domred@tasr.sk, ekon@tasr.sk, sita .. cez web redakcia@sme.sk pravda@pravda.sk redakcia@pcrevue.com Ponukam Vam clanocek .. o bezpecnosti banky a ich vztahu k tomu problemu. Pre mna su peniaze dost citliva tema... aby sa s tym kompetentny zaoberali a kedze nechcu .. mohli by ich priviest k rozumu media. Je to na vas .. ;-) - alebo nejaky iny navrh ? Aby to nebol anonymny vtip a ak by sa vam to nedarilo skusit spytajte sa ma: Miroslav Bobovsky Email: bobovsky@koruna.pbko.sk tel praca do 31. septembra:095/6804274 tel domov: ----------------- Verite ze v banke chrania technologie Vase peniaze, a ze ich 'nezoberu najlepsi iduci za vami'? Pravda je ta ze najlepsi sa o bezpecnost nepotrebuju starat. Oni si ju kupia? Nuz .. technologia je dobra ale zalezi aj od prevedenia. A tak .. verte ze v ak ste si dobre nezabetonovali svoj ELIOT ucet v prvej internetovej banke alias Tatrabanke a pouzivate ho v skole, internetkaviarni alebo na pracovisku, tak jedenho dna mozte mat ucet trochu nizsii. V com je problem ? Hned popisem. Vyskusajte sami a uvidite .. a .. ked ste uz previedli nejake peniaze .. hmm je na Vas co s tym teraz spravite. Moze sa poskodeny stazovat ? Nuz neviem ci ma sancu nieco v nasom sudnictve vyhadat. Alebo je to chyba pouzivatela ? ale mna na to nik neupozornil. Elektronicky podpis u nas schvaleny nieje ... Ak sa popis zverejni a niekto to vyskusa budem odsedeny za navadzanie k trestnemu cinu ? Je bezne kliknutie do mysky na standardne tlacitko navadzanie na podvod ? Kolko ludi uz na to medzicasom prislo a previedli peniaze na seba. Ale co robit ked majitela-Tatrabanku security diery (podla mna vazne) nazaujimaju? Mozno verejny natlak a blamaz ju presvedci ze nielen technologia je zaklad uspechu. Takze .. v com je problem. Eliot je prevadzkovany cez SSL komunikaciu, t.j. obe strany si vymenia dostatocne silne kluce, tie su podpisane medzinarodnou certifikacnou autoritou. Navyse sa pouziva java engine a spojenie pri necinnosti je po 5 minutach zrusene. To je technologia ktora je slusna a postacujuca. Na prihlasenie do systemu je standardne PID a heslo a aby sa nedalo najst generovanim moznosti, je zabudovane casove zdrzanie a detekcia. Dobre riesenie. Ak velke sumy tak externe autorizacne karticky. Parada. IBAZE .. pri tomto sposobe je vlastne meno a heslo vpisane v tele stranky. Stranka je ale pocas celej cesty kodovana takze je to v poriadku. Nekodovana je az na vasom lokalnom pocitaci. a ten si ju ulozi v cache. No existuje directiva aby sa zabranilo ukladaniu stanky do lokalnej cache. Prirodzene ze na beznych security strankach sa pouziva ale v eliote na to zabudli. Vysledok: stranka sa bezpecne preneise na vase PC, tam sa ulozi aj s menom a heslom do lokalnej cache na HDD. Spravite s uctom co chcete a nakoniec klik na odhlasenie. Tym vsetko skoncilo a idete z kaviarne prec. Ibaze clovek ktory si sadne za PC a klikne na BACK,v historii najde asi tretiu stranku od zaciatku s nazvom eliot, t.j. tu stranku kde ste zadali meno a heslo, a bude ho mat pekne pred sebou. No a teraz si ho moze pozriet ale moze hned aj kliknut Vstupit a uz je ako Vy prihlaseny zas. Ak je odvazny tak spravi prevod penazi. Iste ze zaznam o prevodnom prikaze bude a teda je jasne kam sa peniaze previedli. Neverite ? Skuste (ale bez prevodu - lebo