Raport o stanie zabezpieczeń polskiej bankowości elektronicznej

Calme · 18.02.2006, 12:53

Dla zainteresowanych - http://security.psnc.pl/reports/e-ba...ssl_report.pdf

woitas · 18.02.2006, 15:44

no nie, porażka.
serwer inteligo wspiera oraz umożliwia degradację połączenia do przestarzałego i niebezpiecznego protokołu ssl 2

natomiast w czołówce nagorzej zabezpieczonych serwerów jest zachwalany przez niektórych mbank

a wtóruje mu, co nie trudno uwierzyć nasz narodowy moloch pkobp, który jest właścicielem inteligo

Prezesik · 18.02.2006, 16:09

Cytat:

Napisany przez woitas

no nie, porażka.
serwer inteligo wspiera oraz umożliwia degradację połączenia do przestarzałego i niebezpiecznego protokołu ssl 2

natomiast w czołówce nagorzej zabezpieczonych serwerów jest zachwalany przez niektórych mbank

a wtóruje mu, co nie trudno uwierzyć nasz narodowy moloch pkobp, który jest właścicielem inteligo

faktycznie nieciekawie to wyglada. mysle, ze ktos powinien sie tym zajac. np. wprowadzic jakies normy i co wazniejsze zajac sie ich kontrolowaniem. a gdy jakis bank nie zechce sie podporzadkowac to

i dodatkowo bardzo wysokie kary wprowadzic

ro29 · 18.02.2006, 20:04

Witam !
Niestety niewesoło to wygląda; mam konto w Inteligo i trochę mnie to zmartwiło - z tym, że jak widać, w większości banków jest fatalnie - np. w tak popularnym mBank'u.

Mam nadzieję, że ten raport dotrze tam gdzie trzeba i szybko coś z tym zrobią - z tego raportu wnioskuję, że nie potrzeba na to jakiś wielkich nakładów tylko trochę pracy ...

ro29

ed hunter · 19.02.2006, 10:29

miałem zamiar to sobie wydrukować i choroba, coś mi drukarka nie odpowiada.......zapomniałem, że kabel oddałem siostrzeńcowi i miałem kupić.....no to mi się przypomniało ^_^

a wracają do tematu to naprawdę odechciało mi się chwilowo zakładać sobie konto internetowe.

demek · 19.02.2006, 11:15

ale np w inteligo bez karty kodow nawet jak ci na konto wejdzie to sobie moze...

Ziele · 19.02.2006, 11:32

w mBnaku to samo. bez haseł jednorazowych nic się nie zrobi.

Predi · 20.02.2006, 01:06

ciekawe tylko jak trudno spreparowac takie kody....

w sumie duzo to ja na koncie nie trzymam bo od razu zamieniam gotowke na dobra materialne, ale raport "dosc" alarmujacy .... eh....

Remix · 20.02.2006, 01:37

Witam!

Kodow jednorazowych (hasel) w mBanku nie spreparujesz, poniewaz jest to karteczka z wydrukowanymi, ponumerowanymi haslami, posiadajaca swoj unikalny numer, wydrukowana tylko w jednym egzemplarzu i przeslana do klienta.
Zeby z niej korzystac nalezy na stronie mBanku najpierw ja aktywowac dana liste, jesli sie ja zgubi, lub ulegnie zniszczeniu nie da sie odtworzyc hasel i trzeba wystosowac pismo do mBanku o nowa liste z nowymi haslami, a stara wystarczy deaktywowac.
Nawet jesli ktos zna nasze haslo i login do konta, to i tak nie wykona zadnych operacji bez owych hasel jednorazowych.

Mysle, ze to zabezpieczenie jest lepsze od generatorow kodow

demek · 20.02.2006, 08:03

dokladnie to samo ma inteligo wyglada to jak karta do bankomatu

Predi · 20.02.2006, 09:49

Cytat:

Napisany przez Remix

Witam!

Kodow jednorazowych (hasel) w mBanku nie spreparujesz, poniewaz jest to karteczka z wydrukowanymi, ponumerowanymi haslami, posiadajaca swoj unikalny numer, wydrukowana tylko w jednym egzemplarzu i przeslana do klienta.

wiem co to jest

tylko jezeli "serwis" wie ze wpisalem dobry numer, to musi skads wiedziec ze ten numer jest na mojej kartce kodow, wiec jakis schemat istnieje... albo baza danych z wszytkimi numerkami z kart... wtedy tez mozna sie wlamac i wykrasc takie dane

jak odbywa sie weryfikacja takiego kodu?...

ro29 · 20.02.2006, 10:06

Cytat:

Napisany przez Predi

wiem co to jest

tylko jezeli "serwis" wie ze wpisalem dobry numer, to musi skads wiedziec ze ten numer jest na mojej kartce kodow, wiec jakis schemat istnieje... albo baza danych z wszytkimi numerkami z kart... wtedy tez mozna sie wlamac i wykrasc takie dane

jak odbywa sie weryfikacja takiego kodu?...

