Odpisze tu bo zrobiles dwa takie same posty a, ze sa tam sprawy w zadzie
dwie odzielne to nawet sie dobrze zlozylo - jak nie masz nic przweciwko
temu.

>>> Jesli wyludzisz certyfikat (to nie jest zaden specjalny problem) oraz
>>> masz mozliwosc przekierowania ruchu klienta do swojej maszyny, to typowo
>>> jestes w stanie zrobic co chcesz z dostepem do konta klienta (+/- limity
>>> itp). Ta mozliwosc ma kazdy provider w lancuchu klient-bank, dodatkowe
>>> mozliwosci sa takze w przypadku np. wifi, niezabezpieczonych fizycznie
>>> kabli, trucia DNSow falszywymi rekordami itd.
>>
>> Widzisz, gdyby to bylo takie realne,
>
> To jest calkowicie realne. Ktory dokladnie krok (lub kroki) uwazasz za
> nierealne? To sa normalnie uzywane mechanizmy prawdziwych atakow, zadna
> tam tylko teoria.

Od samego poczatku jest to malo realne.

>> to juz dawno banki by zaniechaly
>> e-kont. W obawie o masowe takie dzialania.
>
> A myslisz ze po co banki wydaja tokeny, karty kodow jednorazowych itp?
> Oraz np. monitoruja transakcje.

W celach propagandowych, ja wiem, bedzie to dla ciebie szok! ale coz, tak
samo jak z UOP-em uznaels to za ewfekt kpin... tak i to uznasz.
Dodatkowo tokeny, piny maja za zadanie przerzucic odpowiedzialnosc na
klienta, token dosc skutecznie przesdzkadza w zdobyciu danych osobie
"siedzacej za ramieniem" bo nie wystraczy tylko znac hasla i username. PIN
zabezpiecza karte by nikt nie mogl z niej skoprzystac, ale jak zapomnisz
pinu to tez nie skorzystasz ze swoich pieniedzy, wiec ten wynalazek tez
chroni w banku twoje pieniadze przed toba:)
Bynajmniej, zeaden z wynalzakow token, pinsetnty itp nie ma na celu
zapobiezeniu "podsluchu" transmisji konta bo ajk ci juz napisalem take jest
malo realne.

> Gdyby bylo jak piszesz, to banki dawno przestalyby wydawac np. karty
> platnicze, bo skopiowanie takiej (bez procesora) jest od dawna
> trywialne nawet dla nudzacego sie gimnazjalisty.

No bez jaja.... karta jest dla bnaku nie dla ciebie:)
Karta ma pomoc bankowi a nie tobie:) (ja wiem, w polsce jeszcze z a to placa
ludzie)
Jesli by nie bylo kart bank byl by zobligowany do trzymania gotowki w banku,
na zadnie. to ograniczylo byu przede wszytkim dzialalnosc kredytowa banku,
bo nie dalo by sie juz tylko po prostu zpisywac kasy na koncie... nie bylo
by tylu obrotow bezgotowkowych, a wiec i wirtualnego pieniadza by nie bylo w
akiej ilosci jak dzis.
Czy wiesz, ze gotowki w stosunku do wszystkoch srodkow to zaledwie procenty?
Jesli nie bylo by kart to jak mniewam system bankowy by upadl.
Tak wiec karta jest dla banku, a jesli jest dla banku to bank z niej nie
zrezygnuje.
Sam wiesz, ze skopiowanie karty to pikus. A jednak banki nadal te karty
wydaja.

> W m.in. Europie przynajmniej w koncu pojawiaja sie karty procesorowe
> (hybrydowe), w takich USA nie ma w ogole konkretnych planow wprowadzenia
> kart chipowych.
>
> Moze myslisz ze skopiowanie karty bez procesora jest trudne albo
> np. kosztowne?

Ja mam bez procesora do lat i nikt jeszcze mi karty nie skopiowal.

>> To o czym, piszesz to czysta teoria, teoretycznie tez mozesz uzyskac
>> wieksze predkosci niz swiatlo
>
> Powaznie? Nie slyszalem o takiej teorii, pamietam ze jak chodzilem na
> fizyke, to swiatlo w prozni bylo najszybsze.

A kiedy miales ta fzyke?:)
A na serio to mysli ludzkie sa szybsze od swiatla:) Co prawda nie przenosza
one energi a nie informacji ale sa szybsze. Bo pomyslsz sobie, ze jestes na
marsie, a swatlo dotrze tam za 28 minut.
Oczywiscie jest na to i odpowiednia teoria dotyczaca pewnych fotonow ktore w
odpowienich warunkach sa szybsze od swiatla, ale tak jak z myslami nie
przenosza energi a nie zadnej informacji:)
I uwaga to jest to co zapamietalem z fizyki ktora mialem... hmm poiwiem tak
wiecej niz 25 lat temu:)

>> ale w praktyce?
>
> Chwilowo praktyka jest zgodna z teoria chyba?

