28.04 zlecane koszykiem było kilka przelewów, dzisiaj loguję się i widzę, że nie wyszły i mają status "zablokowany rachunek".  Kogo - czy nadawcy czy odbiorcy nie wiadomo. Dzwonię na mlinię, dowiaduję się, że 27.04 "system mbanku wykrył aktywnoś8 wirusa" na moim koncie i automatycznie zablokował rachunek. Nie używam windowsa i nigdy nie używałem więc uznałem to za jakieś brednie aczkolwiek zacząłem podejrzewać pewne wyjasnienie zdarzenia ale o tym później. Zarządałem zdjęcia blokady.  Zostałem poinformowany, że muszę na głos powtórzyć formułę, że,z

--
Marek

On Thu, 04 May 2017 19:12:55 +0200, Marek <fake@fakeemail.com> wrote:

poinformowany, że muszę na głos powtórzyć formułę, że

"zwalniam mBank z odpowiedzoalnosci za wyprowadzenie srodkow"  z powodu działania wirusa. Czy w świetle ostatnich spraw sądowych omawianych tu na grupie, takie oświadczenie ma jakieś znaczenie w świetle argumentacji sądu że tylko ten, który jest strona umowy bankowej jest autoryzowany do zlecenia przelewów?
Ale to nie koniec. Jak wcześniej wspomniałem zacząłem się domyślać co zaszło i moje podejrzenia spadły na mojego pełnomocnika , który ma też dostęp do tego rachunku (własnym loginem rzecz jasna). Okazało się, że owszem tamtego dnia dostał smsem informację  o blokadzie swoich rachunkow, przeskanował komputer i nic nie znalazł. Po tym zadzwonil na mlinię by zdając blokady.
Clue sprawy: mbank nie informuje TEŻ właściciela rachunku, gdy pełnomocnik zablokuje "wirusem" własne rachunki i przy okazji nie swoje, do których ma dostęp.... ręce.opadają...

--
Marek

W dniu czwartek, 4 maja 2017 19:43:58 UTC+2 użytkownik Marek napisał:

On Thu, 04 May 2017 19:12:55 +0200, Marek <fake@fakeemail.com> wrote:
> poinformowany, że muszę na głos powtórzyć formułę, że

"zwalniam mBank z odpowiedzoalnosci za wyprowadzenie srodkow"  z powodu działania wirusa. Czy w świetle ostatnich spraw sądowych omawianych tu na grupie, takie oświadczenie ma jakieś znaczenie w świetle argumentacji sądu że tylko ten, który jest strona umowy bankowej jest autoryzowany do zlecenia przelewów?
Ale to nie koniec. Jak wcześniej wspomniałem zacząłem się domyślać co zaszło i moje podejrzenia spadły na mojego pełnomocnika , który ma też dostęp do tego rachunku (własnym loginem rzecz jasna). Okazało się, że owszem tamtego dnia dostał smsem informację  o blokadzie swoich rachunkow, przeskanował komputer i nic nie znalazł. Po tym zadzwonil na mlinię by zdając blokady.
Clue sprawy: mbank nie informuje TEŻ właściciela rachunku, gdy pełnomocnik zablokuje "wirusem" własne rachunki i przy okazji nie swoje, do których ma dostęp.... ręce.opadają...

Mialem ostatnio podobną akcję.
Robilem przelew, odszedłem na chwile po zrobieniu przelewu i jak wróciłem to sesja byla wylogowana.

Po zalogowaniu sie okazalo sie ze nie moge zrobic kolejnego przelewu bo konto zablokowane a lista haseł jednorazowych usunieta (była wykorzystana w połowie).

Trzeba było sprawdzić kompa, sieć, modem, certyfikaty, odblokowac konto, zamowic liste haseł, aktywować.
Tylko 10 dni całośc zajęła...

Probowalem sie dowiedzieć co spowodowało zablokowanie konta. Nie powiedzieli mi. Stwierdzili ze system bezpieczeństwa wykrył dziwne aktywnosci.