Witam !
Sprawa jest złożona - z jednej bowiem strony prawdą jest, że bez karty kodów naprawdę niewiele na koncie można zdziałać - aczkolwiek już sam fakt, że ktoś mógłby na nie wejść i zobaczyć nasze dane (adres, telefon, PESEL !!), oraz stan konta, jest bardzo niepokojący (oczywiście im więcej ktoś ma, tym gorzej

).
Natomiast z drugiej strony - jak napisał @Predi - te kody gdzieś w systemie banku są zapisane przecież - jako np. tablica która porównuje to co podamy z tym co ma zapisane pod danym numerem - więc to nie jest tak do końca w jednym unikalnym egzemplarzu - w systemie to jest. I pytanie brzmi - jak dobrze ten system jest zabezpieczony ? Oczywiście tutaj potrzebujemy już naprawdę dobrego hackera - ale przecież nie takie zabezpieczenia ludzie łamią ...
Natomiast kwestia tokena - ma raczej plusy - np. kolega ma konto w Lukas Bank i mając token musi go także użyć przy logowaniu - to chyba duży plus.
I chyba z założenia token jest bezpieczniejszy - to jednak generator, a nie stałe dane - tylko jak jest tak do końca to sam już nie wiem

Oczywiście w kwestii bezpieczeństwa ogólnie rzecz ujmując, dużo zależy od nas samych. Oczywiście do pewnego momentu ...

Pozdrawiam
ro29

Kris · 20.02.2006, 10:30

Inteligo korzysta z SSL wersji 3.0
http://www.inteligo.pl/infosite/ofer...ieczenstwo.htm

Cytat:

Napisany przez Inteligo

Witamy

***8222;Raport***8221; Zespołu Bezpieczeństwa PCSS w Poznaniu opisuje dwie potencjalne ułomności serwisów transakcyjnych, jednak nie dotyczą one serwisu Inteligo. Polityka bezpieczeństwa stosowana w naszym serwisie uniemożliwia wykorzystywanie "słabych" algorytmów szyfrowania, co jest potwierdzone również w wynikach raportu. Dodatkowo, serwis Inteligo nie używa mechanizmów "cookie" w celu identyfikacji, uwierzytelnienia lub zabezpieczenia dostępu do serwisu. Potwierdzają to również inne raporty bezpieczeństwa wykonywane przez specjalistyczne firmy, z którymi współpracujemy.

Autorzy raportu PCSS zwracają uwagę na konieczność stosowania odpowiednich zasad bezpieczeństwa przez klientów Banku. W naszych informacjach i komunikatach kierowanych do klientów stale przypominamy o stosowaniu odpowiedniego oprogramowania (zaktualizowana wersja przeglądarki internetowej, oprogramowanie antywirusowe, oprogramowanie firewall - zapora ogniowa). Wspieramy każde działania zmierzające do edukacji użytkowników bankowości internetowej, z tego względu doceniamy inicjatywę twórców raportu zmierzającą do upowszechniania świadomości o zagrożeniach występujących w internecie i sposobach skutecznego zabezpieczania się przed ich wystąpieniem.

Pozdrawiamy

Zespół Inteligo

18.02.2006, 12:53	#1
Calme West Coast Player CDRinfo VIP Data rejestracji: 07.01.2005 Lokalizacja: Lublin Posty: 923	Raport o stanie zabezpieczeń polskiej bankowości elektronicznej Dla zainteresowanych - http://security.psnc.pl/reports/e-ba...ssl_report.pdf __________________ Obiektywni.pl

18.02.2006, 15:44	#2
woitas αρχή Data rejestracji: 16.06.2001 Lokalizacja: Θεσσαλονίκη, Ελλάδα Posty: 4,907	no nie, porażka. serwer inteligo wspiera oraz umożliwia degradację połączenia do przestarzałego i niebezpiecznego protokołu ssl 2 natomiast w czołówce nagorzej zabezpieczonych serwerów jest zachwalany przez niektórych mbank a wtóruje mu, co nie trudno uwierzyć nasz narodowy moloch pkobp, który jest właścicielem inteligo __________________ Powyższy post wyraża jedynie opinię autora w dniu dzisiejszym. Nie może on służyć przeciwko niemu w dniu jutrzejszym, ani każdym innym następującym po tym terminie. Ponadto autor zastrzega sobie prawo zmiany poglądów bez podawania przyczyny. pozdrawiam Ostatnio zmieniany przez woitas : 18.02.2006 o godz. 15:46

