On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 13:58, Rafal Jankowski wrote:
>> > Oczywiście matematyka i informatyka mają skuteczne metody
>> > zabezpieczanie transakcji (np. tokeny sprzętowe). Problem w tym że
>> > znaczna częśc społeczeństwa to idioci a znaczna część managerów w
>> > bankach to debile. Efektem czego systemy zabezpieczeń banków bazują na
>> > poziomie mułu czyli zakładają że system operacyjny usera jest
>> > bezpieczny oraz że imie panieńskie babki jest absolutnie nie do
>> > podsłuchania podane 40 razy przez telefon.
>> Można o tym dyskutować. Tak samo jak to czy słusznie jest skazać gościa
>> którego samochód zabił człowieka a on sam 100m dalej był chwilę później
>> nawalony jak Messerschmit.
>
> Absolutnie nie widze związku. Nawalenie się odbywa się jeszcze w stanie
> świadomym. Instalacja malware odbywa się w stanie kompletnie nieświadomym.

Związek jest taki, że tu też nie ma 100% pewności, tzn. ten gość mógł:
-nawalić się po tym zdarzeniu
-zostać do tego zmuszony
-nie mieć z tym nic wspólnego po za tym, że był to jego samochód

Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak gość
nie przedstawi wiarygodnego alibi to a małe szanse na taką linię obrony.

>
>> Jednoznacznie udowodnić się nie da, ale bardzo często materiał dowodowy
>> wskazuje na przebieg zdarzeń w tak prawdopodobnym stopniu, że żadna ze
>> stron nie poddaje w wątpliwość tego co się wydarzyło.
>
> "Pan na pewno ma zawirusowany komputer" usłyszałem nie tak dawno na infolini.
> E panie, pieprzenie z tymi procesami poszlakowymi i "wszyscy się zgadzają".
> Ponadto dla sądu jakiekolwiek dywagacjie techniczne i tak są scifi. Kazdy
> taki proces jest poszlakowy bo nie sposób aby prawnik zrozumiał dowód jesli
> jakims cudem by się pojawił.
>
>> I tutaj token sprzętowy nic by nie pomógł
>
> Token pojawił się jako przyklad równiania banków do poziomu mułu.
>
>> zostały wykonany w krótkim czasie od chwili wyłudzenia haseł), bo
>> kobieta po prostu przepisałaby hasła z tokena.
>
> To nie jest takie trywialne, token w powiązaniu z unikatową cechą komputera
> (numer seryjny cpu etc) uniemożliwia tego typu przekręt w sposób
> wystarczająco skuteczny. Ba, kto mówi do tokenie z ktorego się cos
> przepisuje, dlaczego nie wtykany w USB?. Niech zgadne, bankowy debilomanager
> właśnie obcina koszty, bo komu potrzebne są jakieś numery seryjne cpu.
>
> PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
> zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko który bank
> ma potrzebe im zapobiegać?

Jak OS był skompromitowany to powiązanie tokena z konkretną osobą, numerem
seryjnym, CPU dalej nic nie da. Musiałbyś jeszcze coś w rodzaju
bezpiecznej enklawy na najnowszym skylake'u.
Moje przesłanie było takie, że banki robią pełno wałów polegających na
podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic się
nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
głupotą usprawiedliwiony.