- Az EU Trump ellenére sem változtat a big tech elleni szigoron, nincs visszalépés
- Elon Musk kezébe adnák az amerikai TikTokot
- Nem tetszik az EU-nak az új díj, amit az Apple a fejlesztők vállára tesz
- Egy hibás appfrissítés miatt távozott a vezérigazgató
- Csoportos keresetek tömegeit zúdítják a tech cégekre a britek, az Apple az első
Új hozzászólás Aktív témák
-
ArchElf
addikt
Ettől a csalástól csak azok a bankok védettek, ahol a bank állít ki (vagy regisztrálja az ügyfél már meglevő) személyes cetrificate-jét, és a kapccsolat felépítéshez az is kell (nem csak a szerver oldali certificate).
A képzeletbeli folyamat így néz ki:
Vajon mit véglegesített az ügyfél?
AE
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
bobsys
veterán
De meg mindig nem ertem, hogy ha utalok akkor kapok egy kodot ami csak az arra az egy utalasra fog vonatkozni. Azzal mas utalast nem tudnak kezdemenyezni hiaba lesz meg nekik.
Masik kerdesem, hogy a bank altal kiadott certificatet meg lehet hamisitani ugy hogy a bongeszo ne sikitson? Hiszen mondjuk az OTP certificatjet a Verisign adja.
szerk: mondjuk pont nem ilyen banknal vagyok, de en nem a main siterol megyek, ha kozvetlen a netbank sitera
[ Szerkesztve ]
Enterprise Admin? Kirk kapitany leszel? - Ne törődjél semmivel, egyél zsömlét kiflivel
-
ArchElf
addikt
Természetesen meg fog jönni, mivel a fake site routolja a HTTP kérésed a netbank felé ("tisztességes" https formában) és az eredmény pedig visszadobja neked (akár kicsit formázott változatban). Tehát belépsz a netbankba, de úgy, mintha http proxy-t használnál. Csak itt a "proxy" az SSL-t is kibontja és titkosítatlanul küldi tovább neked (vagy akár titkosítva, a saját oldalán érvényes SSL kuccsal).
AE
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
#27
ArchElf
addikt
TheVeryGuest
#26
ArchElf
addikt
válasz
TheVeryGuest
#26
üzenetére
Unicredit ugyanez, de pl a BB-nél a jelszó és a mobil kód is kell belépéshez (ergo a számlaegyenleg sem megtekinthető a mobil kód nélkül). Másrészt ezek a védelmi intézkedések egyáltalán nem védenek a cikkben leírt MITM támadások ellen, hiszen a felhasználó kezdeményezi a belépést, és ő konfirmálja le a belépést/tranzakciót a számára (mobiljára) kiküldött kóddal.
Az igazi védelem csak az, ha az egyszeri kód (tranzakcióhoz) a tranzakció adataiból generálódik, és az a felhasználó generálja, vagy azt ellenőrizni is tudja (legbiztonságosabb esetben egy másik eszközön - mondjuk egy billentyűzettel ellátott OTP generátoron, ahol az OTP jelszóhoz a pin kód a számlaszám és az összeg adataiból tevődik össze)AE
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
#26
TheVeryGuest
senior tag
Lenry
#24
TheVeryGuest
senior tag
Mondjuk az OTP-é szerintem az egyik legbiztonságosabb szisztéma, 1db user ID, 1 dbg szlasz, meg 1 db jelszó kell a belépéshez + az SMS-ben érkező konfirmáló kód minden komoly tranzakció előtt. Máshol meg user ID + dupla jelszó van: az egyikkel belépsz, a másik a tranzakció konfirmálja. Ergó ha csak ránéz az ember a szla-jára akkor még nincs veszve semmi.
“Perfection is attained not when there is nothing more to add, but when there is nothing more to remove” Antoine de Saint-Exupéry
-
#25
ArchElf
addikt
attila9988
#23
ArchElf
addikt
válasz
attila9988
#23
üzenetére
Ha a banknak kell az ő pénzük is, akkor igenis teremtsen biztonságos körülményeket a szolgáltatások mellé.
Megnézném, hogy pl te hogyan tudnál egy számodra ismeretlen ember ismeretlen operációs rendszerben futó ismeretlen alkalmazását távolról biztonságossá tenni.
Na jó ez kicsit túlzás, de tény az, hogy bármilyen operációs rendszer alatt, ahol elfut egy (jobb esetben SSL képes) böngésző, ott simán lehet netbankolni. Amennyiben pedig a bank kizárná a "pecseletlen" és "biztonságos" felhasználókat a köreiből, akkor szerintem bizony elég erőteljesen megcsappanna az ügyfélállomány az elektronikus termékeknél. Nem beszélve arról a plusz költségről, amivel egy ilyen "biztonságot ellenőrző" rendszer kifejlesztése és folymatos frissen tartása (plusz bizonsági felülvizsgálata, stb.) kerülne...Vagy esetleg úgy gondolod, hogy a bank biztosítson egy jogtiszta, folymatosan pecselt operációs rendszert minden (idióta) ügyfél számára, áruljon vírusírtót, tűzfalat, legyen kint a weboldalán az összes ismertebb webböngészó legfrisebb verzója? Esetleg a telebank lásson el szoftver és hardver-tanácsadást is?
