pbz internet bankarstvo
Vuletic Darko
koristenja bankarstva - defakto tjerajuci te da uzmes istu stvar
samo dvostruko skuplje?
Evo do sada sam imao optimu, 4kn/mj i za sve sto trebam mi je
bila odlicna. Sad cu morat preci na pbz@net ili kako se vec zove
po istoj cjeni do kraja 9.mjeseca, nakon toga ce bit 8kn/mj - za
istu stvar?!
Jebo me pas ako ne promjenim banku, samo neznam u koji prec jer
imam osjecaj da je sistem svugdje isti? - Komentari, prijedlozi?
Saąa J. Milec
bankama. Imam paket u Hypo za 24,5 Kn ali uključuje joą VISA karticu uz
bankarstvo na token.
"Vuletic Darko" <Vuleti...@Gmail.com> je napisao u poruci interesnoj
grupi:goo6k9$8qa$1...@ss408.t-com.hr...
Vuletic Darko
> Ja sam jučer vidio obavijest... Baą iritantno! Ne znam kak
> je u drugim bankama. Imam paket u Hypo za 24,5 Kn ali
> uključuje joą VISA karticu uz bankarstvo na token.
Daj reci jel taj Hypo paket je 25kn/mj ili godisnje? Ovaj u PBZu
ce biti cca 100kn/god.
BTW: jel ima kakva udruga ili neki freak da se moze na jednom
mjestu naci naknade i cjenici usluga banaka na nasim prostorima?
Saąa J. Milec
Vidi http://www.hypo-alpe-adria.hr/bank/prikaz.asp?txt_id=1920
"Vuletic Darko" <Vuleti...@Gmail.com> je napisao u poruci interesnoj
grupi:goo8o6$drn$1...@ss408.t-com.hr...
Antac
"Vuletic Darko" <Vuleti...@Gmail.com> wrote in message
news:goo6k9$8qa$1...@ss408.t-com.hr...
> jel smiju banke samo tako odluciti ukinuti neki "model" koristenja
> bankarstva - defakto tjerajuci te da uzmes istu stvar samo dvostruko
> skuplje?
> Jebo me pas ako ne promjenim banku, samo neznam u koji prec jer imam
> osjecaj da je sistem svugdje isti? - Komentari, prijedlozi?
da ja sam isto poludio kad sam vidio...isto razmisljam o drugoj banci ali
neznam kojoj...kolko vidim tu su svi negdje vise manje sa cjenama...
da bit ce 8kn/mj i nece biti limita od 1000kn dnevno....nego znate mozda da
li cemo token dobiti?
Eddie
> Ja sam jučer vidio obavijest... Baš iritantno! Ne znam kak je u drugim
> bankama. Imam paket u Hypo za 24,5 Kn ali uključuje još VISA karticu uz
> bankarstvo na token.
Meni ide na jetra sto vise necu bit u mogucnosti obaviti najjednostavniju
mogucu akciju provjere stanja racuna kad god mi padne napamet. Naravno da
nemam namjeru vucarati sa sobom citac kartica kud god da idem.
--
PGP: 0x53993A49 | ICQ: 143113559
When freedom is outlawed only outlaws will have freedom.
Saąa J. Milec
"Antac" <an...@ckscena.com> je napisao u poruci interesnoj
grupi:gop0t8$acg$1...@news2.carnet.hr...
krofak
"Vuletic Darko" <Vuleti...@Gmail.com> je napisao u poruci:
> jel smiju banke samo tako odluciti ukinuti neki "model" koristenja
> bankarstva - defakto tjerajuci te da uzmes istu stvar samo dvostruko
> skuplje?
> Evo do sada sam imao optimu, 4kn/mj i za sve sto trebam mi je bila
> odlicna. Sad cu morat preci na pbz@net ili kako se vec zove po istoj cjeni
> do kraja 9.mjeseca, nakon toga ce bit 8kn/mj - za istu stvar?!
Naľalost, Optima i Lite usluge su MORALE biti ukinute, radi nove regulative
HNB-a koja definira standarde autorizacije kod internet bankarstva.
Pozdrav,
krofak
Antac
"krofak" <darko.makn...@gmail.com> wrote in message
news:gort6t$o58$1...@ss408.t-com.hr...
> Nažalost, Optima i Lite usluge su MORALE biti ukinute, radi nove
> regulative
> HNB-a koja definira standarde autorizacije kod internet bankarstva.
da to sam i ja mislio...zbog sigurnosti...al stvarno je ovo bilo prakticno s
pin-om sad cemo svi imati token
Eddie
> Nažalost, Optima i Lite usluge su MORALE biti ukinute, radi nove regulative
> HNB-a koja definira standarde autorizacije kod internet bankarstva.
Dok god ih zamijeni nesto uz sto necu morati koristiti citac kartica 24/7,
ja sam zadovoljan. A cini se da ce biti. Dobio ovaj mail od PBZ sluzbe za
korisnike:
Za sad Vam možemo ponuditi samo PBZ365@NET uslugu.
Međutim, u fazi testiranja je mPBZ, internetsko bankarstvo za mobilne
uređaje. Uvođenjem mPBZ usluge ćemo našim klijentima ponuditi veću
neovisnost (nema potrebe za korištenjem PC-a, nije potrebno imati uza sebe
kartice i autorizacijski uređaj) i mogućnost odabira usluge prema vlastitim
potrebama.
