Hakerzy zaatakowali klientów BPH

[Gość: m]

Podejrzany jest ten artykul. Jako klient indywidualny banku BPH wiem, ze taki
typ ataku jest bezskuteczny, bo do wykonania transakcji konieczne jest uzycie
klucza, ktory jest przechowywany lokalnie na dysku. Sczytanie hasel jest
mozliwe, ale daje tylko dostep do przegladania konta, ale nie transakcji.

Vivat dziennikarski lobbing konkurencji bankowej!

Hakerzy zaatakowali klientów BPH

[Gość: hakier]

znaczy ktoś nas robi w balona. ile to sie oczytałem o 128 bit zabezpieczeniu,
o połączeniu szyfrowanym, o kłódeczce w dolnym rogu. a dzis słysze że podczas
szyfrowanego połaczenia , wbijajac cyferki na klawiaturze misie pysie mogą
odczytać to co wpisałem bo to jest szyfrowane dopiero po wyjsciu ode mnie,
cyzli defakto nie połączenie jest szyfrowane a sam przesył danych ode mnie do
banku. to jakie to połaczenie szyfrowane to ja nie wiem.

[Gość: IT]

Co do klucza na dysku: zaręczam Ci że 90% użytkowników nie trzyma klucza na
dysku, a to z prostej przyczyny. Podczas zakładania konta można wybrać, czy
chcemy aby klucz był u nas na dysku, czy też może w banku Standartowo zaznaczona
jest opcja 'w banku' co wiecej jest ona nawet tam polecana (ponieważ dzięki temu
możemy korzystać z dowolnego kompa). Klucz jest więc zabezpieczony hasłem, które
podajemy bankowi aby mógł użyć naszego klucza. To brzmi absurdalnie, ale tak
jest. W praktyce więc transakcje nie są zabezpieczone jakimś tam kluczem, tylko
szyfrowaniem komunikacji przez przeglądarke (inna sprawa że SSL 3.0 który jest
używany ma chyba podobną długość klucza, a więc i poziom bezpieczeństwa).
A co do połączenia szyforwanego- no to jest własnie to: przesyłane dane są
szyfrowane. Czyli połączenie.

[Gość: b]

A to w BPH nie ma haseł jednorazowych? Albo artykuł jest kretynizmem, albo
metoda zupełnie inna...

[maruda.r]

Gość portalu: b napisał(a):

> A to w BPH nie ma haseł jednorazowych?

*****************************

Nie ma.

[kuba_wr]

Jezu Chryste. To o jakim systemie zabezpieczeń oni mówią ??????

tylko LukasBank

[Gość: wsx]

daje wszystkim token RSA, ktory generuje hasla jednorazowe i zabezpieczone sa
wszystkie kontakty z bankiem. Pekao, inteligo czu mbank wypadaja na tym tle
zalosnie ze swoimi karteczkami.

[Gość: hehe]

taaaaa...... i tylko w systemie LucasBanku zdarza się, że czasami zniknie jakieś
konto :P
z tego co się dowiedziałem, to zdarzało się nawet kilka takich "zdarzeń'
tygodniowo :))

[Gość: krz]

jakim wszystkim?? jaki token? chlopie, moja siostra ma konto w bph, i wiesz jak
jest zabezpieczone? nijak! haslo do logowania, i haslo do klucza, ot wsio,
czyli po prostu brak zabezpieczen. w porownaniu do tego, moje hasla jednorazowe
z mbanku to forteca!

[Gość: IT]

Token RSA to nie jest coś co sobie możesz wziąć i schować do szuflady. Jeżeli
jest tak jak mówił przedmówca, to po prostu komputer sobie sam generuje takie
coś jak 'hasło jednorazowe', żeby nie dało się powtórzyć sesji.

W zasadzie transakcja jest w pewien unikatowy sposób podpisywana Twoim kluczem.
Problem jest jak ktoś przechwyci klucz, a ponieważ jak już gdzies tam
wspominałem większość osób trzyma klucz (który oczywiście też jest tylko ciągiem
bajtów) na serwerze banku, to wystarczy przechwycić do niego hasło.

Token w szufladzie :P

[Gość: lulubi]

Niby dlaczego nie moge trzymać tokenu w szufladzie?! Swój tam trzymam od dawna
ia jakoś działa :-)
PS I nie tylko Lukas daje tokeny :P

[Gość: heimo]

RSA to także nazwa firmy
potwierdzam - tylko Lukas Bank albo inny, który daje token.

[Gość: GROSZ-ek]

A jak wygląda uwierzytelnianie przy pomocy tokenu?
Bo jak dobrze rozumiem, token na żądanie użytkownka generuje według jakiegoś
zaszytego w nim algorytmu ciąg o odpowiedniej strukturze, który jest nastepnie
przekazywany do banku, który następnie go sprawdza i porównuje z wynikiem
analogicznego algorytmu u siebie.
Tak to działa? I na ile jest tobezpieczne? Czy na podstawie znajomości
funkcjonowania innego tokenu da się odkryć/złamać mechanizm działania mojego tokenu?

GROSZ-ek

[Gość: heimo]

szczerze mówiąc nie znam metody. wydaje mi się jednak że każdy token ma w środku
zaszyty klucz prywatny (per analogia do podpisu elektronicznego), który powoduje
wygenerowanie 6 cyfr tymczasowego (1 minuta, 1 użycie) hasła. Bank posiada klucz
prywatny, który umożliwia sprawdzenie poprawności wygenerowanego hasła, bez
możliwości wygenerowanie przy jego użyciu działającego odpowiednika.
Inny token nie przysłuży się do uzyskania wiedzy o tym, jak wygenerować hasło,
które będzie prawidłowo rozkodowane przez bank, ponieważ inny token posiada inny
klucz kodujący.

Tak to sobie wyobrażam - nie wiem czy dobrze.
pozdrawiam

BZWBK tez daje

[Gość: Luki]

jw

Pomijając fakt dotyczący zabezpieczeń...

[Gość: cb]

Pomijając fakt dotyczący zabezpieczeń internetowych operacji bankowych, czy
ktoś może wyjaśnić, dlaczego zidentyfikowanie złodzieja jest takie trudne.

Przecież tej kasy gość sobie nie przesłał do drukarki tylko na konto bankowe.

