HWSW Informatikai Kerekasztal: Re: Carbanak: egymilliárd dollárt is veszíthettek a bankok - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

  • (3 Oldal)
  • +
  • 1
  • 2
  • 3
  • Nem indíthatsz témát.
  • A téma zárva.

Re: Carbanak: egymilliárd dollárt is veszíthettek a bankok

#21 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 11:37

@Leni: "Egy netbankos szoftvert/szervert ügyesen lehet tűzfalazni, leválasztani."

Munkaállomásokat is... nem varázslat, csak valamiért a végpontvédelemben hisznek ilyen helyeken.

#22 Felhasználó inaktív   Jahno 

  • vérképkeretezés occsón
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 109.369
  • Csatlakozott: 2001. jan. 15.

Elküldve: 2015. 02. 17. 11:50

Ha már védelem:

http://hvg.hu/tudoma...szot_ellenorzes

És mit sugall a HVG? Adjam meg a jelszavam egy idegen oldalon az elenőrzéshez. Napasztmeg. Így lehet egy csomó logint/jeészót begyűjteni, amit ugyan nem párosít, de user jó eséllyel egymás után fogja beírni a kettőt, ami Gmail vagy Face elérés lesz.

Párat kipróbáltam a linken, érdekes, viszont az ellenőrzés módja nem tetszetős. Az sem lenne tetszetős, ha kitolná egy szövegbe, mert akkor tényleg nyilvános lenne, valamint ebben már a ctrl+f is lassú. Arról nem is beszélve, hogy elég ködös a dolog, hogy akkor ezek pontosan honnan is származnak...
Make love not Wor.

#23 Felhasználó inaktív   InvalidUser 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 998
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 12:03

@java786: "és, hogy fér hozzá a az ügyíntéző az adatokhoz?
Az ügyfél netbankon keresztül, hogy éri el az egyenlegét, hogyan indít utalást? Gondolom nem kézzel adja vissza egy munkásember aki odafordul a fizikaileg külön álló géphez és kinézi.... stb."

Itt nem az ügyfél oldalról törték meg a rendszert hanem a bank felől. A banki alkalmazott hagy ne karistoljon már az interneten a munkaállomásáról.

#24 Felhasználó inaktív   NancsiBacsi 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 3.523
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 12:18

@Leni: Na igen, de ne felejtsd el, hogy a rendszergazdák vannak a bankokért, és nem a bankok a rendszergazdákért. Ha nekem lenne egy bankom, és a rendszergazda hátráltatná a munkát, azzal a lendülettel ki is rúgnám a profitgyilkost. De akkor is, ha egy vírusfertőzés 2 év után derülne ki. Mert azzal foglalkozzon ami a dolga, álmodozni meg álmodozzon otthon, mikor alszik.

#25 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 12:54

@Leni:

"Egy netbankos szoftvert/szervert ügyesen lehet tűzfalazni, leválasztani."

ja, csak minden eszköz, HW, SW, hordoz hibákat, a "szakemberek", rendszergazdák hálózat védelmi hiányosságaról nem is beszélve.

elolvastad amit előzőleg belinkeltem, előbb tedd meg, hasznos...

http://www.recurity-labs.com/content/pub/Lindner_Gaycken-Back-to-Basics.pdf


#26 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 13:21

@InvalidUser:

Itt nem az ügyfél oldalról törték meg a rendszert hanem a bank felől. A banki alkalmazott hagy ne karistoljon már az interneten a munkaállomásáról.

hagyjuk az utolsó alnégereket akik pult mögött ülnek, ők a banki alkalmazottak elenyésző százalékát adják.
A legtöbb banki alkalmazottnak a napi munkájához rengeteg információs forrásra van szüksége:
- tőzsdei oldalak
- pénzügyi információs oldalak (finance.yahoo.com, reuters.com, stb. )
- a (tőzsdei) cégek saját oldalai, jelentési, tájékoztatói amik akár csatolt word, excel fájlban vannak fent
- hírportálok
- akkor a rengeteg egyedi oldal amit a különböző szakterületek használnak (PM, BA, Kontroling, Compilence,stb.)
- A rengeteg napi email váltás a különböző ügyfelekkel, partnerekkel, alapkezelőkkel, stb.
- Nem is beszélve a sok kapcsolódó sziget rendszerekről: adat vendor, felügyeletek, ellenőrző szervek, stb, ahol az esetek többségében nem bérelt vonalon megy a kommunikáció hanem valami (jó esetben) titkosított csatornán (https, stb.), amelyek mind-mind egyedi biztonsági hibákat/réseket tartalmazhatnak
Ennyit arról, hogy egy banki alkalmazott gépét ne engedjük ki, lehet, de akkor nem is fog tudni megfelelően dolgozni, a mai elvárásoknak megfelelően.