Vas ozaj niekto zazaluje). Urcite Vam to bude fungovat ak mate netscape. Ak mate IE .. tak nie vzdy si to odpamata (ak ale spravite preklep v hesle a na druhy pokus tak hej). Podla akych pravidiel IE uklada stranky do cache nik asi netusi takze skuste radsej netscape a tam je to jasne. A pritom stacilo pridat 2 riadky o expiracii a no-cache directive - bezpecnost je vec malickosti. Hmm. No a teraz ... Ma pravo sa klinet stazovat ze mu odisli peniaze ? Podla eliota sa regularne prihlasil a spravil dany prevodak. Ved tak bolo ibaze to nebol pravy klient lebo .. to len vdaka lajdackosti doslo k prezradeniu hesla. Kedze zakonny je len papierovy podpis .. je teda taketo obchodovanie vecou dovery ? Dufam ze sa poucia a zvazia priority. Ako sa branit kym sa eliot spamata a zacne to brat vazne: Po praci s elitom zruste vsetky netscape, stranka je len v memory cache, ibaze to nemozte spravit v internetkaviarni, skole, nechcete zrusit vsetky lebo neico stahujete ... a tak lepsie je: Navolte si na prihlasenie aj na prevody overenie aj GRID kartou. I ked aj to sa uklada ale pri kliku back uz bude chciet inu poziciu .. takze sa prepise. A dalsi lapsus ... tiez sa stretol bez vysvetlenia, len po opatovnom dotazovani s odpovedou ze sa nad tym pracuje. Eliot aj tatrabanka poskytuje b-mail .. poslanie zostatkov na sms alebo email. Eliot sa zaviazal drzat moje osobne udaje v tajnosti a zachovat bankove tajomstvo. Nuz .. ale co nevidim .. b-maily su posielane uplne nekodovane, nepodpisane, neautorizovane. Takze .. len ten kto nechce si nepozrie kto som, ake mam cislo !, a aky mam stav na ucte !!!. Nikde ani zmienka ze tu uz sa nepouzila ziadna ochranna technologia !!!. Ehm .. o bankovom tajomstve som doteraz vedel ze je to presne ochrana tychto udajov. ... Hmm .. co dodat ? ubeholi 3 mesiace a nic, ani varovanie klientov. Kto neni technicky typ a veri bielym golierom v spravodajstve, slepo veri ze to by mu nespravili. A ako ste na tom Vy ? Vedeli ste o tom a nevadi vam to ? ALE .. vratme sa z oblakov dokonalosti nohami na zem slovensku kde je to tak. Ak si nastavim GRID, ak sa uspokojim ze ISP a iny .. budu vediet kolko mam je to podla mojho nazoru z ponuky slovenskych bank a sluzieb top banka. A su to problemy vyvoja .. a problem nieje v technologii ale v prevedeni a pristupe. Snad niekde nestupa slava do hlavy. A teda .. ja im verim. Ale dokedy zalezi od ich postojov. Mam skusenosti ako zakonne naroky riesi ina slovenska banka ... vyhodit, takze .. na slovenske pomery je to aj tak TOP. Inac ... slogan "najlepsi idu za nami" je nakoniec aj presny popis .. Najlepsie sa ma ten kto si sadne za PC za Vami a da parkrat back ;-). Bbo. -- nuz a preco tato forma .. asi som naivny ked ako klient banky jej poviem ze ma security problemy .. a ocakavam ze sa o to bude zaujimat. Ale podla mna by to tak malo byt. Ak poviem ze sa neviem prihlasit .. vtedy ich to zaujima a snazia sa mi poradit a ukazu v com robim chybu. Takze security je menej ? alebo by mi tak priznali ze maju chybu ? To by ale ostalo medzi nami a ticho. Takze .. ak nejde po tichu pojde to ak nahlas ? Pomozete, alebo som velmi konfrontacny ? Viete o inej forme ?, Alebo sa na to vys... ? Inac eliot je internetova banka t.j. inak ako z PC z domu, prace, inetkaviarni ani nemozem komunikovat. bbo