Arek wrote:

> Użytkownik "Andrzej Lawa" <a...@l...com> napisał w wiadomości
> news:mli85v$mtj$1@node2.news.atman.pl...
>>W dniu 13.06.2015 o 22:06, Robert Tomasik pisze:
>>
>>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
>>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
>>> miały luki, to mieli byśmy serię przełamań.
>>
>> Nie czytałem dokładnie wcześniejszych przebąkiwań na ten temat, ale czy
>> czasem nie chodziło o szkolne błędy w oprogramowaniu ich strony
>> internetowej z dostępem do systemu bankowego?
>
> Swoją drogą możliwość włamu przez interfejs użytkownika czy nawet
> przez jakąkolwiek inną stronę banku do wewnętrznego systemu to
> gorzej niż partactwo.

Widziałeś kiedykolwiek jakikolwiek system informatyczny od środka?

Akurat interfejs bankowości elektronicznej jest taką aplikacją, która
wykonuje interakcje z pozostałymi systemami bankowymi. Jeżeli została
odkryta luka w obrębie tej aplikacji, to jest to dosyć prosta i łatwa
możliwość na eksplorowanie tych systemów, które stoją za bankowością
elektroniczną - czyli prawdopodobnie baz danych, etc.

Co innego "jakakolwiek inna strona banku" - jeżeli włamanie by było przez
stronę informacyjną - ok, to by było naprawdę partactwo, bo stron
informacyjnych nie powinno się umieszczać w taki sposób, że zdobycie dostępu
do serwerów stron informacyjnych, dawałoby dostęp gdziekolwiek głębiej.

Niestety z bankowością elektroniczną jest inaczej - była luka, ktoś ją
zidentyfikował i użył jej. W ten sposób oczywiście uzyskał dostęp do głębiej
umieszczonych zasobów banku. Zresztą nawet z podsłuchiwania tejże aplikacji
bankowości elektronicznej można się wiele dowiedzieć.

Czy istnienie luki w bankowości elektronicznej, która pozwala na przejęcie
kontroli nad tym systemem, to rzeczywiście partactwo? No nie wiadomo. Może
to było celowe działanie kogoś z wewnątrz? Może bank świadomie ustawiał
priorytety tak, że łatanie znanej dziury było zaplanowane na później? Może
rzeczywiście pracownicy niechlujnie obsługiwali system i na tyle poluzowali
jakieś zasady, że doprowadziło to do możliwości włamania?

Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie, tylko sposób
obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy. Ogólnie
Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
(bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
Dziwne, że głosu nie zabiera nadzór. To wszystko powoduje, że cała ta sprawa
wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego bank.
Może komuś po prostu zależało, żeby postawić właścieciela tego banku w złym
świetle?


> Zdaje się, że kolejni twórcy systemów zbyt często wykorzystjują
> Ctrl-C Ctrl-V (oczywiście w przenośni). Pewne rzeczy trzeba po
> prostu napisać od nowa z inną filozofią.
> Jest jeszcze możliwość wejścia przez drzwi "serwisowe". Ale to
> chyba na poziomie takich systemów powinno być wykluczone.
>
> Arek

--
Wysłane z pola.

do góry

Borys Pogoreło wrote:

> Dnia Sat, 13 Jun 2015 22:42:07 +0200, marek napisał(a):
>
> > (zwracam uwagę że w tym przypadku tez wypłynęło sporo kasy, jak
> > piszą...) bank nie ujawnia (bo PR) i oddaje pokornie kasę
> > okradzionym klientom a opłaty dla wszystkich i za wszystko rosną !
>
> Oddaje albo i nie, tu jest ciekawy przypadek:
>
http://zaufanatrzeciastrona.pl/post/jak-okradziono-k
lienta-plus-banku-ktory-nie-odzyskal-swoich-pieniedz
y/
> Poziom żenady wiąż rośnie.

Numer jest o tyle ciezki do odkrecenia, ze pieniadze nie znikly w
PlusBanku, a w banku, w ktorym konto mial sprzedawca.