Czy na prawdę tak trudno pójść tropem tych przelewów? Jeśli tak, to czy bank
zakładający konto złodziejowi nie ponosi za to pełnej odpowiedzialności?

Tak na marginesie, to od ponad 8 lat korzystam z Internetu do wykonywania
operacji bankowych czy giełdowych. Zabezpieczenia tego typu operacji w bankach
amerykanskich czy kanadyjskich wydają się być prymitywne w porównaniu do tych,
co w Polsce, a mimo to się nie słyszy się tutaj o złodziejstwie internetowym na
masową skalę. O ile wiem, najbardziej grozną formą jest kradzież baz danych w
samych instytucjach, a nie samo hakerstwo kont internetowych.

[Gość: grower]

polaczenie szyfrowane, swoja droga, ale jesli ktos patrzy ci na klawiature, kiedy wpisujesz hasla, jestes bezsilny. tak wlasnie dzialaja programy szpiegujace. czyli polaczenie szyfrowane nic ci nie da, jesli nie posiadasz dobrego antyvira i firewalla. idealnym rozwiazaniem sa tez jednorazowe hasla dla operacji przez net. wtedy kazda transakcja wymaga wpisania hasla (oprocz wczesniej zadeklarowanych). moim zdaniem to bezpieczne rozwiazanie. a polaczeniom szyfrowanym i tak nie do konca ufam - Polacy nie takie kody juz lamali ;)

[Gość: Qba]

hasloa jednorazowe nie wystarczaja, tez mozna je przejac, musi byc spelniony
warunek ze haslo nr np 23 zostanie poproszone do danej transakcji i juz nigdy
wiecej, wtedy to jest...w miare... bezpieczne. A i tak najlepszy jest kod przez
komorke ewntualnie token...

[Gość: sojka]

> hasloa jednorazowe nie wystarczaja, tez mozna je przejac, musi byc spelniony
> warunek ze haslo nr np 23 zostanie poproszone do danej transakcji i juz nigdy
> wiecej, wtedy to jest...w miare... bezpieczne. A i tak najlepszy jest kod przez
> komorke ewntualnie token.

czyżbyś wymyślił "hasła jednorazowe" wielokrotnego użytku?

[Gość: zgreg]

Haslo jednorazowe, jak sama nazwa wskazuje, jest wykorzystywane tylko
jednokrotnie - zatem "warunek", o ktorym piszesz jest zawsze spelniony (jesli
nie to nie mozna mowic o tej metodzie kryptograficznej). I nie jest to metoda "w
miare" bezpieczna, przy zalozeniu, ze lista hasel zostala w odpowiedni sposob
wygenerowana i znaja ja tylko osoby uprawnione (czyli w tym przypadku tylko
klient i bank) daje 100% bezpieczenstwo - tego typu szyfru nie da sie w zaden
sposob zlamac (mozna co najwyzej przejac liste kodow).

[kuba_wr]

Gość portalu: zgreg napisał(a):

> Haslo jednorazowe, jak sama nazwa wskazuje, jest wykorzystywane tylko
> jednokrotnie - zatem "warunek", o ktorym piszesz jest zawsze spelniony (jesli
> nie to nie mozna mowic o tej metodzie kryptograficznej).

W Inteligo zdarzają się wielokrotne hasła jednorazowe :/

[Gość: tuv]

buhahahaha... powiedz, ze zartujesz

Hakerzy zaatakowali klientów BPH

[Gość: rzuku]

Z tego wynika, że BPH nie ma ani haseł jednorazowych ani tokena. Jak dobrze,
że 8 lat temu odpuściłem sobie ten bank.

[Gość: czu]

misiu a jak wpisujesz hasło do klucza to co długopisem????hahahaha klucz tez sie
da zczytać z klawiatury

[Gość: heretique]

Hasło jednorazowe ze swojej natury jest jednorazowe i podpatrzone się na nic nie
przyda :-)

[Gość: Qba]

Nieprawda, tutaj jest roznie, trzeba zdefiniowac co oznacza uzyte...
a) bylo tylko poproszone przez bank
b) bylo poproszone, wyslane i uzyte do transakcji

wieksozsc bankow uzywa trybu b) wiec haker moze przejac haslo i przeszkodzic w
wyslaniu informacji do banku a potem trobic transakcje tym kodem gdyz bank nigdy
go nie dostal, lepszy jest wariant a) gdy bank poprosi o kod nr X do transkacji
Y nawet jesli go nie wyslesz (lub ktos przejmie) to juz nigdy bank nie poprosi o
ten kod X... ale to droazsze rozwiazanie...

[Gość: wqrwony1]

Gość portalu: Qba napisał(a):

> Nieprawda, tutaj jest roznie, trzeba zdefiniowac co oznacza uzyte...
> a) bylo tylko poproszone przez bank
> b) bylo poproszone, wyslane i uzyte do transakcji
>
> wieksozsc bankow uzywa trybu b) wiec haker moze przejac haslo i przeszkodzic w
> wyslaniu informacji do banku a potem trobic transakcje tym kodem gdyz bank nigd
> y
> go nie dostal, lepszy jest wariant a) gdy bank poprosi o kod nr X do transkacji
> Y nawet jesli go nie wyslesz (lub ktos przejmie) to juz nigdy bank nie poprosi
> o
> ten kod X... ale to droazsze rozwiazanie...

Bosh... a czy ty wiesz o czym ty chłopie piszesz??
Jeśli są używane kody jednorazowe to właśnie tak działają - kod jest "spalony"
po zapytaniu o niego przez bank, bez względu na to czy ty na to pytanie
odpowiesz czy nie - więcej o ten kod nie bedziesz pytany. Tak to działa - w
PeKaO sa jest nawet tak ze kody z listy jednorazowej są "losowane" czyli bank
nie pyta o nie po kolei.

Jedyną metodą dostania się do takiego przelewu jest tym samym PRZEJECIE LISTY
KODÓW w jakiś sposób (socjotechnika się kłania) jak to juz pisał któryś z
poprzedników, lub złamanie systemów bezpieczeństwa samego banku - co jest
właściwie nierealne (poza może paroma geniuszami na świecie nikt nie jest w
stanie tego zrobić).

