[auth.gabor]

@Leni: "Egy netbankos szoftvert/szervert ügyesen lehet tûzfalazni, leválasztani."

Munkaállomásokat is... nem varázslat, csak valamiért a végpontvédelemben hisznek ilyen helyeken.

[Jahno]

Ha már védelem:

http://hvg.hu/tudoma...szot_ellenorzes

És mit sugall a HVG? Adjam meg a jelszavam egy idegen oldalon az elenőrzéshez. Napasztmeg. Így lehet egy csomó logint/jeészót begyűjteni, amit ugyan nem párosít, de user jó eséllyel egymás után fogja beírni a kettőt, ami Gmail vagy Face elérés lesz.

Párat kipróbáltam a linken, érdekes, viszont az ellenőrzés módja nem tetszetős. Az sem lenne tetszetős, ha kitolná egy szövegbe, mert akkor tényleg nyilvános lenne, valamint ebben már a ctrl+f is lassú. Arról nem is beszélve, hogy elég ködös a dolog, hogy akkor ezek pontosan honnan is származnak...

[InvalidUser]

@java786: "és, hogy fér hozzá a az ügyíntézõ az adatokhoz?
Az ügyfél netbankon keresztül, hogy éri el az egyenlegét, hogyan indít utalást? Gondolom nem kézzel adja vissza egy munkásember aki odafordul a fizikaileg külön álló géphez és kinézi.... stb."

Itt nem az ügyfél oldalról törték meg a rendszert hanem a bank felõl. A banki alkalmazott hagy ne karistoljon már az interneten a munkaállomásáról.

[NancsiBacsi]

@Leni: Na igen, de ne felejtsd el, hogy a rendszergazdák vannak a bankokért, és nem a bankok a rendszergazdákért. Ha nekem lenne egy bankom, és a rendszergazda hátráltatná a munkát, azzal a lendülettel ki is rúgnám a profitgyilkost. De akkor is, ha egy vírusfertõzés 2 év után derülne ki. Mert azzal foglalkozzon ami a dolga, álmodozni meg álmodozzon otthon, mikor alszik.

[java786]

@Leni:

"Egy netbankos szoftvert/szervert ügyesen lehet tûzfalazni, leválasztani."

ja, csak minden eszköz, HW, SW, hordoz hibákat, a "szakemberek", rendszergazdák hálózat védelmi hiányosságaról nem is beszélve.

elolvastad amit elõzõleg belinkeltem, elõbb tedd meg, hasznos...

http://www.recurity-labs.com/content/pub/Lindner_Gaycken-Back-to-Basics.pdf

[java786]

@InvalidUser:

Itt nem az ügyfél oldalról törték meg a rendszert hanem a bank felõl. A banki alkalmazott hagy ne karistoljon már az interneten a munkaállomásáról.

hagyjuk az utolsó alnégereket akik pult mögött ülnek, õk a banki alkalmazottak elenyészõ százalékát adják.
A legtöbb banki alkalmazottnak a napi munkájához rengeteg információs forrásra van szüksége:
- tõzsdei oldalak
- pénzügyi információs oldalak (finance.yahoo.com, reuters.com, stb. )
- a (tõzsdei) cégek saját oldalai, jelentési, tájékoztatói amik akár csatolt word, excel fájlban vannak fent
- hírportálok
- akkor a rengeteg egyedi oldal amit a különbözõ szakterületek használnak (PM, BA, Kontroling, Compilence,stb.)
- A rengeteg napi email váltás a különbözõ ügyfelekkel, partnerekkel, alapkezelõkkel, stb.
- Nem is beszélve a sok kapcsolódó sziget rendszerekrõl: adat vendor, felügyeletek, ellenõrzõ szervek, stb, ahol az esetek többségében nem bérelt vonalon megy a kommunikáció hanem valami (jó esetben) titkosított csatornán (https, stb.), amelyek mind-mind egyedi biztonsági hibákat/réseket tartalmazhatnak
Ennyit arról, hogy egy banki alkalmazott gépét ne engedjük ki, lehet, de akkor nem is fog tudni megfelelõen dolgozni, a mai elvárásoknak megfelelõen.

