From bobovsky@koruna.pbko.sk Sun Sep 10 09:55:36 2000 Date: Sun, 10 Sep 2000 09:55:36 +0200 From: Miro Bobovsky To: domred@tasr.sk, marketing@sita.sk, redakcia@sme.sk, pravda@pravda.sk, redakcia@pcrevue.com, spravodajstvo@twist.sk, markiza@markiza.sk, elzet@bajt.cz Subject: ako je to s bezpecnostou banky 2 Message-ID: <20000910095535.A24025@koruna.pbko.sk> Reply-To: bobovsky@koruna.pbko.sk Mime-Version: 1.0 Content-Type: text/plain; charset=us-ascii X-Mailer: Mutt 0.95.3i Status: RO Content-Length: 13498 Lines: 225 Zdravim. Takze .. minule som vam dal info ako je u nas zabezpecena jedna banka TB - nulovo. Dnes toho napisem dost vela ... Neviem s ktorym novinarom/spravodajcom TB komunikuje ale chvalabohu ucel to splnilo. Bezpecnostna diera je opravena. Aspon uz o tom mozno hovorit bez navadzania na zlocin. Poslal som to TASR, SITA, SME, PRAVDA, PCREVUE (oni ale nie su dennik), TWIST, MARKIZA. Takze .. ten kto vie komunikovat s TB ... odkazte im este ze .. spravne by tam mali dodat aj directivu na no-cache .. ako som uz pisal prvykrat. Hmm zeby si niekto v telefone zle pamatal alebo to niekto zle prediktoval ? No uz teraz je to v poriadku, lebo datum expiracie je rok 1900. T.j. pri kliku na back bude stranka natiahnuta nova, bez hesla. Ibaze predsa len sa uklada do cache a teda pomocnym programom - apletom by niekto ale uz pomocou specialnych programov sa predsa len mohol dostat k heslu a pristupu na cudci ucet. (Namaha je ale uz znacna ...) Ale ... kedze ide o jeden standardny ! riadok ... nechapem preco tam stale nieje !!!. Zeby v TB robili https stranky prvykrat ??? a to naslepo bez nastudovania ???. Je mi luto akurat ze to stale musim takto cez neznameho sprostredkovatela stylom ze ja pisem a ci sa nieco stalo si sam musim zistit .. asi ma mate vsetci sa anonyma ? (cakal som tyzden) Skor si ale myslim (a novinarom sa nema nadavat ;-) ) ze si niekto info overoval a co mu riekla TB netusim, no najskor ze je to blud a chybu rychlo opravili. Skusit sa to da ale este stale. Takze ak si to chcete skusit treba si pohnut skor nez to opravia a popru. (alebo to nepopreli?) a btw ostatne veci ako bankove tajomstvo (b-mail), pravedpodobne zakonne vakuum v probleme su talafatky ? Nebolo by fer keby sa to vedelo ? alebo ako je to. -- Jo .. kto si nevyskusal bezpecnostnu dieru vcas .. ma este moznost ale uz len demo... Totiz kto si pri uvodnej verzii ulozil eliota a jeho prihlasovaci frame do bookmarku mozno stale pouziva neopravenu verziu. Ono .. totiz stale funguju dve legalne moznosti ako sa prihlasit a ta druha (stary frame) ma adresu https://www.eliot.sk/cgi-bin/eliot/start/eliotmenu.jsp Takze ked sa prihlasite cez tuto legalnu a TB certifikatom podpisanu stranku a date na nu back nebudete musiet pisat heslo a to preto ze ked si pozriete ich zdrojovy kod na tejto chyba na zaciatku prikaz na expiraciu a zakaz cacheovania. Na druhej je expiracia na rok 1900. Skusit treba zaraz lebo vtedy to tusim opravili do 24 hodin. (Co je slusne vzhladom na vaznost diery ale uz vcera bolo pozde) -- Jo .. btw je bezpecne ked existuju dve legalne stranky na prihlasenie? Zrejme v TB maju taky poriadok ze o tom asi ani nevedia. Lebo ked si uvedomili chybu opravili ju len na jednej. Ano .. o druhej nik nevie iba ten kto ju ma v bookmarku (tak som na to prilsiel aj ja) takze mozno ich maju este sedem. Nemam o nich ziadne ine info ako normalny zakaznik. Ale ze je ziva, neopravena a podpisana si mozte skusit sami. No povedzte .. maju v tej firme