kiedyś w PKO bp nie żądano szmaty -- jak określono mój
książeczkowy dowód osobisty. Pani w banku ostrzegła mnie jakoś tak:

-- mogę panu wypłacić pieniądze bez zaglądania do pana dowodu, gdyż pana
znam, ale tę szmatę proszę zabrać; jestem urzędnikiem państwowym (bo
to bank państwowy) i mogę pana oskarżyć o znieważenie urzędnika państwowego

Literalnie inaczej, ale sens ten właśnie.

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

"Krzysztof Halasa" m...@p...waw.pl

>> no na tej grupie to chyba dalej nie wszyscy zauwazyli.

> A, to na pewno. Zresztą w praktycznie każdej grupie nie wszyscy.

IMO każdy to zauważa, ale dokonuje skracania myślenia.

W tym wypadku nie wiemy, czy klient zlecił, czy ,,osoba trzecia''
w kooperacji z klientem, czy ,,osoba trzecia'' bez wiedzy klienta...

Nie wiemy (w razie kooperacji) też tego, czy owa kooperacja była
świadoma, dobrowolna itd...

Dodatkowo -- ja w ogóle niewiele wiem o tej sprawie.
(jak wygląda umowa, jakie są zabezpieczenia, jak
doszło do tego oszustwa... [czy klient oszukał
bank, czy klienta i bank oszukała ,,3 osoba''...]

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

Marek wrote:

> Kilka tygodni pisałem o wyroku nakazującym oddanie wyprowadzonej kasy
> przez "złośliwe oprogramowamie".
> Tym razem sprawa dot. mBanku i podobny wyrok. Poszkodowany
> zainstalował w dobrej wierze z poddstawionej strony "oprogramowanie
> antywirusowel" na telefon, które przekierowało smsy autoryzacyjne na
> inny nr telefonu. Oczywiście jego laotop też już był wcześniej
> skompromitowany, przez co złodzieje uzyskali dostęp do hego loginu i
> hasła.

Zastanawia mnie, dlaczego te wszystkie wyroki są akurat na mBank.

Przecież to jest prosty 3-punktowy scenariusz:
1) uzyskanie treści loginu i hasła do bankowości elektronicznej
2) uzyskanie numeru telefonu klienta, na których chodzą kody SMS
3) zainstalowanie na telefonie z danym numerem podpierdalacza kodów SMS

Taki scenariusz można wdrożyć na większości dużych banków w Polsce.

Tam jeszcze jest tak, że punkt (1) opiera się albo na wygenerowaniu przed
klientem zachęty do podania login, hasła i numeru telefonu - np. w formie
fałszywej (łudząco podobnej) strony WWW, albo na zawirusowaniu komputera w
taki sposób, żeby wirus podglądał czynności wykonywane na komputerze.

Czemu akurat leci krucjata przeciwko mBankowi - przecież znamy z mediów
analogiczne sprawy - na pewno dla Millenium i ostatnio było coś ze żle
zabezpieczonym dostępem do SMSów PLAY, tam byli okradani klienci jakiegoś
innego banku.

Kto ma pomysł, czemu jakaś kancelaria prawna trzepie akurat w mBank? Czyżby
brakowało w tym banku jakiegoś "lub czasopisma" w regulaminie dla klientów?

--
Wysłane z pola.

do góry

witek wrote:

> On 4/29/2016 11:33 AM, Krzysztof Halasa wrote:
>> No nie, bez przesady. Jasne że skaner QR kodu.
>> Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.
>
>
> tak zupełnie obocznie mi sie przypomnialo.
>
> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.

Nie chce mi się oglądać tego filmu, co wkleiłeś :D

Natomiast chciałbym, żebyście zwrócili uwagę, jak jest identyfikowany klient
banku w momencie jak włazi do oddziału - pokazuje dowód osobisty (FANFARY!).

Kto mi wytłumaczy, dlaczego nasze piękne państwo nie może się zorientować,
że jest od paru ładnych lat sieć Internet - wdrożyć mechanizmu potwierdzania
tożsamości w tejże sieci w sposób analogiczny jak dowód osobisty potwierdza
tożsamość w rzeczywistości fizycznej.

