| 2008-04-08 23:51:50 |
Obniżenie bezpieczeństwa przez ING |
Dariusz Młyński |
Witam,
Koresponduje z bankiem na temat wprowadzania autoryzacji przelewów za
pomocą SMS.
System ten w porównaniu do infroastruktury klucza publicznego (klucz
mam u siebie na dyskietce) na pewno oferuje znacznie mniejsze
bezpieczeństwo.
Dodatkowo rezygnacja z autoryzacji niekótrych transakcji powoduje, że
system przestaje byc odporny na działąnei trojanów i innych ciekawych
robaczków.
Co ciekawe bank cały czas powołuje sie na
&65 pkt5 Bank zastrzega sobie prawo odmowy wykonania lub
wwprowadzenia dodatkowych ograniczeń i zabezpieczeń w stosunku
do dyspozycji składanych poprzez systemy bankowości
elektronicznej.
Tylko, że brak autoryzacji nie jest dodatkowym ograniczeńiem
i przyesyła różne takie śmieszne odpowiedzi w stylu
"Szanowny Panie,
W odpowiedzi na Pana maila uprzejmie informuję, iż zgodnie
z &65 pkt5 Bank zastrzega sobie prawo odmowy wykonania lub
wwprowadzenia dodatkowych ograniczeń i zabezpieczeń w stosunku
do dyspozycji składanych poprzez systemy bankowości
elektronicznej. W związku z powyższą informację chciałam Pana
poinformować, iż jednorazowe kody autoryzacyjne SMS, służące
do potwierdzeń transakcji są jedyną możliwą i akceptowana
przez Bank formą autoryzacji przelewów.
Z poważaniem, ..........., ING Bank Śląski S.A. "
Czyli wyłaczenie autoryzacji jest poniesieniem bezpieczeństwa
"Szanowny Panie
W odpowiedzi na Pana maila uprzejmie informuję, iż Bank dokonuje
oceny dyspozycji internetowych uwzględniając wiele różnych
parametrów m.in. kwota transakcji, rachunek beneficjenta,
łączna suma kwot kolejnych transakcji, rodzaj składanej
dyspozycji, historia składanych transakcji. W związku z tym,
nie wszystkie transakcje wysyłane za pośrednictwem systemu,
będą wymagały potwierdzenia za pomocą kodu SMS, jednakże moduł
oceny ryzyka składnej dyspozycji klasyfikuje każdą transakcję.
Z poważaniem ......... ING Bank Śląski S.A. "
TYLKO CAŁY CZAS ZAPOMINA, ŻE RYZYKO MOŻE
KALKULOWAC W ODNIESIENIU DO SWOICH ŚRODKÓW
A NIE DO PIENIĘDZY KLIENTÓW.
i w &63 pkt 2 dodaje
Każda dyspozycja złożona przez użytkownika systemu bankowości
elektronicznej
za pośrednictwem tego systemu i poprawnie zautoryzowana jest
równożnaczna z
dyspozycją pisemną i posiadacza rachunki i nie może być kwestionowana.
Czyli wyłączenie autoryzacji części przelewów jest ok. i za poronione
pomysły banku odpowiada klient.
|
| 2008-04-09 00:18:14 |
Re: Obniżenie bezpiecze ństwa przez ING |
Adam_Płaszczyca |
On Tue, 8 Apr 2008 23:51:50 +0200, "Dariusz Młyński"
wrote:
>Witam,
>
>Koresponduje z bankiem na temat wprowadzania autoryzacji przelewów za
>pomocą SMS.
Najwyższy czas zagłosować nogami, nie sądzisz?
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Na Szaniec 23/70 31-560 Kraków (012 378 31 98)
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/foto.html
___________/ mail: _555@irc.pl GG: 3524356 |
| 2008-04-09 10:08:08 |
Re: Obniżenie bezpieczeństwa przez ING |
SzalonyKapelusznik |
On 8 Kwi, 23:51, "Dariusz Młyński" wrote:
m.in. kwota transakcji, rachunek beneficjenta,
> łączna suma kwot kolejnych transakcji, rodzaj składanej
> dyspozycji, historia składanych transakcji.
