bezpieczenstwo

[loiterer]

No to jak juz mamy Eksperta to zadam pytanie :-)
(zeby mgr nie zostal bezrobotnym ;-)

Jak przygotowac swoj komputer PC, zeby moc spokojnie i bezpiecznie dokonywac
operacji online na swoim koncie (jakies zabezpieczenia, ustawienia itd)

Pozdrawiam
Loiterer

[_travis_]

Kazdy bank ktory swiadczy takie uslugi, dostarcza wraz z umowa ulotke jak
skonfigurowac przegladarke.

[m.at]

Może jednak wtrącę swoje 3 grosze... ;-)
Połączenie z transakcyjną częścią stron e-banków jest szyfrowane.
Należałoby więc pamiętać o tym, by takie strony nie były zapisywane na dysk.
Na przykładzie Explorera - znajdziesz w Opcjach internetowych - Zaawansowanych.
Ważne jest również opróżnianie "tempów" przy zamknięciu przeglądarki
(lokalizacja w IE - jak wyżej).
W Opcjach - Zawartości odznaczyć należy Autouzupełnianie dla formularzy i haseł.
Jest to bardzo ważne, jeżeli dokonujesz operacji w Internecie z komputera w
miejscach, które nie są raczej zbyt bezpieczne (np. kafejki internetowe).
Z kafejek najlepiej nie korzystać - a jeżeli już, to zmieniać po każdej wizycie
hasła dostępu (dla chcącego nic trudnego i w dodatku bezpieczniej).

Tyle jeśli chodzi o ustawienia przeglądarki - na przykładzie Explorera.

Gdy łączysz się z szyfrowaną stroną e-banku, sprwdź ważność certyfikatu strony.
Włącz również obsługę systemu szyfrowania SSL 2.0 i 3.0
No i oczywiście cookies - obsługa dla jednej sesji, a nie dla wszystkich.

Pozdrawiam.

[loiterer]

:-)
No i juz wiem wiecej.

Thx
Loiterer

[michal.macierzynski]

loiterer napisała:
> :-)
> No i juz wiem wiecej.

Witam!

Uzupełniając jeszcze bardzo trafne porady M@t’a

1) Należy pamiętać o uaktualnianiu używanego oprogramowania
(odpowiednie „łatki” dostępne są na stronach producenta oprogramowania – czy to
Windows czy IE itp.). Tutaj także banki zalecają używanie sprawdzonych
przeglądarek pobranych z firmowych stron.
2) Bardzo przydatna może być także instalacja programu antywirusowego.
Oprócz coraz powszechniejszych wirusów przychodzących pocztą e-mail – pozwoli
on wykryć tzw. trojany, czyli programy mogące bez naszej wiedzy przesyłać
informacje z komputera (czyli np. nasz numer klienta i PIN do banku).
Ewentualnie, raz na jakiś czas warto skorzystać z jakiegoś darmowego skanera
wirusów on-line, lub skorzystać z wersji demonstracyjnej .
3) Kolejnym krokiem, pozwalającym odpowiednio zabezpieczyć nasz system
jest zainstalowanie prostego „firewall’a”, - programu monitorującego cały ruch
internetowy – zarówno przychodzący jak i wychodzący z naszego komputera.

To chyba tyle jeśli chodzi o samego PCta.

Należy jednak przypomnieć, iż w przypadku praktycznie wszystkich polskich e-
banków samo poznanie loginu i hasła dostępowego do naszego konta nie wiąże się
dla nas z dużym ryzykiem. Teoretycznie złodziej, który wszedł w posiadanie
naszych danych może tylko poznać saldo naszego rachunku i co najwyżej opłacić
telefon na 2 lata do przodu. Wykonanie przelewu na konto zewnętrzne wymaga już
wprowadzenia hasła jednorazowego, którego nie da się wykraść przez Internet.

Jako, że od momentu uruchomienia pierwszych banków internetowych minie niedługo
7 lat (18 października 1995, Security First Network Bank z USA), a do tej pory
nie było doniesień o skutecznym włamaniu się na tego typu konta - można uznać,
ze nie ma podstaw do jakiś większych obaw.

Pozdrawiam serdecznie i życzę miłego korzystania z e-banków :)

MM

[m.at]

michal.macierzynski napisał:

> Teoretycznie złodziej, który wszedł w posiadanie naszych danych może tylko
> poznać saldo naszego rachunku i co najwyżej opłacić telefon na 2 lata do
> przodu. Wykonanie przelewu na konto zewnętrzne wymaga już wprowadzenia
> hasła jednorazowego, którego nie da się wykraść przez Internet.


Zgadza się, ale lekkomyślność ludzi nie zna granic... Niektórzy potrafią nosić
kartki z zapisanymi hasłami czy też listy haseł przy sobie (np. w dokumentach).
Niedawno słyszałem o kobiecie, której skradziono torebkę wybijając szybę na
skrzyżowaniu "na światłach", w której oprócz karty znajdowała się kartka z
kodem PIN do karty ;-)
Inny "wspaniałomyślny" człowiek zapisał sobie PIN na karcie, obok swojego
podpisu (nie wiem - śmiać się czy płakać...? ;-)) a gdy się zorientował,
zmazując ten napis uszkodził pasek magnetyczny karty.
Także nawet hasła jednorazowe nie są do końca bezpieczne w rękach
nieodpowiednich osób.


> Pozdrawiam serdecznie

Ja również pozdrawiam.