18.02.2006, 20:04	#4
ro29 Guru Data rejestracji: 26.01.2005 Lokalizacja: Poznań Posty: 2,210	Witam ! Niestety niewesoło to wygląda; mam konto w Inteligo i trochę mnie to zmartwiło - z tym, że jak widać, w większości banków jest fatalnie - np. w tak popularnym mBank'u. Mam nadzieję, że ten raport dotrze tam gdzie trzeba i szybko coś z tym zrobią - z tego raportu wnioskuję, że nie potrzeba na to jakiś wielkich nakładów tylko trochę pracy ... ro29 __________________

19.02.2006, 11:15	#6
demek ZnakJaworznickiegoBikera Data rejestracji: 22.03.2005 Lokalizacja: znowu Jaworzno Posty: 9,673	ale np w inteligo bez karty kodow nawet jak ci na konto wejdzie to sobie moze... __________________ Tanie konta shell, www, php, sql - info priv Moj kanal Youtube /msg demek at freenode // Intel Pentium 4 630 3,0@5,6 GHZ --100% O/C CLUB 3Ghz@6750Mhz PISIOR - PRAWO I SPRAWIEDLIWOŚĆ I OJCIEC RYDZYK MEMORANDO - UZYTKOWNIK, KTOREGO DLA DOBRA WLASNEGO, DOBRA WLASNYCH PIENIEDZY I DOBRA WLASNYCH NERWOW NALEZY OMIJAC SZEROKIM LUKIEM

19.02.2006, 11:32	#7
Ziele .: AT90S2313 :. Data rejestracji: 09.09.2002 Lokalizacja: Kraków Posty: 2,724	w mBnaku to samo. bez haseł jednorazowych nic się nie zrobi. __________________ LiteOn LTR-40125S & SOHW-1633S 8 ) Jak zrobić szybko sałatke z buraków? Wrzucić granata do BMW


	Nagrywarki \| Pliki \| Dyski twarde \| Recenzje \| Księgarnia \| Biosy \| Artykuły \| Nagrywanie od A do Z \| Słownik \| FAQ

	#ads
CDRinfo.pl Reklamowiec Data rejestracji: 29.12.2008 Lokalizacja: Sieć globalna Wiek: 31 Posty: 1227

19.02.2006, 10:29	#5
ed hunter Obyś nadepnął na LEGO! Zlotowicz Data rejestracji: 30.11.2004 Posty: 38,993	miałem zamiar to sobie wydrukować i choroba, coś mi drukarka nie odpowiada.......zapomniałem, że kabel oddałem siostrzeńcowi i miałem kupić.....no to mi się przypomniało ^_^ a wracają do tematu to naprawdę odechciało mi się chwilowo zakładać sobie konto internetowe.

20.02.2006, 01:06	#8
Predi Niezarejestrowany Data rejestracji: 16.04.2002 Lokalizacja: Gliwice Posty: 2,778	ciekawe tylko jak trudno spreparowac takie kody.... w sumie duzo to ja na koncie nie trzymam bo od razu zamieniam gotowke na dobra materialne, ale raport "dosc" alarmujacy .... eh....

20.02.2006, 01:37	#9
Remix Capo di tutti capi Data rejestracji: 24.09.2002 Lokalizacja: Wrocław Posty: 3,100	Witam! Kodow jednorazowych (hasel) w mBanku nie spreparujesz, poniewaz jest to karteczka z wydrukowanymi, ponumerowanymi haslami, posiadajaca swoj unikalny numer, wydrukowana tylko w jednym egzemplarzu i przeslana do klienta. Zeby z niej korzystac nalezy na stronie mBanku najpierw ja aktywowac dana liste, jesli sie ja zgubi, lub ulegnie zniszczeniu nie da sie odtworzyc hasel i trzeba wystosowac pismo do mBanku o nowa liste z nowymi haslami, a stara wystarczy deaktywowac. Nawet jesli ktos zna nasze haslo i login do konta, to i tak nie wykona zadnych operacji bez owych hasel jednorazowych. Mysle, ze to zabezpieczenie jest lepsze od generatorow kodow __________________ Pozdrawiam Remix aka Wielki M

20.02.2006, 08:03	#10
demek ZnakJaworznickiegoBikera Data rejestracji: 22.03.2005 Lokalizacja: znowu Jaworzno Posty: 9,673	dokladnie to samo ma inteligo wyglada to jak karta do bankomatu __________________ Tanie konta shell, www, php, sql - info priv Moj kanal Youtube /msg demek at freenode // Intel Pentium 4 630 3,0@5,6 GHZ --100% O/C CLUB 3Ghz@6750Mhz PISIOR - PRAWO I SPRAWIEDLIWOŚĆ I OJCIEC RYDZYK MEMORANDO - UZYTKOWNIK, KTOREGO DLA DOBRA WLASNEGO, DOBRA WLASNYCH PIENIEDZY I DOBRA WLASNYCH NERWOW NALEZY OMIJAC SZEROKIM LUKIEM