Napisalem do niebezpiecznik.pl. Napisali ze zapytają ale chyba sie wiele nie dowiedzieli.

Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się zgadzają.

I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to nie znaczy ze jest dobrze.
Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji rootkita czy wirusa nie mozna wierzyć temu co sie widzi w przegladarce.

A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie oszukał.
Ale to tak nawiasem...


Efekt:
10 dni bez konta, pol dnia zmarnowane na szukanie syfu i odblokowywanie konta, 20pln na nowa liste haseł jednorazowych (no 10pln bo ta co byla to juz w polowie zuzyta)...

Bardzo lubię historię kochających mBąk miłością BDSM (albo się za takich podających trolli - oczywiście wtedy, gdy wymyślą coś interesującego).

Użytkownik "Dawid Rutkowski"  napisał w wiadomości

Bardzo lubię historię kochających mBąk miłością BDSM (albo się za takich podających trolli - oczywiście wtedy, gdy wymyślą coś interesującego).

A gdzie lepiej ?
Jak to w zyciu - jedni sa zadowoleni, inni wk*, ale niewiele, niektorych dotknie jakis pech dotkliwie.

Poza tymi nowymi interfejsami, to w zasadzie nie mam co narzekac na mbank.

J.

On Fri, 5 May 2017 01:20:59 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

Bardzo lubię historię kochających mBąk miłośc
ią BDSM (albo się za takich podających trolli - oczywiś
cie wtedy, gdy wymyślą coś interesującego).

Rozwiń bo to ciekawe.

--
Marek

> Bardzo lubię historię kochających mBąk miłośc
> ią BDSM (albo się za takich podających trolli - oczywiś
> cie wtedy, gdy wymyślą coś interesującego).

Rozwiń bo to ciekawe.

Ale chodzi Ci o BDSM czy o trollowanie?

On Mon, 8 May 2017 01:34:44 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

Ale chodzi Ci o BDSM czy o trollowanie?

Chyba pomyliłeś grupy...

--
Marek

> Ale chodzi Ci o BDSM czy o trollowanie?

Chyba pomyliłeś grupy...

Może rozwinę, skoro zajrzenie do poprzedniego postu w wątku jest za trudne...
Chodzi o kochających mBąk miłością BDSM i skarżących się potem na grupach, jakie to numery robi im ukochana instytucja, czy też o trollujących w celu zrobienia mBąkowi czarnego PR - i wymyślających czasem nawet ciekawe historie, których bohaterem mógłby być każdy bank, a jest ten, za który akurat jest płacone?
Który z tych tematów mam rozwinąć, gdyż Cię zainteresował?

On Tue, 9 May 2017 00:50:55 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

Chodzi o kochających mBąk miłością BDSM i skar?
?ących się potem na grupach, jakie to numery robi im ukochana i
nstytucja, czy też o trollujących w celu zrobienia mBąkowi c
zarnego PR - i wymyślających czasem nawet ciekawe historie, kt?
?rych bohaterem mógłby być każdy bank, a jest ten, za
 który akurat jest płacone?

Nie mam.pojęcia o czym piszesz, ja jestem zmuszony do uzywania tego banku z zupełnie.innych powodów niż możesz sobie wyobrazić.

--
Marek

W dniu środa, 17 maja 2017 22:46:57 UTC+2 użytkownik Marek napisał:

Nie mam.pojęcia o czym piszesz, ja jestem zmuszony do uzywania tego banku z zupełnie.innych powodów niż możesz sobie wyobrazić.

Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to powody..
Rzeczywiście nie potrafię sobie wyobrazić, co może zmusić do używania danego banku.
Są takie różne szykany jak np. wymóg wpływu wynagrodzenia przy kredycie, ale to nie znaczy, że trzeba z tego banku korzystać jako z głównego transakcyjnego - zmusza to tylko do wykonania jednego przelewu w miesiącu do jakiegoś sensowniejszego (bo sensownych nie ma) banku.

On Thu, 18 May 2017 01:28:11 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to

powody

Świadczenie im usług. Podobną politykę stosował PKO BP. Obowiązek założenia konta był w warunkach umowy o świadczenie im usług. w ogłaszanych przetargach.