[michal.macierzynski]

> Inny "wspaniałomyślny" człowiek zapisał sobie PIN na karcie, obok swojego
> podpisu (nie wiem - śmiać się czy płakać...? ;-)) a gdy się zorientował,
> zmazując ten napis uszkodził pasek magnetyczny karty.

:)

Rzecznik prasowy jednego z największych polskich banków opowiadał kiedyś
historię, że do oddziału banku przyszedł awanturujący się klient, który miał
pretensję o to, iż bank nie powiadomił, że zamierza pomalować farbą ścianę
wokół bankomatu. Otóż zapominalski klient miał tam nabazgrany swój PIN i po
operacji zamalowana przeróżnych napisów nie mógł już wypłacać pieniędzy...

:))

[loiterer]

Dobre!
W takim przypadku bank powinien wystosowac nagrode... Moze wydrukowac w
lokalnych gazetach PIN, nr karty i nazwisko :))

Slyszalam ciekawa historie:
We Frankfurcie nad Menem jakis Niemiec awanturowal sie w banku, bo kasjerka nie
chciala mi przyjac ...banknotu 300 euro :-), ktory dostal poprzedniej nocy w
dzielnicy przydworcowej.

Niech zyja ludzie o fajnych pomyslach !

Loiterer

[be1zebub]

m.at napisał:

> michal.macierzynski napisał:
>
> > Teoretycznie złodziej, który wszedł w posiadanie naszych danych może tylko
>
> > poznać saldo naszego rachunku i co najwyżej opłacić telefon na 2 lata do
> > przodu. Wykonanie przelewu na konto zewnętrzne wymaga już wprowadzenia
> > hasła jednorazowego, którego nie da się wykraść przez Internet.
>
>
> Zgadza się, ale lekkomyślność ludzi nie zna granic... Niektórzy potrafią
nosić
> kartki z zapisanymi hasłami czy też listy haseł przy sobie (np. w
dokumentach).
> Niedawno słyszałem o kobiecie, której skradziono torebkę wybijając szybę na
> skrzyżowaniu "na światłach", w której oprócz karty znajdowała się kartka z
> kodem PIN do karty ;-)
> Inny "wspaniałomyślny" człowiek zapisał sobie PIN na karcie, obok swojego
> podpisu (nie wiem - śmiać się czy płakać...? ;-)) a gdy się zorientował,
> zmazując ten napis uszkodził pasek magnetyczny karty.
> Także nawet hasła jednorazowe nie są do końca bezpieczne w rękach
> nieodpowiednich osób.

Aby byc 100 procent bezpiecznym wazne jest uzywanie tylko 100 procent
bezpiecznych kont (ubezpieczonych przez instytucje niezalezne od banku) i 100
procent bezpiecznych srodkow platniczych (te ktore gwarantuja absolutne zero
odpowiedzialnosci klienta

[klaus]

michal.macierzynski napisał:
[ciach]
> Pozdrawiam serdecznie i życzę miłego korzystania z
e-banków :)
>

Zeby nie bylo tak sielankowo to cytuje:
"WAŻNE! w przeglądarce internet explorer w wersji 5.0,
5.5 i 6.0
występuje poważny błąd w obsłudze bezpiecznych połączeń.
w sieci
dostępne są narzędzia pozwalające na przechwycenie i
podsłuchanie
połączeń ssl, co może prowadzić do wycieku ważnych
informacji, takich jak
nr karty kredytowej użytkownika (w przypadku zakupów online)
lub danych (hasło, nazwa użytkownika, sekwencja tokenów)
w przypadku
systemów obsługi kont bankowych.

gotowe są już aplikacje pozwalające na w pełni automatyczne
przechwycenie sesji z pominięciem systemu zabezpieczeń
przeglądarki
(explorer nie wygeneruje żadnego ostrzeżenia).

szczegóły:
- opis błędu: <http://www.thoughtcrime.org/ie-ssl-chain.txt>
- system podsłuchowy:
<http://www.thoughtcrime.org/software/sslsniff-0.1.tar.gz>

błąd ten nie występuje w przeglądarkach innych dostawców;
np. netscape,
opera, mozilla, dlatego też mocno zalecamy, aby
użytkownicy naszej sieci
używali aplikacji alternatywnych do tych dostarczanych
przez firmę
microsoft nie tylko do połączeń bezpiecznych.

download innych aplikacji:
- mozilla: <http://www.mozilla.org/releases/stable.html>
- netscape:

<http://wp.netscape.com/bisdev/distribution/start.html?cp=bdimemastrdwn>
- opera: <http://www.opera.com/download/?custom=Change...>"

Pozdrawiam
Klaus

[michal.macierzynski]

klaus napisał(a):
> Zeby nie bylo tak sielankowo to cytuje:
>(...)

Tak, od kilku dni jest o tym głośno.
Proszę jednak zwrócić uwagę, iż do wykonania takiej operacji potrzeba legalny
lub skradziony certyfikat - a to pozwoliłoby odnaleźć oszusta. Oprócz tego
eksperci podają, iż najnowsza szósta edycja IE zawiera opisaną 5 sierpnia lukę,
jednak do jej wykorzystania konieczne jest spełnienie kilku dodatkowych
warunków, co nieco zmniejsza stopień zagrożenia. Pozostaje jedynie czekać na
następną "łatkę".

Myślę, że nie ma jednak bardzo dużych powodów do niepokoju. Opisany błąd ma już
kilka lat, a mimo to jeszcze nie doniesiono o tego typu włamaniach.

Pozdrawiam serdecznie!!!

