Na navigaci | Klávesové zkratky

Kolaps e-bankingu nyní prakticky

Před dvěma dny jsem popisoval, jak hloupě je zabezpečeno přihlašování do SERVIS 24, internetového bankovnictví České spořitelny. Nyní následuje praktická ukázka, jak může kdokoliv komukoliv na tři kliknutí zablokovat účet.

Právní dodatek: tohle není návod. Tohle je analýza bezpečnostní vady webové aplikace, na kterou byla banka upozorněna již 3. ledna 2005. Blokováním cizích účtů můžete poškodit její klienty.

Vysvětlující dodatek: problematické není samotné zablokování účtu, ale skutečnost, že postižený musí za jeho odblokování zaplatit.

Před chvílí jsme s bratrem matematicky ověřili, že klientská čísla jsou dělitelná 11. A jak že jsme to spočítali? Ne, nebojte se, nebudu zabíhat do detailů, ani vás obtěžovat složitými vzorci. Místo teoretizování pojďme rovnou k praktické ukázce.

Co útočník k zablokování cizího účtu potřebuje? Stačí znát libovolné klientské číslo (ty mají tvar 7xxxxxxxxx a jsou dělitelné jedenácti – nejspíš ale existuje více řad klientských čísel).

Podle částečně oveřené hypotézy se zdá, že klientská čísla tvoří řadu, takže přičtením nebo odečtením násobku jedenácti od známého klientského čísla vypočteme další platné klientské číslo, patřící neznámé oběti.

Útočník tedy:

  1. Otevře stránky SERVIS 24.
  2. Zadá tyto údaje:
    • Klientské číslo: ÚTOČNÍKOVO ČÍSLO + n * 11
    • Heslo: fuckservis24 (nebo jakékoliv jiné)

    kde n je libovolné celé číslo.

  3. Formulář odešle útočník třikrát po sobě (pochopitelně vždy se stejným klientským číslem).
  4. Pokud se zobrazí hláška „Autentizační proces nebyl úspěšný. Přístup k aplikaci SERVIS 24 Internetbanking byl zablokován“, bylo vypočtené klientské číslo skutečně platné a účet byl nešťastníkovi zablokován. V opačném případě útočník zvolí jinou hodnotu n a pokračuje bodem 2.

Celý postup může zautomatizovat tímto jednoduchým skriptem:

set_time_limit(0); // neverending story
$ch = curl_init();
...
...

…ne, to už si napíše útočník jistě sám. Každou hodinu může zablokovat tisíce cizích účtů. Nebo třeba jen ten váš.

Tož tak, no.


Související:

Komentáře

  1. Antonín Daněk http://blog.antonindanek.cz/ #1

    avatar

    A komu tím prospšješ ?!?! Druhé straně ? :))

    před 9 lety
  2. Aleš Janda http://www.kyblsoft.cz #2

    Řekl bych, že takhle zablokuješ několik čísel a konec, tvá IP bude na blacklistu. Alespoň dočasném :-) Takže bys musel mít k dispozici hodně IP adres a pouštět skripty ze všech, aby to vůbec mělo smysl.

    A taky jsi zapomněl nastínit, jak by banka měla takovéto útoky řešit? Mně tedy žádný rozumnější nápad (kromě blokace IP adresy) nenapadá…

    před 9 lety | reagoval [4] David Grudl [5] MiSHAK [10] hvge
  3. macbeth #3

    alebo stačí napísať informačný článok a čakať, kým sa toho nechytí nejaké „script kiddie“… :)

    Wash my hands clean :)

    před 9 lety
  4. David Grudl http://davidgrudl.com #4

    avatar

    #2 Aleši Jando, Nezapoměl jsem to nastínit. Je mi to šumafuk. Přemýšlet na tím budu jedině jako placený konzultant.

    před 9 lety | reagoval [30] Aleš Janda
  5. MiSHAK http://www.mishak.net #5

    avatar
    set_time_limit(0); // neverending story
    :-D

    By mě zajímalo jestli si černý nebo bílý kloboučník… Pokud je v tobě kousek whitehaťáka, určitě jsi poslal administrátorům servis24 email.

    #2 Aleši Jando, Pokud použije (free)proxy, tak má dost velkou šanci… Nebo rovnou použít slovenský hosting a na pár dnů odstavit polovinu slovenského internetu. Už vidím jak policajti zabavují průkazný materiál.

    před 9 lety | reagoval [7] David Grudl
  6. Gimli2 http://gimli2.gipix.net #6

    Takze vyhlasena soutez ci ucet bude zablokovan nejdriv? Jen doufam, ze to nebude ten muj… chudak by si to pak odskakal(a) operator(ka) na te odblokovavaci lince…

    před 9 lety
  7. David Grudl http://davidgrudl.com #7

    avatar

    #5 MiSHAKu, brácha poslal 3. a 5. ledna 2005, dostal zamítavou odpověď

    před 9 lety | reagoval [13] che
  8. meca http://diskofil.cz #8

    avatar

    Jestli mě někdo z vás trotlů zablokuje účet, tak si ho najdu a… a… oholim mu podpaží! Ztratil jsem všechny papíry, co mně tehdy ta nepříjemná paní dala a jelikož jsem si už jednou účet zablokoval, vím, že minimálně jeden z nich na odblokování potřebuji. -:/

    před 9 lety | reagoval [34] zirafka
  9. JOKER http://www.dzoukr.cz #9

    avatar

    Hmmm. Slušný! Čekám, že budeš za tejden na Nově ve Střepinách jako „mladistvý počítačový hacker, co napadl bezbranná konta České Spořitelny“. Těším se… :)

    před 9 lety
  10. hvge http://hvge.sk #10

    #2 Aleši Jando, Myslim ze existuje urcite zopar menej agresívnych spôsobov ako postihovat uzivatela pri zadani zleho hesla :)

    Mne to ako hackovanie vobec nepripada, pokial Dave neklame, mali predsa 2 roky na napravu. Zablokovaniu IP sa da pekne predist centralnym generatorom cisel a metodou MDDoS (Manual DDoS:). Kazdy ma predsa v sebe kusok skodoradosti a kazdy si cas od casu rad anonymne zablokuje cudzi ucet :)

    před 9 lety | reagoval [41] rony
  11. Peta #11

    Nejlepsi bude, kdyz se naprogramuje skript a prilozi se do nejakeho spoustaku nejake freewarove hry. A bude se to dal sirit a sirit a sirit.

    před 9 lety
  12. Věroš http://www.na-mytince.cz/ #12

    avatar

    Hmm, dělitelnost 11 jako ověření přihlašovacího jména mne taky napadla, ale jak jsi to ověřil „matematicky“ je mi záhadou…

    Ledaže: Ověřil jsi to na větším množství přihlašovacích jmen než malých, a dáme předpoklad, že matematika je nadmnožinou statistiky, tak pak to lze ověřit matematicky.

    Nebo se ti povedlo získat všechna přihlašovací jména? Pak bych důkaz bral.

    Nebo jsi to dokázal indukcí? Pak mi vrtá hlavou, jestli to bylo indukcí matematickou nebo elektromagnetickou.

    před 9 lety | reagoval [15] David Grudl
  13. che #13

    #7 Davide Grudle, Jak vypadá taková zamítavá odpověď? Oni tu bezpečnostní díru vyřešili tím že si ji zakázali?

    před 9 lety | reagoval [14] Pavel
  14. Pavel #14

    #13 che, Ano, takhle řeší hromada společnosti své díry.

    před 9 lety | reagoval [42] rony
  15. David Grudl http://davidgrudl.com #15

    avatar

    #12 Věroši, já jsem právě tou matematickou stránkou věci nechtěl nudit, ale jelikož jsi absolvent FI MUNI, tak ti prozradím podrobnosti.