--
Marek

W dniu piątek, 19 maja 2017 17:55:58 UTC+2 użytkownik Marek napisał:

> Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to powody

Świadczenie im usług. Podobną politykę stosował PKO BP. Obowiązek założenia konta był w warunkach umowy o świadczenie im usług. w ogłaszanych przetargach.

OK, niech będzie. Ale czy był tylko wymóg założenia konta - czy również utrzymania go przez cały czas współpracy? Oraz jakieś wymagania w stosunku do aktywności (osobną sprawą jest aktywność wymagana do ew. bezpłatności konta - bo rozumiem, że firmowe)? Lub jakieś obostrzenia - np. zakaz przelewania na swoje konto w innym banku?
Choć jak firmowe to już nie ma takiej swobody wyboru innego banku (chyba że DG, do której można wykorzystywać "fizolskie" konto, choć to często w regulaminach banków zabronione) - nawet biorąc pod uwagę twierdzenie, ze backup należałoby mieć...

On Fri, 19 May 2017 09:27:42 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

OK, niech będzie. Ale czy był tylko wymóg założeni
a konta - czy również utrzymania go przez cały czas wsp?
?łpracy?

Zapłatę za usługi będą przelewać tylko na to konto u nich, więc na jedno wychodzi.
W przypadku PKO BP było tak, że wystawiłem im piierwszą fakturę na "obce"  konto i przeszło, przy drugiej ktoś się zorientował i wstrzymali płatność dopóki nie wskażę konta w pko zgodnie z umową.  W mBanku już nie ćwiczyłem dla świętego spokoju podawania zew. konta.
 Drugi powód utrzymania konta w mB p.t. "nie chcem ale.muszem" to krąg firm współpracujących, które też mają konto w mb ob dzięki temu przelewy między nami są na tychmiast co często się przydaje.

Trzeci powód, to atrakcyjne warunki utrzymania rachunku dostępne tylko dla podmiotöw współpracujących z mB.

--
Marek

W dniu 2017-05-19 o 23:12, Marek pisze:

On Fri, 19 May 2017 09:27:42 -0700 (PDT), Dawid Rutkowski
<drutkow1@wp.pl> wrote:

OK, niech będzie. Ale czy był tylko wymóg założeni
a konta - czy również utrzymania go przez cały czas wsp?
?łpracy?

Zapłatę za usługi będą przelewać tylko na to konto u nich, więc na jedno
wychodzi.
W przypadku PKO BP było tak, że wystawiłem im piierwszą fakturę na
"obce"  konto i przeszło, przy drugiej ktoś się zorientował i wstrzymali
płatność dopóki nie wskażę konta w pko zgodnie z umową.  W mBanku już
nie ćwiczyłem dla świętego spokoju podawania zew. konta.

Drugi powód utrzymania konta w mB p.t. "nie chcem ale.muszem" to krąg
firm współpracujących, które też mają konto w mb ob dzięki temu przelewy
między nami są na tychmiast co często się przydaje.

Trzeci powód, to atrakcyjne warunki utrzymania rachunku dostępne tylko
dla podmiotöw współpracujących z mB.

Ale czy to Cię zmusza do używania konta?
Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa na miesiąc.

On Sat, 20 May 2017 07:40:09 +0200, cef <cezfar@interia.pl> wrote:

Ale czy to Cię zmusza do używania konta?
Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa

na

miesiąc.

Przeczytaj powód nr 2. Miesięcznie robię ok 200 przelewów między kontrahentami, którzy w większości są w mB.

--
Marek

W dniu 2017-05-20 o 08:39, Marek pisze:

On Sat, 20 May 2017 07:40:09 +0200, cef <cezfar@interia.pl> wrote:

Ale czy to Cię zmusza do używania konta?
Przecież mógłbyś nie używać. Jedynie robić zrzut kasy raz czy dwa

na

miesiąc.

Przeczytaj powód nr 2. Miesięcznie robię ok 200 przelewów między
kontrahentami, którzy w większości są w mB.