MM

[jkarczm]

michal.macierzynski napisał:

> Myślę, że nie ma jednak bardzo dużych powodów do
niepokoju. Opisany błąd ma już
>
> kilka lat, a mimo to jeszcze nie doniesiono o tego typu
włamaniach.
To o niczym nie swiadczy. Ktory bank oglosilby
publicznie, ze sie wlamano do jego systemu??? Straciliby
kase i klientow.

> Pozdrawiam serdecznie!!!
>
> MM

Wzajmenie
jkarczm

[stewald]

Tak, ale klienci by to natomiast rozdmuchali no i na pewno dostałoby się do
mediów.

[stewald]

Pisze Pan, że do przelania pieniędzy z czyjegoś konta nie wystarczy poznanie
hasła dostępowego ale potrzebne są równiez hasła jednorazowe. Niestety
niezupełnie jest to prawda, ponieważ niektóre banki np. BPHPBK nie używają
takich haseł. Do przelewania pieniędzy w tym banku potrzebny jest tzw. klucz
prywatny a dostęp do niego jest poprzez hasło stale przypisane do tego klucza.
Zatem teoretycznie wystarczy poznanie hasła do klucza i już mozna przelewać.
Może wytłumaczy mi Pan więc jak to jest z bezpieczeństwem w tego typu
operacjach. Czy tego typu banki są mniej bezpieczne niż te z hasłami
jedorazowymi?

[michal.macierzynski]

> Pisze Pan, że do przelania pieniędzy z czyjegoś konta nie wystarczy poznanie
> hasła dostępowego ale potrzebne są równiez hasła jednorazowe. Niestety
> niezupełnie jest to prawda, ponieważ niektóre banki np. BPHPBK nie używają

Witam!

Celowo napisałem:
"Należy jednak przypomnieć, iż w przypadku praktycznie wszystkich polskich e-
banków samo poznanie loginu i hasła dostępowego do naszego konta nie wiąże się
dla nas z dużym ryzykiem." (warte podkreślenia słowo "praktycznie").

W przypadku kilku banków istotnie jest tak jak Pan napisał. W takim przypadku
można się spierać o bezpieczeństwo takiego systemu. Wykradnięcie loginu wraz z
hasłem dostępowym oraz potwierdzającym transakcje niewątpliwie jest możliwe
(np. na skutek zainstalowania w systemie tzw. trojana).

Teoretycznie można stwierdzić, że zabezpieczenie takiego banku jest gorsze. I
znowu celowo piszę teoretycznie. Jak dotąd nie stwierdzono takiego włamania
(albo raczej nikt o nim nie słyszał).

Podobnie można spierać się nad bezpieczeństwem haseł jednorazowych w
postaci "zdrapki", zwykłej kartki czy też tokena. Żaden system nie jest nam w
stanie zagwarantować 100% bezpieczeństwa, co nie znaczy, że takie włamania się
zdarzają. Badania przeprowadzone w USA dowiodły, że najczęstszą przyczyną
defraudacji czy kradzieży pieniędzy w bankach nie są wbrew pozorom ataki z
zewnątrz, a nieuczciwi pracownicy.

Każdy udowodniony przypadek kradzieży z konta internetowego oznaczałby
praktycznie upadek banku, a na pewno nadszarpnęłoby to bardzo jego reputacją.
Dlatego myślę, że należy zaufać nawet tym "teoretycznie gorszym"
zabezpieczeniom.

Pozdrawiam serdecznie!

MM

Bezpieczenstwo, Windows, Banki - blad logiczny

[123456abc]

Przygladajac sie naiwnym argumentom "eksperta" moze raczej lamer-experta
dotyczacej bezpieczenstwa transakcji w internecie zdecydowalem sie zabrac glos,
aby przestrzec uzytkownikow bankowosci internetowej. Dlaczego? - To juz sobie
przeczytajcie w dowolnej umowie z bankiem lub e-bankiem. Leniwosc w mysleniu i
czytaniu to wasz glowny wrog. Gdyby "expert" przeczytal jakas umowe w calosci
to by tez to wiedzial.

Natomiast do uzytkownikow przykrosoft windowsuw. Ta firma jeszcze nie napisala
zadnego bezpiecznego systemu. Podobno sa jakies projekty lub przymiarki.Nawet
uzywanie edytora tekstu -Worda- moze was kosztowac utrate waszych pilnie
strzezonych informacji. WSZYSTKO co jest podpiete do sieci i opiera sie na
protokole TCP/IP jest mozliwe do zlamania, podsluchania i podszywania sie pod
prawdziwego uztykownika.
O sczegolach nie bede opowiadal, bo to nie to forum i nikt tutaj takich
dlugich, nudnych referatow nie potrafi przeczytac (vide - umowa z bankiem).

Podsumowujac: Taktyka ktora przyjal "ekspert" pochodzi z Afryki, a konkretnie
od Antylop, ktore 2 razy do roku przechodza rzeke pelna krokodyli. Moze
widzieliscie to. Rzeczywiscie wielu zwierzetom sie udaje bo sa w srodku stada i
ida w najwiekszym tlumie. Wiele jednak zwierzat staje sie pokarmem krokodyli.
To wam proponuje "ekspert" i wielu specjalistow bankowych. Rzeczywiscie
statystycznie i w rzeczywistosci Antylopy nie wyginely, a ekspertom nawet wlos
z glowy nie spadl z tego powodu.