Wiadomo, że jest coś takiego jak podpis elektroniczny i część administracji
publicznej to wspiera, ale to nie jest rozwiązanie o którym myślę.

To by miało działać tak - administracja państwowa utrzymuje infrastrukturę
służącą do poświadczania, że w danym momencie z danego urządzenia korzysta
konkretny obywatel (pomińmy na razie podmioty prawne, bo to jest trochę
bardziej skomplikowane). Ta infrastruktura jest tak dobra, jak tylko może
być dobra w danym stanie zaawansowania technicznego. To jest analogia do
dowodów osobistych: jak przyjdziesz z kserem dowodu do oddziału banku, to
się zorientują, że to nie oryginał; jak przyjdziesz z podrobionym ale
łudząco podobnym do oryginału dowodem osobistym, to się zorientują, że to
nie oryginał.

Czyli: przy jakichś (prawdopodobnie bardzo restrykcyjnych) ograniczeniach,
wiążących się z instalacją na stacji roboczej jakiegoś dodatkowego
oprogramowania, może wymagania konkretnych wersji systemu operacyjnego i
innych elementów - w takim stanie infrastruktura utrzymywana przez państwo
mogłaby podjąć decyzję, że przy komputerze siedzi konkretny obywatel.

System bankowy uwierzytelniałby klienta banku w taki sposób, że byłby w
kontakcie z tą infrastrukturą publiczną - przykładowa całościowa sesja
mogłaby wyglądać tak:

1. system potwierdzania tożsamości (państwowy) podejmuje decyzję, że przed
komputerem siedzi konkretny obywatel - powiedzmy dla uproszczenia, że ten
obywatel ma SESJĘ w jakimś systemie operacyjnym; ta sesja jest potwierdzona;

2. w SESJI obywatela pojawia się identyfikator, który może być podawany
dalej do firm trzecich - załóżmy, że ten identyfikator nazywa się BILET;

3. z tej samej sesji obywatel otwiera POŁĄCZENIE od e-banku - przesyła mu
przede wszystkim BILET;

4. system bankowy oraz system państwowy uzgadniają między sobą, czy BILET
(będący teraz nośnikiem uprawnienia do systemu bankowego) przesłany przez
obywatela do banku, to czy on pochodzi z tej samej SESJI w której BILET był
wygenerowany - no czyli krótko mówiąc czy nawiązanie połączenia do banku
nastąpiło z tego samego zweryfikowanego środowiska, w którym system
państwowy chwilę wcześniej podjął decyzję, że ma przed sobą tego obywatela;

5. jeżeli się potwierdzi, że POŁĄCZENIE do e-banku pochodzi z tego samego
miejsca, z którego odbyło się uwierzytelnienie SESJI - to system bankowy
zezwala na prowadzenie operacji w imieniu uwierzytelnionego obywatela;

Powyższe rozwiązanie ma główną zaletę: potwierdzanie tożsamości użytkownika
danej SESJI jest niezależne od rodzaju usługi, do której potrzebuje dostępu
- czy jest to NFZ czy jakiś bank komercyjny - nie ma znaczenia. Dodatkowo
jest ono wykonywane przez infrastrukturę państwową.

Ma też główną wadę: to jest praktycznie nie do zrealizowania wobec ergonomii
pracy ze współczesnym komputerem. Najważniejszy problem jest taki, jak się
przekonać że uwierzytelniony BILET nie został przekazany poza SESJĘ w której
był uwierzytelniony? No odpowiedź na to pytanie jest prosta - dostęp do
dalszych zasobów musi być wykonany z wnętrza tego środowiska, które się
upewniło z kim ma do czynienia.

Czyli przykładowa realizacja tego rozwiązania wyglądałaby tak: państwo
dostarcza "okienko" w które obywatel wprowadza jakies dane autentykacyjne -
np. odczyty z tokena sprzętowego, jakiś certyfikat, etc. "Okienko" możliwie
dokładnie sprawdza środowisko komputera, w którym się uruchomiło - to wymaga
prawdopodobnie współpracy z producentami sprzętu i systemów operacyjnych. Po
pozytywnej weryfikacji w środku "okienka" pojawia się ikonka systemu
bankowego. Ponieważ całość działa bardzo on-line - to system państwowy może
(w przypadku wykrycia nadużyć, np. nowego typu ataku) czasowo wyłączyć
wszystkim obywatelom możliwość uwierzytelnienia swojej sesji.