Amúgy az esetek nagy részében egyszerű a szkennárió:
1) az ügyfél gépe nem volt megpecselve, vagy fizikailag hozzáfér egy rosszindulatú harmadik személy (pl nincs jelszó a gépen), esetleg adathalász támadás áldozata lesz
2) eltűnik egy kevés/sok pénz
3) ügyfél kárigényt jelent be a bank felé, amit ha a bank elutasít: az ügyfél sírva elkocog a PSZÁF-hoz, aki kiküld két IT auditort, és megállapítják a bank felelősségétAE
[ Szerkesztve ]
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
#24
Lenry
félisten
attila9988
#23
Lenry
félisten
válasz
attila9988
#23
üzenetére
küldök az egybites idiótának egy mailt az OTP nevében, egy OTP-sre hasonlító linkkel, hogy ha ide megadja az adatait, a számlaszámát stb, akkor jó lesz neki... ha van olyan hülye, akkor megadja, én meg jól ellopom az összes pénzét...
az OTP ez ellen hogy tud védekezni? sehogy, mert az égvilágon semmi köze nem volt hozzá, nem lehet az OTP-é a felelősség, mert a user volt balfasz...
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
#23
attila9988
őstag
moonman
#22
attila9988
őstag
bocs, de most akkor a hüjéket támogatjuk?
Az ügyfeleket. Ha pedig azok többségében hülyék, akkor igen, azokat. Márpedig szerintem a potenciális ügyfeleknek csak kis százaléka értelmiségi ember. Ha a banknak kell az ő pénzük is, akkor igenis teremtsen biztonságos körülményeket a szolgáltatások mellé.
Egyébként is piszkosul bonyorult dolog eldönteni egy ilyesfajta bűncselekmény után, hogy pontosan kié is a felelőség.
[ Szerkesztve ]
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
-
#22
moonman
titán
attila9988
#20
moonman
titán
válasz
attila9988
#20
üzenetére
bocs, de most akkor a hüjéket támogatjuk? ez szöges ellentétben áll az evolúcióval.
-
moonman
titán
szerintem is csak akkor kéne a banknak felelősséget vállalnia, ha bizonyíthatóan az ő hibájából került adat illetéktelenek kezébe. ha egy lúzer szarrá fertőzi a gépét, aztán egy phishing akcióval sikeresen belép a https://optbakn.hu/login.php oldalra, az legyen már a user baja.
-
#20
attila9988
őstag
L3zl13
#19
attila9988
őstag
Legalábbis azoké akikbe szorult csöppnyi értelem
És mit gondolsz az ügyfelek hány százaléka tartozik abba a csoportba? Manapság amikor a legtöbb ügyfélnek csak azért van bankszámlájára, mert oda kapja a fizetését, vagy a segélyt.
Béna vagy és egy kamu levélre elküldöd a bankszámla adataidat,
Itt is adott a kérdés. Miért kéne mindenkinek annyira "okosnak" lennie? Ő azt látja hogy a bank oldalán be kell gépelni az adatait. Mégis miből kellene tudnia hogy az nem a valódi lap? Kellőképp ügyes másolat téged is megtéveszthet, mikor rutinból nyomkodod a gombokat, hogy elintézhesd a pénzügyeidet..
Igenis a bank felelősége hogy a kínált szolgáltatásai biztonságosak legyenek. Ha nem így lenne, elég sok ember megélhetése kerülhetne veszélybe egy szerencsétlen tévedés után. Majd ha ellopják a pénzedet, lehet hogy te is hasonlóképpen fogsz vélekedni..
[ Szerkesztve ]
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
-
#19
L3zl13
nagyúr
attila9988
#18
L3zl13
nagyúr
válasz
attila9988
#18
üzenetére
Így van jól?
Béna vagy és egy kamu levélre elküldöd a bankszámla adataidat, mire lenyúlják a pénzedet és ez a bank hibája?
"Arról nem is beszélve, hogy az emberek bankok felé tanúsított bizalma milyen mértékben rendülne meg egy egy komolyabb eset után."
Szerintem az emberek bankok felé tanusított bizalma inkább akkor rendül meg, ha a bank hibájából lopják el a pénzüket, és nem akkor, ha a saját hibájukból.
Legalábbis azoké akikbe szorult csöppnyi értelem.
Aki hülye, haljon meg!
-
#18
attila9988
őstag
ArchElf
#17
attila9988
őstag
Ilyen esetekben általában a sztenderd mondás, hogy a szolgálató túl sok felelősséget ruházott át az ügyfélre.
És ez így van jól. Ha minden felelősséget át lehetne ilyen ügyekben "passzolni" az ügyfélre, akkor képzelheted hogy a bank ügyvédhadserege minden esetben elintézné hogy ne kelljen felelniük a saját hibáikért sem. Arról nem is beszélve, hogy az emberek bankok felé tanúsított bizalma milyen mértékben rendülne meg egy egy komolyabb eset után.