    Dělitelnost čísel jsme ověřili pomocí desktopové aplikace CALC.EXE, ale lze použít i vědeckou kalkulačku CASIO, popřípadě i kalkulačku obyčejnou – jen musí umět dělit jedenácti. Když kalkulačka neumí dělit šesti, tzv. šestinedělka, tak to nevadí, důležité je, aby uměla dělit jedenáci.

    Dále jsme větší než malé množství přihlašovacích jmen (konkrétně tři) zkusmo vydělili jedenácti a výsledek neměl desetinou část, což bylo povzbudivé zjištění (laicky: znamená to, že čísla byla dělitelná jedenácti).

    Samozřejmě lze si hypotézu potvrdit i webovým formulářem, který ohlásí blokaci jen u každého čísla, jenž je o násobek jedenácti větší či menší než číslo naše, zatímco u jiných ne.

    Pro pořádek dodám, že vlastní číslo jsme si zablokovali jako první :-) Samozřejmě nechtě. Doufám, že se zítra ještě bude možno dovolat na linku Servis 24…

    před 9 lety | reagoval [17] Pšenda [28] Věroš [43] rony
  16. Zerog #16

    Ok pisu to a du na to :) ..blokovat

    před 9 lety | reagoval [68] macbeth
  17. Pšenda #17

    avatar

    #15 Davide Grudle, no já žádnou UNI nemám, ale použil jsem to CASIO a vyšlo mi ********,1 což znamená že moje klientské číslo není dělitelné zmiňovanými 11. Zato je dělitelné 1 a 2. Možná to bude tím, že nezačíná 7 ale 2

    před 9 lety | reagoval [27] Morty
  18. Bochi http://johanesville.net #18

    avatar

    Jo, české banky, to je kapitola sama pro sebe. Vloni jsem řešil kauzu s KB a nápravy ze strany banky jsem se dočkal jen částečně a až po intervenci na nejvyšších místech (ombudsman KB, finanční arbitr ČR). Celý případ je celkem podrobně zdokumentován na http://anti-kb.johanesville.net/ až do současného stavu. Nakonec mi KB nabídla část požadovaných náhrad, ale potrestáni pokutou zatím nebyli a ani neprovedli plošnou náhradu všem klientům, prostě nás mají na háku.

    Bohužel mám i jiné věci na práci než takhle přes velkou louži řešit úlety Komerční Banky, takže se obávám, že k ničemu dalšímu už je nedotlačím. Web popisující celý případ jsem ale pro výstrahu ponechal funkční, snad to aspoň pomůže jako inspirace a morál ní podpora jiným poškozeným zákazníkům.

    před 9 lety
  19. Roj http://roj.bloguje.cz #19

    Delitelnost jedenacti je pomerne rozsireny zpusob zabezpeceni proti preklepum. Pouziva se krome bankovnich uctu i v rodnych cislech.

  20. Jago #20

    #19 Roji, Jo, a na ověření dělitelnosti čísla jedenácti existuje algoritmus, který nepoužívá dělení. Tuším, že součet lichých minus součet sudých číslic má být nulový resp. to, co vyjde, má být dělitelné jedenácti (tudíž další rozdíl/y/ součtů až se dojde k nule). Kdysi jsem to uměl i dokázat.

    před 9 lety | reagoval [21] rp
  21. rp #21

    #20 Jago, Pěkné, o tomhle testu jsem nevěděl.
    #19 Roj V rodných číslech po roce 1953.

    před 9 lety
  22. mat #22

    vtipné jako vždy, ale asi to bude dost na hraně nebo za hranou, aby na tobě jednou spořka nechtěla nějakou finanční satisfakci… něco jiného je obecné hořekování nad službami banky a něco jiného je návod, jak zablokovat přístup tisícům klientů…

    před 9 lety
  23. Pavel #23

    jdu si změnit heslo na fuckservis24 – jeden nikdy neví :)

    před 9 lety | reagoval [37] Roj
  24. Ondra #24

    Výběr z cizího účtu
    Právní dodatek: tohle není návod. Tohle je analýza bezpečnostní vady.
    Co útočník k výběru z cizího účtu potřebuje?
    Postup:
    1. Otevře dveře České Spořitelny.
    2. Vysloví nahlas tyto údaje:
    * Toto je přepadení
    * Navalte vaše prachy (nebo jakékoliv jiné).

    3. Výzvu podpoří útočník třikrát po sobě výstřelem do vzduchu.
    4. Pokud se zobrazí peníze, byl výběr z cizího účtu skutečně platný a účet byl vybrán. V opačném případě útočník zvolí jinou přepážku a pokračuje bodem 2.

    před 9 lety | reagoval [29] Petr [31] che
  25. votok #25

    Já mám tu samou zkušenost se Živnobankou, vždycky jsem rostl z toho, když mi někdo zablokoval účet, protože to znamenalo další návštěvu banky, další frontu, čekání na obálky a pak doufat, že to nějakej čas pojede.

    před 9 lety
  26. Jakub Hejda http://www.clickmedia.cz #26

    Tak a teď už stačí jen čekat na pochvalný dopis od České spořitelny :)) Kdyby aspoň přihodili za snahu na účet nějaký to kilo vid?

    před 9 lety
  27. Morty http://www.koldasoft.cz #27

    avatar

    #17 Pšendo, Moje Klientské číslo u ČS také není dělitelné 11 (taktéž … takže minimálně dneska se nemám čeho bát :-)
    Myslím že testovací vzorek DGX musel být dílem opravdu zvláštní náhody.

    před 9 lety
  28. Věroš http://www.na-mytince.cz/ #28

    avatar

    #15 Davide Grudle, Díky za dostatečně vyčerpávající vysvětlení. Jen ten calc.exe mi nechce fungovat. Ale MR609 to taky podělila.

    #19 Roji, Roji, kdesi kdysi (v archivech linux@linux.cz, cca 3–8 let zpátky) jsem potkal algoritmus na kontrolu čísla bankovního účtu a ten sice byl postavený na dělitelnosti, ale cifry se před použitím násobily nějakými vahami. Jen to teď nemůžu najít. (aspoň něco)

    Protipříklad: Číslo mého bankovního účtu (ČS) není dělitelné jedenácti (ale číslo účtu neziskovky, pro kterou občas pracuju dělitelné je – E-banka :-) )

    před 9 lety | reagoval [35] jb [38] Roj [53] pankreas
  29. Petr #29

    #24 Ondro, je mi lito ale ten navod je principialne vadny. jakmile vejdu do mistnosti, nelze vystrelit do vzduchu, alespon ne bezbou strelnou zbrani. – a vybihat kvuli tomu pred banku je podle meho kontraproduktivni.

    navrhuji to zmenit na 1 vystrel do stropu (a doufat ze nejsou ze sadrokartonu a nahore nemaji „nahusto“ pouzivane kancelare.

    před 9 lety
  30. Aleš Janda http://www.kyblsoft.cz #30

    #4 Davide Grudle, Poukazuješ na možnou chybu a dáváš návod, jak ji zneužít, ale ani ses nezamyslel, jestli tomu zneužití lze zabránit? Ajaj..

    Zablokovat účet se může zdát jako blbý nápad, ale je to jediné bezpečné řešení, jaké mě napadá. Jaká jsou jiná řešení?

    1. Nedělat nic – je jen otázka času, kdy tedy na heslo někdo přijde
    2. Zablokovat IP adresu (časově omezeno) – použiju třeba Tor a mám-li hodně času, na heslo přijdu
    3. Zablokovat účet a poslat na předem dohodnutý mobil odblokovací kód – takže stačí, když si někdo „půjčí“ tvůj mobil, zablokuje, přijde mu kód, přihlásí se…
    4. Zablokovat účet dočasně – nic nebrání tomu takto hromaděn blokovat účty dále a opakovat to dokola… To je řešení na půl cesty
    5. Zablokovat účet a čekat na skutečné ověření identity – volitelně dočasně bloknout IP adresu – to se zřejmě právě děje ;-)

    Kdyby někdo přišel na jiné řešení (řekněme, že by ho to napadlo samo a nechtěl na tu úžasnou myšlenku přicházet až jako placený konzultant), rád se poučím, jak by to mělo být.