Cóż, 200 przelewów, to już argument.
Skoro płacą dobrze (?) za niewygody.

A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie oszukał.
Ale to tak nawiasem...


Efekt:
10 dni bez konta, pol dnia zmarnowane na szukanie syfu i odblokowywanie konta, 20pln na nowa liste haseł jednorazowych (no 10pln bo ta co byla to juz w polowie zuzyta)...

Było się stamtąd wypisać w momencie, gdy zmienili interfejs na ten koszmarny. Mam wrażenie, że wtedy zaczęło się psuć. Ja tak zrobiłem i cieszę się.

--
Grzexs

W dniu piątek, 5 maja 2017 13:18:14 UTC+2 użytkownik Grzexs napisał:

> A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie oszukał.
> Ale to tak nawiasem...
>
>
> Efekt:
> 10 dni bez konta, pol dnia zmarnowane na szukanie syfu i odblokowywanie konta, 20pln na nowa liste haseł jednorazowych (no 10pln bo ta co byla to juz w polowie zuzyta)...

Było się stamtąd wypisać w momencie, gdy zmienili interfejs na ten koszmarny. Mam wrażenie, że wtedy zaczęło się psuć. Ja tak zrobiłem i cieszę się.

Jak kto lubi.
Mi tam nie przeszkadza bo taka akcja to pierwsza od 10 czy 15 lat jak tam konto mam.
Pretensji nie mam bo lepiej pomęczyc się tak niz jakby mi ktos miał wypompowac kase z konta.

Feler tylko taki ze dowiedziec sie od nich nie da czemu sie system wzbudził.

On Fri, 5 May 2017 13:18:23 +0200, Grzexs <gwtx@ussun-to-go2.pl> wrote:

Było się stamtąd wypisać w momencie, gdy zmienili interfejs na ten koszmarny. Mam wrażenie, że wtedy zaczęło się psuć. Ja tak zrobiłem

i

cieszę się.

gdzieś jeszcze jest w ogóle prosty interfejs?

--
Marek

gdzieś jeszcze jest w ogóle prosty interfejs?

Jest. W Lukasie.  Tfu!   W krokodylu.

W dniu 2017-05-06 o 17:07, wiatrak pisze:

gdzieś jeszcze jest w ogóle prosty interfejs?

Alior. Też nie ma wynalazków.

--
t0maszek
#nie lubię tego: tvn#wosp#facebook#gazeta#

Było się stamtąd wypisać w momencie, gdy zmienili interfejs na ten
koszmarny. Mam wrażenie, że wtedy zaczęło się psuć. Ja tak zrobiłem

i

cieszę się.

gdzieś jeszcze jest w ogóle prosty interfejs?

Do niedawna był w bankach spółdzielczych, ale ostatnio też jakieś - niewielkie - wodotryski dodali. W Toyocie i VW są dość prostackie, w BZWBK ujdzie. Za to najbardziej popaprane to Getin z kafelkami i Idea z... hmmm... przesuwkami? Oba można ogarnąć, ale nie są wygodne.

--
Grzexs

W dniu 06.05.2017 o 16:07, Marek pisze:

gdzieś jeszcze jest w ogóle prosty interfejs?

BOŚ ma dość posty, nawet prostszy niż dawny m.

--
Alf/red/

Pytanie jeszcze, jaki to ma być ten "prosty" interfejs.
Można liczyć kliknięcia potrzebne do wykonania danej operacji, można też zliczać ilość danych, jakie trzeba w tym celu przesłać - to szczególnie widać przy korzystaniu np. przez aero2.
Ja cenię sobie db - mam nadzieję, że zadziała ich słynny anty-refleks i starego ST jeszcze długo nie wyłączą - bo zrobili sobie nowy, wydaje się identyczny jak etn w BOŚ i wg mnie jest kretyński.
VW wygląda paskudnie, ale jest szybki i po krótkiej nauce można szybko wszystko zrobić.
Inteligo też jest fajny i całkiem szybki.
citi zrobił sobie nowy i stary wyłączył - stary był brzydki i pełen błędów, ale ten nowy nie lepszy, jeszcze nie testowałem na aero2 (ale nie chcę się denerwować), za to mają fajną apkę pod android.
IKA całkiem szybki i niegłupi (aż dziw, że to alior - ale system zupełnie inny niż "duży" alior) - i jak ktoś nie potrzebuje debetówki to może mieć darmowe konto z przelewami i obsługą kasową.

