• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ADAMMmBank
    KOC256
    KOC256 --- ---
    OCTOPUSS:
    souhlas
    OCTOPUSS
    OCTOPUSS --- ---
    KOC256: Pointa ale je, že já jako osoba bankovnictví neznalá, která prostě jen má účet, vůbec nejsem povinen znát takový hovadiny jako počet cifer v čísle účtu...
    PIZI
    PIZI --- ---
    PISTA1: Mel jsem platnost do 8/2010, karta mi prisla nekdy koncem minuleho mesice, nebo mozna zacatkem tohoto.
    YNZA
    YNZA --- ---
    bezna zasilka je prave u CP problem, kolikrat se to proste ztrati :/
    (takhle nekde dopadla moje kreditka, a uz sem vo novou nezadal, nasrat)
    ADAMM
    ADAMM --- ---
    PISTA1: na poště to nebude, karta se posílá neaktivní jako běžná zásilka.
    PISTA1
    PISTA1 --- ---
    ADAMM: Tak sem zvedavej zbejva tejden :(
    Adresu mam v poradku a na poste se me zadnej dopis nevali, to sem zjistoval.
    ADAMM
    ADAMM --- ---
    PISTA1: vetsinou tak 14 dni. mas aktualni kontaktni adresu (lze zkontrolovat i zmenit v IB)?
    PISTA1
    PISTA1 --- ---
    Jak dlouho pred koncem mesice chodi nova karta?
    Ted me 31 konci v IB je status ve vyrobe a karta zatim nikde.
    KOC256
    KOC256 --- ---
    ADAMM:
    no tak ono by to melo cilit do jine sfery ne?
    ADAMM
    ADAMM --- ---
    KOC256: ve slovenské části některé lidi znám - však právě Marek Michlík byl první tiskový mluvčí slovenské mBank :) jsem zvědavý, s čím přijdou - a budou si imho trochu kanibalizovat na vlastní značce - ale možná zachrání bývalou reputaci ebanky :)
    KOC256
    KOC256 --- ---
    MEDAN
    MEDAN --- ---
    YNZA: ha! diky za dotaz - zrovna je to pro me taky aktualni a muzu jen potvrdit status "ve vyrobe": BUNDA :o)
    BUNDA
    BUNDA --- ---
    YNZA: proběhne automaticky cca měsíc předem můžeš vidět v IB u karty status ve výrobě.
    YNZA
    YNZA --- ---
    Konči mi planost karet u mbank. je třeba žádat o nové nebo to proběhne automaticky?
    AXTHEB
    AXTHEB --- ---
    No kdyz ti nekdo naprasi do kompu trojana kterej bude menit to co ti zobrazuje prohlizec tak ses stejne druhej.
    KOC256
    KOC256 --- ---
    no ono by mozna stacilo aby vysledny kod nejakym zpusobem v sobe ukryl castku a cilovy ucet. nebo jako osolene heslo (cislo uctu + cilova castka + random vygenerovane cislo ==> nejaka dalsi kouzla (samozrejme algoritmus neverejny)) a bude jen mala pravdepodobnost ze nekdo vykouzli castku a ucet tak aby tim sla zneuzit jina transakce ne?
    ZAPPO
    ZAPPO --- ---
    VANEK: Tak o čem se tu bavíme není opatření přímo proti phishingu, ale o situaci, kdy klient nějaký příkaz k transakci skutečně zadal a ten se během zpracování pozměnil (částka, kterou zadal klient není ta, která se ve webové aplikaci posílá jako výsledek, číslo účtu zadané klientem je jiné, než to, které ve finále zpracuje šelmostroj atd). Technicky jde o popsané útoky a lze se proti nim bránit.
    Jedno řešení je mít "tak dobře" napsanou aplikaci, že danou zranitelnost vůbec nepřipouští, ale to je z řady důvodů často problém (vždycky se bavíme jen o větší či menší spolehlivosti - a spolehlivost aplikace jako jednoho bodu je limitovaná tím, že útok se jí píše na míru).
    Technologicky se tomu lze bránit inteligentním web aplikačním firewallem nebo zařízením, které sleduje aplikační logiku (nikoliv jen hodnoty), kterou ji někdo naučí. Tím se do systému dostává druhý filtr navíc na dost jiných principech atd.