Mhm, czyli wystarcy ze trojan przeleje na konto najpierw 10 groszy 10
razy zeby potem mogl przelac bez potwierdzenia 5 tysiecy. bo to bedzie
tylko 5 tysiecy i zlotowka. a konto beneficjenta bedzie ok bo przeciez
10 razy juz przelew byl robiony. I o ile klient nie wie jakie sa
limity kwot od ktorych system kwalifikuje czy jakie rodzaje transakcji
to pewnie ci ktorzy kradna pieniadze taka wiedza posiadaja.
Chyba jednak lepiej pokazac ING ze ten ich on-line to raczej sama lina. |
| 2008-04-10 11:24:56 |
Re: Obniżenie bezpieczeństwa przez ING |
Sebastian |
SzalonyKapelusznik pisze:
> On 8 Kwi, 23:51, "Dariusz Młyński" wrote:
> m.in. kwota transakcji, rachunek beneficjenta,
>> łączna suma kwot kolejnych transakcji, rodzaj składanej
>> dyspozycji, historia składanych transakcji.
>
> Mhm, czyli wystarcy ze trojan przeleje na konto najpierw 10 groszy 10
> razy zeby potem mogl przelac bez potwierdzenia 5 tysiecy. bo to bedzie
> tylko 5 tysiecy i zlotowka. a konto beneficjenta bedzie ok bo przeciez
> 10 razy juz przelew byl robiony. I o ile klient nie wie jakie sa
> limity kwot od ktorych system kwalifikuje czy jakie rodzaje transakcji
> to pewnie ci ktorzy kradna pieniadze taka wiedza posiadaja.
Niekoniecznie, system wcale nie musi się opierać tylko na zbiorze
stałych reguł. Można dodać np. elementy nie deterministyczne plus jakieś
metody sztucznej inteligencji, sieci neuronowe czy programy genetyczne.
Najpierw będzie uczony przez "specjalistów", później na własnych błędach.
Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie jest
tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może wliczono
w koszta np. bardziej elastyczną politykę reklamacji i dodatkowo system
dba żeby niezależnie od warunków duże kwoty zawsze były autoryzowane.
--
Pozdrawiam
Sebastian |
| 2008-04-10 11:33:02 |
Re: Obniżenie bezpieczeństwa przez ING |
Kamil_Jońca |
Sebastian pisze:
[...]
> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może wliczono
> w koszta np. bardziej elastyczną politykę reklamacji
Wierzysz w to?
KJ |
| 2008-04-10 11:41:28 |
Re: Obniżenie bezpieczeństwa przez ING |
Krzysztof Halasa |
Sebastian writes:
> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie jest
> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń.
Eee tam. Po prostu silne zabezpieczenia sa zbyt trudne dla normalnego
uzytkownika.
> Może
> wliczono w koszta np. bardziej elastyczną politykę reklamacji
To by bylo cokolwiek nierozsądne.
--
Krzysztof Halasa |
| 2008-04-10 11:56:20 |
Re: Obniżenie bezpieczeństwa przez ING |
Sebastian |
Kamil Jońca pisze:
> Sebastian pisze:
> [...]
>
>> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może
>> wliczono w koszta np. bardziej elastyczną politykę reklamacji
>
> Wierzysz w to?
> KJ
No może rzeczywiście trochę się zapędziłem. Nie mam zielonego pojęcia
jaki ten system jest naprawdę. Łatwo mi się komentuje bo prawie
wszystkie środki przelewam krótko po wypłacie gdzie indziej, żadnych
przelewów na przypadkowe konta.
Tak czy inaczej bank nie udostępnia danych na podstawie, których można
by rzetelnie ocenić bezpieczeństwo. Lamenty i zapewnienia o
bezpieczeństwie są tak samo wiarygodne. Jak jest naprawdę przekonamy się
już niedługo z mediów :)
--
Pozdrawiam
Sebastian |
| 2008-04-10 12:15:49 |
Re: Obniżenie bezpieczeństwa przez ING |
Sebastian |
Krzysztof Halasa pisze:
> Sebastian writes:
>
>> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
>> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie jest
>> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń.
>
> Eee tam. Po prostu silne zabezpieczenia sa zbyt trudne dla normalnego
> uzytkownika.
Fakt nie do podważenia a i tak 100% zabezpieczeń nie ma.
>> Może
>> wliczono w koszta np. bardziej elastyczną politykę reklamacji
>
> To by bylo cokolwiek nierozsądne.