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
-
ArchElf
addikt
[OFF]"általában a szolgáltató felel a sok egybites felhasználó hülyeségeiért"
mármint?[/OFF]
Mármint a PSZÁF a bankokkal szemben az ügyfelet részesíti előnyben még olyan helyzetben is, amikor egyértelműen a felhasználó felelőssége a saját biztonságának megteremtése és megőrzése. Ilyen esetekben általában a sztenderd mondás, hogy a szolgálató túl sok felelősséget ruházott át az ügyfélre.
Általában pedig, amikor (egy támadás, trójai, phishing következtében) a felhasználók gépe kompromittálódik (amihez ugye a banknak nem sok köze lenne), akkor is a neki kell leállítani a szolgáltatást (pdig az ügyfelek nagyobb része azért szeretne pl. tranzaktálni, és nagyobb mértékű ügyfél veszteség esetén a kártérítést is meg szokták ítélni). Szerencsére az ilyen eset nem túl gyakori (de előfordult már idehaza is, csak ezek az esetek nem kapnak túl nagy publicitást).
Amúgy pl a bankkártyás üzletágban a felhasználó felelőssége 40.000 forintig terjed ki (lehet, hogy már kicsit több, nem követem azért annyira a bankkártyás sztenderdeket), a többit a pénzintézetnek kell állnia, kivéve, ha egyértelműen be tudja bizonyítani, hogy az ügyfél súlyosan gondatlanul járt el (pl pinkód a kártyán). Ez azonban igen nehezen bizonyítható.AE
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
ArchElf
addikt
Semmi új nincs ebben. Ismerős körökben már kb 3 éve ezt szajkózom... Azt sem mondhatnám, hogy nagy újítás lenne a perjeles trükk, főleg mióta a DNS megengedi a Unicode karaktereket...
Érvényes tanúsítványt meg bármilyen site-ra lehet szerezni ha egyszer fake (ha egy akármi.cn, vagy akármi.nu kell az embernek). Nincs ebben semmi feltörés, csak egy kis megtévesztés. Már rég rájöttek erre, sokkal egyszerűbb a júzereket átverni, mint a rendszereket feltörni. A gond csak ott van, hogy általában a szolgáltató felel a sok egybites felhasználó hülyeségeiért.AE
[ Szerkesztve ]
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
#06658560
törölt tag
Ezentul ha te irsz valamit tuntetoleg kivonulunk a terembol. CSak bambano meg moonman marad benn, kepviselni minket.
Akkor amennyiben a htttps-sel kezdem a cimet semmi gond nem lehet ezzel?
Ha midnenfele http nelkul irok be cimet akkro az mit ad talalatnak? PL bank eseteben? Asszem otpnel ilyenkor mitnha egybol a https oldal jonne be, de igy ezzel ketelkedni kezdtem, hogy az elegseges.. -
Puma K
nagyúr
Ehh... Már majdnem elkezdtem lementegetni az e-maileket gmailről meg a többi helyről... Lassan ott tartunk hogy nem lehet a gépünkön semmi bizalmas információ hanem papirra kell írni a fontos dolgokat
"kiberattak" Ez a kifejezés pedig új nekem, de aranyos
"Cuccok: csattogós lepke és tiki-taki" └[ʘヘʘ]┘
-
#8
Hedgehanter
őstag
Hedgehanter
őstag
Nekem is megallt a szivveresem hogy feltortek az SSL-t magat... Mar majdnem elkezdtem torolni az accountjaimat....
-
WN31RD
addikt
Pontosan ez jött le nekem is, bár nem volt még időm alaposabban belenézni a dologba. Ez lehet nagyon nagy jelentőségű biztonsági probléma, lehet esetleg különféle, többek között SSL/TLS technológiával védett, weboldalaknak, mint komplex rendszereknek, a feltöréséről beszélni, de ez nem magának az SSL/TLS-nek a feltörése.
''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
-
moonman
titán
elolvastam, épp ott ötlött fel bennem a kétely, amikor azt taglalta, hogy https szájtokra legtöbbször nem úgy jut el a user, hogy beírja: https, hanem kattint egy http oldalon. tehát a trükk még titkosítatlan állapotban történik. ennek szerintem nem sok köze van magához a https protokollhoz meg az ssl feltöréséhez, az eredeti lappal nem történik semmi, a user egy kamu szerveren jár egy hamis tanúsítvánnyal a kezében.
-
rennes6
tag
Új hozzászólás Aktív témák
it Nyílik a lakat a biztonságosnak mondott weboldalakon – leáldozott az SSL-lel fedezett banki tranzakcióknak?
- Akció! Dell Latitude E6430 laptop (14/i5-G3/8GB/256SSD/AkkuX) - 1 év garancia, 27 % számla
- Wacom Cintiq 16 FHD (DTK-1660) digitalizáló tábla
- Denon AVR X2600H erősítő + Jamo S809 5.0 Hangfalszett
- Géjmer Keychron M3 vezeték nélküli egér
- Akció! Dell Latitude E6230 laptop (12,5/i5-G3/8GB/256SSD) - 1 év garancia, 27 % számla