    Do té doby je celý tento článek jen takové plácnutí do vody…

  31. che #31

    #24 Ondro, Navrhuji jednodušší postup:

    1. zjistit číslo účtu oběti
    2. napodobit její podpis
    3. peníze si normálně poslat formulářem vhozeným do samoobslužného boxu.
    před 9 lety
  32. Radovan Garabík #32

    Jednoducho… nepoužiješ blbú autentifikáciu menom a heslom. Už len tá GRID karta je podstatné zlepšenie. Nehovoriac o SMS autentifikácii, one-time pad a podobných veciach. Slovenskej VÚB to trvalo asi 3 roky, než niečo také zaviedla (pred tými 3 rokmi sa tvárili akože čo to od nich chcem, a na moje upozornenie, že ja som v pozícii z ktorej môžem vybrať účty asi 60 ľuďom reagovala slečna(pani?) širokým úsmevom a vyjadrením: „Ale neurobíte to, že? Tak je to teda v poriadku.“.
    #30 Aleš Janda

    před 9 lety | reagoval [47] Aleš Janda
  33. #13 http://mmister.com #33

    #30 Aleši Jando, Třeba u ČSOB se u inernetbankingu používá číslo různé od čísla účtu a PIN je různý od PIN karty. Takže se nikdy nepovede zablokovat účet někoho konkrétního, protože si troufám tvrdit, že svoje číslo do internetbankingu nesděluje cizím lidem skoro nikdo.

    A k jedničce: Jak dlouho trvá nějakému skriptu, než prověří všech deset (nebo sto) tisíc variant? Ptám se, protože to nevím.

    K dělitelnosti: Číslo mého účtu u ČSOB je dělitelné 11, číslo do internetbankingu není.

    před 9 lety | reagoval [47] Aleš Janda
  34. zirafka http://blog.zirafka.cz #34

    avatar

    #8 meco, Oholit podpazi? Hmmm… to zni lakave. Prozradis mi sve klientske cislo? ((-;

    #19 Roji, Roji, nemachruj, stejne to vis ode mne ((-;

    před 9 lety
  35. jb http://jaybee.frih.net #35

    #28 Věroši, Pravděpodobně došlo k záměně, tady nejde o „Číslo bankovního účtu“ ale o „Klientské číslo“, které je úplně jiné. :-P

    před 9 lety
  36. Tomas Vecera #36

    Moje „Klientske cislo“ rozhodne delitelne 11 neni :) !!!

    před 9 lety
  37. Roj http://roj.bloguje.cz #37

    avatar
    před 9 lety
  38. Roj http://roj.bloguje.cz #38

    avatar

    #28 Věroši, chces ten program na overeni cisla uctu, rodneho cisla a IČO? Mam vsechny tri, ale ve FoxPro :-) Muzu sem pastnout :-)

    před 9 lety
  39. Roj http://roj.bloguje.cz #39

    avatar

    #30 Aleši Jando, tak napriklad lze pocet neplatnych pokusu zvetsit na 30 a pri 25. dat vystrahu, ze jich zbyva poslednich 5 a zvetsit reakcni dobu na 2 minuty. Popripade ji zvetsovat spojite od 3. pokusu az na 60 minut.

    Divim se, ze tak trivialni vec někoho nenapadne :-)

    před 9 lety | reagoval [44] rony [47] Aleš Janda
  40. zipper http://www.rswebdesign.net #40

    avatar

    #19 Roji, No správně je to rozdíl ne sudých a lichých číslic (to by pak třeba číslo 112 bylo dělitelné), ale rozdíl součtu číslic na sudých a lichých rádech. Např. 619366, tj (6+9+6)-(1+3+6)=11, což je dělitelné 11. Případně můžeme, jak jsi řekl, pokračovat až k nule (číslu menšímu než 11 v případě 11 nedělitelného čísla) ;)

    před 9 lety
  41. rony http://spravodaj.madaj.net/ #41

    avatar

    #10 hvge, „Kazdy ma predsa v sebe kusok skodoradosti a kazdy si cas od casu rad anonymne zablokuje cudzi ucet :)“

    ja nie → Kazdy – 1

    před 9 lety
  42. rony http://spravodaj.madaj.net/ #42

    avatar

    #14 Pavle, hovor slušne a označuj ich ako asistentky!

    před 9 lety
  43. rony http://spravodaj.madaj.net/ #43

    avatar

    #15 Davide Grudle, „Pro pořádek dodám, že vlastní číslo jsme si zablokovali jako první“ → čo je dosť reálna šanca stať sa položkou v databáze „Podozriví klienti“.

    před 9 lety
  44. rony http://spravodaj.madaj.net/ #44

    avatar

    #39 Roji, zaujímalo by ma konkrétne riešenie tohto „odďaľovania“ vo webovej aplikácii. Je jasné, že to nesmie byť klientsky skript. Ako napr. udržím 15 minút klientsky prehliadač v „očakávaní“? PS: pýtam sa, pretože istú predstavu mám, len sa pýtam, či je zhodná s nejakým konkrétnym riešením.

    před 9 lety | reagoval [46] aw
  45. Multimotyl http://my.opera.com/multimotyl #45

    avatar

    http://www.fs.vsb.cz/…/TEOROZ.HTML

    Ověření několika běžně používaných číselných kódů (EAN, číslo motoru, rodné číslo, číslo účtu, …

    před 9 lety | reagoval [58] Věroš
  46. aw #46

    #44 rony,
    Jednoduše, při pokusu o přihlášení se zobrazí hláška „zkuste to znovu za 15 minut, účet je dočasně zablokován“

    před 9 lety
  47. Aleš Janda http://www.kyblsoft.cz #47

    #32 Radovane Garabíku, Ty autorizační kalkulačky atd. jsou sice účinné, ale zase docela pakárna – např. musíš je u sebe nosit, když jsi na cestách atd. Autorizační SMS kvůli každému přihlášení se zase prodražují. Stačí, že už takhle (v servis24) jsou nutné při každém posílání peněz.

    Je to řešení, ale zároveň další ztížení používání.

    #33 #13, Třeba u ČSOB se u inernetbankingu používá číslo různé od čísla účtu a PIN je různý od PIN karty
    U České spořitelny taky.

    #39 Roji, tak napriklad lze pocet neplatnych pokusu zvetsit na 30 a pri 25. dat vystrahu, ze jich zbyva poslednich 5 a zvetsit reakcni dobu na 2 minuty.
    Tím se ovšem nevyřeší nic. Prostě to zadáš 30× a protože blokuješ více různých účtů zároveň (paralelně), je ti jedno, že na každý z nich je někdy nějaká zvýšená reakční doba. Kromě toho možnost 30× zadat heslo už nepovažuji za bezpečné – při částečném odkoukání kódu se dají zbývající číslice odhadnout.

    před 9 lety | reagoval [48] David Grudl
  48. David Grudl http://davidgrudl.com #48

    avatar

    #47 Aleši Jando, jenže tady je potřeba oddělit od sebe tyto případy:

    1. klient, který si účet zablokoval sám sobě omylem
    2. postižený klient, kterému účet zablokoval někdo jiný
    3. ať už jde o 1) nebo 2), musí utratit 10 Kč voláním na placenou linku

    Pokud systém po vyčerpaných pokusech zablokuje účet, tak musí nabídnout on-line formu odblokování, například vložením bezpečnostního kódu do formuláře, nikoliv požadovat nadiktování do telefonu. Teprve pokud Xkrát úspěšně zadám bezpečnostní kód a poté vždy neúspěšně hádám heslo, můžu přistoupit k zablokování.