Persze, lehetne azt, hogy mindenki kap egy külön gépet, ami külön hálózaton van, mit ahogy azt is meg lehetne oldani, hogy senki sem éhezzen a világon


#27 Felhasználó inaktív   kisrobert 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.564
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 14:05

@NancsiBacsi: "De akkor is, ha egy vírusfertőzés 2 év után derülne ki. "
Mert ez nem az a klasszikus - önmagát terjesztő izgőmozgó, világban szétterjedő program volt, hanem egy adott helyre, helyekre célzottan készített program. Azaz a víruskergető cégek ezeket a programokat nem látták.

#28 Felhasználó inaktív   NancsiBacsi 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 3.523
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 15:22

@kisrobert: Látszik a task managerben, látszik a fájl rendszerben - nem a biosba írta be magát. Néha abbahagyhatja a raidet a WoW-ban a rendszergazda, és megvizsgálhatja a sokmilliós ciscsós fosokon keresztül, hogy mit futtatnak a felhasználók éppen. Ha csak annyit tud, hogy megnyomja a nod-on a frissítés gombot, akkor menjen el kapálni, ne bankba rendszergazdának.

#29 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 15:28

@InvalidUser:

Legutóbbi kedvenc tapasztalatom:
Egyik közepesen fontos alrendszer
- vastag/vékony kliens
- az oracle db -be minden kliens program ua.! az oracle jelszóval lép be, ami elég erős jogosultságokkal rendelkezik, mivel kell insert, query, exec, stb., szinte csak a dba jogosultság nincs meg.
- a loginnév és a jelszó kliens gépen ini/config fájlban tárolva, oké kódlva volt, de nem egy erős kódolással.

2014 -ben egyik MO. vezető pénzintézetnél...

és mint a hetende (nem)megjelenő adatlopások, azt bizonyítják, hogy nem egyedi eset az ilyen jellegű alapvető biztonságtechnikai hibák....



#30 Felhasználó inaktív   NancsiBacsi 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 3.523
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 15:37

@java786: Másik nagy magyarországi banknál meg a szerződésbe az összeget betűvel kézzel kell beírni. Aztán a 15380000 euróból lett tizenötmillió-háromszáznyolcvan. A biztosítéki szerződés meg ugye innen kezdve kvázi sajtpapír, simán támadható, sz.rt se ér. Mikor említettem nekik, hogy nekem középiskola első osztályában volt házi feladat egy olyan program írása, ami számot kiír szövegként, és ha nagyon szépen megkérnek írok rá nekik egy ora tárolt eljárást grátisz, mert 1 óra alatt nem számlázok, akkor meg meg voltak sértődve.

#31 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 16:46

@NancsiBacsi: Ahogy mondani szokás ,,senkiháziak kezében van a popszakma", de nem csak ebben az országban és ezen a területen...

Amikor ezt elolvastam....

"...A baj itt az, hogy a c"t szerint olyan titkosítási eljárásokat használt a BMW, amelyekről köztudott volt, hogy elavultak. Olyan módszerekkel védekeztek, amelyek hatástalanok...."

http://totalcar.hu/magazin/technika/2015/02/17/biztonsagi_problemak_a_bmw_connecteddrive_rendszereben/

#32 Felhasználó inaktív   Tök Ödön 

  • Tag
  • PipaPipa
  • Csoport: Ellenőrzés alatt
  • Hozzászólások: 167
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:37

valamikor régebben ez ugy volt hogy a bankban volt két külön hálozat. egyik a pénzmozgásra a másik a komunikáciora. a kettö még véletlenül sem kapcsolodhatott össze. ráadásul a pénzes egy szuperbiztos zárt hálozat volt külsö kapcsolodás nélkül. nem tudom mi változott meg azota. néhányan megmosolyognak amikor azt bizonygatom hogy a biztonság és az internet egymást kizáro fogalmak. ha van az egyik nincs a másik. és lám, idöröl idöre be is bizonyosodik. és ami megdöbbentö ez nem uj dolog. ha jol olvastam még a dos-os idökben indult, és a 8.1-en is vigan fut. ilyenkor röhögöm betegre magam mert mostanában mást sem lehet olvasni mindehol hogy le kell cserélni az elavult xp-t 8.1-re mert már csak az biztonságos. na bazdmeg. ez ám a szuper biztonság.