[Gość: sojka]

oj chłopie, "większość banków" - to mnie najbardziej rozbawiło. nie znam
większości na pewno, ale tam gdzie wiem jak jest to raz poproszone hasło nie
jest proszone nigdy więcej, nie kumasz słowa "jednorazowe"? nie ważne czy bank
to otrzymał czy nie, ważne że o to poprosił. RAZ. nie pomoże tu nawet twoja
projekcja o zakłócaniu transmisji. JEDEN RAZ!

[Gość: Jacek]

Stary, bredzisz. Nawet jeśli użyje raz hasła, to dokona TYLKO jednej transakcji.
Drugi raz to sobie może narobić.

hasło jednorazowe też można sczytać, baranki moje

[Gość: haslo]

Opiszę to prostymi słowy: wystarczy, że haker wrzuci ci na kompa program, który
spowoduje "zawieszenie" systemu podczas podawania hasła jednorazowego przy
potwierdzaniu operacji na koncie. Ty myślisz, że coś się zawiesiło, ale hasło
wklepałeś, a haker. Zniechęcony kolejną próbą wykonania operacji (ach, ten
internet!) idziesz na papierosa. W tym samym czasie haker ma już twoje hasło
jednorazowe, które jest nadal wazne, bo przecież nie zostało wykorzystane w
systemie bankowym, tylko w programie-podkładce wrzuconym ci przez hakera. I
hulajdusza!

Firewall to też dupa, bo nadal połowa ludzi nie wie, co to jest, a ci którzy
używają, mają problemy z konfiguracją (np. odrzuca cookie i niemożliwe jest
zalogowanie się na konto przy włączonym firewallu). Ponadto, jeżeli masz na
kompie program podsłuchujący typu keystroker, to zapomnij o bezpieczeństwie.

W życiu nie powierzyłbym oszczędności całego życia bankowi internetowemu. Jestem
studentem i moje przeciętne saldo na koncie to 500 zł.

[Gość: wqrwiony1]

bosz - otóż mylisz się dobry chłopcze albo używasz jakiegoś spapranego banku - w
normalnym banku (m-bank, pekao sa.) jesli jestes zapytany o haslo jednorazowe i
zerwiesz sesję zanim zostanie ono wyslane do banku - to haslo i tak jest
"spalone" i wiecej bank o niego nie zapyta.

AMEN - wio - spowrotem na zajecia z "internetu" albo nie uzywaj narzedzi ktorych
nie rozumiesz.

[Gość: wqu..ony]

wez wqu..ony wczytaj sie dokladnie w posty powyzej zanim zaczniesz sie mądrzyc - myslenie nie boli

[Gość: wqrwiony1]

otóż właśnie czytam i oczom nie wierzę jakim można być durniem.

[Gość: toja]

najlepiej jest po prostu sprawdzic.
ja sprawdzilem m-bank i okazuje się że m-bank pyta WIELOKROTNIE o to samo
JEDNORAZOWE hasło. tzn jesli haslo nie zostało wykorzystane bo zamknąłem
przeglądarkę przed wysłaniem hasla.

[wqrwiony1]

już sprawdzam... z ciekawości - jeśli tak jest to faktycznie ZONK :>

-----------------------------------------
5 min. pozniej:

ano zwracam honor!! ZONK!! w mbanku takie hasło bedzie pytane "do skutku" czyli
do wpisania i wysłania (może być błędne ale wysłanie musi nastąpić).

Czyli kicha.

[Gość: art00r]

luzik, to samo jest w Inteligo ... i podejrzewam, ze w wiekszosci pozostalych
bankow. Ten typ tak ma...

Z tymi haselkami jednorazowymi to tez roznie bywa, podstawowa implementacja (ale
z tego co mi sie wydaje szeroko stosowana przez banki) polega na wielokrotnym
przepuszczeniu hasla uzytkownika oraz pewnej zmiennej losowej (seed) przez
funkcje skrotu. W ten sposob uzyskiwana jest okreslona liczba hasel
jednorazowych. Argumenty funkcji skrotu nie moga byc w zaden sposob uzyskane z
tak otrzymanych wartosci (funkcja jest jednokierunkowa).

Aby sie zalogowac (lub zatwierdzic np. przelew) uzytkownik jest proszony o
podanie kolejnego w sekwencji hasla. Za kazdym razem gdy system takowe otrzymuje
na jego podstawie generowane jest nastepne oraz nastepuje przestawienie
licznika hasel (dlatego system nie moze "spalic" jednorazowego hasla w sekwencji
poniewaz nie moglby bez jego poznania wyliczyc nastepnego!). W tym systemie nie
mozna wyliczyc nastepnego w sekwencji hasla bez poznania wszyskich poprzednich!

Ale ale ... tu jest wlasnie drobny haczyk. Zalozmy, ze haker w jakis sposob (np.
opisany pare postow wyzej) zdobedzie haslo jednorazowe o kilka iteracji wyzsze.
Na jego podstawie znajac algorytm zastosowanej funkcji skrotu oraz podsluchane
haslo uzyskac wszystkie poprzednie kody jednorazowe. A nstepnie wykozystac te
nie spalone.

[Gość: chakier]

> poniewaz nie moglby bez jego poznania wyliczyc nastepnego!). W tym systemie nie
> mozna wyliczyc nastepnego w sekwencji hasla bez poznania wszyskich poprzednich!
>

windows prawda. jak podasz zle haslo bo ci sie palec omsknal albo 6 z 8
pomyliles to bank je spokojnie kasuje i pyta o nastepne. przynajmniej w mbanku.

a do bph to mnie kiedys namawiali, bo firma ma tam konto i "kase szybciej
bedziemy dostawac". jak nam powiedzieli o tym zaawansowanym bezpieczenstwie, to
wygonilismy biedna przedstawicielke smiechem... z czym oni do ludzi chca isc...

[Gość: Diomedes]

"spowrotem" ...
Wio szybciutko na zajęcia z polskiego. :)

[kuba_wr]

> W tym samym czasie haker ma już twoje hasło
> jednorazowe, które jest nadal wazne, bo przecież nie zostało wykorzystane w
> systemie bankowym, tylko w programie-podkładce wrzuconym ci przez hakera. I
> hulajdusza!
>
W Lukasie hasło jednorazowe ważne jest przez minutę. Jeśli np. wpiszesz je na
10 sekund przed wygaśnięciem, to nawet jeśli haker je przejmie, to za 10 sekund
już jest nieważne. Czy minuta wystarczy mu na włam ?