Alf/red/ wrote:

W dniu 06.05.2017 o 16:07, Marek pisze:

gdzieś jeszcze jest w ogóle prosty interfejs?

BOŚ ma dość posty, nawet prostszy niż dawny m.

Interfejs BOŚ ma konkretne wady:

* na wszystkich ekranach gdzie możesz mieć potencjalnie kilka elementów - np. lista kont, etc. - nawet jak jest jeden element to trzeba go wybrać, żeby zrobić na nim operację - czyli np. otwarcie historii konta wymaga 3 kliknięć: 1) konta, 2) oznaczenie na liście jedynego konta, 3) historia; jest to bardzo upierdliwe;

* na wielu ekranach z listami elementów kliknięcie w nazwę elementu wybiera nieoczywistą czynność - np. szablony przelewów - spodziewam się, że kliknięcie w nazwę szablonu powinno otworzyć przelew według danego szablonu; tymczasem otwiera coś innego; i znowu - żeby zrobić przelew na dany szablon mając na ekranie listę szablonów trzeba zrobić tak: 1) oznaczyć na liście dany szablon, 2) z przycisków na dole wybrać "wykonaj";

* no i jeszcze takie pierdołki jak to, że przelewy zlecone w sesji dziennej i przelewy zlecone poza sesją pokazują się w historii w innej zakładce - te poza sesją są to "Przelewy Odroczone";

Ale ma też plusy:

* praktycznie wszystkie operacje można wrzucić w koszyk - także na koncie dla fizoli - i podpisać jednym użyciem nzarzędzie autoryzacyjnego;

--
Wysłane z pola.

sczygiel@gmail.com wrote:

[...]

Po zalogowaniu sie okazalo sie ze nie moge zrobic kolejnego przelewu bo
konto zablokowane a lista haseł jednorazowych usunieta (była wykorzystana
w połowie).

[...]

Generalnie spójrz proszę na całą sytuację w taki sposób: bank ma jakieś rozwiązanie, które podejmuje decyzję odnośnie tego czy logowanie jest fraudowe czy nie. Ten system bankowy nie jest doskonały i generuje pewną liczbę false positives - tak jak u Ciebie - nie miałeś prawdopodobnie wirusa, ale system podjął decyzję że miałeś i doszło to blokady.

No i tak - wyobraź sobie, że na 1000 przypadków gdy system podejmuje decyzję pozytywną (wykrywa wirusa) 980 to są true positive (prawidłowe działanie systemu) a 20 to są false positive (wszczyna alarm mimo że nie masz wirusa). Przy czym każde z true positives oznacza stratę dla jakiegoś klienta w wysokości od 3.000 do 50.000 złotych.

Teraz rozumiesz dlaczego czasami się zdarzają false positives i jest to akceptowalne?

--
Wysłane z pola.

W dniu poniedziałek, 8 maja 2017 12:39:15 UTC+2 użytkownik janek z pola napisał:

sczygiel@gmail.com wrote:

[...]

> > Po zalogowaniu sie okazalo sie ze nie moge zrobic kolejnego przelewu bo
> konto zablokowane a lista haseł jednorazowych usunieta (była wykorzystana
> w połowie).
> [...]

Generalnie spójrz proszę na całą sytuację w taki sposób: bank ma jakieś rozwiązanie, które podejmuje decyzję odnośnie tego czy logowanie jest fraudowe czy nie. Ten system bankowy nie jest doskonały i generuje pewną liczbę false positives - tak jak u Ciebie - nie miałeś prawdopodobnie wirusa, ale system podjął decyzję że miałeś i doszło to blokady.