Persze, lehetne azt, hogy mindenki kap egy külön gépet, ami külön hálózaton van, mit ahogy azt is meg lehetne oldani, hogy senki sem éhezzen a világon

[kisrobert]

@NancsiBacsi: "De akkor is, ha egy vírusfertõzés 2 év után derülne ki. "
Mert ez nem az a klasszikus - önmagát terjesztõ izgõmozgó, világban szétterjedõ program volt, hanem egy adott helyre, helyekre célzottan készített program. Azaz a víruskergetõ cégek ezeket a programokat nem látták.

[NancsiBacsi]

@kisrobert: Látszik a task managerben, látszik a fájl rendszerben - nem a biosba írta be magát. Néha abbahagyhatja a raidet a WoW-ban a rendszergazda, és megvizsgálhatja a sokmilliós ciscsós fosokon keresztül, hogy mit futtatnak a felhasználók éppen. Ha csak annyit tud, hogy megnyomja a nod-on a frissítés gombot, akkor menjen el kapálni, ne bankba rendszergazdának.

[java786]

@InvalidUser:

Legutóbbi kedvenc tapasztalatom:
Egyik közepesen fontos alrendszer
- vastag/vékony kliens
- az oracle db -be minden kliens program ua.! az oracle jelszóval lép be, ami elég erõs jogosultságokkal rendelkezik, mivel kell insert, query, exec, stb., szinte csak a dba jogosultság nincs meg.
- a loginnév és a jelszó kliens gépen ini/config fájlban tárolva, oké kódlva volt, de nem egy erõs kódolással.

2014 -ben egyik MO. vezetõ pénzintézetnél...

és mint a hetende (nem)megjelenõ adatlopások, azt bizonyítják, hogy nem egyedi eset az ilyen jellegû alapvetõ biztonságtechnikai hibák....

[NancsiBacsi]

@java786: Másik nagy magyarországi banknál meg a szerzõdésbe az összeget betûvel kézzel kell beírni. Aztán a 15380000 euróból lett tizenötmillió-háromszáznyolcvan. A biztosítéki szerzõdés meg ugye innen kezdve kvázi sajtpapír, simán támadható, sz.rt se ér. Mikor említettem nekik, hogy nekem középiskola elsõ osztályában volt házi feladat egy olyan program írása, ami számot kiír szövegként, és ha nagyon szépen megkérnek írok rá nekik egy ora tárolt eljárást grátisz, mert 1 óra alatt nem számlázok, akkor meg meg voltak sértõdve.

[java786]

@NancsiBacsi: Ahogy mondani szokás ,,senkiháziak kezében van a popszakma", de nem csak ebben az országban és ezen a területen...

Amikor ezt elolvastam....

"...A baj itt az, hogy a c"t szerint olyan titkosítási eljárásokat használt a BMW, amelyekrõl köztudott volt, hogy elavultak. Olyan módszerekkel védekeztek, amelyek hatástalanok...."

http://totalcar.hu/magazin/technika/2015/02/17/biztonsagi_problemak_a_bmw_connecteddrive_rendszereben/

[Tök Ödön]

valamikor régebben ez ugy volt hogy a bankban volt két külön hálozat. egyik a pénzmozgásra a másik a komunikáciora. a kettö még véletlenül sem kapcsolodhatott össze. ráadásul a pénzes egy szuperbiztos zárt hálozat volt külsö kapcsolodás nélkül. nem tudom mi változott meg azota. néhányan megmosolyognak amikor azt bizonygatom hogy a biztonság és az internet egymást kizáro fogalmak. ha van az egyik nincs a másik. és lám, idöröl idöre be is bizonyosodik. és ami megdöbbentö ez nem uj dolog. ha jol olvastam még a dos-os idökben indult, és a 8.1-en is vigan fut. ilyenkor röhögöm betegre magam mert mostanában mást sem lehet olvasni mindehol hogy le kell cserélni az elavult xp-t 8.1-re mert már csak az biztonságos. na bazdmeg. ez ám a szuper biztonság.