Nažalost, u ovom trenu Vam ne možemo reći kad će mPBZ biti ponuđena
klijentima.
krofak
"Eddie" <edim...@makni.inet.hr> je napisao:
> Međutim, u fazi testiranja je mPBZ, internetsko bankarstvo za mobilne
> uređaje. Uvođenjem mPBZ usluge ćemo naąim klijentima ponuditi veću
> neovisnost (nema potrebe za koriątenjem PC-a, nije potrebno imati uza sebe
> kartice i autorizacijski uređaj) i mogućnost odabira usluge prema
> vlastitim
> potrebama.
>
> Naľalost, u ovom trenu Vam ne moľemo reći kad će mPBZ biti ponuđena
> klijentima.
Mogu potvrditi da mail nije samo generički odgovor koji se ąalje
klijentima:)
Radi se o tome da će se klijentima koji to ľele ponuditi komad softwarea
koji se instalira na mobitel i koji sluľi za generiranje zaporki, tako da
viąe neće biti potrebe za posjedovanjem tokena.
Usluga se ozbiljno testira, zaposlenici je već mogu koristiti, i trebala bi
postati
dostupna klijentima vrlo uskoro.
Pozdrav,
krofak
Eddie
> Mogu potvrditi da mail nije samo generički odgovor koji se šalje
> klijentima:)
:)
> Radi se o tome da će se klijentima koji to žele ponuditi komad softwarea
> koji se instalira na mobitel i koji služi za generiranje zaporki, tako da
> više neće biti potrebe za posjedovanjem tokena.
A sto je s citacima kartica? Kako ce to izvesti pomocu aplikacije?
> Usluga se ozbiljno testira, zaposlenici je već mogu koristiti, i trebala bi
> postati dostupna klijentima vrlo uskoro.
Vidim da si upoznat sa materijom. Znas li hoce li biti kakvih naknada za
koristenje?
Duba
> krofak <darko.makn...@gmail.com> wrote:
>> Radi se o tome da će se klijentima koji to žele ponuditi komad softwarea
>> koji se instalira na mobitel i koji služi za generiranje zaporki, tako da
>> više neće biti potrebe za posjedovanjem tokena.
>
> A sto je s citacima kartica? Kako ce to izvesti pomocu aplikacije?
Sama aplikacija ima u sebi "token" koji zamjenjuje hardware koji se
koristi za autorizaciju na PBZ365@NET. Potrebno je samo unijeti pin (u
koristenjima nakon prve autorizacije) i unutra si.
>
>> Usluga se ozbiljno testira, zaposlenici je već mogu koristiti, i trebala bi
>> postati dostupna klijentima vrlo uskoro.
>
> Vidim da si upoznat sa materijom. Znas li hoce li biti kakvih naknada za
> koristenje?
Biti ce ali kolike ce biti ne zna se :)
Plus, preporuka je koristenje nekog data paketa da ne bi bilo iznenadjenja
s racunom mobilnog operatera. Opcija je i wlan, naravno.
Matija Nalis
> On Sat, 7 Mar 2009 16:31:37 +0100, Eddie wrote:
>
>> krofak <darko.makn...@gmail.com> wrote:
>>> Radi se o tome da će se klijentima koji to žele ponuditi komad softwarea
>>> koji se instalira na mobitel i koji služi za generiranje zaporki, tako da
>>> više neće biti potrebe za posjedovanjem tokena.
>>
>> A sto je s citacima kartica? Kako ce to izvesti pomocu aplikacije?
>
> Sama aplikacija ima u sebi "token" koji zamjenjuje hardware koji se
> koristi za autorizaciju na PBZ365@NET. Potrebno je samo unijeti pin (u
> koristenjima nakon prve autorizacije) i unutra si.
Zvuci kao recept za katastrofu.
Umjesto epoxom zalivenog hardvera koji je prilicno otporan na reverse
engineering, imas softver (i to vjerojatno u javi!), iz kojeg je uz malo
truda moguce izvuci algoritam ako imas pristup na pol minute do mobitela.
Jos gore, posto je mob internet connected a ne fizicki odvojen kao token,
odjednom te moze napasti remotely, bez da ti mora fizicki maznuti token.
Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
racunalu i username/password kombinacije. Lose.
--
Opinions above are GNU-copylefted.
kn
> "Saša J. Milec" <sasa....@vz.htnet.hr> wrote:
>
>> Ja sam jučer vidio obavijest... Baš iritantno! Ne znam kak je u drugim
>> bankama. Imam paket u Hypo za 24,5 Kn ali uključuje još VISA karticu uz
>> bankarstvo na token.
>
> Meni ide na jetra sto vise necu bit u mogucnosti obaviti najjednostavniju
> mogucu akciju provjere stanja racuna kad god mi padne napamet. Naravno da
> nemam namjeru vucarati sa sobom citac kartica kud god da idem.
>
Pa ostaje ti onaj lite koji je besplatan, otvori si to (mozes imat
obadvoje). Onda s jmbgom i lozinkom se mozes ulogirat i vidjet sve sto
inace mozes vidjet na pbz internet bankarstvu.
kn
Aha. Vidim sad da ce i to ukinut.
Eddie
> Zvuci kao recept za katastrofu.
>
> Umjesto epoxom zalivenog hardvera koji je prilicno otporan na reverse
> engineering, imas softver (i to vjerojatno u javi!), iz kojeg je uz malo
> truda moguce izvuci algoritam ako imas pristup na pol minute do mobitela.
