Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Komentarze:

comments powered by Disqus

Komentarze archiwalne:

  • ~Pengos
    [w odpowiedzi dla: ~pit]

    Ech, pit... jeśli chcesz wierzyć że token (w dodatku nie zabezpieczony pinem) Cię uchroni od ataku to współczuję :) Kiepsko z Twoją świadomością co do potencjalnych zagrożeń...

    To nie złodziej ma mniej niż minutę na zrobienie operacji, tylko PROGRAM zainstalowany na komputerze ofiary. Sugerujesz że za wolno będzie przesyłał dane?
    A co do "nieprawdopodobne" - wyobraź sobie, że programy służące do ataku na klientów konkretnych banków już od dawna istnieją (choćby ten który na stronę mbanku nakłada layer i żąda podania 5 haseł jednorazowych)

    14-01-2009, 16:59

    Odpowiedz
    odpowiedz
  • kwesoly
    m
    Użytkownik DI kwesoly (232)
    [w odpowiedzi dla: ~Pengos]

    Nie jedynym, w tokenie otrzymanym SMSem w mBanku masz też numer konta i kwotę przelewu który wykonujesz...

    14-01-2009, 17:12

    Odpowiedz
    odpowiedz
  • ~Pengos

    kwesoly: przecież napisałem że potwierdzenie przelewów SMSem zabezpiecza przed tą metodą (pod warunkiem że ktoś czyta całą treść SMSa a nie tylko kod ;)

    14-01-2009, 17:22

    Odpowiedz
    odpowiedz
  • ~Marciano

    Ja jestem zadowolony z usług ING. Czasami wyśle smsa, nie, bardzo usprawnia to robienie przelewów ponieważ chyba bym się zajechał jak bym miał przy każdym przelewie odbierać smsa.
    Chciał bym też zauważyć że widząc panele konta nie jednego banku myślę że ing ma jeden z najbardziej funkcjonalnych.

    14-01-2009, 18:17

    Odpowiedz
    odpowiedz
  • ~pit
    [w odpowiedzi dla: ~Pengos]

    Uważam, że rozpoznaje swoje imię i nazwisko, stan konta, listę odbiorców, krty itd. itp, którzy widnoczni są na moim koncie. Wytłumacz mi jak phisher może mi podłożyć TAKĄ stonę, a nie ogólną stronę logowania.

    14-01-2009, 18:45

    Odpowiedz
    odpowiedz
  • ~Michoo

    @pit
    To co opisał Pengos da się zrobić w każdym banku, który nie przesyła jakiejś informacji zwrotnej jaki przelew potwierdzamy (W praktyce chyba tylko hasła+informacje co to za przelew wysyłane przez sieć GSM są dobrym zabezpieczeniem - dostępne wlaściweie dla wszystkich i trudne do przerobienia.) Ale sama metoda wymaga sporo zabawy - podmienianie tylko odpowiednich informacji, przepuszczanie reszty.


    W przypadku Lucasbanku problem jest znacznie prostszy:
    1. Wchodzisz na stronę logowania(podmienioną przez jakiegoś trojana u Cibie na kompie), wprowadzasz login+hasło+token.
    2. dostajesz info o błędnych danych "pewnie się pomylilem" myśliszm, a w tym czasie pewien serwer w Chinach loguje się tymi danymi do banku
    3. wprowadzasz login+hasło+kolejny token, dostajesz znowu info o błędnych danych, tym razem dla odmiany już od prawdziwej strony banku, w tym czasie serwer w Chinach za pomocą podanych przed chwilą danych potwierdza przelew.

    Nie trzeba obsługiwać wszystkich możliwych kombinacji, wyświetlać poprawnych informacji o stanie konta, etc. Jedynie 2 razy podać fałszywą stronę logowania.

    [Swoją drogą ten kto wymyślil taką politykę bezpieczeństwa jest skrajnym kretynem...]

    14-01-2009, 18:49

    Odpowiedz
    odpowiedz
  • ~xanax

    "Użytkowanie e-konta stało się możliwe pod Linuksem, a nawet pod Windowsem z Firefoksem, dopiero kilka miesięcy temu."
    Nie zgadzam się z tym, mam konto od kilku lat i zawsze mogłem dokonywać przelewów z poziomu Linuksa

    14-01-2009, 19:10

    Odpowiedz
    odpowiedz
  • szymarek
    m
    Użytkownik DI szymarek (176)

    Mam też konto w Lukasie. I moim zdaniem, jeżeli ktoś będzie chciał włamać się na konto przy pomocy lewej strony, to nic mu to nie da. Sprawa jest prosta. Podajesz pierwsze hasło. Ktoś je przechwytuje, tylko że na przechwycenie ma 1 minutę na to żeby się zalogować. Czyli musi nonstop siedzieć przy kompie. Nie może zapisać sobie tego hasła na później. Czyli szanse na to że akurat pisher odkryje że mam konto w Lukasie, oraz to że akurat teraz loguje się na to konto i on będzie przy kompie są raczej znikome.
    Dlatego najlepiej logować się na ostatnich 10 sekundach ważności tokena (na wyświetlaczu jest zaznaczony upływ czasu) Wtedy nawet przechwycenie tokena nic nie da.

    14-01-2009, 19:47

    Odpowiedz
    odpowiedz
  • ~Michoo

    @szymarek
    Nikt nie będzie tego robił "ręcznie" tylko automatycznie. A automat potrzebuje kilkadziesiąt milisekund.

    14-01-2009, 19:51

    Odpowiedz
    odpowiedz
  • ~Lookasz

    Ja tez mam konto w ING od dlugiego czasu i jestem bardzo zadowolony. Moze smsy nie przychodza zbyt czesto, ale przy wiekszyc transakcjach zawsze. Poza tym, tak jak napisano w newsie. Bankowi tez zalezy na bezpieczenstwie i w razie reklamacji interweniuje. Poza tym caly system on-line jest bardzo czytelny i wygodny.

    14-01-2009, 19:54

    Odpowiedz
    odpowiedz
  • ~jqb

    Do ing moznabylo sie logować z alternatywnego systemu juz 4 lata temu. A ing coraz mniej mi sie podoba. Jest drogi a nie daje nic takiego szczegolnego w zamian. ING zaczyna szybowac w dol... niestety...

    14-01-2009, 21:09

    Odpowiedz
    odpowiedz
  • ~pit
    [w odpowiedzi dla: ~Michoo]

    1. Wchodzisz na stronę logowania(podmienioną przez jakiegoś trojana u Cibie na kompie), wprowadzasz login+hasło+token.

    OK. Zrobiłem to...

    2. dostajesz info o błędnych danych "pewnie się pomylilem" myśliszm, a w tym czasie pewien serwer w Chinach loguje się tymi danymi do banku

    OK... mylę się wpisuje jeszcze taz ten sam klucz

    3. wprowadzasz login+hasło+kolejny token,
    no i tutaj zaczyna sie problem... jak myslisz ile razy w ciagu minuty jestes sie w stanie zalogowac? I po ilu próbach przestajesz?? Ja po 2 zastanowiłbym się co mam z kompem nie tak..
    ale brniemy

    dostajesz znowu info o błędnych danych, tym razem dla odmiany już od prawdziwej strony banku, w tym czasie serwer w Chinach za pomocą podanych przed chwilą danych potwierdza przelew.

    PO zalogowaniu moim tokenem z pkt. 2 token stał się bezużyteczny!!! Aby wykonać przelew musisz odczekać do pojawienia się nowego ciągu!!!

    System wydaje się być na tyle bezpieczny, że nie słyszałem o próbie phisingowej w LB...

    14-01-2009, 21:20

    Odpowiedz
    odpowiedz
  • Ghostman
    m
    Użytkownik DI Ghostman (12)

    Jakość tego typu zabezpieczeń zależy głównie od tego ile dali wzorców ciągu uczącego i jaką wartość błędu tolerują. O ile tego pierwszego można wrzucić całą bazę jaką sie ma, o tyle juz nie tak łatwo określić optymalny błąd. Jak dadzą za małą wartość błędu to system "wyryje na pamięć" określone kombinacje i dla wszystkich innych (mało podobnych) będzie wysyłał sms (duże koszty których bank chce uniknąć). Jak znów dadzą za dużą wartość błędu, to system nie będzie wysyłał sms'a co może skutkować ulotnieniem się środków z konta. Generalnie chodzi o to co im się bardziej opłaca: czy zwrot kasiory okradzionym klientom plus odpływy klientów wystraszonych taką sytuacją, czy oszczędność na sms'ach. Miejmy nadzieję, że odpowiednio długo testowali ten system i aktualizują bazę i wzorce uczące co jakiś czas. W tej chwili może to być dosyć drogie przedsięwzięcie, ale za pare lat jak system będzie dobrze "wyuczony", taki "patent" może przynieść ogromne oszczędności bankom.

    14-01-2009, 21:35

    Odpowiedz
    odpowiedz
  • szymarek
    m
    Użytkownik DI szymarek (176)

    Nie słyszałeś bo:
    1. Lukasowi zależy na tym abyś nie słyszał (w senie płaci za ciszę)
    2. Jest za mało klientów LB żeby stanowili łakomy kąsek dla pisherów

    I jeszcze jedna sprawa- Lukas po wykonaniu przelewu wysyła smsa (usługa płatna) Tylko czy taki przelew można reklamować?
    Pozatym wchodząc na stronę Lukasa zawsze sprawdzam czy widnieje pole z żółtą kłódką w pasku adresu. W sumie to niby też można podrobić, ale wszystko to powoduje że przeprowadzenie takiego ataku mija się z celem.

    14-01-2009, 21:37

    Odpowiedz
    odpowiedz
  • ~Michoo

    @pit
    Pogorszyło im się na tyle, że przy błędzie możesz próbować ponownego logowania? Oidp to jak testowałem, wpisanie błednego tokena sprawiało, że mozna się bylo zalogować dopiero następnym...

    14-01-2009, 22:01

    Odpowiedz
    odpowiedz
RSS  
RSS  
Chwilowo brak danych. Sprawdź później :)