--
Pozdrawiam, Rafał.
rg[na]skrzynka[kropka]pl

do góry

Rafał Grzelak wrote:

> Borys Pogoreło wrote:
>
>> Dnia Sat, 13 Jun 2015 22:42:07 +0200, marek napisał(a):
>>
>> > (zwracam uwagę że w tym przypadku tez wypłynęło sporo kasy, jak
>> > piszą...) bank nie ujawnia (bo PR) i oddaje pokornie kasę
>> > okradzionym klientom a opłaty dla wszystkich i za wszystko rosną !
>>
>> Oddaje albo i nie, tu jest ciekawy przypadek:
>>
> http://zaufanatrzeciastrona.pl/post/jak-okradziono-k
lienta-plus-banku-
ktory-nie-odzyskal-swoich-pieniedzy/
>> Poziom żenady wiąż rośnie.
>
> Numer jest o tyle ciezki do odkrecenia, ze pieniadze nie znikly w
> PlusBanku, a w banku, w ktorym konto mial sprzedawca.
>

Mechanizm tego oszustwa jest bardzo ciekawy. Ktoś musiał bardzo dokładnie
znać zarówno system bankowy (to, że nie ma podanego rachunku nadawcy na
historii operacji) oraz system tej firmy (to, że identyfikacja wpłaty
następuje wyłącznie po jej tytule i że nawet jeżeli dane nadawcy wskazują,
że nadawcą jest ta sama firma, to taki przelew zostanie przyjęty).

Szczególnie ten drugi warunek jest ciekawy. Firma oczekiwała przelewu, który
miał być dla kogoś za jakieś coś (np. opłata za kosmetyki, którą miała
przekazać na konto sklepu internetowego w banku XYZ). "Kupujący"
zadeklarował przelew na konto w banku ABC - w tym banku firma ma swoje konto
i przyjmuje przelewy z innego konta w banku ABC natychmiastowo.

Nawet jeżeli nie można było stwierdzić, że przelew na konto w banku ABC
przyszedł z innego konta tej samej firmy w tym samym banku (czyli
wewnętrzny, prawdopodobnie zaufany), to przecież dane nadawcy pewnie tam
jednak były. No i jako dane nadawcy zapewne były dane tej firmy.
Podejrzewam, że firma nie przewidziała po prostu że ktoś może wyciąć taki
numer. Możliwe że nawet ten numer konta nadawcy jest w historii transakcji
razem z nazwą nadawcy - tylko pewnie nie wpadli na to, żeby weryfikować te
dane.

Tym niemniej trzeba mieć naprawdę potężną wiedzę i prawdopodobnie lata
doświadczenia w branży bankowej, żeby wpaść na taki scenariusz ataku.
Dodajmy jeszcze, że aby scenariusz zadziałał trzeba było mieć skradzione
hasło dostępu do jakiejś bankowości elektronicznej banku ABC do właściwego
konta użytkownika.

No jestem ciekaw, czy firma ta może pokazać w sądzie swój regulamin, gdzie
mówi "jeżeli przyjdzie przelew o wskazanym tytule do banku ABC, to my robimy
przelew na taką samą kwotę na wcześniej podany obcy rachunek w banku XYZ".
Czy to wystarczy, żeby uznać rzeczywistą szkodę firmy, spowodowaną
zaniedbaniem banku?

--
Wysłane z pola.

do góry

W dniu 2015-06-14 o 11:06, Arek pisze:

> I za coś takiego powinien wisieć. Grożenie i/lub spełnienie groźb
> skierowanych pod adresem osób trzecich mające na celu wymuszenie
> postępowania (tu okup) kwalifikuje się jako terroryzm.
> Jeżeli żałosne tłumaczenie tego bydlaka jest prawdziwe to znaczy
> że bydlę nawet nie zagwarantowało, że po otrzymaniu okupu zniszczy
> bezpowrotnie skopiowane dane. Czyli będzie szantażować dalej...

Kurdę balans, w zasadzie masz rację, choć mnie bardziej interesuje
dlaczego gościu to robi. Jakby chciał to już dawno wszystkich by skroił,
a jednak nadal tego nie zrobił. Gościowi o coś chodzi. Póki nie poznam
motywacji jego czynów nie posunę się aż daleko w ocenie.

