Paweł wrote:

> > No to numer mozliwy do wykonania raz, drugi, moze 10-ty.

> no w BPH zanim sie połapali to jednak trochę trwało
> zakładając nawet że BPH to poziom dna - mbankowi pewnie i tak
zajęłoby parę
> dni odkrycie sprawy,

No jesli jednego dnia kilku klientow zglosiloby ze nie moga wykonac zadnej
operacji to powinien byc alert dla security teamu - zbadanie co sie dzieje
zajeloby godziny.

> a przy zmasowanym ataku - gdyby udało się takiego trojana szybko i
masowo
> rozpowszechnić - np na tej grupie reklamując super kolejny program który
> pomaga zarządzać wydrukami z mbanku czy cos liczącego iban, pokazującego
> bank lub dowolny inny program finansowy- i już masz co najmniej
> kilkadziesiat osób które mają konto w mbanku i ściągną ten program

Od tego powinien byc security team zeby w godzine zbadac sytuacje w ktorej
nastepuja serie logowan na na te same konta z roznych IP lub z tego samego
IP na rozne konta.
Jesli w wyniku takigo screeningu okazuje sie ze jedno logowanie bylo z Wawy
a drugie z Chin to na 99% wiadomo ze ktos dziala przez proxy bynajmniej
nie w celach charytatywnych :))


> po 1-sze - żona ze swojej pracy, ja ze swojej wiele razy logowaliśmy
się
> równocześnie i przynajmniej mbank nie robił z tego powodu problemu

IMHO dziurka do wykorzystania w przypadku kolejnego ataku tych zlych
hiakerow... wykrywanie rownoczesnego logowania z roznych IP to chocby
podstawa zabezpieczenia roznych serwisow opartych na subskrypcji - admini
orientuja sie wtedy ze koles albo oszukuje (bo dal haselko 10-ciu osobom
za cene jednej subskrypcji) albo jego konto zostalo hackniete...

> po drugie logowanie nie musi być jednoczesne - znając wcześniej z
klawiatury
> Twój login i hasło, można przecież Twoją sesje
zakończyć i otworzyć nową +
> skorzystać z wpisanego przed momentem hasła jednorazowego do
jakiegoś
> przelewu

To sie wiaze z tym co wyzej - zgloszenia uzytkownikow + ciagle
monitorowanie logowan - nie mowcie mi ze tego sie nie da zrobic przy
pomocy banalnego analizatora logow ktory w sekundy wykryje ze po sesji o
10.10 ktos zaczal sesje o 10.20 z innego IP, inna przegladarka.
Sam korzystam z serwisu w ktorym moge sobie ustawic np. powiadamianie
mailem o kazdym moim logowaniu.


> a to fakt, to podniosłoby calkiem nieĽle bezpieczeństwo

> nie bierzesz tylko pod uwagę że bank to musi być produkt
masowy,
> łopatologiczny

Podejrzewam ze BPH teraz masowo udowodni ograbionym glupkom ze nie
zachowali nalezytych zasad bezpieczenstwa korzystania z serwisu i tyle.


> kiedyś wysyłałem klientom podpisane maile - po tym jak połowa
nie umiała
> otworzyc takiego listu dałem sobie spokój

Nie chodzi o szyfrowanie tylko o podpisywanie - np. maile z serwisu
hush.com mozesz podpisac PGP, odbiorca dostaje razem z majlem informacje
ze moze zweryfikowac ta wiadomosc uzywacac jedynie zabiegu copy+paste na
stronie hushtools.com


--
Franz