    Tímto způsobem dám klientům (1) velké množství pokusů a zároveň odstřelím útočníky (2), musely by totiž znát bezpečnostní kód, aby mohli pokračovat ve zkoušení hesla.

    Zbývá případ, kdy útočník hádá bezpečnostní kód. S limitem max. 2 pokusy za minutu by musel hádat s plným nasazením třeba deset let. Ale už po hodině může systém takovou aktivitu zaznamenat a nějak zareagovat.

    …ale tohle přesně jsem vymýšlet fakt nechtěl, za to je megaluxusně placen někdo jinej

    před 9 lety
  49. faha #49

    Hmm, horkej brambor… nic vic, s timhle diru do sveta neudelate, apropo neni problem dostat penize z ciziho firemniho uctu, problem je jak ty penize dostat ve finale ven z banky, poslat si je na svuj ucet a pak si je prijit vyzvednout na prepazku v klobouku neni to prave orechove

    před 9 lety
  50. honza #50

    avatar

    Hezke reseni situace je narustajici doba po kterou se heslo nemuze zkouset… po trech spatne zadanych heslech se ucet na 15 min zablokuje, pri dalsim se zablokuje na hodinu, pak treba na tri… Pokud budete zkouset jedno heslo za tri hodiny, tak je dost pravdepodobne, ze ho neuhodnete v nejakem zajimavem case. Navic je pak spousta casu na nejakou protiakci…

    Pripadne je hezke reseni opisovani kontrolniho obrazku umisteneho na webove strance (jako pri posilani SMS)

    před 9 lety
  51. Pavel http://pavel.lasakovi.com #51

    U těchhle velkých společností je jakákoli snaha marná. Kokoti co tomu velí si myslí, že jsou nejlepší.

    Snažil jsme se pro jednu mezinárodní korporaci naprogramoval výpočetní program (nebyl využit protože byl až moc dobrý). Dal jsem podnět k zlepšení , zlepšit jim webových stránek,atd. Nakonec jsem to vyřešil změnou místa a jsem spokojen…

    před 9 lety
  52. uf #52

    Nezdá se vám, že se chováte trochu stejně? Já bych jim ukázal, jak se to má dělat, moje řešení je (nebo by bylo) nejlepší… atd… Je zde alespoň jeden přispívající, který má zkušenosti s bankovními systémy? Jediný pan Aleš Janda se nad problémem trochu zamyslel, ostatní (včetně autora) je jen takové plkání strýců u piva…

    před 9 lety
  53. pankreas http://sirecky.misto.cz/ #53

    #28 Věroši, Cislo uctu by melo byt delitelne jedenacti. U Ceske sporitelny (Komercni banky apod.) je ale potreba odparat predcisli.

    před 9 lety | reagoval [58] Věroš
  54. Radek Hulán http://radekhulan.cz/ #54

    avatar

    #30 Aleši Jando, Raiffeisenbank používá také „jen“ jméno a heslo, nicméně dále je potřeba osobní certifikát načítaný Java appletem (funguje Sun Java 5/6 v libovolné verzi na libovolném OS), který má člověk na disku či USB klíči, a bez něj se nikdo, ani se znalostí jména a hesla, není schopen přihlásit a účet zablokovat. To je jedno z řešení.

    Každá transakce navíc (může) být autorizována SMS kódem. To je inteligentní řešení, řešení Servis24 je nebezpečný paskvil, a je dobře, že na něj DGX upozorňuje tímto způsobem, protože je poté naděje, že se někde něco pohne..

    před 9 lety
  55. Radek Hulán http://radekhulan.cz/ #55

    avatar

    PS (pro DGX): osobně bych nečekal, že IT znalý člověk si zvolý internet banking tam, kde po něm chtějí jen jméno a heslo bez dalšího zabezpečení ;-)

    před 9 lety | reagoval [57] David Grudl [61] Anonym [66] Bochi
  56. brk #56

    Dnes byl chujový den a mám toho z roboty tak akorát dost a nechce se mi moc přemýšlet, ale když vydělím své klientské číslo 11, tak mi vyjde něco kolem 700 milionů. Jelikož nám 7mičková řada začíná sedmičkou a budeme ji dále ignorovat, tak mámě nějakých 70 milionů čísel. Když uvážím, že spořitelna má něco málo přes 5 milionů zákazníků, tak i kdyby měl každý druhý elektronické bankovnictví, tak je to 2,5 uživatelů. Kdyby se zde znovu něco periodicky opakovalo, jako ta 11ka, tak máme cca každé 28te číslo odpovídající klientskému číslu.

    Brát jedno číslo za druhým z jednoho PC je kravina, to by se brzy objevilo jeho IP na nějakém blacklistu. Když si vygooglím nějaký pěkný seznam proxy serverů, kde jich bude typicky nějakých 5000 a v rozumné době bude reagovat každá desátá proxy, tak jsem schopný zazdít cca 500/28 tedy cca 18 účtů. Tohle v podstatě nestojí ani za pozornost.

    před 9 lety | reagoval [57] David Grudl
  57. David Grudl http://davidgrudl.com #57

    avatar

    #56 brku, Jde o to, že čísla tvoří řadu. Takže když ke svému klientskému číslu přičteš 11, 22, 33 atd., tak dostáváš nová klientská čísla. Je to samozřejmě hypotéza, ale částečně potvrzená.

    Každopádně nejde o to, kolik účtů lze zablokovat, ale že to vůbec jde. Protože i jediný zablokovaný účet znamená pro majitele nepříjemnosti, musí dohledat dokumenty od banky, telefonovat, tratí na tom čas i peníze. A jen co záležitost vyřídí, opět mu může záškodník účet zablokovat. Nebude škodit kvantitativně, ale „vychutnávat“ si jednoho chudáka.

    (článek jsem raději trošku upravil, ať je postup více srozumitelný)

    #55 Radku Huláne, nápodobně, eBanka rulez

    před 9 lety
  58. Věroš http://www.na-mytince.cz/ #58

    avatar

    #53 pankreasi, Je to jen plácnutí do vody typu „Na Internetu v diskusi psali, že…“, nebo to máš podepřené jinými argumenty (existuje norma?). Já jen, že to pro moje číslo účtu neplatí (ani s předčíslím, ani bez něho).

    #45 Multimotyle, Děkuju, přesně to jsem myslel.

    před 9 lety | reagoval [91] pankreas
  59. Pavel http://pavel.lasakovi.com #59

    tak jsem se na to té sebrance co si říká banka ptal, a je jim to šuma fuk. Naučená odpověď, že vše je bezpečné a klientům žádné problémy nehrozí. Prý to mají velice dobře zabezpečené.

    Čím to je, že jim věřím tak silně, že tam nemám účet a před rokem ho tam zrušila i manželka a další dva lidé, kterým jsem to názorně vysvětlil.

    před 9 lety | reagoval [60] MiSHAK
  60. MiSHAK http://www.mishak.net #60

    avatar

    #59 Pavle, Ještě doplňte historku jak vás s devítkou u hlavy donutily přestat čerpat peníze z účtu jejich klientů pomoci obyčejného notebooku připojeného k internetu a máme tady Smrtnonosnou past 5.0…

    Princip oddalování hádání hesla je nejlepší, protože klient nemusí ani nic poznat. Pokud bude interval pro sadu 3 pokusu 0, 15minut, 30minut, hodina atp., je dosti velká pravděpodobnost, že si klient ani ničeho nevšimne a šance na uhodnutí hesla je mizivá. Prakticky dříve klient umře než stihnete vyzkoušet všechny možnosti :-D A když klient bude akutně něco potřebovat, bude nucen použít tu vařící linku.

    před 9 lety
  61. Anonym #61

    #55 Radku Huláne, Heh, hezky se chlubis, jak znas banky a pritom o S24 vis houby. Jmeno & heslo je jen jedna z moznosti prihlaseni (AFAIK muzes volitelne si zaridit SW ci HW certifikat) a krome toho jsou veskere aktivni transakce potvrzovany pres SMSky.

    před 9 lety | reagoval [63] Radek Hulán
  62. Arcao http://www.arcao.com #62

    avatar

    Tak sem zvědav, kdo první dá dohromady Javascriptik, který si dá na stránky, a který při přístupu bude přes iframe posílat přihlášení. To pak není problém zablokovat fůru účtů.