[Tök Ödön]

valamikor régebben ez ugy volt hogy a bankban volt két külön hálozat. egyik a pénzmozgásra a másik a komunikáciora. a kettö még véletlenül sem kapcsolodhatott össze. ráadásul a pénzes egy szuperbiztos zárt hálozat volt külsö kapcsolodás nélkül. nem tudom mi változott meg azota. néhányan megmosolyognak amikor azt bizonygatom hogy a biztonság és az internet egymást kizáro fogalmak. ha van az egyik nincs a másik. és lám, idöröl idöre be is bizonyosodik. és ami megdöbbentö ez nem uj dolog. ha jol olvastam még a dos-os idökben indult, és a 8.1-en is vigan fut. ilyenkor röhögöm betegre magam mert mostanában mást sem lehet olvasni mindehol hogy le kell cserélni az elavult xp-t 8.1-re mert már csak az biztonságos. na bazdmeg. ez ám a szuper biztonság.

[Tök Ödön]

valamikor régebben ez ugy volt hogy a bankban volt két külön hálozat. egyik a pénzmozgásra a másik a komunikáciora. a kettö még véletlenül sem kapcsolodhatott össze. ráadásul a pénzes egy szuperbiztos zárt hálozat volt külsö kapcsolodás nélkül. nem tudom mi változott meg azota. néhányan megmosolyognak amikor azt bizonygatom hogy a biztonság és az internet egymást kizáro fogalmak. ha van az egyik nincs a másik. és lám, idöröl idöre be is bizonyosodik. és ami megdöbbentö ez nem uj dolog. ha jol olvastam még a dos-os idökben indult, és a 8.1-en is vigan fut. ilyenkor röhögöm betegre magam mert mostanában mást sem lehet olvasni mindehol hogy le kell cserélni az elavult xp-t 8.1-re mert már csak az biztonságos. na bazdmeg. ez ám a szuper biztonság.

[Tök Ödön]

valaki törölje már ki a duplikáciot. (szopat a wifi)

[NancsiBacsi]

@java786: Ennél a cikknél én azon dobtam exceptiont, hogy alvázszám, mint azonosító, és jelszó meg semmi. Érted: alvázszám - ami bele van gravírozva a szélvédõbe
Ja, és ha rosszat küldenél el - mert balf.sz vagy - akkor válaszüzenetben elküldi a jót Ezek után ne háborodjunk fel azon, ha az orvos mûtét után bennünk hagy 1 törlõrongyot...

[java786]

@Tök Ödön: Nem az elszámolórendszerekre gondolsz, azok most is külön hálózaton mennek, külön vonal, ami csak erre van, stb. Gondlom a VIBER, BKR, SWIFT és hasonlókra gondolsz?

A BO, FO, számlavezetõ rendszerek, stb. az egy külön dolog...

[java786]

@NancsiBacsi: Erre írtam, hogy siralmas állapotok vannak IT biztonságtechnikai dolgokban.... és ráadásul BMW, és Németország...
Erre soha nincs budget, idõ stb.

[tomtyi]

@Tök Ödön:
Hát, 20 évvel ezelõtt mi ugyanazon a gépen kezeltünk ügyfélszámlákat, mint amelyiken neteztünk.

[hacsi]

Szerintem, hacsak nem nagyon szar banki rendszereket alkalmaztak a cikkben leírtak nem igazak.
Meg lehet találni nyilván az adatbázisban a megfelelõ táblákat, mezõket a számlaegyenlegekhez, de ez kevés ahhoz, hogy észrevétlenül át lehessen írni az adatokat.
A táblák, mezõk egy részérõl ki lehet találni, hogy mire valók, de nagy részükrõl csak a fejlesztõk esetleg üzemeltetõk tudhatják, mire való.
A kliensprogramokon keresztül meg nincs az a banki rendszer, ami ezt megengedné.
Ehhez belsõs emberek kellettek.