--
Tomaszek
#lubię to: enklawa.net
#nie lubię tego: tvn#wosp#facebook#gazeta#
#akceptuję bitcoin: 1A7QVC25jwqr1DaFf2UuppaKcaWHBX9QpY

do góry

Użytkownik "janek z pola" <a...@e...pl> napisał w wiadomości
news:mljio0$24q$1@speranza.aioe.org...
> Arek wrote:
>
>> Użytkownik "Andrzej Lawa" <a...@l...com> napisał w wiadomości
>> news:mli85v$mtj$1@node2.news.atman.pl...
>>>W dniu 13.06.2015 o 22:06, Robert Tomasik pisze:
>>>
>>>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
>>>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
>>>> miały luki, to mieli byśmy serię przełamań.
>>>
>>> Nie czytałem dokładnie wcześniejszych przebąkiwań na ten temat, ale czy
>>> czasem nie chodziło o szkolne błędy w oprogramowaniu ich strony
>>> internetowej z dostępem do systemu bankowego?
>>
>> Swoją drogą możliwość włamu przez interfejs użytkownika czy nawet
>> przez jakąkolwiek inną stronę banku do wewnętrznego systemu to
>> gorzej niż partactwo.
>
> Widziałeś kiedykolwiek jakikolwiek system informatyczny od środka?

Bankowy nie.

> Akurat interfejs bankowości elektronicznej jest taką aplikacją, która
> wykonuje interakcje z pozostałymi systemami bankowymi. Jeżeli została
> odkryta luka w obrębie tej aplikacji, to jest to dosyć prosta i łatwa
> możliwość na eksplorowanie tych systemów, które stoją za bankowością
> elektroniczną - czyli prawdopodobnie baz danych, etc.

Zdarzało mi się majstrować (inna specyfika, z większym udziałem hardware'u)
- separacja "interfejsu" czy wszelkich kanałów przesyłania danych od silnika
("baza danych" w formie szczątkowej) była koniecznością. Wymagało to
użycia nietypowych komponentów.

> Niestety z bankowością elektroniczną jest inaczej - była luka, ktoś ją
> zidentyfikował i użył jej. W ten sposób oczywiście uzyskał dostęp do
> głębiej
> umieszczonych zasobów banku. Zresztą nawet z podsłuchiwania tejże
> aplikacji
> bankowości elektronicznej można się wiele dowiedzieć.
>
> Czy istnienie luki w bankowości elektronicznej, która pozwala na przejęcie
> kontroli nad tym systemem, to rzeczywiście partactwo? No nie wiadomo. Może
> to było celowe działanie kogoś z wewnątrz? Może bank świadomie ustawiał
> priorytety tak, że łatanie znanej dziury było zaplanowane na później? Może
> rzeczywiście pracownicy niechlujnie obsługiwali system i na tyle
> poluzowali
> jakieś zasady, że doprowadziło to do możliwości włamania?

Może tak, coś się "zacinało" i poluzowali. Swojego czasu w Polbanku nie
potrafili poprawić więc ograniczyli funkcjonalność - to już lepsze. Ale to
raczej
nie dotyczyło styku interfejs - reszta.
Tu sugerowałem nawet pozostawienie furtki dla serwisu.
Na przyszłość chyba należy się oswoić z filozofią ograniczania strat. Tak
jak grodzie
wodoszczelne na statkach lub przecinki w lasach.

> Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie,

Najgorsze jest postępowanie bydlaka określonego jako włamywacz. Cierpią
niewinni ludzie. Tożsamości pewnie nie zmienią. Swój stosunek do tego już
wyraziłem w innym poście.

> tylko sposób
> obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy.
> Ogólnie
> Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
> (bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
> zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
> upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
> Dziwne, że głosu nie zabiera nadzór.

Który? KNF? Ktoś z ZBP? Milczeli by nie siać paniki, która może kosztować
więcej?
Albo są wciąż w szoku. Zresztą weekend... Samobójstwa niektórych znanych
osób miały miejsce w piątek po południu.