[michal.macierzynski]

123456abc napisała:

> Przygladajac sie naiwnym argumentom "eksperta" moze raczej lamer-experta
> dotyczacej bezpieczenstwa transakcji w internecie zdecydowalem sie zabrac
glos,
>
> aby przestrzec uzytkownikow bankowosci internetowej. Dlaczego? - To juz sobie
> przeczytajcie w dowolnej umowie z bankiem lub e-bankiem. Leniwosc w mysleniu
i
> czytaniu to wasz glowny wrog. Gdyby "expert" przeczytal jakas umowe w calosci
> to by tez to wiedzial.

Witam.

wywołany do "tablicy". W imieniu swoim i pewnie wielu czytelników dziękuję za
bardzo merytoryczny głos w dyskusji, wiele do niej wnoszący.

Pomijając, że nie odkrył Pan żadnej Ameryki, nie wspomniał, że crackerowi
raczej nie opłacałoby się atakować pojedynczego użytkownika, bo to wymaga
jednak zbyt dużego zachodu i można to zbyt łatwo wykryć.
Kolejna sprawa – pisanie o możliwości złamania, podsłuchania i tak dalej – jest
figurą li tylko retoryczną. Jeśli jest tak w istocie łatwo – proszę napisać,
dlaczego banki jeszcze działają? Przecież wg. Pana powinny mieć już niezłe
manko na kontach... Jednak one dalej istnieją, tak samo jak wszelkie inne
instytucje finansowe...

Co do umów. Zazwyczaj jest tam stwierdzenie, iż „Bank nie ponosi
odpowiedzialności za skutki wynikłe z ujawnienia któregokolwiek ze składników
klucza osobom trzecim”.
Proszę zatem podać przykład, kiedy któryś z banków internetowych zastosował się
do takiego punktu regulaminu wobec swojego klienta, któremu jak rozumiem
wykradziono takowe hasła, podszyto się, złamano i co tam Pan jeszcze wymyśli!
Ja osobiście nie znam przypadku, żeby któryś z klientów w takim wypadku
ucierpiał – ale Pan z pewnością tak?!

Podobnie przecież jest z PINem od karty. Jeśli ktoś nam go wykradnie – bank
traktuje transakcje, jakbyśmy to my ją wykonali. A co ciekawe – jednak sąd
ostatnio przyznał rację... klientowi.

Dlatego bardzo chciałbym poznać zdanie prawdziwego Experta – poparte
przykładami i wiedzą teoretyczną. Zapewniam, że czytelnicy się odnajdą. Jak
dotąd jest to zbiór czystych frazesów plus kilka inwektyw w moim kierunku (nie
wiem doprawdy skąd spowodowana jest taka agresja?) jakiegoś anonimowego
użytkownika.

Mimo wszystko pozdrawiam.

MM

[123456abc]

> Pomijając, że nie odkrył Pan żadnej Ameryki, nie wspomniał, że crackerowi
> raczej nie opłacałoby się atakować pojedynczego użytkownika, bo to wymaga
> jednak zbyt dużego zachodu i można to zbyt łatwo wykryć.

W tym sęk, że bezpieczeństwo w banku zależy od inteligencji administratora
sieci komputerowej. Jeżeli się sumiennie uczył, nie korzystał ze ściągawek, to
sieć jest względnie bezpieczna.
Najmniej bezpieczny jest użytkownik banku, gdyż w większości przypadków nie
posiada żadnej wiedzy nt. bezpieczeństwa. To co pewa osoba sugerowała na forum,
aby będąc w kawiarence internetowej skasować cash przeglądarki po wejściu do
banku - to po prostu kupa śmiechu. Nie jest to już potrzebne, bo juz siedzący
obok nastolatek, korzystając ze "źrodel internetowych" - uzyskał to co chciał
uzyskać.


> Kolejna sprawa ? pisanie o możliwości złamania, podsłuchania i tak dalej
> ? jest
> figurą li tylko retoryczną. Jeśli jest tak w istocie łatwo ? proszę napis
> ać,

może to jeszcze udowodnić, ku uciesze gawiedzi?

Pan jako ekspert od bezpieczeństwa bankowości elektronicznej mógłby się z
pewnością szerzej wypowiedzieć nt. sposobów ataków, niż tylko powtarzać w
nieskończoność, że skoro żaden bank nie mówi o tym, to tego nie ma. Sugeruję
nie popierać się doniesieniami ze źródeł tylko np. opowiedzenie o DoS, łataniu
IE, konikach trojańskich, sniffingu, buforze karty sieciowe, budowie pakietu
TCP/IP - i możliwości jego edycji itd. Zachęcam do sięgnięcia do
www.cert.org/ - informacje, na szczęście po rozwiązaniu problemu. W innych
źródłach można uzyskać informacje zanim co kolwiek ktoś zrobi - a zwłaszcza
Przykrosoft.

> dlaczego banki jeszcze działają? Przecież wg. Pana powinny mieć już niezłe
> manko na kontach... Jednak one dalej istnieją, tak samo jak wszelkie inne
> instytucje finansowe...

Dlaczego banki działaja? Zacheca mnie Pan do wejścia w jakiś spór filozoficzny?

Czy kradzież 100 tys. numerów kart kredytowych Visy - jest dowodem na
bezpieczeństwo użytkowników, skoro nie udało się ukraść kilkudziesięciu
milionów numerów.