[Gość: m]

zaznaczam myszką na screenie

[Gość: WW]

A ktos ci zainstaluje programik robiacy filmik z twojego ekranu i bedzie mial
cacy wszystko pokazane. Ew. zainstaluje ci programik, ktory bedzie ruchy myszy
czytal i wysylal do napastnika, a zapewniam cie, ze nie trudno bedzie dojsc co
ty tam sobie nazaznaczasz. Jakikolwiek system, ktory posluguje sie tym samym
haslem (jakiekolwiek by ono nie bylo), nie jest bezpieczny. Jest to podstawowa
zasada kryptografii. Dlatego tokeny i hasla jednorazowe sa jedynymi
bezpiecznymi znanymi mi mozliwosciami zabezpieczenia transakcji z bankiem. A to
i tak pod warunkiem, ze ktos inny (np. pracownik banku) nie bedzie mial takiego
samego tokena czy takiej samej karteczki z haslami.

Hakerzy zaatakowali klientów BPH

[Gość: marco]

Pan Tomasz myli się w jednym. System haseł jednorazowych dla każdego przelewu
nie jest wykorzystywany wyłącznie w ofercie dla vipów. Chyba największy
polski bank internetowy, tj. mBank oferuje to standardowo. Na marginesie GW
mogłaby dokładniej wyszukiwać "specjalistów" wypowiadających się na jej
łamach.

[Gość: heretique]

Panowie, czytajcie uważnie:

"Następnie w trakcie internetowej sesji sczytywał on z klawiatury dane potrzebne
do dyspozycji przelewu, po czym przesyłał je złodziejom,"

ofiary w jakiś sposób dostawały trojana, który zainstalowawszy się w systemie
może zrobić absolutnie cokolwiek - zczytać klawisze jakie naciskacie logując się
do banku i skopiować na serwer hakerów dowolny plik z dysku.

Ja jestem klientem mBanku, gdzie taki atak jest kompletnie niemożliwy, bo do
przelewu na niezdefiniowany rachunek potrzebne jest hasło jednorazowe z listy,
która jest na papierze - a na to trojan żaden nie poradzi :-)

[Gość: Mag]

No tak, ale to haslo i tak musisz wpisac :o) Wiec maly wirusuik i tak przeczyta
co napisales. No chyba ze co przelew masz inne haslo.

[Gość: gregor]

moze i tak, ale hasło jednorazowe jest uzywane tylko raz , wiec przy wpisywaniu
jest JUZ uzyte do przeprowadzenia aktualnej tranzakcji. Nawet jesli ktos je
odczyta to juz powtórnie nie bedzie mogł uzyc

[Gość: ufok]

Bedzie mogl jest wpisac ponownie. Sprawdz sam !!!
MBank nie jest bezpieczny jest tak samo niebezpieczny

[Gość: AndyB]

Do przelewów wykorzystywane są hasła jednorazowe - teoretycznie bezpieczne.
Dlaczego teoretycznie? - Można podstawić ofierze fałszywą stronę - gdzie dokona
ona przelewu (który oczywiście nie dojdzie do skutku). Złodziej otrzyma za to
hasło jednorazowe i może dokonać po zalogowaniu sam już innego przelewu :(

Duża wada tego systemu autoryzacji transakcji polega na tym, że hasła
jednorazowe najczęściej wykorzystywane są kolejno - powinny być losowo.

[Gość: Qba]

to iluzoryczne bezpieczenstwo, bo czy losowo czy nie, w koncu dojdzie do
wykorzystania wszystkich kodow, wiec przejmujac jeden z nich i uniemozliwiajac
wyslanie go do banku ..w koncu bedzie mozna go uzyc...

[Gość: WW]

Poza tym dzieki sekwencyjnemu wykorzystaniu hasel, klient od razu sie
zorientuje, jesli ktos uzyje hasla z jego listy, bo zostanie ono ominiete, wiec
latwo sie domyslic, ze lista zostala skompromitowana. Przy losowej kolejnosci
bedzie to wiadome dopiero po wykorzystaniu wszystkich hasel z listy.

[Gość: wqrwiony1]

Gość portalu: AndyB napisał(a):

> Do przelewów wykorzystywane są hasła jednorazowe - teoretycznie bezpieczne.
> Dlaczego teoretycznie? - Można podstawić ofierze fałszywą stronę - gdzie dokona
> ona przelewu (który oczywiście nie dojdzie do skutku). Złodziej otrzyma za to
> hasło jednorazowe i może dokonać po zalogowaniu sam już innego przelewu :(

Ludzie!! co wy wypisujecie!!
NIE MOŹE JUŻ tego samego hasla użyć!! JEDYNĄ możliwością jest podglądnięcie
listy haseł jednorazowych (nie mowie że niewykonalne) co właściwie wszelkie
wormy itp pozwolą TYLKO na dostanie się do konta przez internet - nie pozwolą
natomiast na przelew na nieznane konto.

[wqrwiony1]

Gość portalu: wqrwiony1 napisał(a):

> Ludzie!! co wy wypisujecie!!
> NIE MOŹE JUŻ tego samego hasla użyć!! JEDYNĄ możliwością jest podglądnięcie
> listy haseł jednorazowych (nie mowie że niewykonalne) co właściwie wszelkie
> wormy itp pozwolą TYLKO na dostanie się do konta przez internet - nie pozwolą
> natomiast na przelew na nieznane konto.

hmm sorrka juz sie poprawiam - w sytuacji podstawienia fałszywej strony -
oczywiście można ukraść hasło o które bank przecież nie zapyta wiec zostanie
wykożystane - tak działa właśnie najpopularniejszy atak...

No ale to już nie wina banku tylko ludzików co klikają myszką gdzie popadnie...

[Gość: ufok]

jakie ty bzdury piszesz, sprawdz, mBank pyta do skutku o jedno i to samo hasło jednorazowe az mu podasz dobre!

[kuba_wr]

> Ja jestem klientem mBanku, gdzie taki atak jest kompletnie niemożliwy, bo do
> przelewu na niezdefiniowany rachunek potrzebne jest hasło jednorazowe z listy

Czy chcesz powiedzieć, że przelewu na wcześniej zdefiniowane konto nie musisz
potwierdzać ?