> To wszystko powoduje, że cała ta sprawa
> wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego
> bank.
> Może komuś po prostu zależało, żeby postawić właścieciela tego banku w
> złym
> świetle?

Obstawiam jednak że ten bank był dość przypadkową ofiarą.
Bardziej mnie interesuje rodzaj dziury.

Arek

do góry

Użytkownik "TOMASZEK" <t...@o...pl> napisał w wiadomości
news:mljnu8$m4l$3@node1.news.atman.pl...
>W dniu 2015-06-14 o 11:06, Arek pisze:
>
>> I za coś takiego powinien wisieć. Grożenie i/lub spełnienie groźb
>> skierowanych pod adresem osób trzecich mające na celu wymuszenie
>> postępowania (tu okup) kwalifikuje się jako terroryzm.
>> Jeżeli żałosne tłumaczenie tego bydlaka jest prawdziwe to znaczy
>> że bydlę nawet nie zagwarantowało, że po otrzymaniu okupu zniszczy
>> bezpowrotnie skopiowane dane. Czyli będzie szantażować dalej...
>
> Kurdę balans, w zasadzie masz rację, choć mnie bardziej interesuje
> dlaczego gościu to robi. Jakby chciał to już dawno wszystkich by skroił, a
> jednak nadal tego nie zrobił. Gościowi o coś chodzi. Póki nie poznam
> motywacji jego czynów nie posunę się aż daleko w ocenie.

Skroił tyle ile było potrzeba. Więcej groziło wpadką lub wywołaniem
głośnego alarmu zbyt wcześnie.
Mógł przelać kasę do innych banków i jej nie wyprowadzać lub
narobić bajzlu w systemie skutkującym blokadą.
Ale posunął się za daleko.

Arek

do góry

On Sun, 14 Jun 2015 13:18:30 +0200, TOMASZEK <t...@o...pl>
wrote:
> Kurdę balans, w zasadzie masz rację, choć mnie bardziej interesuje
> dlaczego gościu to robi. Jakby chciał to już dawno wszystkich by
skroił,
> a jednak nadal tego nie zrobił. Gościowi o coś chodzi. Póki nie
poznam
> motywacji jego czynów nie posunę się aż daleko w ocenie.

Parcie na szkło, chyba bardziej potrzebował rozgłosu, głosów podziwu
na torepublic (ochy i achy w jego wątku) niż tej kasy, którą
wyciągnął.

--
Marek

do góry

On Sun, 14 Jun 2015 14:56:50 +0200, "Arek"
<a...@p...onet.pl.usun_cde.invalid> wrote:
> Albo są wciąż w szoku. Zresztą weekend... Samobójstwa niektórych
znanych
> osób miały miejsce w piątek po południu.

Komu znowu zrobili samobójstwo?

--
Marek

do góry

Użytkownik "Marek" <f...@f...com> napisał w wiadomości
news:almarsoft.648954969764175130@news.neostrada.pl.
..
> On Sun, 14 Jun 2015 14:56:50 +0200, "Arek"
> <a...@p...onet.pl.usun_cde.invalid> wrote:
>> Albo są wciąż w szoku. Zresztą weekend... Samobójstwa niektórych
> znanych
>> osób miały miejsce w piątek po południu.
>
> Komu znowu zrobili samobójstwo?

Nie ma dowodów, że np. 16.06.2012 (sobota), 5.08.2011 (piątek) "zrobili".
Może to próba wykorzystania faktu, że w weekendy służby w niepełnej
obsadzie i wolniej reagują a bankowcy odpoczywają.
A świeże tygodniki w poniedziałek będą miały o czym pisać.

Arek

do góry

On Sun, 14 Jun 2015 16:31:36 +0200, "Arek"
<a...@p...onet.pl.usun_cde.invalid> wrote:
> Nie ma dowodów, że np. 16.06.2012 (sobota), 5.08.2011 (piątek)
"zrobili".
> Może to próba wykorzystania faktu, że w weekendy służby w niepełnej
> obsadzie i wolniej reagują a bankowcy odpoczywają.
> A świeże tygodniki w poniedziałek będą miały o czym pisać.

No to uchyl rąbka tajemnicy - kto umarł?

--
Marek

do góry