poriadok kde sa da udrzat bezpecnost ???. -- Znova si polozim otazku .. Je vobec Eliot pravne chraneny ? Co ja viem a mozno sa mylim .. zakon o el podpise neni a teda ked neni bumazka sudne tazko .. Ale nepatrilo by sa na to upozornit? Alebo vypis ktory si ktokolvek kdekolvek vytlaci je doveryhodny ? Nie. Ak TB strati data alebo v tom bordeli niekto vsetko zmaze alebo mozno este skor krachne, ako dokazem kolko som mal na neanonymnom vklade aby mi to stat vyplatil ? Ano .. mozem si za BIG poplatok nechat poslat faxom,... papierovy vypis ... Zrejme uz nieco niekomu trebalo dokladovat. Ale to krach,zmazanie v banke neriesi. Nuz ... bol som raz davno (par rokov) na jednom jednani ... Vtedy som bol novonastupeny v inej dnes neexistujucej banke a chceli sme robit internetove veci. Stoplo sa to takoj lebo skoda takto uvazovat lebo u nas to nepodporuje/ochranuje nasa legislativa. Neda sa prosto a basta inac by to nebolo kryte zakonmi a to banka nemoze. Takze sa o tom vie.O par mesiacov na to TB vyjde ako prva s Inet sluzbami. Ked som sa pytal ako je to mozne ved legislativa ... povedali mi kasli na to .. to je TB. Hmm tvrdy to konkurtencny boj. Ibaze uz niesom konkurent ale zakaznik a ked mi nehovoria o rizikach citim sa podvedeny. Takze .. mozno sa uz ozaj legislativa zmenila a elektornicky podpis je OK (ibaze vypis neni ani kodovany , nie to podpisany). a mozno som si len nevsimol kde ma TB varovala ze je to banka bez statnych zaruk. Alebo ako to vlastne je ... (ci zas mi niekto povie .. nechaj to tak) Za seba mozem povedat ze ja ucet v eliote chcem aj ked je mimozakonnu ochranu ale chcem vediet ako na to som. (ak mozem. mal som pocit ze uz mozem. chyba?) Pravny priklad... a co ked som predsa len nejaky prevodak spravil ... okradnuty nemoze nijak dokazat ze ten prevodak nechel spravit ze to niekto iny. lebo asi vedel moje heslo lebo TB mala nulovu ochranu. Koho ma zalovat ? TB a ako ked dokaz nema. Vlastne ani ja nemam dokaz ze to opravili az teraz. Dokazat mi to mozu len ti , co to stihli vyskusat vcas. pripadne si ulozili zdrojak. Ale to je zas len kus textu co ste si mohli napisat aj sami takze zakonne ziaden dokaz. Tak ako sme na tom ? Cestne vyhlasujem ze som sa bal a dieru nepouzil. Takze ide o realnu fikciu ( to je krasne spojenie slov ). -- b-mail ... nekodovany nepodpisany ... od prvopociatku v elitote a takisto uz tusim aspon rok abo kolko uz existuje aj v TB. Bez ochran. Myslel som si ze je to zart alebo moja chyba. Bankove tajomstvo .. je nic ? Alebo sa zmenil tento pojem ? nejde o cislo uctu, meno/prijimatela-email, a stav+pohyby na ucte ?. Alebo kedze si to nemusim navolit je to vec dohody ? T.j. tym ze si b-mail dam suhlasim so zverejnovanim mojich citlivich dat? Ale taketo varovanie tam nieje a podla mna do casu kym to opravia (2 roky ?) by tam malo byt. A ked nie tam tak potom v novinach. alebo iny napad? (viem ze mi zase nik nenapise ...) takze vsetky '?' su basnicke. -- A na zaver .. na pripomenutie povodneho mailu. (Twistu a markize sa ospravedlnujem ze som im to mailol az v utorok a neviem teraz ci to opravili v pondelok alebo v utorok ale v stredu uz to mali ok.) Tentokrat ale skusim oslovit aj ceskych kolegov .. mozno budu nezavislejsi a promptenjsi ako SK media ... a ... rozne drbny .../SK mailkluby ... akurat vyhodim svoje udaje okrem emailu a mena. predsa len hodne verejne. Viete ... mna ucili na list odpisat do 7 dni a na mail este skor. Ja viem ... nevyziadany, pochybny zdroj .. Moje meno adresa atd ... su nic. Beztak dobre taham kozu na trh a uz mi niekto povedal ze si robim zle do dalsich zamestnani ... Ale .. dobre len bolo a horsie byt nemoze. Poslane v nedelu .. mozno v TB v nedelu nepracuje aj programer a teda snad az do pondelka si mozte moje slova overit... -------------- poslane 4.9.2000: Ponukam Vam clanocek .. o bezpecnosti banky a ich vztahu k tomu problemu. Pre mna su peniaze dost citliva tema... aby sa s tym kompetentny zaoberali a kedze nechcu .. mohli by ich priviest k rozumu media. Je to na vas .. ;-) - alebo nejaky iny navrh ? Aby to nebol anonymny vtip a ak by sa vam to nedarilo skusit spytajte sa ma: Miroslav Bobovsky Email: bobovsky@koruna.pbko.sk - vpisana adresa vymazana dodatocne - tel praca do 31. septembra:095/6804274 tel domov: - uvedeny telefon vymazany dodatocne - ----------------- Verite ze v banke chrania technologie Vase peniaze, a ze ich 'nezoberu najlepsi iduci za vami'? Pravda je ta ze najlepsi sa o bezpecnost nepotrebuju starat. Oni si ju kupia? Nuz .. technologia je dobra ale zalezi aj od prevedenia. A tak .. verte ze v ak ste si dobre nezabetonovali svoj ELIOT ucet v prvej internetovej banke alias Tatrabanke a pouzivate ho v skole, internetkaviarni alebo na pracovisku, tak jedenho dna mozte mat ucet trochu nizsii. V com je problem ? Hned popisem. Vyskusajte sami a uvidite .. a .. ked ste uz previedli nejake peniaze .. hmm je na Vas co s tym teraz spravite. Moze sa poskodeny stazovat ? Nuz neviem ci ma sancu nieco v nasom sudnictve vyhadat. Alebo je to chyba pouzivatela ? ale mna na to nik neupozornil. Elektronicky podpis u nas schvaleny nieje ... Ak sa popis zverejni a niekto to vyskusa budem odsedeny za navadzanie k trestnemu cinu ? Je bezne kliknutie do mysky na standardne tlacitko navadzanie na podvod ? Kolko ludi uz na to medzicasom prislo a previedli peniaze na seba. Ale co robit ked majitela-Tatrabanku security diery (podla mna vazne) nazaujimaju? Mozno verejny natlak a blamaz ju presvedci ze nielen technologia je zaklad uspechu. Takze .. v com je problem. Eliot je prevadzkovany cez SSL komunikaciu, t.j. obe strany si vymenia dostatocne silne kluce, tie su podpisane medzinarodnou certifikacnou autoritou. Navyse sa pouziva java engine a spojenie pri necinnosti je po 5 minutach zrusene. To je technologia ktora je slusna a postacujuca. Na prihlasenie do systemu je standardne PID a heslo a aby sa nedalo najst generovanim moznosti, je zabudovane casove zdrzanie a detekcia. Dobre riesenie. Ak velke sumy tak externe autorizacne karticky. Parada. IBAZE .. pri tomto sposobe je vlastne meno a heslo vpisane v tele stranky. Stranka je ale pocas celej cesty kodovana takze je to v poriadku. Nekodovana je az na vasom lokalnom pocitaci. a ten si ju ulozi v cache. No existuje directiva aby sa zabranilo ukladaniu stanky do lokalnej cache. Prirodzene ze na beznych security strankach sa pouziva ale v eliote na to zabudli. Vysledok: stranka sa bezpecne preneise na vase PC, tam sa ulozi aj s menom a heslom do lokalnej cache na HDD. Spravite s uctom co chcete a nakoniec klik na odhlasenie. Tym vsetko skoncilo a idete z kaviarne prec. Ibaze clovek ktory si sadne za PC a klikne na BACK,v historii najde asi tretiu stranku od zaciatku s nazvom eliot, t.j. tu stranku kde ste zadali meno a heslo, a bude ho mat pekne pred sebou. No a teraz si ho moze pozriet ale moze hned aj kliknut Vstupit a uz je ako Vy prihlaseny zas. Ak je odvazny tak spravi prevod penazi. Iste ze zaznam o prevodnom prikaze bude