No i tak - wyobraź sobie, że na 1000 przypadków gdy system podejmuje decyzję pozytywną (wykrywa wirusa) 980 to są true positive (prawidłowe działanie systemu) a 20 to są false positive (wszczyna alarm mimo że nie masz wirusa). Przy czym każde z true positives oznacza stratę dla jakiegoś klienta w wysokości od 3.000 do 50.000 złotych.

Teraz rozumiesz dlaczego czasami się zdarzają false positives i jest to akceptowalne?

Ja to rozumiem, zauważ że nigdzie nie narzekam że mnie to spotkało bo wiem dlaczego te systemy istnieją i jak działają oraz to ze falsepositivy to ich specyfika i zawsze będą sie pojawiać.

Mnie smuci to ze mbank nie powie mi co spowodowało blokade (powiedzieli ze wirus ale mówia to wszystkim). Ja wiem dlaczego mi nie powie (zeby złoczyńcy nie wiedzieli jak lepiej udawać grzecznego klienta).

Ale nadal mi smutno bo wirusa nie mialem komputer czysty i nie wiem czy niebawem znowu mi dostepu nie zablokują...

sczygiel@gmail.com wrote:

W dniu poniedziałek, 8 maja 2017 12:39:15 UTC+2 użytkownik janek z pola
napisał:

[...]

Ja to rozumiem, zauważ że nigdzie nie narzekam że mnie to spotkało bo wiem
dlaczego te systemy istnieją i jak działają oraz to ze falsepositivy to
ich specyfika i zawsze będą sie pojawiać.

Mnie smuci to ze mbank nie powie mi co spowodowało blokade (powiedzieli ze
wirus ale mówia to wszystkim). Ja wiem dlaczego mi nie powie (zeby
złoczyńcy nie wiedzieli jak lepiej udawać grzecznego klienta).

Ale nadal mi smutno bo wirusa nie mialem komputer czysty i nie wiem czy
niebawem znowu mi dostepu nie zablokują...

Z tym jest niestety problem we wszystkich bankach. Ale z drugiej strony mogliby w sumie powiewdzieć tylko tyle - przykładowo: "Nasza bankowość elektroniczna wykrywa pewne schematy nietypowego wykorzystania i w Pana przypadku doszło do dopasowania jednego z takich schematów". Taka odpowiedź w sumie by Tobie nie pomogła się ustrzec przed kolejną blokadą.

Możesz spróbować wystawić odpowiednią reklamację - nie wiem jak to działa w mBanku ale czasami jest tak, że reklamacja przechodzi przez zespół biznesowy od danego systemu (np. od bankowości elektornicznej). Wówczas może będzie tam z ich strony jakaś refleksja.

--
Wysłane z pola.

sczygiel@gmail.com writes:

Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się zgadzają.

I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów
jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla
poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to
nie znaczy ze jest dobrze.
Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji
rootkita czy wirusa nie mozna wierzyć temu co sie widzi w
przegladarce.

Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
oprogramowanie, to niczego nie możemy być pewni.

A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
oszukał.

I to by miało coś gwarantować?

Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to
lepiej przynajmniej przejść na kody SMSowe (i używać telefonu bez
podobnych "atrakcji"). Listy kodów jednorazowych + zawirusowany komputer
- "nie mieszać".

Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego
dostępu, jeśli znamy tylko dane do logowania (np. z wirusa)? Ostatnio
był taki temat, a może już to załatali?
--
Krzysztof Hałasa

W dniu sobota, 13 maja 2017 23:08:55 UTC+2 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

> Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się zgadzają.
>
> I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów
> jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla
> poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to
> nie znaczy ze jest dobrze.
> Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji
> rootkita czy wirusa nie mozna wierzyć temu co sie widzi w
> przegladarce.

Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
oprogramowanie, to niczego nie możemy być pewni.

Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.
Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to widzisz scieżkę i wszystko jest zielnie i wogóle cacy. Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze zrobiony ale oszukany.

Jak masz wirusa to jaki problem aby on do przeglądarki naładował ze 3-4 certyfikaty powiązane ze soba i wyglądające na poprawne?