>
> Jos gore, posto je mob internet connected a ne fizicki odvojen kao token,
> odjednom te moze napasti remotely, bez da ti mora fizicki maznuti token.
>
> Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
> racunalu i username/password kombinacije. Lose.
Uzeo mi rijeci iz prstiju :)
Aleksandar Ivanisevic
[...]
> Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
> racunalu i username/password kombinacije. Lose.
Ne bi se ja zalijetao. Ocito je to nesto bazirano na kontaktu sa
serverom, ala RSA securID token, koji isto postoji za mobitele i
pdaove.
--
To sto si frustriran, zavidan tko zna na cemu i sto ne vidis dalje od
svoje guzice je tuzno. Da onda barem imas toliko samokontrole da
sutis umjesto da pravis budalu od sebe... izgleda da si prestar da se
promjenis na bolje. - Davor Pasaric, hr.comp.mac
Duba
> Zvuci kao recept za katastrofu.
NIje PBZ izmislila toplu vodu, ima banaka koje vec nude takvu uslugu. Pa se
malo informiraj prije nego pocnes najavljivati katastrofu.
krofak
"Matija Nalis" <mnali...@voyager.hr> je napisao:
> Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
> racunalu i username/password kombinacije. Lose.
Ti mi pokazi apsolutno siguran sistem, i ja cu ti pokazati covjeka
koji ce dokazati da to nije :) Da bi se dogodio najcrnji scenarij
koji ti predvidjas, netko bi ti trebao prvo ukrasti mobitel, a nakon
toga znati i tvoj pin. Ocigledno, to je sigurnije od spomenutih
usluga koje se ukidaju i za koje je bilo dovoljno znati samo pin,
a na istoj je razini sigurnosti sa bilo kojom debitnom karticom
(ako nekome ukrades debitnu karticu i znas njegov pin, isto mozes
raspolagati sredstvima). S obzirom na milijunski broj debitnih kartica
koje su u opticaju i zanemariv broj fraudova, sistem se ocigledno moze
nazvati sigurnim.
Koristenje navedene usluge je ionako proizvoljno, tako da oni kojima
se ne svidja ili pak sumnjaju u nju, jednostavno je ne moraju koristiti.
Medjutim, argumentacija o nedovoljnoj sigurnosti jednostavno ne stoji.
Napominjem jos jednom, kompletna rasprava je krenula oko protesta
radi ukidanja Optime koja je imala nizu razinu sigurnosti, a ljudi su
ocigledno bili njome zadovoljni :)
Pozdrav,
krofak
Matija Nalis
Ima banaka koje funkcinioraju na sistemu username/password. Recimo vecina amerike.
To medjutim niposto ne znaci da je to sigurno (nego ima hrpetina drugih
razloga, mahom vezanih uz direktne i indirektne troskove prelaska na nesto
sigurnije).
Igor Batinic
Zbog toga HNB-u i bankama treba odati priznanje.
Uzivajte,
Iggy
Matija Nalis
> "Matija Nalis" <mnali...@voyager.hr> je napisao:
>
>> Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
>> racunalu i username/password kombinacije. Lose.
>
> Ti mi pokazi apsolutno siguran sistem, i ja cu ti pokazati covjeka
> koji ce dokazati da to nije :) Da bi se dogodio najcrnji scenarij
Apsolutno siguran sistem ne postoji. Moja poanta je bila da je "javusa na
mobitelu" *znacajno* manje sigurna od klasicnog tokena.
> koji ti predvidjas, netko bi ti trebao prvo ukrasti mobitel, a nakon
Ne, to je upravo razlika od tokena. Ne bi ti ga morao ukrasti (kao za
token), nego je dovoljno provaliti na njega.
Provaliti na uredjaj koji je spojen na 'net, hmmmm...
Provaliti na uredjaj koji je spojen na net nije neki ogromni problem niti
kada se radi o tehnologiji koju zadnjih 10ak godina aktivno pokusavaju
zastititi od toga (kao desktop PCi raznih vrsta i oblika npr.), a kamo li na
neki uredjaj kojem takva vrsta sigurnosti nije bila niti u prikrajku malog
mozga prilikom dizajna i implementacije (kao sto je prosjecni mobitel).
> toga znati i tvoj pin.
Ili, alternativno, nakon sto ti je provalio na mobitel preko 'neta, treba
instalirati keyloger koji ce mu PIN promptno dojaviti prvi put kada ga ti
ukucas. Taj "sitni" detalj cini *ogromnu* razliku (kao i onaj drugi o
hardverom zasticenim seedom/algoritmom u tokenu, za razliku od trivijano
reverseenineerabilnom komadu softvera na general purpose racunalu kao sto je
mobitel ili PC).
Dakle samom cinjenicom da tvoj mob ima neku rupu u softveru (a ima) i da je
spojen na Internet (a je, po definiciji mobilnog IBa), napadac lagano
posjeduje:
1) algoritam razmjene podataka (reverse engineeringom mob. aplikacije,
najvjerojatnije potrebno samo jednom po banci -- beskonacno jednostavnije
nego kradja tokena, te pokusaj vadjenja cipa ispod epoxya i razvaljivanja
istog)
2) tvoj privatni kljuc (najcesce jednostavnim pristupom storageu na
mobitelu, ciju lokaciju je saznao reverse engineeringom gore -- takodjer
beskonacno jednostavnije nego kradja tokena, pokusaj vadjenja cipa ispod
epoxya i razvaljivanja istog, i to sve *prije* nego ti primjetis da ti je
token ukraden i terminiras ga te dobijes novi token s novim kljucem !