Nadal nie dales tego dowodu. Jedynie eksperymenty laboratoryjne.
Pokaz jakas prasoeke w ktorej napisali, ze delikwent "wpiol" sie w linie i
podsluchal dane bez zadnej pomocy uzytkownika (zadne programy (wirusy itp)
czy emaile nie byly zainstalowane na komputerze ofiary.

>> Poza tym, by przekierowac ruch na swoja strone by wyludzic dane musisz
>> miec dostep bezposredni do maszyny na ktorej dane te beda wprowadzane,
>> jesli nie masz dostepu - zpaomnij.
>
> Zartujesz? Przeciez napisalem jak mozna to zrobic: DNS poisoning
> (klasyka, wpisz w google), przejecie kontroli nad dowolnym routerem
> miedzy klientem i bankiem, praca w wifi tez bardzo takie rzeczy ulatwia.

Ja ci dam siec wifi nie zabezpieczona, czy podsluchasz haslo i nazwe
uzytkownika zaszyfrowane 128 bitowym kluczem?
Zorbisz to?
Podam ci nazwe sieci, zakres adresow IP... i siec bedzie kompletnie
niezabezpieczona. Zrobisz?

> Sieci kablowe (np. Ethernet) tez nie sa bezpieczne, istnieja rozne
> rodzaje atakow zwiazanych np. z ARP (google "arp spoofing"), z
> przepelnianiem tablic MAC switchow Ethernet (google "MAC table
> overflow), oczywiscie wszelkie metody dostepu do fizycznych kabli (np.
> do szafy TPSA w piwnicy itd). Kombinacje z dynamicznym routingiem, itd.
> itd. Jest bardzo wiele mozliwosci, szansa ze zadnej z nich nie da sie
> zastosowac w konkretnym przypadku jest bliska zeru.

Jak na razie to co mowisz to piekna teoria rodem z filmow o Jamsie Bondzie.
Pokaz praktyke takiego zastosowania, jesli to takie easy to na pewno bylo
wykorzystane miliony razy i to z sukcesem do przejecia danych podczas
transmisji klient bank, mozesz mi dac linka do choc jednego takiego
przyapdku?

>> Wychodzi wiec, ze to od uzytkowika zalezy jak bezpieczne jest
>> korzystanie z e-bankingu.
>
> A to jest akurat prawda, ze wzgledu na SSL, ktory prawidlowo zastosowany
> zabezpiecza nas przed wieloma atakami. Tyle ze zupelnie "prawidlowo
> zastosowany" to on niestety nie jest prawie nigdy.

Ok, bo sie zgubilem.
Czyli jesli nie ma zadnej pomocy ze strony uzytkownika ( w sensie pomoc mam
na mysli wirusy, inne szkodliwe oprogramowanie, epmaile itp ktore to
uzytkownik musi swiadomie lub nieswiadomie ZAINSTALOWAC same sie nie
zainstaluja) to podsluch transmisji szyfrowanej jest tak malo realny, ze w
dyskusji o zabezpiecznieu mozna go pominac jako niewystepujacego. Ludzie
ktorzy maja dostep do takich technologi i sprzedtu maja tez bezposredni
dotep do banku...

>> Jesli nie otwiera przypadkowych maili, nie
>> daje sie zrobic na podroboione strony, to dzialajac na zwyklym hasle
>> nic mu nie grozi...
>
> Jaasne jaasne. Nooo chyba ze ktos wyludzi certyfikat (google "hijacked
> microsoft certificates") albo np. zlamie certyfikat CA z MD5 (google
> "breaking MD5 CA certificate")?

No i?
I co ja np. wpisze www.abbey.co.uk i zaprowadzi mnie na strone zlodzieja -
tak?:))

>> Najslabsze ogniwo na lini bezpieczenstwa to wlasnie uzytkownik i sec
>> wewnetrzna ta zewnetrzna jest bardzo mocno chroniona.
>
> Sa pewne instalacje, w ktorych to moze byc prawda. Typowo jednak to jest
> tylko zludzenie.

W ktorym przypadku?
Bo zarowno w pierwszym (gdzie uzytkownik i wewnetrzna siec) jak i w drugim
sa realne a nie zludzenia.
Zludzenia mozna miec jak ktos ci powie, ze "podsluch" transnisji szyfrowanej
i jej zdekodowanie jest latwe... na filmie tak, w realu praktycznie
NIEREALNE!

>>> Bank moze byc najslabszym ogniwem w porownaniu do dobrze zarzadzanej
>>> sieci (terminala), z zabezpieczonym odpowiednio DNSem, z zupelnie inna
>>> niz domyslna konfiguracja przegladarki itd. Wtedy tak. Natomiast
>>> porownywanie do tzw. Kowalskiego z Windows XP OEM i neostrada jest
>>> nieporozumieniem.
>>
>> Ale w banku kazdy osobnik na pozycji kasjera w gore ma dostep do
>> twoich danych:) Ba! W odziale gdzie skladales papiery ma dostep nawet
>> do twojego wzoru podpisu...
>
> Cos takiego. Prowadzacy jednoosobowe firmy to w ogole stracency,
> przeciez kazdy klient moze zażądać faktury i tam beda dane i podpis.
> Same dane to nawet moze uda sie przez Internet uzyskac anonimowo,
> np. z REGONu?