Dlaczego? Zmieniamy system na wygodny dla użytkownika i tani w
utrzymaniu ale generujący w sposób nieunikniony starty z włamań, których
jednak wielkość jesteśmy w stanie kontrolować. Ta kontrola strat też
musi być cechą systemu, w ING jest bo jest przecież mechanizm decydujący
o wysłaniu SMS'a. Jeśli:
straty z reklamacji + koszty nowego < koszt starego
to wybieramy łatwiejszy system. Prosty rachunek ekonomiczny.
Ale przyznaje że trudno mi sobie wyobrazić menadżera w banku, który by
podjął taką decyzje, no bo w końcu:
koszty nowego < straty z reklamacji + koszty nowego < koszt starego
Chociaż może w Monako albo Szwajcarii, kto wie ;)
--
Pozdrawiam
Sebastian |
| 2008-04-10 12:31:45 |
Re: Obniżenie bezpieczeństwa przez ING |
Krzysztof Halasa |
Sebastian writes:
> Dlaczego? Zmieniamy system na wygodny dla użytkownika i tani w
> utrzymaniu ale generujący w sposób nieunikniony starty z włamań,
> których jednak wielkość jesteśmy w stanie kontrolować.
To tak nie dziala - dziura w systemie, za ktora placi bank,
natychmiast sciagnelaby wielu chetnych.
> Ta kontrola
> strat też musi być cechą systemu, w ING jest bo jest przecież
> mechanizm decydujący o wysłaniu SMS'a. Jeśli:
>
> straty z reklamacji + koszty nowego < koszt starego
>
> to wybieramy łatwiejszy system. Prosty rachunek ekonomiczny.
Ale niezbyt realny.
--
Krzysztof Halasa |
| 2008-04-10 13:09:24 |
Re: Obniżenie bezpieczeństwa przez ING |
Sebastian |
Krzysztof Halasa pisze:
> Sebastian writes:
>
>> Dlaczego? Zmieniamy system na wygodny dla użytkownika i tani w
>> utrzymaniu ale generujący w sposób nieunikniony starty z włamań,
>> których jednak wielkość jesteśmy w stanie kontrolować.
>
> To tak nie dziala - dziura w systemie, za ktora placi bank,
> natychmiast sciagnelaby wielu chetnych.
Nie pisałem o dziurze w systemie, takiej jaka była np. w Polbanku.
tylko o:
zmniejszenie zabezpieczeń -> wzrost włamań i reklamacji
Ciągle obstaje przy tym, że nie ma 100% szczelnych systemów, można tylko
regulować strumień, którym pieniądze wyciekają.
/-> straty, koszty utrzymania
zabezpieczenia - > łatwość użycia
\-> niezadowolenie oszukanych, opinia banku
a to tylko najważniejsze elementy
Banki ciągle szukają optymalnego rozwiązania i ciągle będą bo wszystkie
te czynniki zmieniają się w czasie użytkowania systemu.
--
Pozdrawiam
Sebastian |
| 2008-04-10 19:02:52 |
Re: Obniżenie bezpieczeństwa przez ING |
Krzysztof Halasa |
Sebastian writes:
> zmniejszenie zabezpieczeń -> wzrost włamań i reklamacji
> Ciągle obstaje przy tym, że nie ma 100% szczelnych systemów, można
> tylko regulować strumień, którym pieniądze wyciekają.
Nie o to chodzi, teoretycznie mozna miec 100% szczelny system.
W praktyce sie tego nie robi, bo to nieekonomiczne, wystarczy taki,
gdzie koszty beda (odpowiednio) wyzsze niz ew. "zyski".
Tu taka zaleznosc nie bylaby spelniona.
--
Krzysztof Halasa |
| 2008-04-10 22:43:34 |
Re: Obniżenie bezpieczeństwa przez ING |
Dariusz Młyński |
> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie
jest
> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może
wliczono
> w koszta np. bardziej elastyczną politykę reklamacji i dodatkowo
system
> dba żeby niezależnie od warunków duże kwoty zawsze były
autoryzowane.
>
Tylko jedno ale. Przelew może być wykonany z komputera właściciela
konta.
Przy autoryzacji będą podane wszystkie wymagane regulaminem przez bank
dane do poprawnej
autoryzacji (login i hasło) i to klient będzie musiał udowadniać, że
przelewu nie zlecił.