> Co do umów. Zazwyczaj jest tam stwierdzenie, iż ?Bank nie ponosi
> odpowiedzialności za skutki wynikłe z ujawnienia któregokolwiek ze składników
> klucza osobom trzecim?.
> Proszę zatem podać przykład, kiedy któryś z banków internetowych zastosował
się
>
> do takiego punktu regulaminu wobec swojego klienta, któremu jak rozumiem
> wykradziono takowe hasła, podszyto się, złamano i co tam Pan jeszcze wymyśli!
> Ja osobiście nie znam przypadku, żeby któryś z klientów w takim wypadku
> ucierpiał ? ale Pan z pewnością tak?!

moze np. to:
www.cs.dartmouth.edu/~cs7/papers/david-p2.doc

> Podobnie przecież jest z PINem od karty. Jeśli ktoś nam go wykradnie ? ba
> nk
> traktuje transakcje, jakbyśmy to my ją wykonali. A co ciekawe ? jednak są
> d
> ostatnio przyznał rację... klientowi.

jaskółka nie czyni wiosny
prosze sobie zaprenumerowac liste usnetowa pl.banki. Bankowi eksperci nie
wszystko mogą zatuszować.

> Dlatego bardzo chciałbym poznać zdanie prawdziwego Experta ? poparte
> przykładami i wiedzą teoretyczną. Zapewniam, że czytelnicy się odnajdą. Jak
> dotąd jest to zbiór czystych frazesów plus kilka inwektyw w moim kierunku
(nie
> wiem doprawdy skąd spowodowana jest taka agresja?) jakiegoś anonimowego
> użytkownika.
>
> Mimo wszystko pozdrawiam.
>
> MM

Przepraszam jeżeli poczuł sie Pan urażony. Moje wyjątkowo niegrzeczne,
połączone z brakiem kultury zachowanie, a co za tym idzie nieuprzejme
wypowiedzi, świadczą o wyjątkowej impotencji myślowej zasługującej na
otrzymanie mandatu na posła rzeczypospolitej i skazanie na uchwalanie nowego
prawa. Rzeczywiście nikt nie wymyślił niczego bezpieczniejszego niż bankowość
internetowa. Łączenie się z bankiem z kawiarenki internetowe i dokonywanie
transakcji nie przypomina używanie bankomatu położonego na uboczu w ciemnej
uliczce. "A skoro nie ma o tym doniesień to nie ma problemu". Kłamstwo
dostatecznie często powtarzane staje się prawdą - cytując klasyka.

A swoją drogą to dla jakiego banku pan pracuje?
I czy rzeczywiscie możemy rozmawiac o bezpieczenstwie bankow internetowych
skoro wiedza z zakresu bezpieczeństwa użytkowników takich banków i zapewne Pana
pochodzi z telewizji. Znając chociaż trochę angielski można poszperać choćby w
Googlach na ten temat. A co z wieloma podręcznikami nt. bezpieczeństwa w sieci.
Dlaczego tak łatwo, ostatni przypadek poznaniaków, włamać się do pilnie
strzeżonych danych rządowych? Czy uważa Pan, że banki to święta krowa, której
hakerzy i crackerzy omijają z daleka? Proszę poszukać i zobaczyć ile jest grup
dyskusyjnych i różnych podsieci, w których ta wiedza leży, są gotowe programy
do ściągnięcia, jest opisany sposób korzystania z nich, przykłady itd. Kto z
tej wiedzy korzysta i po co?

Szkoda, że nie może Pan przytoczyć chociaż jednego przykładu kiedy przeciętny
użytkownik jest narażony na utratę swoich danych - jakich okoliczności unikać.
Szkoda, że nie przestrzega Pan o tym użytkownika, który korzysta ze swojego
banku w kawiarence internetowej, lub w pracy - jego wiara w kompetencje i
uczciwość adminów jest przeogromna - i chyba naiwna.

Dlatego teoria Antylop - świetnie pasuje do tego. Gdyż zachęca pan do
korzystania z bankowości internetowej mówiąc, że nikomu się jeszcze nic nie
stało - TO NIE JEST PRAWDA, bo już się stało. A nie ryzykuje Pan niczym
doradzając w taki sposób. Po prostu brak rzetelności z Pana strony jest
niebezpieczny.

[michal.macierzynski]

123456abc napisała:

Witam!

)W tym sęk, że bezpieczeństwo w banku zależy od inteligencji administratora
)sieci komputerowej. Jeżeli się sumiennie uczył, nie korzystał ze ściągawek, to
)sieć jest względnie bezpieczna.
)Najmniej bezpieczny jest użytkownik banku, gdyż w większości przypadków nie
)posiada żadnej wiedzy nt. bezpieczeństwa. To co pewa osoba sugerowała na
forum,
)aby będąc w kawiarence internetowej skasować cash przeglądarki po wejściu do
)banku - to po prostu kupa śmiechu. Nie jest to już potrzebne, bo juz siedzący
)obok nastolatek, korzystając ze "źrodel internetowych" - uzyskał to co chciał
)uzyskać.

Jeśli nastolatek ma odpowiednie umiejętności i uprawnienia w sieci, jeśli są
spełnione pewne warunki – owszem, może poznać na przykład nasz numer klienta i
hasło dostępowe....
Co więcej problem ten nie dotyczy tylko kawiarenki, ale na przykład sieci
osiedlowej...
Bo jeśli się uprzeć to i każdej sieci w każdym zakładzie czy uczelni...
Użytkownicy Neostrady czy SDI tez nie powinni czuć się pewnie.
Ale koniec końców co ma to udowodnić? Że kilkadziesiąt milionów użytkowników e-
bankowości robi błąd korzystając z niej?
Patrzmy realnie. Każdy może ukraść nasz dowód osobisty czy czek i wypłacić
pieniądze z naszego konta! Czy ludzie z tego powodu nie korzystają z czeków?

