Re: Kolejny wyrok - mBank musi oddać - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Kolejny wyrok - mBank musi oddać › Re: Kolejny wyrok - mBank musi oddać

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed2.atman.pl!newsfeed.atman.pl!go
blin2!goblin1!goblin.stu.neva.ru!newsfeed.neostrada.pl!unt-exc-01.news.neostrad
a.pl!unt-spo-a-02.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
From: "J.F." <j...@p...onet.pl>
Newsgroups: pl.biznes.banki
References: <a...@n...neostrada.pl><57231bfd$0$640$65785112
@news.neostrada.pl><a...@n...neostrada.pl><5723
3b3b$0$22823$65785112@news.neostrada.pl> <m...@p...waw.pl>
In-Reply-To: <m...@p...waw.pl>
Subject: Re: Kolejny wyrok - mBank musi oddać
Date: Fri, 29 Apr 2016 19:24:56 +0200
MIME-Version: 1.0
Content-Type: text/plain; format=flowed; charset="utf-8"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Newsreader: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331
Lines: 65
Message-ID: <572398ef$0$640$65785112@news.neostrada.pl>
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 83.22.167.8
X-Trace: 1461950703 unt-rea-b-01.news.neostrada.pl 640 83.22.167.8:64813
X-Complaints-To: a...@n...neostrada.pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:622496
[ ukryj nagłówki ]
Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
>> transakcji.
>Rozwiąże bardzo ładnie.

Smiem twierdzic, ze nie - o ile nie bedzie mial kanalu lacznosci z
banku.

>> Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli
>> SMS
>> "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

>A po co kolejny telefon. Dostęp radiowy, niepotrzebny i
>niebezpieczny.

Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
podobne rozwiazania.
Niewrazliwe na oswietlenie, male ekrany itp.

>> lub przepisac do
>> tokena dlugi, zaszyfrowany, kod operacji.

>No nie, bez przesady. Jasne że skaner QR kodu.
>Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.

Na jedno wychodzi - podpis dlugi, a danych malo :-)

>Wynik może być kilkucyfrowym "PINem", nie trzeba tego wtykać do
>żadnego
>USB.

Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
USB.

>> No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth,
>> ...
>> ale prosciej chyba bedzie GSM ...
>Wszystkie powyższe są niebezpieczne, w sensie takim, że narażają
>"telefon" na ataki za pośrednictwem skomplikowanych, potencjalnie
>(i praktycznie) wadliwych bezprzewodowych metod dostępu.

Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
niebezpieczny.
Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
kodu :-)

>> Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
>> Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
>> dziury w bezpieczenstwie nie bylo.

>Nie można jednak nie zauważyć, że sposób dostępu do banku został
>ustalony przez bank. Bank jest "pro" i przecież przeprowadził analizę
>ryzyka.

kradziez tokena i podstawienie falszywego bank tez powinien
przewidziec czy wystarczy zapis, ze klient jest zobowiazany
przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
:-)

J.