Problem sa softverom je sto neces nikad niti skuziti da je "ukraden" - to
je fundamentalna razlika izmedju hardvera i softvera, ovaj drugi se
trivijalno lako kopira bez tvog znanja, za razliku od kradje fizickog
tokena sto obicno vrlo brzo primjetis)
3) tvoj PIN kojim je zasticen tvoj privatni kljuc (sa vrlo jednostavnim
keyloggerom -- i po treci put, opet beskonacno lakse nego da te spijunira
vrhunskom spy opremom s druge zgrade dok ti doma ukucavas pin ispred
racunala).
Ukratko, nakon samo *jednog* uspjesnog napada preko Interneta u bilo kojem
trenutku u vremenu, napadac TRAJNO posjeduje SVE sto mu je potrebno da se
neogranicen broj puta, potpuno nevidljivo (nerazlucivo od tebe), prijavljuje
na internet bankarstvo i trosi novce i opcenito radi sto god hoce pod tvojim
identitetom. (sve dok ne otkazes/promijenis uslugu).
Dakle da sumariziramo:
- mobitel varijanta tokena: bez da primjetis, netko preko neta provali na
tvoj mob (pun sigurnosnih rupa... mislim, jos se uopce nije pocelo niti
pricati/reklamirati sigurnost na mobovima, a kamo li implementirati!)
i ima sve tvoje podatke i trosi novce u tvoje ime kada zazeli.
- klasicna varijanta tokena: netko ti mora ukrasti token, izvuci hardver
ispod epoxya *I* razvaliti ga, i to sve u vremenu *PRIJE* nego ti primjetis
da ti je ukrao token (inace mu sve pada u vodu). Oh, da, i *OSIM* toga,
mora ti neprimjetno provaliti doma i postaviti neprimjetnu spijunsku
opremu na par strateskih mjesta [0 ]kako bi imao SANSU da ti vidi PIN
dok ga unosis u token.
Sto mislis, koja je od tih mogucnosti vjerojatnija, i za koliko redova
velicine ? :)
> Ocigledno, to je sigurnije od spomenutih usluga koje se ukidaju i za koje
> je bilo dovoljno znati samo pin, a na istoj je razini sigurnosti sa bilo
> kojom debitnom karticom (ako nekome ukrades debitnu karticu i znas njegov
> pin, isto mozes raspolagati sredstvima).
Postoji ogromna razlika izmedju "fizicki ukrasti nekome stvar" i "provaliti
na nesto preko neta". Kada mobitel ne bi imao nikakvu mogucnost spajanja na
Internet, onda bi se vecinom slozio sa tobom. Recimo da imas PDA (bez mrezne
povezanosti, kao stari PALMovi recimo) i na njemu neki OTP software.
Jos uvijek bi tobilo dosta losije nego specijalizirani hardware kao sto je
token (zbog znacajno jednostanvnijeg reverse engineeringa, koji preskace
probleme 1 i 2 navedene gore), ali svakako beskonacno bolje nego autorizacijski
uredjaj povezan na Internet (kao sto je mobitel sa softverom za internet
bankarstvo) koji preskace sve potrebne tocke 1,2 i 3.
> Koristenje navedene usluge je ionako proizvoljno, tako da oni kojima
> se ne svidja ili pak sumnjaju u nju, jednostavno je ne moraju koristiti.
Naravno. Ovo moje je bilo samo pojasnjavanje ljudima da mogu donjeti
informiraniju odluku.
> Medjutim, argumentacija o nedovoljnoj sigurnosti jednostavno ne stoji.
Da li je nedovoljna je tesko reci. Hrpetina ljudi ima PIN kartice na
papiricu u novcaniku odmah uz karticu karticu i sl. Za vecinu njih je to
dovoljno sigurno.
Paralelno, hrpetina bakica sa cekerima pretrcava dubrovacku aveniju, i za
vecinu njih je to takodjer dovoljno sigurno :)
> Napominjem jos jednom, kompletna rasprava je krenula oko protesta
> radi ukidanja Optime koja je imala nizu razinu sigurnosti, a ljudi su
> ocigledno bili njome zadovoljni :)
Ah, to cak i stoji.
Moja poanta je da je ovo sa PINom preko mobitela u otprilike podjednako
nesigurno kao i username/password na desktop racunalu: negdje mozda jos i
nesigurnije, ponegdje malo sigurnije[1], ali sve u svemu - tu negdje
podjednako (ne)sigurno (isti red velicine kompleksnosti).
A *NE* (kao sto je barem meni zvucalo) da je to sad nesto super novo ultra
sigurno 10 puta bolje od tokena. Razina sigurnosti sa mob+app je *znacajno*
niza nego sa zasebnim (fizicki odvojenim i na Inernet NE spojenom) tokenu.