[Gość: Piotr]

Oczywiscie.
Z tym ze, aby zdefiniowac konto musisz uzyc kodu jednorazowego. Idea jest taka,
ze definiujesz np konto rodziny albo np. dostawcy internetu. Wiec ewentualny
napastnik i tak nie bedzie mial z takiej transakcji pozytku.

[Gość: Diomedes]

Tylko ten papier pewnie został wydrukowany z jakiegoś kompa. I mamy mały paradoksik...

[Gość: owen]

mylisz się kolego. jako były klient bph wiem, że identyfikator i hasło
wystarczą by wejść do systemu, a hasło klucza jest tożsame z hasłem logującym.
Operację przelewu na dowolne konto można przeprowadzić z każdego komputera na
świecie nie przejmując się "lokalnym kluczem". Głównie ze względu na niski
poziom zabezpieczeń banku (i niezapowiedziane wprowadzenie opłat za skrzynkę
pocztową), zamieniłem BPH na inny bank i jak widzę, miałem rację.

[pro_test]

i do tego mozna to obslugiwac tylko przez internet explodera. ja mam konto w
mbanku i moge sie laczyc dowolna przegladarka nawet tekstowym lynxem. brawo bph,
hehe

--
Pro_Test

nie tylko IE, ale z elinksem nie działa

[Gość: Rafał]

> i do tego mozna to obslugiwac tylko przez internet explodera. ja mam konto w
> mbanku i moge sie laczyc dowolna przegladarka nawet tekstowym lynxem. brawo bph

Nie. Działa np. mozilla albo firefox na Fedorze 3. Ale system jest potwornie zajaviony, więc zdarzają się różne związane z tym problemy. Za to o lynxie rzeczywiście nie ma mowy. Nie działają też mające większe możliwości elinks (polecam!) ani links. Muszę zajrzeć do tego mBanku, bo drażni mnie puszczanie jednego z większych programów, jakich używam - firefoxa, z jeszcze bardziej kobylastą dodatkową Javą, tylko po to, żeby zerknąć czy coś nie przyszło na konto.

[Gość: mk]

To akurat nie jest prawda. Ja uzywam Netscape'a.

[Gość: WW]

Tu nie masz racji, bo BPH dziala pod Mozilla. Wystarczy plugin do podpisow
cyfrowych zainstalowac. Inna sprawa jest, ze trzeba sie niezle naklikac, zeby
go znalezc (nawet na stronie BPH).

[Gość: Asteriks]

Chyba że sam tak sobie ustaliłeś , hasło klucz jestustalane przez CIEBIE

[Gość: IT]

> mylisz się kolego. jako były klient bph wiem, że identyfikator i hasło
> wystarczą by wejść do systemu, a hasło klucza jest tożsame z hasłem logującym.
Odkąd mam do czynienia z tym systemem (będzie z 5 lat) mam osobne. Może sobie
takie ustawiłeś? A klucz można mieć lokalnie, ale trzeba sobie odpowiednio
kliknąć przy zakładaniu konta. I wtedy nie da się z dowolnego miejsca... Chyba
że się skopiuje klucz, co oczywiście jest wykonalne.

[Gość: Mat]

Hasło do klucza tożsame z hasłem logującym? Przy zakładaniu konta nic nie
zmusza do ustawienia 'tożsamych' haseł. No, ale jak ktoś sobie tak ustawi to
tak będzie.

[Gość: jsmas]

A oczym wlasnie pisza, o tym ze wirus instaluje sie na lokalnym komputerze i
szczytuje dane z dysku, klawiatury itd.

[Gość: kszaku]

Mam konto w BEPEHU i walą mnie hakerzy. Jak większość tego społeczeństwa
zarabiam tak mało że praktycznie każda kasa którsa pojawia sie u mnie na koncie
od razu jest przeze mnie wypłacana. Haker może więc sobie pooglądać puste konto.
A tak na serio.
Klucz do przelewu można zmienić i nie jest taki sam jak ten logujący do systemu.
po drugie wcale nie trzeba logowac się z klawiatury. Można to zrobić korzystajc
z panelu wyświetlanego na ekranie. Nie znam się na wirusach i tego typu sprawch
ale to chyba trochę utrudnia zczytywanie hasła.

[Gość: WW]

Są programiki do filmowania pulpitu oraz do rejestrowania ruchow myszy.
Podejrzewam ze nawet touch screen jest tu do przechwycenia (bo w koncu bedzie
on emulowal mysz)

[Gość: Dziennikarz]

Po pierwsze - od lat jestem klientem BPH. Zaden klucz nie jest przechowywany na
dysku - do realizacji transakcji podaje sie drugie haslo, ktore sie zwyczajnie
wpisuje na klawiaturze. Czyli komentujacy bredzi, a w dodatku czepia sie autora.
Jestem tez dzienniarzem (nie pracuje w GW) i mam dosc wycierania sobie pyskow o
moja profesje przez niedouczonych kretynow, ktorym sie wydaje, ze ich
doswiadczenie zyciowe jest jedynym dostepnym.

[Gość: zla_suka]

> Po pierwsze - od lat jestem klientem BPH. Zaden klucz nie jest przechowywany
na
> dysku - do realizacji transakcji podaje sie drugie haslo, ktore sie zwyczajnie
> wpisuje na klawiaturze.

Widac, ze jestes dziennikarzem, bo o niczym nie masz pojecia. Klucz mozna miec
zapisany lokalnie np. na dyskietce, 8cm CD-R czy pendrive i w momencie
popisania przelewu nalezy wskazac ten plik na miejscu podajac haslo do klucza
(inne niz do logowania do systemu). Wiec doucz sie pan dziennikarz, bos taki
idiota jak ci z GW.

[Gość: Pan Pineska]

Drogi Dziennikarzu! Przeczytaj inne posty zanim zaczniesz sie unosic, bo w ten
sposob tylko udowadniasz opinie na temat dziennikarzy. Tez kiedys pracowalem w
pewnej duzej gazecie (nie jako dziennikarz) i wiem, ze dziennikarze mianuja sie
specjalistami od wszystkiego, a ich cala wiedza opiera sie na googlach.

Pozdrawiam pokornych specjalistow

[Gość: googiman]

Jakby się opierała na googlach, to by było jeszcze dobrze :P

Klucz można odczytać z dysku...