    To samé by mělo jít dát dohromady pomocí flashe.
    Ale PST. Nic sem neřekl, ani sem tu nebyl :)

    před 9 lety
  63. Radek Hulán http://radekhulan.cz/ #63

    avatar

    #61 Anonyme, problém je to slovo „volitelně“. Certifikát nemá být volitelný, ale povinný, jinak je celý proces snadno zneužitelný.. Kolik lidí Servis24 používá jen primitivní jméno/heslo? Nadpoloviční většina?

    před 9 lety | reagoval [64] Anonym
  64. Anonym #64

    #63 Radku Huláne, Tak znovu – i „primitivni jmeno/heslo“ je ti k nicemu, protoze veskere aktivni operace jsou potvrzovany SMSkou. Pokud moje jmeno/heslo nekdo odchyti (keylogger), tak se maximalne muze podivat na zustatek a puknout zavisti/smichy, ale to je vse, co mi muze. A ten, kdo se chce zabezpecit i proti tomu, tak pouzije HW certifikat. Jasne – eBanka to ma udelane lip, ale nerikejte, ze S24 je zabezpeceny pouze jmenem/heslem, ktere staci odposlechnout a hned ti nekdo naboura ucet.

    před 9 lety | reagoval [65] Radek Hulán
  65. Radek Hulán http://radekhulan.cz/ #65

    avatar

    #64 Anonyme, jak je vidět, zaměstnanci ČS pracují i doma a „hájí čest svého ústavu“. Bohužel, zcela chybně.. Je zodpovědnost banky zajistit bezpečnost, a pokud může téměř kdokoliv zablokovat účet, či odposlechem / uhodnutím jména a hesla se dostat do bankovního systému, je to průser.

    Osobně bych takovéto bance své peníze nesvěřil.

    Nezáleží na tom, že existují i jiné metody ověření, když drtivá většina klientů bude mít tu nejjednodušší.

    před 9 lety | reagoval [67] PCMark [77] Lokutus
  66. Bochi http://johanesville.net #66

    avatar

    #55 Radku Huláne, S tou relativní nebezpečností u přihlašování pouze přes id a heslo máte sice pravdu, jde ale o čistě technický pohled. Když se na to podíváte z ekonomického hlediska, může se někdy vyplatit riskovat určité ztráty způsobené větším rizikem zneužití, než investovat peníze do zesíleného zabezpečení. Nutnou podmínkou proto, aby to uspokojivě fungovalo, je samozřejmě to, aby banka brala rizika na sebe, tedy v případě nelegálního nabourání do něčího účtu ztrátu zákazníkovi nahradit.

    Samozřejmě to nemusí na každém trhu fungovat stejně, může to být individuální pro každou zemi. Např. ten předpoklad s pojištěním účtu a hladkým vyřízením ze strany banky u českých bank splněn není, zatímco např. v US je takové „jednoduché a málo bezpečné“ přihlášení běžné. Stejně tak poměr mezi možnými ztrátami a náklady na zesílení ochrany může být u těchto dvou zemí jiný. Jiná bude asi i ochota zákazníků nechat se zatěžovat nějakými komplikovanými systémy přihlašování (pokud to výslovně nepožadují), atd.

    před 9 lety
  67. PCMark http://pcmark.info #67

    #65 Radku Huláne,
    Já bych to neviděl zase tak černě. Narozdíl od Raiffeisenbank je u ČS potvrzování transakcí přes SMS povinné. Dále se dá pro přihlášení použít vizuální klávesnice a tak nejde heslo ani odposlechnout.
    Co je více bezpečné? Povinné používání SMS potvrzení nebo certifikát?

    před 9 lety
  68. macbeth #68

    #16 Zerogu, Jeden bloguje, druhý blokuje :D

    před 9 lety
  69. Uzivatel si pral zustat v anonymite http://kernel.org #69

    Nad takovymi chybami se uz ani nepozastavuji, je jich obrovske mnozstvi na nejruznejsich mistech. Zadate 3× chybne PIN na telefonu + 3× chybne PUK a sim kartu s kreditem i vsemy papiry muzete vyhodit.

    Podobne to je s bankovni kartou, ktera se rovnez muze stat nepouzitelna, divim se ze ti bridilove vubec dovolili, aby sel internet banking odblokovat.

    Shodou nahod, kdyz jsem se pokousel na servis24 prihlasit s chybnym heslem, jsem take zjistil, ze ti idioti blokuji lidem ucty, nicmene to i nadale povazuji za standardni ceske reseni. Ceske tzn. kvalitativne velice chude. I vietnamci na trznici jsou schopni naprogramovat lepsi autentizaci, ale >> ceska << sporitelna, honosici se obrovskym kapitalem to nedokaze.

    PS: Ceske bankovnictvi nam nenabizi zadne soukromi, vsechny nase transakce lze bud

    1. sniffovat protoze stranky nebezi kompletne pres https
    2. ziskat odposlechem SMS z mobilniho telefonu
    3. ziskat z nasi schranky (vypis uctu)
    4. ziskat nas PIN a kopii obsahu karty prostrednictvim male upravy ctecky v bankomatu (kvuli teto uprave staci zasunout tenky obvod tam co patri karta)
    5. lze zjistit PIN a provest kopii karty take ve ctecce primo na pobockach, aniz byste tomu mohli jako klient zabranit (stejna taktika jako v bodu d)
    6. 99% certifikatu >> ceskych << bank neni podepsano mezinarodni autoritou, proto si musite do browseru doinstalovat nejprve root podpis autority a az pote muzete rozpoznat, zda je HTTPS certifikat prijaty bankou pravy, ci vam jej zaslal vas hackersky soused pomoci MiM attack (napr. DHCP spoofing ci ARP flooding)

    Po tom vsem co uvadim vyse si myslite, ze je v poradku tupe klikat na Accept, aniz vyste vedeli co se kvuli tomu muze stat?

    před 9 lety | reagoval [71] Field
  70. Field #70

    k tomu naznacenemu DOSu – timhle zpusobem si vykoledujete nejjednodusi a stale jeste levne reseni, pravdepodobne zcela ve stylu CS – kazde prihlaseni na CS24 se bude overovat telefonickym hovorem operatorovi :-) Druha varianta je, ze se nekdo zamysli a da tam captchu, coz je na script kiddies stale jeste rozumne ucinne.

    Ad bezpecnost – i samotna moznost zobrazeni stavu uctu a pohybu na nem zalozena na pristupu k ID a heslu je bezpecnostni problem. Jestli mate na ucte prd, je vam to asi jedno, i kdyz nejake neprijemnosti z toho vyplyvajici si taky dokazu predstavit. Jakmile tam ale bude nejaka rozumna suma, razem se to dotyka vaseho osobniho bezpeci a pak budete mluvit jinak.

    Takze ano – zpusob zabezpeceni CS24 bez dodatecnych POVINNYCH prvku autentikace je amatersky a nebezpecny. A to i presto, ze se to bance jednoduse vyplati, jak zde zminil Bochi. To je totiz dano i tim, ze u nas je jen mala ochota zakazniku soudit se s institucemi a jejich pochybeni medialne rozmazavat. Jinak se totiz zlepseni domoci temer nelze :-(

    před 9 lety
  71. Field #71

    #69 Uzivatle si prale zustate ve anonymite,

    • ziskat nas PIN a kopii obsahu karty prostrednictvim male upravy ctecky v bankomatu (kvuli teto uprave staci zasunout tenky obvod tam co patri karta)
    • lze zjistit PIN a provest kopii karty take ve ctecce primo na pobockach, aniz byste tomu mohli jako klient zabranit (stejna taktika jako v bodu d)
    1. mate dojem, ze tato rizika se tykaji vazne jen klientu ceskych bank?
    2. oskimovanim karty nezjistite PIN
    3. nemusite chodit na pobocky, muzou vam to udelat v kterekoli hospode, pokud jste natolik duverivi, ze byt jen na vterinu pustite kartu z dohledu. Pokud jsou sikovni, udelaji to primo pred vami pri placeni u stolu.

    Tyhle body jsou vuci ceskym bankam nefer. Pokud jste takovy kanon, navrhnete primerene levne reseni a osobne vam dohodim hromadu konzultantskych kontraktu do bank po celem svete.

    před 9 lety
  72. Michaels #72

    avatar
    před 9 lety | reagoval [73] pixy
  73. pixy http://pixy.cz #73

    #72 Michaelsi, ROFLOOOOOOOOOOOOOOOOL !!!

    před 9 lety
  74. Uzivatel si pral zustat v anonymite #74

    1. bezpecnost retezce je ekvivalentni bezpecnosti jeho nejslabsiho clanku. Praxe ukazala, ze nejslabsim clankem je lidsky faktor. Patrime mezi staty kde je nejvyssi korupce (posudte sam dle jednani nasich politiku, starostu, policistu a dalsich vysoce postavenych >> ceskych << funkcionaru, ktere nekomu stoji za to vydirat ci trestne stihat).
    2. v kazdem pripade PIN musite zadat do pristroje, se kterym mohou ve Vasi nepritomnosti manipulovat neopravene osoby, coz se vlastne jiz nekolikrat i zde v CR stalo.
    3. ano, souhlasim

    Nejprve Vas musim ujistit, ze i kdyz sam prijdete na reseni tohoto problemu, zadna banka na nej nepristoupi. Banky uzivaji nejlevnejsi mozne reseni, aby mely maximalni zisk, ale zaroven jim laicka verejnost plne duverovala. Nezalezi jim na bezpecnosti klientu, nybrz na jejich vlastni. Banky tu jsou prece proto, aby vydelavaly, nejsou zde pro nas (100× opakovana lez je pro mne jen 100× opakovanou lzi).

    Pokud bychom zili v modernim state, meli bychom centralni databazi vsech obyvatel i jejich bankovnich operaci, kterou by uzivaly vsechny opravnene statni i soukrome subjekty. Nepotrebovali bychom uz zadny stupidni plast s chipem, ani ctecky, mely bychom na svem obcanskem prukazu ID (nikoliv rodne cislo ci jiny citlivy udaj) a meli bychom take sve heslo (ulozene v centralni databazi).

    Obcansky prukaz by obsahoval chip (ne laciny a nebezpecny RFID).

    Pro libovolnou bankovni transakci by nam stacilo zadat ID a heslo (to by muselo byt povinne alespon 10 alfanumerickych znaku), zaroven by byly doplnujici bezpecnostni prvky, jako SMS, email ci jine (numericka klavesnice s dotykovym displayem a vzdy nahodne rozmistenymi cisly, atd.)

    Zasadni rozdil je v heslu, ktere by si uzivatel zvolil sam (zadne defaultni), v zahozeni zbytecnych karet (vse by fungovalo diky centralni DB) a v unikatnim ID pouzitelnem pro veskere operace, tedy jiz zadne zbytecne soukrome firmeni databaze, pouze zaslete pozadavek centralni DB a prijdou vam pozadovana data.

    V USA jiz podobna technologie byla zavedena pred vice, nez 10-ti lety, my se ji nedockame drive, nez za XX let, pokud se vubec dockame…

    Vite proc i pres veskerou kritiku zacnou byt zavadeny RFID pasy a implantanty (tzv. elektronicka penezenka) ? Protoze RFID je to nejlevnejsi reseni a tak to bohuzel casto chodi…

    před 9 lety | reagoval [75] Field
  75. Field #75

    #74 Uzivatle si prale zustate ve anonymite, S pasazi o zisku souhlasim, proto jsem pozadoval „primerene levne“ reseni. Vtip je v tom, ze narust kriminality okolo bankovnich karet zacina dosahovat dost divokych rozmeru, takze strategie strkani hlavy do pisku uz v bankach prestava fungovat.

    Co se tyka toho zbytku, v takovem state ja zit nechci. Ma duvera v jakoukoli instituci je zrejme o nekolik radu nizsi nez vase, jsem mirne paranoidni a pohodli spojene s centralnimi databazemi vseho mozneho s pristupem zabezpecenym jedinym heslem (opravdu jste chtel napsat zabezpeceni heslem? vazne?) si rad necham ujit.

    Kdyz se vam dneska nekdo naboura do uctu v CS, prijdete o sve penize v CS a krom vylozene nestastnych pripadu jiz o nic dalsiho. Kdyz nekdo zjisti pristup k one centralni DB, mate takrikajic po zizalkach, protoze vam nezbyde nic. Risk management je nemozny, je nahrazen duverou ve schopnosti nekoho tretiho, kdo se ale NIKDY neosvedcil.

    RFID samo o sobe neni nijak nebezpecne, je to jen technologie. Problematicky je zpusob jejiho vyuziti. Takze RFID nevyhrava kvuli cene, ale kvuli jednoduchosti pouziti a zejmena moznosti bezkontaktniho snimani, idealni pro smiraky vseho druhu vcetne tech statnich.

    před 9 lety
  76. Uzivatel si pral zustat v anonymite #76

    Neznam detaily principu, na kterem centralni databaze vsech obyvatel USA funguje, ale v tomto pripade mi danne reseni pripada praxi okazale a pro ucely vsech statu vyhovujici. Tipuji ze kazdy subjekt, majici pristup k citlivym informacim musi byt dukladne proveren a navic mu bude zrizen ucet, ze ktereho ziska pristup pouze k tem informacim, na ktere ziskal opravneni.

    Urcite to neni natolik zranitelne, aby se nekdo neopravneny k citlivym informacim dostal, cetl jsem ze sice takove pripady zaznamenany byly, ale jsou pry jen ojedinele (selhani jednotlivce, na ktere se stejne rychle prislo, protoze kazdy pristup je zaznamenavam a archivovan).

    Muze se jednat o nekolik mainframu a clusteru, diky kterym se usetri miliardy (kolik nas asi tak muze stat vsechna ta zastarala statni byrokracie, pri ktere si kazdy urad musi vest vlastni databazi a vymenovat si manualne udaje s jinymi urady).

    Je rok 2007 – tisknout na papir / prepisovat z papiru zpet do PC je mnohonasobne drazsi, nez vest a uzivat centralni databazi, ze ktere si muzete v pripade zajmu nechat provest vypis vasich soukromych dat na ktere ziskate opravneni.

    před 9 lety
  77. Lokutus http://lokutus.bloguje.cz #77

    #65 Radku Huláne, Povinnost používat certifikát nazývám přinejmenším socialismem. Ty to navíc podáváš, jako by tu povinnost měla občanům a bankám udělit přinejmenším EU.

    Servis 24 má všechny standardní bezpečností prvky, které najdete ve většine IB aplikací. Certifikáty, kalkulačku, autorizační SMS, softwarovou klávesnici, nastavení maximálního výběru, apod… Je na každém, co použije. Já osobně bych zase utíkal z banky, která by mi chtěla přikazovat nějaké konkrétní zabezpečení.
    Osobně si myslím, že bezpečnost vychází ze samotných lidí. V životě by mě nenapadlo udržovat na běžném účtu nějaké mega částky. To, spolu s maximálním denním limitem je první stupeň zabezpečení peněz. Stejně jako nikdo soudný nentahá v kešeni půl milionu, neuchovává takové peníze ani pod polštářem, tak je nemá ani na běžném účtu, kam se lze dostat minimálně třemi snadnými cestami – karta, IB, papírový příkaz s prachobyčejným podpisem a znalostí čísla účtu. Tedy pokud pro něj není půl milionu, jako pro zbylých 99,9% obyvatel této země pár stovek.
    Certifikát je pak jen nadstavbou nad takovýmto zabezpečením, navíc jen jednostranou.