[0] alternativno postavljanju neprimjetne spijunske opreme kod tebe doma
moze ti prisloniti pistolj na celo naravno, no ako ima tu mogucnosti,
tehnoloska sigurnost je nebitna, jer ce mu ti i tako vrlo vjerojatno
dobrovoljno dati sve novce koje imas :)
[1] Jedina veca prednost takve aplikacije na mobitelu pred "remember this
password on my computer" (zasticen passphraseom) u npr. firefoxu na tvom
deskop PCu je nesto veca diverzifikacija koja je gnjavaza za napadaca -
exploit za stojaznam nokiju xyz vrlo vjerojatno nece raditi na tvob
blackberryu ili obratno. Sve ostalo je uglavnom losije. :(
Matija Nalis
> Matija Nalis <mnali...@voyager.hr> writes:
>
> [...]
>
>> Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
>> racunalu i username/password kombinacije. Lose.
>
> Ne bi se ja zalijetao. Ocito je to nesto bazirano na kontaktu sa
> serverom, ala RSA securID token, koji isto postoji za mobitele i
> pdaove.
Da, i ? pametnim kontaktom sa serverom eventualno sprijecava MitM, koji nam
nije bitan. Glavni threat model ovdje da napadac provaljuje na tvoj mob, te
tako kontrolira *oba* dijela two-factor autentikacije (posto je
securID-alike implementiran u softwareu na *istoj platformi* [istom
mobitelu] koji vrti e-banking software prestaje biti two-factor
autentication jer "ono sto imas" takvom implementacijom u softveru na istoj
platformi postaje "ono sto znas", pa two-factor autentikacija postoje
one-factor, i to onaj factor kojeg kontrolira napadac). [1]
Da *uz* mobitel imas nezavisan PDA (nepovezan za internet i/ili sa mobitelom,
tako da korisnik mora rucno prekucati broj sa jednog zaslona na drugi
uredjaj), to bi bila druga prica.
Medjutim, kada se i sam e-banking i secure key+algo (part A two-factor
autentikacije) i unos PINa (part B two-factor autentikacije) vrte na *istom*
komadu hardvera pod kontrolom istog komada softvera (koji je pak upravo onaj
komad suspektibilan da podlegne eventualnom napadacu s Interneta) onda to
nije two-factor autentikacija nego prevara :)
[1] barem koliko sam ja skuzio imas samo mob sa softverom za to, a ne
uz mobitel *DODATNE* komade hardvera, TAN tablice ili sl.
Matija Nalis
To stoji (barem HNBu, banke su su vjerojatno kao i obicno borile rukama i
nogama protiv bilo cega sto HNB trazi od njih :), barem za trud sto pokusava
napraviti nesto sigurnije.
Ono sto je eventualno upitno je da li su *ovih* par godina sto dolaze pravi
trenutak za implementiranje takvih stvari (tu spada i nerad nedjeljom i sl,
ne samo ovo)
Takodjer je upitno koliko je mob sa nekom tamo java aplikacijom zapravo
sigurniji od moba sa username/password kobinacijom, no to je druga prica.
Losiji vjerojatno nije, iako postoji realna opasnost da nije bas niti nesto
bolji.
IMO, kad im je vec isel HNB takve stvari propisivati, trebao im je
enforceati PRAVU two-way autentikaciju (a ne ovu "1.1-way autentikaciju"
[AKA "kako to mislite nije two-way autentikacija ako je ono sto imam
zapravo isto ono sto znam, a ne ono sto imam?"])
Igor Batinic
Matija Nalis wrote:
> On Mon, 09 Mar 2009 20:01:25 +0100, Igor Batinic <_ime_._p...@email.htnet.hr> wrote:
>>
>> Zbog toga HNB-u i bankama treba odati priznanje.
>
> To stoji (barem HNBu, banke su su vjerojatno kao i obicno borile rukama i
> nogama protiv bilo cega sto HNB trazi od njih :), barem za trud sto pokusava
> napraviti nesto sigurnije.
Banke bi bile sretne da je to jedina mjera. :o)))
> Ono sto je eventualno upitno je da li su *ovih* par godina sto dolaze pravi
> trenutak za implementiranje takvih stvari (tu spada i nerad nedjeljom i sl,
> ne samo ovo)
Uvijek je pravi trenutak.
> Takodjer je upitno koliko je mob sa nekom tamo java aplikacijom zapravo
> sigurniji od moba sa username/password kobinacijom, no to je druga prica.
> Losiji vjerojatno nije, iako postoji realna opasnost da nije bas niti nesto
> bolji.
>
> IMO, kad im je vec isel HNB takve stvari propisivati, trebao im je
> enforceati PRAVU two-way autentikaciju (a ne ovu "1.1-way autentikaciju"
> [AKA "kako to mislite nije two-way autentikacija ako je ono sto imam
> zapravo isto ono sto znam, a ne ono sto imam?"])
:o)
Istina. :o)
Uzivajte,
Iggy
Vuletic Darko
su dovoljno dobre da se nemogu razbit nit "uhvatit" za manje od
par sati, a posto se enkripcija mjenja s vremenom dok se probije
jedan par kljuceva vec su u upotrebi neki drugi..
Aleksandar Ivanisevic
> On Mon, 09 Mar 2009 14:38:05 +0100, Aleksandar Ivanisevic <aleks...@ivanisevic.de> wrote:
>> Matija Nalis <mnali...@voyager.hr> writes:
>>
>> [...]
>>
>>> Znacajno srozavanje sigurnosti, IMHO. Na razinu web browsera na desktop
>>> racunalu i username/password kombinacije. Lose.
>>
>> Ne bi se ja zalijetao. Ocito je to nesto bazirano na kontaktu sa
>> serverom, ala RSA securID token, koji isto postoji za mobitele i
>> pdaove.