#33 Felhasználó inaktív   Tök Ödön 

  • Tag
  • PipaPipa
  • Csoport: Ellenőrzés alatt
  • Hozzászólások: 167
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:37

valamikor régebben ez ugy volt hogy a bankban volt két külön hálozat. egyik a pénzmozgásra a másik a komunikáciora. a kettö még véletlenül sem kapcsolodhatott össze. ráadásul a pénzes egy szuperbiztos zárt hálozat volt külsö kapcsolodás nélkül. nem tudom mi változott meg azota. néhányan megmosolyognak amikor azt bizonygatom hogy a biztonság és az internet egymást kizáro fogalmak. ha van az egyik nincs a másik. és lám, idöröl idöre be is bizonyosodik. és ami megdöbbentö ez nem uj dolog. ha jol olvastam még a dos-os idökben indult, és a 8.1-en is vigan fut. ilyenkor röhögöm betegre magam mert mostanában mást sem lehet olvasni mindehol hogy le kell cserélni az elavult xp-t 8.1-re mert már csak az biztonságos. na bazdmeg. ez ám a szuper biztonság.

#34 Felhasználó inaktív   Tök Ödön 

  • Tag
  • PipaPipa
  • Csoport: Ellenőrzés alatt
  • Hozzászólások: 167
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:37

valamikor régebben ez ugy volt hogy a bankban volt két külön hálozat. egyik a pénzmozgásra a másik a komunikáciora. a kettö még véletlenül sem kapcsolodhatott össze. ráadásul a pénzes egy szuperbiztos zárt hálozat volt külsö kapcsolodás nélkül. nem tudom mi változott meg azota. néhányan megmosolyognak amikor azt bizonygatom hogy a biztonság és az internet egymást kizáro fogalmak. ha van az egyik nincs a másik. és lám, idöröl idöre be is bizonyosodik. és ami megdöbbentö ez nem uj dolog. ha jol olvastam még a dos-os idökben indult, és a 8.1-en is vigan fut. ilyenkor röhögöm betegre magam mert mostanában mást sem lehet olvasni mindehol hogy le kell cserélni az elavult xp-t 8.1-re mert már csak az biztonságos. na bazdmeg. ez ám a szuper biztonság.

#35 Felhasználó inaktív   Tök Ödön 

  • Tag
  • PipaPipa
  • Csoport: Ellenőrzés alatt
  • Hozzászólások: 167
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:42

valaki törölje már ki a duplikáciot. (szopat a wifi)

#36 Felhasználó inaktív   NancsiBacsi 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 3.523
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:49

@java786: Ennél a cikknél én azon dobtam exceptiont, hogy alvázszám, mint azonosító, és jelszó meg semmi. Érted: alvázszám - ami bele van gravírozva a szélvédőbe :-D
Ja, és ha rosszat küldenél el - mert balf.sz vagy - akkor válaszüzenetben elküldi a jót :-D Ezek után ne háborodjunk fel azon, ha az orvos műtét után bennünk hagy 1 törlőrongyot...

#37 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:50

@Tök Ödön: Nem az elszámolórendszerekre gondolsz, azok most is külön hálózaton mennek, külön vonal, ami csak erre van, stb. Gondlom a VIBER, BKR, SWIFT és hasonlókra gondolsz?

A BO, FO, számlavezető rendszerek, stb. az egy külön dolog...


#38 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 17. 18:54

@NancsiBacsi: Erre írtam, hogy siralmas állapotok vannak IT biztonságtechnikai dolgokban.... és ráadásul BMW, és Németország...
Erre soha nincs budget, idő stb.

#39 Felhasználó inaktív   tomtyi 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 377
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 06:25

@Tök Ödön:
Hát, 20 évvel ezelőtt mi ugyanazon a gépen kezeltünk ügyfélszámlákat, mint amelyiken neteztünk.

#40 Felhasználó inaktív   hacsi 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 312
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 10:12

Szerintem, hacsak nem nagyon szar banki rendszereket alkalmaztak a cikkben leírtak nem igazak.
Meg lehet találni nyilván az adatbázisban a megfelelő táblákat, mezőket a számlaegyenlegekhez, de ez kevés ahhoz, hogy észrevétlenül át lehessen írni az adatokat.
A táblák, mezők egy részéről ki lehet találni, hogy mire valók, de nagy részükről csak a fejlesztők esetleg üzemeltetők tudhatják, mire való.
A kliensprogramokon keresztül meg nincs az a banki rendszer, ami ezt megengedné.
Ehhez belsős emberek kellettek.

Téma megosztása:


  • (3 Oldal)
  • +
  • 1
  • 2
  • 3
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó