Użytkownik "janek z pola" <a...@e...pl> napisał w wiadomości
news:mljio0$24q$1@speranza.aioe.org...
> Arek wrote:
>
>> Użytkownik "Andrzej Lawa" <a...@l...com> napisał w wiadomości
>> news:mli85v$mtj$1@node2.news.atman.pl...
>>>W dniu 13.06.2015 o 22:06, Robert Tomasik pisze:
>>>
>>>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
>>>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
>>>> miały luki, to mieli byśmy serię przełamań.
>>>
>>> Nie czytałem dokładnie wcześniejszych przebąkiwań na ten temat, ale czy
>>> czasem nie chodziło o szkolne błędy w oprogramowaniu ich strony
>>> internetowej z dostępem do systemu bankowego?
>>
>> Swoją drogą możliwość włamu przez interfejs użytkownika czy nawet
>> przez jakąkolwiek inną stronę banku do wewnętrznego systemu to
>> gorzej niż partactwo.
>
> Widziałeś kiedykolwiek jakikolwiek system informatyczny od środka?

Bankowy nie.

> Akurat interfejs bankowości elektronicznej jest taką aplikacją, która
> wykonuje interakcje z pozostałymi systemami bankowymi. Jeżeli została
> odkryta luka w obrębie tej aplikacji, to jest to dosyć prosta i łatwa
> możliwość na eksplorowanie tych systemów, które stoją za bankowością
> elektroniczną - czyli prawdopodobnie baz danych, etc.

Zdarzało mi się majstrować (inna specyfika, z większym udziałem hardware'u)
- separacja "interfejsu" czy wszelkich kanałów przesyłania danych od silnika
("baza danych" w formie szczątkowej) była koniecznością. Wymagało to
użycia nietypowych komponentów.

> Niestety z bankowością elektroniczną jest inaczej - była luka, ktoś ją
> zidentyfikował i użył jej. W ten sposób oczywiście uzyskał dostęp do
> głębiej
> umieszczonych zasobów banku. Zresztą nawet z podsłuchiwania tejże
> aplikacji
> bankowości elektronicznej można się wiele dowiedzieć.
>
> Czy istnienie luki w bankowości elektronicznej, która pozwala na przejęcie
> kontroli nad tym systemem, to rzeczywiście partactwo? No nie wiadomo. Może
> to było celowe działanie kogoś z wewnątrz? Może bank świadomie ustawiał
> priorytety tak, że łatanie znanej dziury było zaplanowane na później? Może
> rzeczywiście pracownicy niechlujnie obsługiwali system i na tyle
> poluzowali
> jakieś zasady, że doprowadziło to do możliwości włamania?

Może tak, coś się "zacinało" i poluzowali. Swojego czasu w Polbanku nie
potrafili poprawić więc ograniczyli funkcjonalność - to już lepsze. Ale to
raczej
nie dotyczyło styku interfejs - reszta.
Tu sugerowałem nawet pozostawienie furtki dla serwisu.
Na przyszłość chyba należy się oswoić z filozofią ograniczania strat. Tak
jak grodzie
wodoszczelne na statkach lub przecinki w lasach.

> Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie,

Najgorsze jest postępowanie bydlaka określonego jako włamywacz. Cierpią
niewinni ludzie. Tożsamości pewnie nie zmienią. Swój stosunek do tego już
wyraziłem w innym poście.

> tylko sposób
> obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy.
> Ogólnie
> Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
> (bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
> zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
> upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
> Dziwne, że głosu nie zabiera nadzór.

Który? KNF? Ktoś z ZBP? Milczeli by nie siać paniki, która może kosztować
więcej?
Albo są wciąż w szoku. Zresztą weekend... Samobójstwa niektórych znanych
osób miały miejsce w piątek po południu.

> To wszystko powoduje, że cała ta sprawa
> wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego
> bank.
> Może komuś po prostu zależało, żeby postawić właścieciela tego banku w
> złym
> świetle?

Obstawiam jednak że ten bank był dość przypadkową ofiarą.
Bardziej mnie interesuje rodzaj dziury.

Arek