>
> Da, i ? pametnim kontaktom sa serverom eventualno sprijecava MitM, koji nam
> nije bitan. Glavni threat model ovdje da napadac provaljuje na tvoj mob, te
> tako kontrolira *oba* dijela two-factor autentikacije (posto je
Kod SecurID-a ne unosis pin u aplikaciju, nego drito u sajt + broj
koji se na displayu mijenja svakih n sekundi. Softver seedas jednom u
sto godina brojem koji je za prepostaviti poslije poprilicno tesko
reverse engineerati.
Dakle, pin imas, broj znas.
Replay attack je dakle ogranicen na n sekundi, gdje je n
jednoznamenkast ako se dobro sjecam, a MITM kontroliras SSL-om.
E sad, nije bas token, ali brijem da nitko od nas tu nema toliko
novaca da bi se nekome isplatilo engineeranje MITM/replay napada sa
frameom od par sekundi, eee...
BTW, sve tri "moje" banke u .de imaju user/pass + TAN listu na papiru,
token imam jedino od Zagrebacke. E sad jebat ga, ako je Svabama to
dovoljno sigurno, onda je i meni.
krofak
"Matija Nalis" <mnali...@voyager.hr> je napisao:
> A *NE* (kao sto je barem meni zvucalo) da je to sad nesto super novo ultra
> sigurno 10 puta bolje od tokena. Razina sigurnosti sa mob+app je
> *znacajno*
> niza nego sa zasebnim (fizicki odvojenim i na Inernet NE spojenom) tokenu.
Ne, u nijednom trenutku nitko nije tvrdio da je nova usluga revolucionarna,
vec
se samo pokusava osigurati adekvatna zamjena za prakticnost Optime i Lite-a.
Iako se u dijelovima slazem s tobom, mislim da rasprava na ovoj razini
postaje
vise akademska, a manje prakticna.
Na kraju krajeva, spomenuta nova usluga mToken je u procesu certifikacije.
Vjerujem da je certifikat ISO27001 koji ce imati dovoljna garancija da su
u implementaciji iste postovani svi aktualni sigurnosni standardi za
transakcije
ovog tipa.
Pozdrav,
krofak
Matija Nalis
Mislim da uopce nisi shvatio problem. Diffie-Hellman-Merkle, RSA i ina
public-key kripotgrafija (kao i njeno rekeyanje) je potpuno nebitna za
navedeni problem. Doticna stiti enkripcijom plaintekst od prisluskivanja na
putu izmedju tocke A (npr. mobitel) i tocke B (npr. banka), sprecavajuci
tako MitM napade (prisluskivanje i/ili lazno predstavljenje od strane
napadaca koji se nalazi negdje IZMEDJU te dvije tocke).
Problem o kojem ja govorim je da je da napadac moze dobiti kontrolu nad (A),
pa tako ima plaintekst daleko prije nego se ovaj odluci enkriptirati,
poslati preko mreze itd. Tako da ti RSA, El-Gamal, i ostala braca apsolutno
nista ne pomazu u tom slucaju.
Kuzis, kao da pricas kako tvoj auto ima turbo hi-tech wireless kljuc kojeg
se ne moze razbiti u milijun godina (a ne par sati, debelo podcjenjujes
dovoljnobitnu javnokljucnu kriptografiju BTW), a u istom trenu ti lopov
npr. tovari auto paukom i odnosi ga :-)
Matija Nalis
> "Matija Nalis" <mnali...@voyager.hr> je napisao:
>
>> A *NE* (kao sto je barem meni zvucalo) da je to sad nesto super novo ultra
>> sigurno 10 puta bolje od tokena. Razina sigurnosti sa mob+app je
>> *znacajno*
>> niza nego sa zasebnim (fizicki odvojenim i na Inernet NE spojenom) tokenu.
>
> Ne, u nijednom trenutku nitko nije tvrdio da je nova usluga
> revolucionarna, vec se samo pokusava osigurati adekvatna zamjena za
Shvatio sam iz postova prije da su nudi kao adekvatna zamjena i za token sto
definitivno nije. Adekvatna zamjena za username/password, kao to moze proci.
> prakticnost Optime i Lite-a. Iako se u dijelovima slazem s tobom, mislim
> da rasprava na ovoj razini postaje vise akademska, a manje prakticna.
Ah, slazem se. Namjera mi je bila samo upozoriti needucirane korisnike
(needucirane jer ih PBZ nije odlucio educirati, jer im to nije financijski
interasantno vjerojatno) da je taj mobitel-token znacajno manje siguran od
"pravog" fizickog tokena.
Kao zamjena za username/password snimljen u kucnom browseru je adekvatan.
Prihvacam da je mozda malo previse krenulo u tehnikalije za ovu grupu, ali
probao sam sto laickije objasniti probleme.
> Na kraju krajeva, spomenuta nova usluga mToken je u procesu certifikacije.
> Vjerujem da je certifikat ISO27001 koji ce imati dovoljna garancija da su
> u implementaciji iste postovani svi aktualni sigurnosni standardi za
> transakcije ovog tipa.
Ono malo ISO27001 koje sam ja vidio je totalna pusiona... ukratko, kaze (u
znacajno vise rijeci, ali sa tim efektom): "blah blah blah, nosioc ce
postovati odredjene sigurnosne politike, risk assesment planove, itd itd.
koje *sam* donese, a za koje postavljamo tako labave ili cesce nikakve
limite, da je sasvim ok npr. da isti stavi takve procedure da im je BCP da
root passworde imaju na post-itima zaljepljenim na monitore itd. blah blah
blah".
I opcenito, hrpetina tih netehnickih standarda i certifikata su mi prilicno
suludi i cisti marketinski bullshit. Necu reci SVI samo zato jer ih nisam
pogledao SVE, ali statisticki uzorak jako ukazuje na to...
Evo uzmimo recimo ISO9001... Kao "garancija kvalitete", zvuci poznato?
ISO9001 uopce ne garantira *NIKAKVU* kvalitetu. Mozes proizvoditi najgore
smece na svijetu za koje je prosjecni low-cost kineski proizvod nedostizni
vrhunac kvalitete, i istovremeno drzati ISO9001 certifikat u ruci.
On prica o standardima proizvodne kontrole kvalitete, sto je nesto
*totalno deseto*, sto prosjecnom gradjaninu ne znaci ama bas *nista*.
ISO9001 kaze stvari tipa "nosioc ovog certifikata se prilikom proizvodnje
pridrzavao nekih navedenih naputaka, npr. da nece istovremeno muciti
maloljetnu crnacku djecicu tijekom procesa proizvodnje". Ne kaze nista o
tome koliko kvalitetan *proizvod* ce biti, iako ga 99% ljudi nazalost upravo
tako shvaca (upravo radi reklame koje to impliciraju, iako nikad ne smiju
eksplicitno lagati o tome)
Darko
grupi:slrngrantq.3i...@eagle102.home.lan...
>
> Ima banaka koje funkcinioraju na sistemu username/password. Recimo vecina
> amerike.
>
Bas sam to krenuo napisati. Vecina amerike, od cega neke online kompanije
koje imaju promet neusporedivo veci od pbz-a koriste najednostavniji mogucu
nacin identifikacije - login i pass. I ne sjecam se da je ikad itko provalio
taj sistem i nekog ostetio. Jednom se dogodilo da su greskom objavili imena
klijenata, ali bez ikakve materijalne stete.
Zato me i nervirao pbz-ov princip, ok, kad ovo citam prihvatio bi token, ali
npr. u token splitskebanke upises pin od 4 znamenke i dobijes broj od 6
znamenki koji upises pod pass, login je user name, moze bit kratko i lako
pamtljivo. A i token je relativno sitan, moze ga se neprimjetno nositi u
djepu i vrlo rijetko ne prihvati naredbu. Login name za Investor je broj od
16 znamenki, moras upisat 10 znamenki, tad ukljuciti token koji je 3x veci i
tezi od tokena Spbanke, u njega staviti karticu, zatim odabrati funkciju, pa
upisati pin, pa ti tek tad izbaci broj od 8 znamenki koji trebas upisati da
bi usao u aplikaciju. I tad jos ne mozes nista, jer ako zelis trgovati moras
zadati nalog, a prvo vrijeme je to izgledalo tako da si morao ukljucit
token, izabrat funkciju sign, upisat challenge broj od afair 9 ili 12
znamenki, te dobijes drugi broj od 8 znamenki koji moras upisat u aplikaciju
da bi zadao nalog.
Vuletic Darko
propuste s korisnicke strane - duzna je upozoriti na eventualne
opasnosti, ali nemoze odgovarati - jel tako?
Vuletic Darko
konacni proizvod vec na proizvodni *proces* od pocetne ideje do
gotovog proizvoda - on ne garantira jednakost proizvoda raznih
proizvodjaca koji imaju isti certifikat vec jednostavno da svi ti
proizvodjaci postuju minimum pravila za vodjene proizvodnog
procesa potrebnog za dobivanje doticnog certifikata.
Aleksandar Ivanisevic
> "Matija Nalis" <mnali...@voyager.hr> je napisao u poruci interesnoj
> grupi:slrngrantq.3i...@eagle102.home.lan...
>>
>> Ima banaka koje funkcinioraju na sistemu username/password. Recimo vecina
>> amerike.
>>
>
> Bas sam to krenuo napisati. Vecina amerike, od cega neke online kompanije
> koje imaju promet neusporedivo veci od pbz-a koriste najednostavniji mogucu
> nacin identifikacije - login i pass. I ne sjecam se da je ikad itko provalio
> taj sistem i nekog ostetio. Jednom se dogodilo da su greskom objavili imena
> klijenata, ali bez ikakve materijalne stete.
Upravo zato sto su neusporedivo veci mogu si priustiti
nesigurnost. Provaljuje se tamo i te kako, samo se to drzi hush hush,
a troskovi refundiranja stete su ocito jos uvijek manji od troskova
implementiranja necega sigurnijeg.
Osim toga, kad si velik, stosta ti prolazi, evo recimo vidi
amazon.com, iako svi sigurnosni standardi u karticarenju propisuju da
nema transakcije bez CVV-a, te da se isti ne smije nigdje storat,
amazon veselo pici bez njega i nitko mu nista ne moze, jer nijedna
kartica nema muda reci ne onome koji mu nosi milijuncice u
provizijama.
[...]
Aleksandar Ivanisevic
Tocno tako. Ako imas ISO9001 ne znaci da proizvodis kvalitetno, nego
da imas papir za svaki saraf ;)
Darko
interesnoj grupi:m3wsawg...@alex.2e-systems.com...