    Kupříkladu karta se dá přečíst a ukrást, PIN se dá také zjistit – stačí kvalitní kamera s dobrým zoomem. Embosovaná karta se dá navíc zneužít tam, kde mají ještě klasickou žehličku. To není nijak zvlášť zabezpečeno. Takže mít zabezpečenou pokladnici jen masivní pevnou mříží na okně, když dveře jsou z tenké překližky, je naprosto zbytečné.

    [smazáno] Potvrzuji, že moje číslo ČS účtu je také dělitelné 11. Ale vzhledem k tomu, že ČS hodlá podniknout právní kroky v případě, že se tvého článku někdo chytne, bych si být tebou už hledal právníka. Naše policie, stejně jako slovenská, půjde jistě cestou nejmenšího odporu. Nejprve zabaví hardware gigawebu, pak se staví u vás doma a nakonec ještě pro jistotu oběhnou zdejší komentátory.

    před 9 lety | reagoval [78] Michal [82] David Grudl
  78. Michal #78

    #77 Lokutusi, Cituju: Servis 24 má všechny standardní bezpečností prvky, které najdete ve většine IB aplikací.

    Vidíš, a přesto tyto standardní bezpečnostní prvky nestačí.

    Stačí, aby si někdo uvědomil skutečnost, že když zadá vlastní číslo a heslo třikrát špatně, zablokuje se účet, dá si to dohromady s další skutečností, že stejně by se to mohlo přihodit někomu jinému, ať už omylem nebo cizím přičiněním.. A pak, po velmi velmi dlouhé prodlevě tuto bezpečnostní chybu, kterou vlastně banka za chybu nepovažuje, zveřejní.

    Je to zajímavý případ. Jsem zvědav, kdy za to někdo Českou spořku v nějakém pořádném médiu pořádně propere…

    před 9 lety | reagoval [79] Lokutus
  79. Lokutus http://lokutus.bloguje.cz #79

    #78 Michale, To ale není bezpečnostní chyba. Případný útočník nic nezíská, klient ani banka zase neztrácí. Problém je v tomto případě jinde. Problémem je nepružnost banky při odblokování účtu, a hlavně to, že odblokování provádí pouze na základě telefonické žádosti, která je navíc zpoplatněná. To je buzerace a shit. Ale nikoliv bezpečnostní problém.

    před 9 lety | reagoval [80] Michal
  80. Michal #80

    #79 Lokutusi, Bezpečnostní chybu si v tomto kontextu můžeme představit spíš jako něco nedovoleného, nepovoleného. Ve srovnání s eBankou, kde mám účet já, je to nemilá bezpečnostní „vlastnost“ systému.

    Samozřejmě se tímto způsobem nemůžeš nabourat do cizího účtu. Omezíš tak ale vlastníka účtu, že nebude moct manipulovat se svým účtem do doby, než si ho nechá znovu zaktivovat.

    Případný útočník nic nezíská, klient a banka ale ztrácí. Oba ztrácí čas, klient i peníze za zavolání, banka ztrácí peníze za podporu klientů, které by nemusela podporovat. Banka navíc ztrácí dobré jméno a pověst dobrého internetového bankovnictví.

    Když se na to ještě podívám znovu, tak kdyby někdo opravdu udělal robota, ať na serveru nebo pomocí JavaScriptu a dal ho anonymně do nějaké těžko dosažitelné stránky (odkud by nešel jen tak rychle odstranit), tak ten robot bude generovat falešné požadavky (v případě JavaScriptu i z různých IP adres), tím blokovat klienty, roztočí se spirála nespokojených klientů, zavařeného call centra, IT pracovníků na nohou, jak tomu zabránit… Jestli ti tohle nepřijde jako bezpečnostní chyba, mě tedy ano. Ona bezpečnostní chyba nemusí být jen chyba ve smyslu prolomit se někam pomocí jména a hesla. Bezpečnostní chyba může být třeba i narušení plynulého provozu.

    před 9 lety | reagoval [81] Lokutus
  81. Lokutus http://lokutus.bloguje.cz #81

    #80 Michale, Já chápu, jak to funguje a co to může přinést. Ale není to bezpečnostní chyba. Tedy od slova bezpečnost, zabezpečit data, peníze apod. Trvám na tom, že chyba není apriori v zablokování účtu, což bych spíše považoval za fíčuru, nýbrž v následném odblokování, které je naprosto nepružné a za peníze. To ale nemá s bezpečností nic společného.
    Samozřejmě, že prostor pro optimalizaci se jistě najde. Jak napsal Roj, nebo David, stačí prodloužit interval pro další zadání na nějaké dvě minuty, umožnit odblokování online s použitím zvláštního bezpečnostního kódu, apod. Proto David napsal tento článek, kde upozornil na zjevný problém IB ČS. Teď je míč na jejich straně, aby tento problém odstranili. Já k tomu hodlám přispět jako klient ČS tím, že zavolám na jejich teplou linku a budu dělat ustrašeného klienta, který se bojí, že mu zlí hekři zablokujou účet a budu požadovat oficiální vyjádření, jak tomu ČS chce zabránit.

    Ale znovu opakuji, že o bezpečnostní chybu se nejedná. Je to stejné, jako když ti někdo narve do zámku u vchodových dveří kovové piliny, takže budeš muset volat zámečníka. Vtipálek tím nic nezíská a ty nic ze svého majetku v tom bytě neztrácíš.

    před 9 lety
  82. David Grudl http://davidgrudl.com #82

    avatar

    #77 Lokutusi, a to je právě úžasné, jak všeobjímající obor ta právničina je, jak nahradí každou vědní disciplínu, přírodovědné i technické obory a dokonce snad zajistí blahobyt.

    Má banka ryze technický problém? Má. Jak ho vyřeší? Právní cestou! A to se mi líbí, to má budoucnost :-)

    před 9 lety | reagoval [83] Lokutus
  83. Lokutus http://lokutus.bloguje.cz #83

    #82 Davide Grudle, Což o to. Já už se těším na to, až budu právní cestou řešit problém uživatelů, kterým nedošel e-mail.

    před 9 lety
  84. YWR #84

    Pánové já jen upřesním, že odblokování účtu je zdarma. Platí se pouze v případě, že Vám údaje požadované k odblokování chybí a banka Vám je doporučeně zašle…

    /tedy toto platilo cca 2měsíce zpět/

    před 9 lety
  85. Field #85

    Lokutus:
    Dojima me, jak tvrdosijne trvate na tom, ze bezpecnostni problem nastava, jen pokud se ztrati penize na uctu. Podle vas DOS utok neni bezpecnostnim problemem s pripadnym rizikem financni ztraty? Kdyz nebudete moci poslat platbu, protoze mate zablokovany ucet, a protistrana vam za to vysoli penale, zrejme nad tim mavnete rukou. Ja vim, ze jsou k dispozici i jine kanaly, ale ta situace muze realne hrozit. Co pak? Muze se stat, ze se technicky problem CS rozhodne resit pravni cestou onen dotceny klient :-)
    Co se tyka te poznamky, ze vic nez pul mio na ucte nikdo soudny nema – to se mozna muze tykat vetsiny domacnosti, ale co firmy? Jak to maji podle vas delat? Jsou nekde nejake bezpecne sklady, kde se da prebytecna hotovost na par dni schovat, nez ji budou zase potrebovat?