[Gość: Draken]

... i dlatego moim zdaniem najlepszy system ma bank BZ WBK, chociaż opłaty za
usługi internetowe są wysokie i działa on wyjątkowo ślamazarnie. Zamiast klucza
na dysku jest token, który trzeba ukraść ale razem z hasłem (czyli najlepiej
porwać też właściciela :). Oczywiście token kosztuje, ale ubezbieczenie AC
samochodu też kosztuje.

[joko5]

Takie samo zabezpieczenie ma Lukas Bank (token + hasło), MBank jednorazowe
hasła, natomiast od kilku lat zastanawiam się nad bezpieczeństem transakcji BPH
wpisuję tylko hasło dla potwierdzenia , trochę to mało.

odp. M

[pazio]

Specjalistą nie jestem. Jestem natomiast klientem BPH.
O ile dobrze pamiętam klucz, o którym mówisz niekoniecznie musi być
przechowywany na kompie klienta. Może być również w banku. Wtedy do
uwierzytelnienia transakcji wystarczy jedynie hasło do klucza. Korzystam z
Sez@ma z kompów w pracy i w domu, i poza akceptacją certyfikatów i instalacją
jakichś sterowników, nie musiałem zajmować się żadnymi kluczami - mój klucz
jest w banku. Historie opisane w artykule wydają mi się prawdopodobne. Lecę
studiować historię moich transakcji:)

Przestępcy uwzięli się na BPH?

[Gość: plusz]

Niedawno dwa napady, teraz info o internecie. Albo przypadek, albo zmowa
przestępców, albo coś z tym bankiem nie tak.

zly system zabespieczen - tokeny sa najlepsze

[Gość: IT]

Powodem calej afery jest zly system zabespieczen! Jedynym w miare niezawodnym systemem jest uzywanie kodów jednorazowych dla wszystkich operacji przelewu i wyplaty. Nigdy nie slyszalem zeby obrobili bank ktory uzywa tokenów. Wtedy nie ma znaczenia z jakiego komputera sie korzysta i czy ktos przechwyci kod czy haslo, bo kod transakcji jest uzywany jednorazowo i za kazdym razem jest inny. Lepszy jest chyba tylko system kart kodowych (np. w inteligo), tam jednorazowe kody transakcji sa wygenerowane przez bank i zapisane na karcie-zdrapce. Przy odrobinie zaparcia bank moze wtedy uzyc generatora liczb losowych a wtedy nawet przechwycenie wielu kodów nie pozwoli na złamanie algorytmu ich generowania (bo są właśnie losowe) a takie niebezpieczenstwo występuje przy tokenie. Tak wiec gadanie BPH ze maja silne zabezpieczenia to po prostu jakaś kpina i zrzucanie odpowiedzialności na użytkowników banku.

[Gość: olek]

Powodem jest również mentalność ludzka polegająca na braku poszanowania lub
wręcz nieznajomości pojęcia "własność intelektualna". Bo czy ktoś z Was
zgłaszał kiedykolwiek organom ścigania fakt włamania do Waszego komputera?"
Wątpię. A skoro nie ma włamań, to i nie ma działań systemowych polegających na
ściganiu tego typy włamywaczy i złodziei.
Z włamania do mieszkania robi się aferę, a włamanie do kompa z cennymi danymi
traktowane jest z przymrużeniem oka, jako swego rodzaju rozrywkę intelektualną.
Czyż nie?

[Gość: cyc]

Tylko, ze pewnie 99% użytkowników nawet nie wie, że im się ktoś włamał.
Statystyki mówią za siebie - internet zapchany jest milionami komputerów
zombie, zainfekowanych dziesiątkami trojanów wirusów spywareów i innych
malwareów, które automatycznie atakują następne i następne... a ich właściciele
nie mają o tym bladego pojęcia i tylko narzekają że im "wolno chodzi". Wśród
nich są i takie które logują klawiaturę i nawet szyfrowanie kwantowe na to nic
nie poradzi, bo sama klawiatura nie jest szyfrowana.

[Gość: A]

Pozwolcie, ze wtrace swoje trzy grosze, gdyz akurat znam sie w miare dobrze na
temacie.

Wszystko to, co jest lokalnie zainstalowane na kliencie mozna zdalnie pobrac
(klucze priv, certyfikaty) - np. za pomoca spyware, trojanow. Wszystko to, co
jest pisane na klawiaturze (np. hasla chroniace te certyfikaty) mozna
przechwycic (key loggers) - programowo lub sprzetowo. Generalnie nie wierzy sie
niczemu, co jest po stronie klienta - podstawowa zasada bezpieczenstwa.
Przykladem sa cracki do kolejnych wersji MS Windows, Office itd - za kazdym
razem firmy zapewniaja, ze soft jest nie do zlamania - a jednak...

A uzywanie IE czy Firefoxa nie ma tu nic do rzeczy. Bezpieczenstwo samej
przegladarki to jest zupelnie inny temat, i to bynajmniej nie zwiazany z
uwierzytelnianiem uzytkownikow w aplikacji webowej.

BPH popelnil podstawowy blad - nie zadbal o wystarczajaco silne uwierzytelnianie
uzytkownikow, i autoryzowanie transakcji (jak to robia inne banki za pomoca
SecureID, hasel jednorazowych, hasel-zdrapek itp.) i teraz ponosi tego konsekwencje.

Wszelkie bzdury typu "bank oferuje najwyzszy poziom bezpieczenstwa dla swoich
klientow" - to jest czysty marketing, i nie ma nic wspolnego z rzeczywista ocena
poziomu bezpieczenstwa.

[wqrwiony1]

Gość portalu: A napisał(a):

> Pozwolcie, ze wtrace swoje trzy grosze, gdyz akurat znam sie w miare dobrze na
> temacie.

Wreszcie ktoś pisze coś zgodnego z faktami... ale stosunek idiotów do znających
temat jest i tak zastraszający - stąd włamy do pecetów...

[franzmaurer]

> (klucze priv, certyfikaty) - np. za pomoca spyware, trojanow. Wszystko to, co
> jest pisane na klawiaturze (np. hasla chroniace te certyfikaty) mozna
> przechwycic (key loggers) - programowo lub sprzetowo.