>
> Upravo zato sto su neusporedivo veci mogu si priustiti
> nesigurnost. Provaljuje se tamo i te kako, samo se to drzi hush hush,
> a troskovi refundiranja stete su ocito jos uvijek manji od troskova
> implementiranja necega sigurnijeg.
Godinama svakodnevno pratim njihove forume i nikad nisam cuo za takav
slucaj. Takodjer jedna od bitnih prepreka je isplata novca, cak i ako netko
dodje u posjed identifikacijskih podataka, on moze samo nanjeti stetu i
zavrsiti u zatvor, ali ne moze profitirati jer novac moze isplatiti
iskljucivo na racun korisnika tj. na racun s kojeg je novac uplacen.
Isto vrijedi i za nas PBZ pa dodatno cude te puste komplikacije koje su
stvorili i koje nedvojbeno nerviraju velik broj korisnika. Da ne kazem kako
zbog kompliciranog nacina identifikacije velik broj ljudi, posebno starijih,
na tix bloku imaju opisan nacin logiranja i zadavanja naloga, a kako je teze
citati login od 16 odnosno 10 znamenki s kartice u pravilu se isti nalazi
pored monitora, skupa s pinom. Mnogi zaborave karticu u citacu, pa dodju na
kasu s punim kolicima i skuze da nemaju karticu, a u isto vrijeme onaj tko
dodje do citaca u isto vrijeme ima i login name, treba samo pogledati tix
blokove u potrazi za pinom.
Splitska banka je to bolje rijesila, token, pin od 4 znamenke koje sam biras
(izaberes neke koje neces zaboraviti, datum ili godinu rodjenja djeteta,
zene, svoju,..) a takodjer imas i logican login name, npr. AIVANISEVIĆ koji
takodjer neces pisati na tixu jer znas svoje ime. S druge strane lopov ne
moze znati da li su velika slova, Ć ili C itd..a ima ogranicen broj unosa. I
kod s tokena ima 6 brojeva za razliku od 8 kod pbz-a, a cisto sumnjam da u
praksi postoji sansa da se taj od 6 brojeva razbije, a ipak malo olaksava
prepisivanje. Sreca da su pbz-ovci maknuli challenge, to je bila totalna
ludost.
Aleksandar Ivanisevic
> "Aleksandar Ivanisevic" <aleks...@ivanisevic.de> je napisao u poruci
> interesnoj grupi:m3wsawg...@alex.2e-systems.com...
>>
>> Upravo zato sto su neusporedivo veci mogu si priustiti
>> nesigurnost. Provaljuje se tamo i te kako, samo se to drzi hush hush,
>> a troskovi refundiranja stete su ocito jos uvijek manji od troskova
>> implementiranja necega sigurnijeg.
>
> Godinama svakodnevno pratim njihove forume i nikad nisam cuo za
> takav
Cije forume? Americkih banaka? A phishing mailove salje spamerska
ekipa bezveze, nikad se nitko nije na to uhvatio. Ziher nitko nikad
nije ni Viagru kupio, to se oni samo zajebavaju jer im je gust trosit
servere i bandwidth ;)
> slucaj. Takodjer jedna od bitnih prepreka je isplata novca, cak i ako netko
> dodje u posjed identifikacijskih podataka, on moze samo nanjeti stetu i
> zavrsiti u zatvor, ali ne moze profitirati jer novac moze isplatiti
> iskljucivo na racun korisnika tj. na racun s kojeg je novac uplacen.
Ne kuzim. Zar ne pricamo mi o internet bankarstvu? Ako imas dovoljno
podataka mozes poslati lovu na bilo koji racun. U pravilu na racun
nekog naivcine koji ce dic cash za proviziju.
YRB
> Zato me i nervirao pbz-ov princip, ok, kad ovo citam prihvatio bi token, ali
> npr. u token splitskebanke upises pin od 4 znamenke i dobijes broj od 6
> znamenki koji upises pod pass, login je user name, moze bit kratko i lako
> pamtljivo. A i token je relativno sitan, moze ga se neprimjetno nositi u
> djepu i vrlo rijetko ne prihvati naredbu. Login name za Investor je broj od
> 16 znamenki, moras upisat 10 znamenki, tad ukljuciti token koji je 3x veci i
> tezi od tokena Spbanke, u njega staviti karticu, zatim odabrati funkciju, pa
> upisati pin, pa ti tek tad izbaci broj od 8 znamenki koji trebas upisati da
> bi usao u aplikaciju. I tad jos ne mozes nista, jer ako zelis trgovati moras
> zadati nalog, a prvo vrijeme je to izgledalo tako da si morao ukljucit
> token, izabrat funkciju sign, upisat challenge broj od afair 9 ili 12
> znamenki, te dobijes drugi broj od 8 znamenki koji moras upisat u aplikaciju
> da bi zadao nalog.
I PBZ ima token a ne samo čitač kartica
prijeviš grešku na čitaću i tražiš zamjenu za token i imaš ito što i
Splitska banka nudi
Duba
> Sreca da su pbz-ovci maknuli challenge, to je bila totalna
> ludost.
Challenge nije bas nikud maknut. Meni se cini da ti pricas o Investoru i
OCT sto ni po cemu nije isto kao i PBZ365@NET. Na net bankarstvu je
challenge i dalje obavezan pri zavrsnoj autorizaciji.