    Konkrétní postupy pak závisí na tom, před jakým přesně typem útoku se chce aplikace chránit (a kde to má smysl), typicky co si takhle z hlavy dovedu představit u obecné aplikace internetbankingu je ochrana před
    - manipulací s datovým polem, kde jde právě o to, že chytrý aplikační firewall je schopen zajistit kontrolu, že vstup zadaný v kroku jedna je potom skutečně aplikací používán i v krocích tři, čtyři a sedm, že nedochází k jeho změně "po cestě" (používá se to typicky jako obrana proti nákupům za jednu korunu v eshopech atd)
    - manipulace s pořadím kroků v aplikaci, kdy lze sledovat, jestli při vyhodnocování kroku tři proběhly korektně kroky dva a jedna a zda náhodou útočník se nepokouší rovnou přejít do jiného stavu aplikace a pokračovat od něj dál. Hrubé je například vstupování do kroku objednávka/platba bez kroku autentikace, ale daleko subtilnější a v některých aplikacích hůř detekovatelné je právě to, když dojde k autentikaci a jednom celém průchodu aplikací (klient si skutečně vykoná svůj převod/objednávku) a toto pak slouží k simulování, kdy se už neopakuje krok autentikace, ale rovnou se útočník pokusí přejít k převodu a jeho vyřízení.

    Samozřejmě neznám ani trochu ibanking Mbank, takže vycházím jen ze zdůvodnění, proč posílají ty "kontrolní smsky" s instrukcí "zkontroluj si kliente, jestli to my nemáme rozbitý" a ze znalosti obecných možných protiopatření na trhu. Konkrétní produkty (kdyby si to někdo chtěl dohledat podle řešení a podívat se na prezentace výrobců atd), které já znám jsou třeba od firem F5 (jejich Application Security Manager) nebo RSA (produkt Envision). Nechci tu teď rozpoutávat flame o tom, jestli konkurence je lepší nebo horší, jen dát nějaký výchozí bod, kdyby to někoho zajímalo, ať se podívá a případně si sám srovná.
    VANEK
    VANEK --- ---
    ZAPPO: Mě to technicky zajímá taky: co jsou ta řešení? Nějak si neumím představit, jak může IB principiálně rozlišit, jestli klient chtěl opravdu poslat X korun na účet A, nebo to za něj phisheři (na rozdíl od legitimního sociál-networkového inženýrství) zadali místo Y na účet B, jinak než že by instalovalo nějaký counter-trojan hlídající, neběží-li na počítači podezřelý software. Jistě, algoritmicky je snadné vytřídit vyvedení částky nad určitou hranici, ať absolutní nebo relativní, na nikdy dříve nepoužitého adresáta a volat dotyčnému pro potvrzení stejně jako u podezřelých transakcí na kartách, ale pochybuju, že zrovna tohle máš na mysli...
    KOC256
    KOC256 --- ---
    ADAMM:
    trochu mi to pripomina fungovani naseho statu... o protipovodnovych opatrenich je nejvice slyset kdyz uz je pozde...
    MRTVY_KENNY
    MRTVY_KENNY --- ---
    ZAPPO: nevim, paranoidnejsi klienti imho u mbank nejsou a nebudou, ty systemove preslapy (byt treba vetsinou neslo o prachy, jen tu a tam neco drhne) nejsou dlouhodobe nic neobvykleho (co pamatuju, tak problemy s pdf, mailove taskarice obecne, problemy s kodem banky, divnostavy systemu (bankovni system by imho mel jet na 100% anebo hlasit problem a nikam nikoho nepustit a ne plivnout problem pri odeslani transakce), tedka nesmyslna cisla u vyberu zdarma, system na jednom miste mluvi polsky, o te nedavne nevyporadane medialni dvoutisicovce a "exekuci" nemluve..
    takze imho to je na hranici dobrodruzsvi, co bude zitra.

    ale tak co nadelas, axa mela zas problem s heslama, tedka zasilala kontakty na klienty v blbe naprogramovanem formulari, ja treba zazadal o aktivacni balik, ktery mi nadvakrat proste neprisel ani po urgenci, takze jsem nic neaktivoval, ale papirove vypisy mi chodi spolehlive :)
    Kliknutím sem můžete změnit nastavení reklam