Prosty skrypt "wirtualnej klawiatury" i wszystkie trojany mogą się w tyłek
pocałować :)

[Gość: mk]

To fakt. Nie ma kodow nie do zlamania, a system jest tak bezpieczny jak jego
najslabsze ogniwo, czyli ten chloptas stukajacy w klawiature lub klikajacy mysza
szybciej niz potrafi odczytac to co wklepal. Zabezpieczenia BPH nie rzucaja o
ziemie, ale mozna je poprawic trzymajac
klucz na komputerze lokalnym, a nie w repozytorium banku. A jeszcze lepiej
trzymac go na wymiennym nosniku, ktory wyjmujemy natychmiast po dokonaniu
transakcji. Wtedy nawet przechwycenie hasla do klucza niewiele da, bo klucza
fizycznie nie ma w komputerze.

A Inteligo samo zawyża wypłaty z kont!!!

[Gość: P]

tylko nikt o tym nie pisze, a w dniach 27-29.04.2005 r. wypłaty z bankomatów
były zawyżane, pieniędzy do tej pory nie zwrócili, tłumacąc się nieznanym
błędem.

[Gość: haker]

Czytając powyższe wypowiedzi mogę stwierdzić, że hakerzy mogą spać spokojnie,
wiedza polskiego społeczeństwa na podstawowe zagadnienia IT jest po prostu zerowa.
Pozdrawiam wszystkich lamerów!

[Gość: sid31]

a twoja wiedza jest jaka? z kolejnego numeru komputer świata, napisz coś z
sensem, bo takich mądrali tu pełno łącznie z tymi z g. wybiórczej.

Dlatego wyniosłem się z BPH

[Gość: Laukas]

Nie dość, że za bankowość internetową i kartę płaciłem w BPHu 11 zł (srebrny
sezam), to nie miałem nawet listy haseł jednorazowych na przelewy internetowe.
(Klucz miałem zainstalowany w banku, a nie u siebie, bo często jestem w
rozjazdach, a rachunki muszę płacić) Teraz jestem w mbanku, płacę za każdy
przelew 50 gr, mam za darmo:
1) listę haseł jednorazowych (każde hasło do wykorzystania 1 raz, można
przesyłać forsę na to samo hasło tylko dla przelewów zdefiniowanych, ale co
złodziejom z przelewu do elektrowni lub tepsy?),
2) kartę (niestety visa),
3) dostęp do oferty funduszy inwestycyjnych.
Teraz mogą sobie instalować trojany, nie jestem grubą rybą, żeby najpierw
przesyłali mi trojana a potem robili włam do domu i szukali listy haseł, bo bez
niej nic nie zrobią. A BPH niech wreszcie przemyśli swoje działanie i
przestanie oszczędzać na klientach.

jesli to BPH to b. dobrze...

[asp420]

..i zaraz wyjasnie dlaczego. Czesc polskich bankow z jakas dziwaczym uporem bojkotuje zalecenia zarowno W3C oraz ekspertow od bezpieczenstwa, serwujac wymagany taki zestaw do obslugi konta: Outlook Express (bo wiadomo ze na takim rozsylane reklamowki z banku sie ladnie wyswietlaja!), Internet Explorer (czasem dopuszcza sie jeszcze archaicznego Netscape 4.7) i produkt javopodobny Microsoftu. O innych programach ani slowa. Tymczasem ja, gdy uzywam platformy windowsowej (a wiec takiej jaka uzywa 95% uzytkownikow w Polsce) uzywam odpowiednio: Becky! Internet Mail, Opery i Javy Suna. Czesc bankow to wspiera - przykladem Inteligo czy mBank (nie mam tam najmniejszych klopotow), a czesc jak BPH sabotuje. Ba! kiedys tak bylo w jedym z bankow (przez milosierdzie nie wspomne ktorym) ze nie dalo sie w zaden sposob zalogowac pod oesem innym niz Windows z ww produktami softwarowymi. A wystarczy sie jeszcze troche zabezpieczyc i nic nie bedzie straszne. Nie wymaga to jakis programistycznych umiejetnosci. Na dzis dobry firewall (np. Kerio), antywirus (np. AVG), jakis program przeciw robalom (np. Spybot) i wscibskim (PeerGuardian2 z listami bogonow i innych paskudztw) w zupelnosci wystarcza. Banki nie maja pieniedzy aby wydrukowac to na reklamowkach, lub wrecz rozeslac cos takiego na dyskach swoim klientom?

PS Przyznam, ze bankom zmuszajacym swoich klientow do uzywania wylacznie dziurawych produktow Microsoftu zycze jak najgorzej.

[Gość: mk]

To nie do konca jest prawda. Dla obslugi konta w BPH uzywam Netscape 7.2 + Java
jre 1.5 i nie mam problemow z funkcjonalnoscia. Inna sprawa, to to, ze system
zabezpieczen (w zasadzie jeden klucz do przelewow) niezbyt mi sie podoba. Tyle,
ze ja to robie spod Linuxa, wiec na wirusy jestem raczej odporny.

[Gość: pimpek]

> To nie do konca jest prawda. Dla obslugi konta w BPH uzywam Netscape 7.2 + Java

Tak jest od bardzo niedawna.
Kiedyś (rok temu?), gdy dzwoniłem do nich i pytałem dlaczego nie działają mi ich
strony bankowe w Mozilli, to najbezczelniej w świecie radzili żebym sobie
Windowsy kupił.

A i tak, gdy ich homebanking zaczął mieć kaweł ręki i kawałek nogi,
to konta w tym banku pozamykałem bo mi się nie podobał.

Ile Polaków-tyle opinii informatycznych, a jakże

[Gość: Ile Polaków-tyle o]

Ile Polaków-tyle opinii informatycznych, a jakże. Ja sądzę, że hasło-klucz
z-czytuje swoim mieczem Yoda albo Obi-Wan-Kenobi. Co sądzicie o tym???

[Gość: asia]

Syf - kiła - mogiła...

[Gość: Greg]

Kod 128 bitowy został złamany parę lat temu. Inne miejsca zabezpieczeń są
bardzie kruche. Tak więc ja nie mam dostępu do konta przez internet.
Jedynie w miarę bezpieczne połączenia z bakiem to łączność bezpośrednia
wdzwaniana przez modem. Reszta to obniżanie sobie kosztów przez banki.

[Gość: kuwa]

Niech hakerzy napiszą maila w jaki prosty sposób to zrobili! Niech napiszą do
jakiejkolwiek gazet! BPH błyskawicznie się otrzeźwi i zrobi ze sobą porządek,
inaczej straci klientów... Inne banki przestraszą się i na wyrost coś zrobią - i
o to chodzi!! A tak swoją drogą to gdzie się podział etos hakerski - nie trzeba
chyba kraść, żeby udowadniać (o ile kiedykolwiek istniał...)