Więc bank nie uzna takiej reklamacji.
A, że bank obniżył poziom bezpieczeństwa nie wymagając autoryzacji
przy niektórych transakcjach
to nie będzie się liczyło.
I wszystko byłoby ok. gdyby dotyczyło to tylko nowych użytkowników.
Oni podpisując umowę zgadzają się
na sposób autoryzacji przelewów. Ale tak istotna zmiana w stosunku do
starych użytkowników powinna
być wykonana za ich zgodą.
Weźmy inny przykład z działki bankowej. Zakładamy konto do którego
mają dostęp 4 osoby.
Składamy dyspozycję, że wypłaty z konta mogą być wykonywane tylko i
wyłącznie jeżeli
na zleceniu wypłaty widnieją podpisy 2 z 4 osób uprawnionych (czyli
login,hasło + podpis elektroniczny)
No i pewnego dnia bank radośnie informuje użytkowników, że dla ich
wygody wprowadza zasadę iż
zlecenie wypłaty może podpisać tylko 1 z 4 uprawionych osób (czyli
login + hasło)
Przy okazji zmienia regulamin w którym zapisuje, że teraz do wypłaty
pieniędzy wymagany jest jeden i tylko jeden podpis.
Byłoby to jawne złamanie umowy jaka była zawarta przy zakładaniu
konta.
W przypadku zmiany sposobu autoryzacji przelewów elektronicznych jest
dokładnie tak samo.
Umawialiśmy się z bankiem na jeżdżenie czerwonym samochodem z trąbką.
A bank po jakimś czasie mówi nam,
że czerwony jest niemodny a trąbka hałasuje i daje nam zielony
samochód bez trąbki.
Oczywiście możemy zagłosować nogami ale nie o to chodzi.
|
| 2008-04-11 07:52:58 |
Re: Obniżenie bezpieczeństwa przez ING |
Andrzej_Kłos |
Dariusz Młyński napisał(a):
> I wszystko byłoby ok. gdyby dotyczyło to tylko nowych użytkowników.
> Oni podpisując umowę zgadzają się
> na sposób autoryzacji przelewów. Ale tak istotna zmiana w stosunku do
> starych użytkowników powinna
> być wykonana za ich zgodą.
a dlaczego myślisz, że stary nie musi się na to wyrazić zgody?
"Informujemy, że w związku z wdrożeniem nowej wersji systemu bankowości
internetowej Użytkownicy ING BankOnLine zobowiązani są do zmiany metody
autoryzacji do dnia 18.05.2008 r."
"Nie czekaj! Zmień metodę już teraz (Ustawienia / Zmiana metody
autoryzacji)"
"Równocześnie informujemy, że zgodnie z obowiązującymi regulacjami Bank
zastrzega sobie możliwość wprowadzenia dodatkowych ograniczeń. W
praktyce może to oznaczać, że Użytkownicy korzystający z dotychczasowej
metody autoryzacji w systemie ING BankOnLine będą mieli ograniczony
dostęp do określonej funkcjonalności systemu."
czyli: albo wyrazisz zgodę i masz, albo nie wyrazisz zgody i nie masz.
andy_nek |
| 2008-04-11 16:54:28 |
Re: Obniżenie bezpieczeństwa przez ING |
Dariusz Młyński |
>Informujemy, że w związku z wdrożeniem nowej wersji systemu
bankowości
>internetowej Użytkownicy ING BankOnLine zobowiązani są do zmiany
metody
>autoryzacji do dnia 18.05.2008 r."
Zwróc uwagę na słwo "zobowiązani" czyli zmuszeni
A jeżeli nie chcą to wyłacza sie im usługe.
A ja podpisałem umowę na usługe swiadczoną na okreslonych warunkach.
> "Równocześnie informujemy, że zgodnie z obowiązującymi regulacjami
Bank
> zastrzega sobie możliwość wprowadzenia dodatkowych ograniczeń. W
> praktyce może to oznaczać, że Użytkownicy korzystający z
dotychczasowej
> metody autoryzacji w systemie ING BankOnLine będą mieli ograniczony
> dostęp do określonej funkcjonalności systemu."
>
> czyli: albo wyrazisz zgodę i masz, albo nie wyrazisz zgody i nie
masz.
>
Tyle, że brak autoryzacji nie jest ograniczeniem a raczej ułatwieniem.
|