)Pan jako ekspert od bezpieczeństwa bankowości elektronicznej mógłby się z
)pewnością szerzej wypowiedzieć nt. sposobów ataków, niż tylko powtarzać w
)nieskończoność, że skoro żaden bank nie mówi o tym, to tego nie ma. Sugeruję
)nie popierać się doniesieniami ze źródeł tylko np. opowiedzenie o DoS, łataniu
)IE, konikach trojańskich, sniffingu, buforze karty sieciowe, budowie pakietu
)TCP/IP - i możliwości jego edycji itd. Zachęcam do sięgnięcia do
)www.cert.org/ - informacje, na szczęście po rozwiązaniu problemu. W innych
)źródłach można uzyskać informacje zanim co kolwiek ktoś zrobi - a zwłaszcza
)Przykrosoft.

Jest mi wyjątkowo przykro, że tak Pan tutaj pisze w stanowczym tonie, a jak
widać czyta "po łebkach".

http://www2.gazeta.pl/forum/794674,30353,794652.html?f=526&w=2683884&a=2700328
http://www2.gazeta.pl/forum/794674,30353,794652.html?f=526&w=2683884&a=2713646

Ale samo wymienienie rodzajów zagrożeń do niczego nie doprowadzi.
Pytanie – co bardziej opłaca się złodziejowi – polowanie na szarego
użytkownika, czy włamanie do całego banku? I dalej powtarzam – w tej ilości
możliwych ataków i zagrożeń – mamy w Polsce ponad jeden milion kont
internetowych. I w mediach nie pojawiło się o skutecznym włamaniu nic!
Oczywiście to o niczym nie musi świadczyć, ale proszę się zdecydować czy ma
obawiać się pojedynczy użytkownik (a jeśli tak to czego), czy cały bank?
To, że istnieje możliwość, że ktoś ukradnie nam kartę i okradnie z pieniędzy
nie oznacza, że nie powinniśmy ich używać!!!
Technika idzie do przodu. Każdy bank stosuje swoje zabezpieczenia, odpowiednio
reagując na pojawiające się zagrożenie. To przecież w interesie banku jest,
żeby było bezpiecznie.


)Czy kradzież 100 tys. numerów kart kredytowych Visy - jest dowodem na
)bezpieczeństwo użytkowników, skoro nie udało się ukraść kilkudziesięciu
)milionów numerów.

Bezpieczeństwo jest takie, jakie są w to zaangażowane środki finansowe. Zamiast
podniecać się, że złodziejowi udało się zamówić korzystając ze skradzionego
numeru karty kredytowej w internetowym sklepie Viagrę dla Billa Gatesa, należy
podejść do problemu w sposób realny a nie demonizować to, jak Pan tutaj próbuje.
Problem owszem, jest. Nie mogę sobie jednak zarzucić, że go bagatelizuje, jak
Pan usilnie próbuje to udowodnić.
W teorii można unieszkodliwić cały Internet. Czy to zatem jest powód, żeby z
niego nie korzystać, żeby najpierw informować o takiej możliwości?


)moze np. to:
)www.cs.dartmouth.edu/~cs7/papers/david-p2.doc

Dobrze, ale ja znam lepiej:
http://www1.gazeta.pl/gospodarka/1,33211,822887.html
http://www2.gazeta.pl/pieniadze/1,32049,822860.html

Tylko czego ma to dowieść? Że nie należy powierzać pieniędzy bankom
internetowym? Jeśli tak, możemy dalej dawać przykłady na złe działanie
zabezpieczeń banków tradycyjnych, biur maklerskich i tak dalej. I co? Z nich
tez mamy nie korzystać? Koniec końców pieniędzy nawet w skarpecie nie można
będzie trzymać, bo nam się włamią do domu....

Ja osobiście dla zwykłego użytkownika nie widzę wielkiego zagrożenia w używaniu
e-banków. Jeśli sam zachowa wymienione już na tym forum środki ostrożności –
nic mu nie grozi. W ostateczności to bank mu wyrówna skradzioną sumę. Ważne
jest jak wielkie jest niebezpieczeństwo wystąpienia takiego włamania. Ja
uważam, iż nikłe. Opieram się na dostępnych danych. Pan opiera się na
potencjalnych niebezpieczeństwach. System jakoś działa, nie ma masowych włamań,
ludzie nie tracą pieniędzy, stosowane zabezpieczenia spełniają swoją rolę,
czyli...

)jaskółka nie czyni wiosny
)prosze sobie zaprenumerowac liste usnetowa pl.banki. Bankowi eksperci nie
)wszystko mogą zatuszować.

Hmmmm. Po powyższym zdaniu nie wiem, czy jest sens dalej z Panem polemizować.
Na wspomnianej przez Pana grupie pl.biznes.banki jestem cały czas i udzielam
się dosyć często.... Reasumując – albo Pan tam bardzo dawno nie był, albo
mówimy o zupełnie innej grupie...

)internetowa. Łączenie się z bankiem z kawiarenki internetowe i dokonywanie
)transakcji nie przypomina używanie bankomatu położonego na uboczu w ciemnej
)uliczce. "A skoro nie ma o tym doniesień to nie ma problemu". Kłamstwo
)dostatecznie często powtarzane staje się prawdą - cytując klasyka.

Ależ ja nigdy tego nie polecałem – podobnie z bankami. W przypadku niektórych
banków, gdzie do zaakceptowania dowolnego przelewy używa się jednego, stałego
hasła – jest to oczywiste niedopatrzenie.
Jednak należy patrzeć na to realnie. Jeżdżąc samochodem – cały czas narażeni
jesteśmy na wypadek. Ale to nie dowodzi, że powinniśmy zrezygnować z jazdy
samochodem!