[Gość: WW]

Khym... przepraszam, nie chcialbym tu flejma zaczynac, ale co znaczy ze "kod
128 bitowy zostal zlamany"? Po pierwsze panie(pani?) Greg nie kod tylko klucz,
a po drugie co zostało złamane? Jaki szyfr? Bo ze złamania jednego klucza to
nikomu kompletnie nic nie przyjdzie. Jakoś tak się składa, że łamanie brutalne
szyfru RC5 i 64 bitowym kluczem zajęło milionom komputerów na całym świecie na
przełomie wieków coś koło czterech lat, jeśli dobrze pamiętam (pojedynczego
klucza!). Biorąc pod uwagę, że klucz 128 bitowy jest 2 do potęgi 64 razy
trudniej złamać, to nawet biorąc pod uwagę geometryczny postęp mocy
obliczeniowej wg prawa Moore'a to spokojnie można stwierdzić, że złamanie
pojedynczej sesji szyfrowanej kluczem 128 bitowym metodą brutalną zajęło by
pewnie kilkadziesiąt lat (nawet licząc że tendencja podwajania mocy
obliczeniowej z każdym rokiem się utrzyma, w co wątpię) i zaangażowane w to by
musiały być wszystkie komputery w takim państwie jak Polska.

Z drugiej strony rozpisywanie się o jakiśtam zabezpieczeniach super hiper
kluczami 128 bitowymi jest psu na budę, bo tak naprawdę w transakcji SSL
występują dwa rodzaje szyfrów i dwa rodzaje kluczy. Najpierw szyfrem
asymetrycznym uzgadniany jest klucz sesyjny (a próby łamania szyfru
asymetrycznego przy 128b kluczu radzę sobie odpuścić), a dalej transmisja jest
szyfrowana szyfrem symetrycznym, który jest po prostu szybszy (i przy tym
łatwiejszy do złamania). Potencjalny "hakier" może sobie wybrać który z tych
szyfrów złamać

[Gość: Poke 16384,255]

W koncu jakis fachowiec. Pozdrawiam.

[Gość: hm]

hm, a może złodzieje?

a może: internauci zaatakowali internautów ha, ha!

[Gość: hm]

ten proponowany tytuł "Internauci zaatakowali internautów" to w nawiązaniu do
niedawnego tytułu "Fiskus ściaga internautów" (tam chodziło o tych ludzi którzy
handlują przez internet, a nie np. przez telefon)

Ciekwe z jakich systemow operacyjnych :)

[Gość: radek]

Jestem przekonany, ze taki bank ma szczegolowe statystyki:
- z jakich systemow operacyjnych korzystaja klienci
- z jakich przegladarek korzystaja klienci
Ciekawe jak sie ma porownanie tych statystyk z danymi
o klientach, ktorych okradziono... :)

[Gość: Jacek]

Na pewno 80% korzystało z IE i Windowsa

[meerkat1]

To nie ma wiekszego znaczenia.
NB ze zdziwieniem dowiedzialem sie, ze Poslce banki uzywaja jeszcze kodu 128
bitowego.

Amerykanskie juz planuja przejscie z 256 bitowego na 512!

A poza tym- szczytanie danych z bezposrednio z klawiatury nie nastrecza dzis
wiekszego problemu.
FBI i NSA od ladnych paru lat podsylaja "nyske" pod auto podejrzanego mafioso i
sczytuja kazde pukniecie w klawisz.

Dlatego ich wlasni agenci, podobnie jak agenci CIA " w polu" od razu wpisuja
informacje kodem i przesylaja mikrofalowo w wysokiej kompresji (kilka
milisekund).
Troche uciazliwe i dosc kosztowne, ale przynajmniej bezpieczne!

[Gość: digitalek]

fajnie! dzieki za cynk. ludzie beda wiedzieli gdzie nie lokowac swojej kasy :)

[Gość: koko33]

A jak tam CItibank?
Kiedyś miłem konto w Citibanku i pamiętam jak uruchomili obsługe kont przez
internet i kiedy sie zalogowałem to aż zimne poty mnie oblały!
Zadnych zabezpieczeń nie było! Tylko login i hasło z z opcją zapamiętania
urzytkownika do zaznaczenia!!! Czympredzej wyniosłem sie do mBanku i Inteligo i
nie mam żądnych klopotow z nimi.Lista hasel jednorazowych w szufladzie Firefox
zamiast prymitywnego Internet Expolorera,firewal Sygate,antyvir
Kasperski,SptBot,AdAware i żaden hacker nie podskoczy!
Od dwóch lat odkad mam ten komputer i ww.programy ,nie mialem ani jednego robaka!!!
Czy ktoś wie co tam chłopaki z Citibanku zmienili,czy dalej jest średniowiecze?

[Gość: koko33]

A jak ktoś ma nadwyżki finansowe na koncie to polecam zakladanie lokat terminowych.

[wqrwiony1]

Gość portalu: koko33 napisał(a):

> A jak tam CItibank?

Wciąż tak samo - zero zabezpieczeń.

[Gość: mt]

jeżeli został zainstalowany na stacji program szpiegowski i ne zauważyłeś tego,
może on wysłać praktycznie dowolne informacje z dysku lokalnego - łącznie z
kluczem. jeśli jeszcze keylogger zapisał tekst który wpisywano podczas
wykorzystywania klucza to ma on to, co u ważasz za pełne zabezpieczenie.
zabezpieczenia ssl działają na połączeniu internetowym/sieciowym, a nie szyfrują
danych podczas działania na lokalnej maszynie
wielu problemów można uniknąć stosując system ntfs i usuwając prawa dostępu do
ważnych plików dla innych użytkowników (zakładam że stosujesz jakiegoś Wind...)
Pozdrawiam - mt

[pdemb]

W gruncie rzeczy najbezpieczniej byłoby łączyć się z bankiem po uprzednim wystartowaniu komputera z dostarczanego przez bank CD-ROMu zawierającego pełny system operacyjny wraz z oprogramowaniem klienckim. Tylko takie podejście wymagałoby od użytkownika przyjęcia do wiadomości, że jego komputer nie jest całkowicie bezpieczny :)