a teda je jasne kam sa peniaze previedli. Neverite ? Skuste (ale bez prevodu - lebo Vas ozaj niekto zazaluje). Urcite Vam to bude fungovat ak mate netscape. Ak mate IE .. tak nie vzdy si to odpamata (ak ale spravite preklep v hesle a na druhy pokus tak hej). Podla akych pravidiel IE uklada stranky do cache nik asi netusi takze skuste radsej netscape a tam je to jasne. A pritom stacilo pridat 2 riadky o expiracii a no-cache directive - bezpecnost je vec malickosti. Hmm. No a teraz ... Ma pravo sa klinet stazovat ze mu odisli peniaze ? Podla eliota sa regularne prihlasil a spravil dany prevodak. Ved tak bolo ibaze to nebol pravy klient lebo .. to len vdaka lajdackosti doslo k prezradeniu hesla. Kedze zakonny je len papierovy podpis .. je teda taketo obchodovanie vecou dovery ? Dufam ze sa poucia a zvazia priority. Ako sa branit kym sa eliot spamata a zacne to brat vazne: Po praci s elitom zruste vsetky netscape, stranka je len v memory cache, ibaze to nemozte spravit v internetkaviarni, skole, nechcete zrusit vsetky lebo neico stahujete ... a tak lepsie je: Navolte si na prihlasenie aj na prevody overenie aj GRID kartou. I ked aj to sa uklada ale pri kliku back uz bude chciet inu poziciu .. takze sa prepise. A dalsi lapsus ... tiez sa stretol bez vysvetlenia, len po opatovnom dotazovani s odpovedou ze sa nad tym pracuje. Eliot aj tatrabanka poskytuje b-mail .. poslanie zostatkov na sms alebo email. Eliot sa zaviazal drzat moje osobne udaje v tajnosti a zachovat bankove tajomstvo. Nuz .. ale co nevidim .. b-maily su posielane uplne nekodovane, nepodpisane, neautorizovane. Takze .. len ten kto nechce si nepozrie kto som, ake mam cislo !, a aky mam stav na ucte !!!. Nikde ani zmienka ze tu uz sa nepouzila ziadna ochranna technologia !!!. Ehm .. o bankovom tajomstve som doteraz vedel ze je to presne ochrana tychto udajov. ... Hmm .. co dodat ? ubeholi 3 mesiace a nic, ani varovanie klientov. Kto neni technicky typ a veri bielym golierom v spravodajstve, slepo veri ze to by mu nespravili. A ako ste na tom Vy ? Vedeli ste o tom a nevadi vam to ? ALE .. vratme sa z oblakov dokonalosti nohami na zem slovensku kde je to tak. Ak si nastavim GRID, ak sa uspokojim ze ISP a iny .. budu vediet kolko mam je to podla mojho nazoru z ponuky slovenskych bank a sluzieb top banka. A su to problemy vyvoja .. a problem nieje v technologii ale v prevedeni a pristupe. Snad niekde nestupa slava do hlavy. A teda .. ja im verim. Ale dokedy zalezi od ich postojov. Mam skusenosti ako zakonne naroky riesi ina slovenska banka ... vyhodit, takze .. na slovenske pomery je to aj tak TOP. Inac ... slogan "najlepsi idu za nami" je nakoniec aj presny popis .. Najlepsie sa ma ten kto si sadne za PC za Vami a da parkrat back ;-). Bbo. -- nuz a preco tato forma .. asi som naivny ked ako klient banky jej poviem ze ma security problemy .. a ocakavam ze sa o to bude zaujimat. Ale podla mna by to tak malo byt. Ak poviem ze sa neviem prihlasit .. vtedy ich to zaujima a snazia sa mi poradit a ukazu v com robim chybu. Takze security je menej ? alebo by mi tak priznali ze maju chybu ? To by ale ostalo medzi nami a ticho. Takze .. ak nejde po tichu pojde to ak nahlas ? Pomozete, alebo som velmi konfrontacny ? Viete o inej forme ?, Alebo sa na to vys... ? Inac eliot je internetova banka t.j. inak ako z PC z domu, prace, inetkaviarni ani nemozem komunikovat. bbo ----- Koniec povodneho mailu z pondelka. -- Bbo (http://koruna.pbko.sk/~bobovsky Email:bobovsky@koruna.pbko.sk)