)A swoją drogą to dla jakiego banku pan pracuje?

Wszędzie widzi Pan zmowę i niebezpieczeństwo? :-)
Koło mojego zdjęcia jest krótka wzmianka o mnie.

)I czy rzeczywiscie możemy rozmawiac o bezpieczenstwie bankow internetowych
)skoro wiedza z zakresu bezpieczeństwa użytkowników takich banków i zapewne
Pana
)pochodzi z telewizji. Znając chociaż trochę angielski można poszperać choćby w
)Googlach na ten temat. A co z wieloma podręcznikami nt. bezpieczeństwa w
sieci.
)Dlaczego tak łatwo, ostatni przypadek poznaniaków, włamać się do pilnie
)strzeżonych danych rządowych? Czy uważa Pan, że banki to święta krowa, której
)hakerzy i crackerzy omijają z daleka? Proszę poszukać i zobaczyć ile jest grup
)dyskusyjnych i różnych podsieci, w których ta wiedza leży, są gotowe programy
)do ściągnięcia, jest opisany sposób korzystania z nich, przykłady itd. Kto z
)tej wiedzy korzysta i po co?

Najpierw pisze Pan, że nie jest to miejsce na poważne dyskusje o
zabezpieczeniach, teraz ma Pan pretensję, że się o nich nie pisze. Proszę się
zdecydować.
Jedną z podstawowych zasad działania banków jest zaufanie i bezpieczeństwo
zgromadzonych depozytów. Jednak nie ma systemu na 100% bezpiecznego i o tym
piszę. Dlatego Pański atak na zasadzie „dowalę ekspertowi” jest dla mnie
śmieszny. Co on ma udowodnić?

)Szkoda, że nie może Pan przytoczyć chociaż jednego przykładu kiedy przeciętny
)użytkownik jest narażony na utratę swoich danych - jakich okoliczności unikać.
)Szkoda, że nie przestrzega Pan o tym użytkownika, który korzysta ze swojego
)banku w kawiarence internetowej, lub w pracy - jego wiara w kompetencje i
)uczciwość adminów jest przeogromna - i chyba naiwna.

Szkoda, że w swojej zajadłości nie sprawdzi Pan najpierw, a później kryjąc się
za zasłoną anonimowości radzi mi, żebym subskrybował grupę, na której
uczestniczę od dawna, czy pisz

[michal.macierzynski]

CD poprzedniego postu:


Szkoda, że w swojej zajadłości nie sprawdzi Pan najpierw, a później kryjąc się
za zasłoną anonimowości radzi mi, żebym subskrybował grupę, na której
uczestniczę od dawna, czy pisząc tak jak u góry. Ależ proszę oto dowód, że Pan
jednak mija się trochę z prawdą:

www2.gazeta.pl/forum/794674,30353,794652.html?f=526&w=3220960&a=3235218

>Dlatego teoria Antylop - świetnie pasuje do tego. Gdyż zachęca pan do
>korzystania z bankowości internetowej mówiąc, że nikomu się jeszcze nic nie
>stało - TO NIE JEST PRAWDA, bo już się stało. A nie ryzykuje Pan niczym
>doradzając w taki sposób. Po prostu brak rzetelności z Pana strony jest
>niebezpieczny.

Proszę posłużyć się statystyką w straszeniu innych. Owszem, samoloty mają
awarie. Ale statystycznie bardziej prawdopodobne jest to, że trafi nas
meteoryt, niż zginiemy w katastrofie lotniczej...

Pozdrawiam!

MM

[skowi]

michal.macierzynski napisał:

> Należy jednak przypomnieć, iż w przypadku praktycznie wszystkich polskich e-
> banków samo poznanie loginu i hasła dostępowego do naszego konta nie wiąże
się
> dla nas z dużym ryzykiem. Teoretycznie złodziej, który wszedł w posiadanie
> naszych danych może tylko poznać saldo naszego rachunku i co najwyżej
opłacić
> telefon na 2 lata do przodu.

Niestety, powyzsze nie dotyczy BZWBK :((
www.bzwbk.pl/u235/navi/195368
Chodzi mi o uzytkownikow majacych usluge w zakresie pasywnym, z predefinicja
beneficjentow.
Szkoda, ze BZWBK zaprzecza w ten sposob swojej idei zabezpieczen internet
banking, IMHO bardzo logicznej...
A co jest najgorsze, bank nie widzi problemu :(

[mjay]

loiterer napisała:

> No to jak juz mamy Eksperta to zadam pytanie :-)
> (zeby mgr nie zostal bezrobotnym ;-)
>
> Jak przygotowac swoj komputer PC, zeby moc spokojnie i bezpiecznie dokonywac
> operacji online na swoim koncie (jakies zabezpieczenia, ustawienia itd)
>

Poczytaj e-platnosci.23.pl/bezpieczenstwo.htm

MJ

[trek20]