Ehhh.... Nie masz pojecia o czym poisze...

>> Czy problem jest dla kogos w banku "dorobic" karte?:)
>
> Wiekszy niz przy skimmingu, bo w banku zostaje slad.

No i? Gdzie nie zostaje?
Problem w tym co z tym sladem zrobic...

>> Zrozum, pracownik banku moze nawet kompletnie zniesc limit z karty i
>> wyplacic wszystko z konta nieomal jednorazowo. Wierz mi, ze moze:)))
>
> Tylko w ramach tego, co mu umozliwia system. Ale rzeczywiscie,
> odpowiedni typ karty i moze.

:))) Widze, ze kolega o bankingu malo jeszcze wie:))
Kazdy limit, kazdy kredyt, kazdy... dopisz co chcesz z banku, moze zrobic
czlowiek. Naturanie do penych spraw moze nie miec dostepu, ale "burko wyzej"
juz sie da... zrozum w banku pieniadze naleza wylacznie do banku to i bank
robi z nimi co chce:) a nie co ty bysm chcial:)

>> Naprawde zapamietaj: pracownik banku ma FIZYCZNY dostep do twoich
>> danych - i to jest najslabsze ogniwo,
>
> Stary - jest zdecydowanie wiecej osob, ktorzy maja dostep do Twoich
> danych. O istnieniu wiekszosci tych osob nawet nie masz pojecia.

Ty nie masz dostpu do moich danych w banku... masz? Nie.
Nuikt nie ma poza pracownikiem banku. Nawet policja musi miec zgode na
dostep do danych bankowych.
Ale pracownik banku dostep ma...

>> Czy ty bys dal do banku oszczednosi zycia
>> powiedzmy 500 000 majac swiadomosc, ze pracownicy banku moga to w
>> kazdym momencie zwinac:)?
>
> A czym sie Twoim zdaniem rozni tu bank od dowolnego innego kontrahenta?
> Pomijajac bankowy tytul egzekucyjny moze.

Innemu kontrachentowi nie dasz na gepe 500 000zl poza tym od kontrachenta
cos chcesz, jesli zbankrutuje to najwyzej przejmujesz jego firme, bank
gwarantuje ci zwrot kase do kwoty: .... tu sprawdz ile to wynosi w Polsce w
UK suma gwarantowana to 50 000 funtow. Czyli jak masz 100 000 funtow i bank
ma problem to calkiem legalnie moze ci wyplacic 50 000 i spadaj.
Poza tym, nawet jesli cos kupujesz od kontrachenta to w przypadku oszustwa
idziesz do sadu, a zbbankiem?:)) zycze powodzenia w sadzeniu sie z bankiem,
zwlaszcza jak bank zasloni sie tajemnica bankowa:)))
Moge ci prasowki przygotowac na temat jak pracownicy banku czyscili konta...
albo moze sam znajdziesz?

>
>> Zrozum, wszelkiego rodzaju ograniczenia, limity nie sa by ciebie
>> chronic! Limity, ograniczenia, blokady sa po to by bank ochronic. A
>> nie posiadacza kasy, o takowego banki zadko dbaja i to na calym
>> swiecie, bo tak naprawde, jak juz jestemy przy systemach bankowych, to
>> moze nie wiesz, ale zanoszac do banku kase oddajesz 100% kontroli nad
>> nia bankowi. Bank staje sie wlascicielem twoje kasy i jedynie obiecuje
>> ci wypate twoich srodkow (nawet nie nazywa sie to pieniedzmi tylko
>> srodki):))
>
> To dopiero rewelacje. Mam nadzieje ze nie dowiedziales sie o tym zbyt
> pozno.

Raczej nie, ale jak mniewam do dzis sa luydzie, pewnie nawet aktywni na tej
grupie, dla ktorych to bedzie rewelacja, bo jaks sadze mysleli, ze
ograniczenia sa dla ich dobra:)

>> Wszelkie tokeny, czytniki, hasla sms-owe itp... maja dac ci poczucie
>> bezpieczenstwa tylko i wylacznie.
>
> Moze spojrz na to od innej strony: Twoj bank jest jeden, zatrudnia
> wzglednie niewielka liczbe pracownikow, i typowy fraud dokonany przez
> nich obciazy w rezultacie bank, bo Ty udowodnisz swoja racje
> w ostatecznosci przed sądem.

Jak zamierzasz to udowodnic nie bedac osoba wplywowa lub znana w swiecie
biznesu polityki?
Jak? Bank chroni tajemnica bankowa. A to ty dales polecenie na pismie faxsem
przelania pienidzy do banku na hawajach:) Udowdnij bankowi i sadowi, ze to
nieprawda!:)))

> Natomiast potencjalnych zrodel ataku przez np. Internet nie jestes
> w stanie policzyc.

Bo ich nie ma (nie mam na mysli zlosliwefgo oprogramowania, maili itp)