    Zkuste trochu premyslet i z pohledu jinych lidi, ne jen toho vaseho.

    před 9 lety | reagoval [86] Lokutus
  86. Lokutus http://www.lokutus.cz #86

    #85 Fielde, Dvakrát řež, jednou měř, … nebo naopak?
    Psal jsem o běžném účtu. Myslel jsem, že se bavíme v rovině fyzických osob, proto jsem mluvil o maximálně půl mega. Firma točí z nějakých podnikatelských účtů klidně i několik desítek mega. Ale tam už to bývá s tím zablokováním asi složitější a odblokování naopak snažší a třeba i zadarmo. Nevím, podnikatelský účet nemám. Přičemž přebytky se běžně ukládají na termínované účty. Firma, která obchoduje pouze z nezabezpečeného běžného účtu si zasluhuje zbankrotovat.

    Pokud nebudete moci zaplatit včas kvůli zablokovanému účtu, tak zavoláte do banky, která vám ho odblokuje. A pokud jsem to pochopil, tak ihned. Maximálně do pěti minut. Tak snad ten váš klient pět minut s platbou počká, ne. ;-)

    Jestli je to dojemné, nebo ne, to nevím, na to jste odborník zjevně vy. Já jen tvrdím, že z bezpečnostního hlediska se nic neděje. Nepřicházíte o peníze, o data, ani o čas. Naopak, je to známka, že banka hlídá vaše peníze víc než dobře. Viz třeba už jen fakt, že odblokovat účet může jen vlastník apod. Chtělo by to akorát trochu pružnější přístup ze strany banky.

    Já prostě nevím jak vy, ale já v tom žádný bezpečnostní problém nevidím, tím méně nějakou tragédii. Maximálně drobnou nepříjemnost. Jako když mi spadne internet a musím volat na UPC, aby ho zase nahodili.
    Ale to víte, to je ten můj pohled. Z vašeho pohledu je to možná tragédie, která je rovna minimálně ztrátě všech dat na serverech.

    před 9 lety | reagoval [88] Field
  87. &* #87

    DOS == Disk Operating System, DoS == Denial of Service. Nechci stourat, but case matters buddies =)

    před 9 lety
  88. Field #88

    #86 Lokutusi, Obavam se, ze v ramci sve loajality k CS zacinate pritesavat realitu vice, nez je zdravo…

    ..firemni ucet nemam… firma obchodujici pouze z nezabezpeceneho bezneho uctu si zaslouzi zbankrotovat. Chapu-li to spravne, teoretizujete o necem bez byt i minimalnich zkusenosti s danou veci. Sve predpoklady povysujete na zakon, pricemz tak nejak pomijite to, ze kazda firma ma sve potreby a zpusob nakladani s penezi zrejme jiny.

    .. neprichazite o penize, data ani o cas. O data klient neprichazi, to je pravda. S penezi je to uz sporne, ovsem s tim casem je to vylozena lez, to nejspis nemusim ani zduraznovat. To ze se tento zpusob zabezpeceni pokousite vydavat za prednost, to je ovsem pozoruhodny maketingovy obrat hodny Horsta Fuchse.

    Abychom si rozumeli, ja se nepokousim tvrdit, ze se jedna o fatalni problem. Vadi mi jen pausalni tvrzeni, ze se nic nedeje, je to tak vlastne dobre a zadny problem s tim nevznika.

    Mimochodem, z vasich prispevku mam pocit, ze se nekde v CS zabyvate nejakym adminovanim, mam pravdu? Pokud ano, tak se zjevne za ta leta v CS moc veci nemeni, laxni pristup k zakaznickym datum tam byl vzdycky normou. Mluvim z vlastni zkusenosti, pred par lety se tam programovalo primo v zakaznickem systemu na ostrych datech. Pravda, to bylo jeste pred Erste, od te doby jsem to poteseni s CS nastesti nemel.

    před 9 lety | reagoval [89] Lokutus
  89. Lokutus http://lokutus.bloguje.cz #89

    #88 Fielde, Kristepane, o čem to blábolíte, člověče? Jaké přitesávání reality? A proč ten útočný tón? To tady řešíme budoucnost lidstva, nebo co? Trochu se zchlaďte, prosím. Mluvíme o píčovině. O minoritním problému jedné malé a bezvýznamné banky v malé a bezvýznamné zemičce, který nemá bezpečnsotní charakter. Nikomu se nic neděje, nikdo nepřichází o peníze, banka reaguje okamžitě, tak v čem je ten bezpečnostní problém?

    Nepsal jsem o firemním účtu, ale o podnikatelském účtu. To je produkt, který většina bank nabízí. Pokud nerozlišujete takovéto nuance, tak se o tom vůbec nebavte, protože tomu zjevně nehovíte. Pro ČS nedělám, ani jsem nikdy nedělal a nikdy dělat nebudu. Dělal jsem jen pár projektů pro HVB. Ale moje žena dělala několik let v GE a proto trochu vím, jak to v bankách chodí, co je podnikatelský účet, co běžný účet a jeké jsou mezi nimi obecné rozdíly. Také vím, jak pracují velké společnosti se svými penězi a věřte mi, že neznám žádnou, která by měla miliony na nezabezpečeném běžném účtu, ze kterého kde kdo může vybrat kartou z bankomatu. Sám v jedné takové pracuji. Nic na zákon nepovyšuji, jen říkám svůj subjektivní názor. Podle mého názoru nejde o bezpečnostní problém, protože třikrát a dost je metoda zabezpečení, která se používá i v řadě informačních systémů. Dokonce i u nás ve firmě mám pouze tři pokusy přihlásit se do domény, pak smolík a musím jít za adminem. Takže je to fíčura, nikoliv problém. Vy možná máte raději libovolný počet pokusů, ale to je váš problém. Nikdo vás nenutí IB ČS používat a mít v tom ústavu peníze.

    Abychom si rozumeli, ja se nepokousim tvrdit, ze se jedna o fatalni problem. Vadi mi jen pausalni tvrzeni, ze se nic nedeje, je to tak vlastne dobre a zadny problem s tim nevznika.

    Já někde řekl, že nevzniká žádný problém? Já jen tvrdím, že nevzniká bezpečnostní problém. Naopak jsem psal, že problémem je nepružný a zpoplatněný systém ČS pro odblokování zablokovaných účtů. Napsal jsem, že míč je na straně ČS, kde má prostor pro optimalizaci. Nic víc v tom není. To jen vy v tom hledáte nějakou záminku k flame, nebo co.

    Takže klídek, člověče. Venku je sice hnusně, ale i tak není důvod pěnit kvůli takové kravině.

    před 9 lety
  90. Field #90

    Nebudu psat posty ve ctyri hodiny rano.
    Nebudu psat posty ve ctyri hodiny rano.
    Nebudu psat posty ve ctyri hodiny rano.
    Nebudu psat posty ve ctyri hodiny rano.

    před 9 lety
  91. pankreas http://sirecky.misto.cz/ #91

    #58 Věroši, Ano, je to bezna vec pro kontrolu cisla uctu vyuzivana v mnoha aplikacich. Normu najdes za pet vterin via Google; hint: priloha 1 vyhlasky CNB 62/2004 (je na strankach CNB, ale nechce se mi sem hazet link, aby me system nebral za spammera). Tolik k tomu „placani do vody“;-)

    před 9 lety
  92. Lamicz http://lamicz.benghi.org #92

    $prepazka = 1;
    $prachy = "";
    while($prachy == ""){
    echo "naval prachy";
    $prachy = $_GET['prachy'];
    if(!is_numeric($prachy)){
    $prepazka++;
    }
    }

    Algoritmus zpracování výběru v bance? :) (jsem to psal narychlo, asi je to blbě)

    před 9 lety
  93. Huňáry http://blog.hunka.cz #93

    avatar

    jsem jedinej koho napadla takova mala recese alias zablokovat demo verzi ebankingu CS a pak zavolat na odblokovaci linku at mi to odblokujou ? :-D

    před 9 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.