Witam

Jak czytam Wasze niekotore posty to az mi sie nie dobrze robi. Niektorym brak
swiadomosci latwosci nieporzadanego dostepu do kont internetowych.
Ludzie zajmujacy sie bankami elektronicznymi nie maja zbytnio pojecia o
zabezpieczeniach (nie mowiac juz o konsultantach na liniach 0-80x). To ze Wy
konczyliscie ekonomie, bankowosc itp. nie znaczy ze sie znacie na
zabezpieczeniach.
Co do polaczen internetowych to szczytem osiagniec jest dla Was SSL. Ludzie
wezcie pare madrych ksiazek poczytajcie o metodach uwierzytelniania i kontroli
dostepu o mozliwych atak sieciowych. Pewnie nazwy takie jak spoofing, sniffing,
DoS nic Wam nie mowia.
W dzisiejszych czasach komputery osobiste sa bardzo "delikatne". Nie potrzeba
zadnego Mitnick'a zeby dokonywac wlaman.
Oprogramowanie do sniffingu moze sobie sciaganac kazdy. Co lepsi "fachowcy" sa
w stanie zagrozic protokolowi SSL (przechwycenie sesji, lub par liczba losowa-
klucz sesji).
Smiesznym dla mnie jest stwierdzenie ze nie ma informacji o zadnych udanych
wlamaniach. A powiedzcie mi jaki jest tego dowod? O wlamaniu swiadczyc moze w
wiekszosci wypadkow tylko zeznanie poszkodowanego, a kto mu uwierzy.
Odzielna sprawa ktora ostanio mnie zbulwersowala jest mierny poziom
zabezpieczen lacza telefonicznego. O ile internetowe lacze jakis poziom
reprezentuje to lacze telefoniczne jest beznadziejne. W wiekszosci przypadkow
podpiecie sie na centralce (ale nie koniecznie) i podsluchanie loginu, hasla i
kilku danych osobistych daje pelna wladze.
Nie zgadzam sie ze stwiedzeniem ze w obliczu mozliwosci okradzenia banku i
klienta okrada sie tylko bank. Ile mamy napadow (elektronicznych czy tez
silowych) na banki a ile na ludzi. Przeciez latwiej okrasc niekumatego klienta
na mala kwote niz bank.
Na koniec chcialbym wyrazic ubolewanie nad mala wiedza zwiazana z komputerami w
naszym kraju. Wieszkosc nie jest swiadoma elektronicznych zagrozen w
dzisiejszym swiecie. Filmy takie jak Hakerzy to dla nich totalna fikcja - a to
niestety sa fakty.

P.S. Kupcie sobie ksiazke K. Mitnicka to moze troche sie uswiadomicie.

[kilovolt]

Człowieku co ty za bzdury wypisujesz. Nie udawaj, że znasz się na
zabezpieczeniach bo przeczytałeś jakąś tam książkę i co cię przekonało jak
łatwo się włamywać.
Prawdą jest, że żaden bank nie mógłby sobie pozwolić na istnienie słabo
zabezpieczonego systemu bo po prostu by upadł. I naiwny jesteś, jeżeli sądzisz
że włamanie mogłoby zostać ukryte przez bank. Jeżeli takie coś zaistniałoby to
na pewno zostałoby to rozdmuchane i byłaby to skuteczna antyreklama banku. I
nie pieprz bzdur, że nikt by w to nie uwierzył skoro wszystko zostałoby
zapisane w systemie, a wyciąg z konta to przecież wystarczający dowód.
Jedynie możliwy i łatwy dostęp do twojego konta jest obecnie poprzez
podglądnięcie twojego hasła. To jest najłatwiejszy sposób na włamanie.
Zatem jeżeli będziesz dobrze chronił swoje hasło możesz być pewien
bezpieczeństwa twoich pieniędzy.

[trek20]

> Człowieku co ty za bzdury wypisujesz. Nie udawaj, że znasz się na
> zabezpieczeniach bo przeczytałeś jakąś tam książkę i co cię przekonało
> jak łatwo się włamywać.
Po pierwsze to nie czytam zadnych ksiazki o zabezpieczeniach (wole ciekawsze
zagadnienia). Swoja wiedze wole czerpac z praktyki. Uwiez mi takie rzeczy jak
sniffing moze wykonac kazdy lamer.

> Prawdą jest, że żaden bank nie mógłby sobie pozwolić na istnienie słabo
> zabezpieczonego systemu bo po prostu by upadł.
Jesli nie obce Ci sa zagadnienia IO (Inzynieria Oprogramowania) to powinienes
wiedzec jak skompliokwane jest tworzenie systemow informatycznych. Jesli znasz
jakis SUPER zabezpieczony system to daj znac, z checia sie uswiadomie.

> Jeżeli takie coś zaistniałoby to na pewno zostałoby to rozdmuchane i byłaby
> to skuteczna antyreklama banku. I nie pieprz bzdur, że nikt by w to nie
> uwierzył skoro wszystko zostałoby zapisane w systemie, a wyciąg z konta to
> przecież wystarczający dowód.
Wyciag nie jest dowodem nieautoryzowanego dostepu. Przy pomocy wyciagu nic
nikomu nie udowodnisz (masz tylko informacje ze pieniadze zostaly przelane).
Jak udowodnisz, ze to nie Ty dokonales zlecenia. Sek w tym ze systemy te
prowadza autoryzacje a nie kontrole dostepu.

> Jedynie możliwy i łatwy dostęp do twojego konta jest obecnie poprzez
> podglądnięcie twojego hasła. To jest najłatwiejszy sposób na włamanie.
> Zatem jeżeli będziesz dobrze chronił swoje hasło możesz być pewien
> bezpieczeństwa twoich pieniędzy.
Czy uwazasz ze jesli nikomu nie ujawnisz swojego hasla to nikt go nie
zdobedzie. Nie doceniasz pomyslowosci ludzkiej.

A tak poza tym to nie jestem zadnym fanem K. Mitnicka.

[kz0]

witam.
To juz nic nie rozumiem. To jak mam ustawić mozille
1.3pl. Jak przez ta przegladarke korzystac z mbanku lub
inteligo?
pzdr.kz0