Tym "okienkiem" dostarczanym przez państwo mogłaby być fizyczna platforma
sprzętowa - tak jak dowód osobisty jest fizyczny. Proszę bardzo - idziesz do
urzędu meldunkowego, gdzie za 2.000 złotych otrzymujesz specjalny tablet.
Urządzenie podłączasz do sieci Internet. Tablet jest bardzo restrykcyjny -
każda próba ingerencji w sprzęt lub oprogramowanie kończy się zablokowaniem
urządzenia. Jak ktoś wymyśli atak na urządzenie, to rząd blokuje wszystkie
tablety do momentu rozwiązania problemu.

--
Wysłane z pola.

do góry

On Sat, 30 Apr 2016 16:22:51 -0500, witek <w...@g...pl> wrote:
> kluczami kryptograficznymi nadawcy i odbiorcy.
> Nikt po za nimi nie bedzie wstanie tego przeczytac.

Świetnie, tylko jakby tak nie zauważył, że współcześnie z pewnych
istotnych względów NIE używa się kryptografii asymetrycxnej do
głównej komunikacji między stronami ale tylko do wymiany klucza
symetrycznego, którym dalej odbywa główna, szyfrowana komunikacja.

--
Marek

do góry

On Sun, 01 May 2016 05:05:44 +0200, janek z pola <a...@e...pl>
wrote:
> Zastanawia mnie, dlaczego te wszystkie wyroki są akurat na mBank.

A skąd wiesz, że poprzednio omawiany wyrok też dotyczył mBanku?
Tamten był lepiej zanonimizowany i tak wprost z treści chyba nie
wynikało, że dot. właśnie tego banku.
Być może mBank jest najchętniej targetowany przez oszustów z kilku
powodów:
- liczby aktywnych klientów korzystających z bankowości elektronicznej
- braku maskowanego hasła
- braku weryfikacji telefonicznej przy przelewach na duże kwoty

--
Marek

do góry

"Marek" a...@n...neostrada.pl

> - braku weryfikacji telefonicznej przy przelewach na duże kwoty

Gdy płaciłem w roku 2008 za aparat fotograficzny kredytówką
mBanku -- miałem weryfikację telefoniczną.

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

Dnia Sun, 01 May 2016 09:41:48 +0200, Marek napisał(a):
> Być może mBank jest najchętniej targetowany przez oszustów z kilku
> powodów:
> - liczby aktywnych klientów korzystających z bankowości elektronicznej
> - braku maskowanego hasła

Myslisz, ze to jest problem ?
Po opanowaniu komputera w kilka logowan pozna sie cale haslo.

> - braku weryfikacji telefonicznej przy przelewach na duże kwoty

Mozna wylac mniejszymi.

Niedawno bylo ostrzezenie o ataku na 17 polskich bankow, ale ponoc
falszywe.

http://zbp.pl/dla-konsumentow/bezpieczny-bank/aktual
nosci
Komunikat z dnia 26 kwietnia 2016 r.

A swoja droga - czy w obliczu rzeczywistego (?) zagrozenia i utraty
srodkow mozna by ZBP zaskarzyc o odszkodowanie ?
"W odniesieniu do tych informacji, Rada Bankowości Elektronicznej
Związku Banków Polskich informuje, że pieniądze naszych klientów są
bezpieczne."

J.

do góry

Dnia Sun, 01 May 2016 05:05:44 +0200, janek z pola napisał(a):
> Zastanawia mnie, dlaczego te wszystkie wyroki są akurat na mBank.
> Przecież to jest prosty 3-punktowy scenariusz:
> 1) uzyskanie treści loginu i hasła do bankowości elektronicznej
> 2) uzyskanie numeru telefonu klienta, na których chodzą kody SMS
> 3) zainstalowanie na telefonie z danym numerem podpierdalacza kodów SMS
> Taki scenariusz można wdrożyć na większości dużych banków w Polsce.

Zgaduje
a) mbank byl pierwszym zaatakowanym i pierwszy doczekal wyrokow
b) mbank jako jedyny nie oddal/nie poszedl na ugode :-)

J.

do góry