> A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
> scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
> przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
> oszukał.

I to by miało coś gwarantować?

Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co powinno być widoczne w przeglądarce.
Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc trudne...

Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to
lepiej przynajmniej przejść na kody SMSowe (i używać telefonu bez
podobnych "atrakcji"). Listy kodów jednorazowych + zawirusowany komputer
- "nie mieszać".

No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez są hackowane i po bezpieczeństwie nici.

W takim wypadku tylko hasla jednorazowe i token.

Jesli komputer jest zawirusowany to po ptokach

Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego
dostępu, jeśli znamy tylko dane do logowania (np. z wirusa)? Ostatnio
był taki temat, a może już to załatali?

w mbanku mamy id klienta i hasło do interfejsu webowego plus telekod do logowania sie przez telefon.
I do kompletu pare danych które mozna pamietac (nazwisko panienskie matki) albo nie pamietac (czy korzystasz z porduktu kredytowego - czy jakos tak).


Tak czy siak, mialem taki problem i szukalem na stronie banku opublikowanych certyfikatów aby je porównać z tymi widzianymi w komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...

sczygiel@gmail.com writes:

Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
oprogramowanie, to niczego nie możemy być pewni.

Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.

Nie, nie jest to potrzebne.
Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
CA" (zawierający w szczególności root CA, od którego zaczyna się
"ścieżka").

Ew. korzystne może też być wykluczenie certyfikatów korzystających
z MD5, ostatnio było to dość mocno atakowane.

Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
widzisz scieżkę i wszystko jest zielnie i wogóle cacy.

Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.

Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
zrobiony ale oszukany.

https://pl.wikipedia.org/wiki/Infrastruktura_klucza_publicznego
https://pl.wikipedia.org/wiki/Certyfikat_klucza_publicznego

> A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
> scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
> przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
> oszukał.

I to by miało coś gwarantować?

Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
powinno być widoczne w przeglądarce.
Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc trudne...

Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.

No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
są hackowane i po bezpieczeństwie nici.

Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
samego komputera, o którym wiemy, że jest "zawirusowany".

W takim wypadku tylko hasla jednorazowe i token.

Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
token.
Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
bardziej bezpieczny.

Tak czy siak, mialem taki problem i szukalem na stronie banku
opublikowanych certyfikatów aby je porównać z tymi widzianymi w
komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...

BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
czegokolwiek tego typu na stronie banku to nieporozumienie
(niezrozumienie idei PKI).
--
Krzysztof Hałasa

W dniu wtorek, 16 maja 2017 20:18:36 UTC+2 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

>> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
>> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
>> oprogramowanie, to niczego nie możemy być pewni.
>
> Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.

Nie, nie jest to potrzebne.
Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
CA" (zawierający w szczególności root CA, od którego zaczyna się
"ścieżka").

Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to robią. Malware tez to moze zrobic.

> Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
> widzisz scieżkę i wszystko jest zielnie i wogóle cacy.

Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.

Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie musi byc on poprawny i taki sam jak wystawiany przez bank.
Wtedy dobrze jest móc znaleźć poprawny ciąg certyfikacji którego malware nie podmieni.

> Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
> wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
> zrobiony ale oszukany.

https://pl.wikipedia.org/wiki/Infrastruktura_klucza_publicznego
https://pl.wikipedia.org/wiki/Certyfikat_klucza_publicznego

No i co z tego?

Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?

> Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
> certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
> powinno być widoczne w przeglądarce.
> Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc trudne...

Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.

poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i umiescila na imgurze.
Tego wirus nie podmieni...

> No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
> wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
> niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
> są hackowane i po bezpieczeństwie nici.

Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
samego komputera, o którym wiemy, że jest "zawirusowany".

Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi środkami na koncie.

> W takim wypadku tylko hasla jednorazowe i token.

Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
token.
Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
bardziej bezpieczny.

Ano. Taki urok chyba kazdej uslugi ze "man in the middle" narobi problemów. Czy to ludzik z pałką czy z hakerskim komputerem...

> Tak czy siak, mialem taki problem i szukalem na stronie banku
> opublikowanych certyfikatów aby je porównać z tymi widzianymi w
> komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
> zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...

BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
prawidłowości certyfikatu, to sprawa jest z góry przegrana.. Szukanie
czegokolwiek tego typu na stronie banku to nieporozumienie
(niezrozumienie idei PKI).

Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.
A PKI jest fajne o ile nie masz po drodze firmowego proxy czy antywirusa.

http://www.thesafemac.com/avasts-man-in-the-middle/

Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest wsparta mozliwoscia zewnetrznego sprawdzenia - recznie. Co da sie zrobic ale albo trzeba miec zaufany komputer i przepatrzec czy sie numery seryjne i modulo zgadzaja albo miec mozliwosc uzyskania lancucha certyfikacyjnego w sposob który moze nie byc kontrolowany przez malware...

sczygiel@gmail.com writes:

Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
CA" (zawierający w szczególności root CA, od którego zaczyna się
"ścieżka").

Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
robią.

Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?

Malware tez to moze zrobic.

Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
cokolwiek.

Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie
musi byc on poprawny i taki sam jak wystawiany przez bank.

Może też być taki sam.
Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie
ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku,
czy pokazywanie czegoś innego?
Bo nakład pracy jest taki sam.

Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony
także może być inny. Ale poleganie na tym to IMHO kiepski pomysł.

No i co z tego?

Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?

Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi
antywirusami w kontekście PKI i HTTPS.
Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione
certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli
nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera.

Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.

poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i umiescila na imgurze.
Tego wirus nie podmieni...

Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum,
autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy,
które nie mają możliwości modyfikacji oprogramowania w pececie. Autor
wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak
samo jak oryginał.
Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać
w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę).

Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
środkami na koncie.

W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
(lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
środki na koncie, ew. limity kredytowe itp.

W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
kogoś innego.

BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
czegokolwiek tego typu na stronie banku to nieporozumienie
(niezrozumienie idei PKI).

Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.

Certyfikat może się zmienić nawet bez malware.

A PKI jest fajne o ile nie masz po drodze firmowego proxy czy
antywirusa.

Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy?
No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy
firmowe?

Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie
bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest
wsparta mozliwoscia zewnetrznego sprawdzenia - recznie.

Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc.
Zrozum to, na malware na pececie żadne certyfikaty nie pomogą.
--
Krzysztof Hałasa

W dniu piątek, 19 maja 2017 16:01:36 UTC+2 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

>> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
>> CA" (zawierający w szczególności root CA, od którego zaczyna się
>> "ścieżka").
>> >
> Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
> robią.

Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?

Tak. Aby ochronić przeglądarke przed tym na co jest nie połatana. Albo aby wychwycić załaczniki w poczcie (dla programów pocztowych).
Dodałem ci linki, tam jest zajawka jak sie to dzieje.
Dzis to dosyc popularna funkcja AV.

> Malware tez to moze zrobic.

Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
cokolwiek.

Ano może. Ale gdzies trzeba załozyć że istnieje granica..
Zakładam że malware nie będzie szukać we wszystkich obrazkach jakie user otwiera informacji o numerkach modulo certyfikatów publicznych.

Ale tak, komputer z rootkitem jest zupełnie niewiarygodny jesli chodzi o zasade. Ale praktycznie w części działa tak jakby działał bez rootkita czy innego malware.

> Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie
> musi byc on poprawny i taki sam jak wystawiany przez bank.

Może też być taki sam.
Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie
ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku,
czy pokazywanie czegoś innego?
Bo nakład pracy jest taki sam.

Jakbym byl tworca to bym na bieżąco produkował ścieżkę certyfikatów z nazwami takimi samymi jak produkuje oszukiwana strona. Nadanie nazw certyfikatom jest proste. Nadanie numerków modulo juz nie.
Nie jest problemem zbudowanie ciagu certyfikacji takiego jak ma mbank. To jakieś 5-10 minut roboty ręcznie lub pare sekund skryptu. Oczywiście trzeba głowe ciągu certyfikatów umiescic w przegladarce ale zakladamy ze malware ma wladze nad oprogramowaniem usera więc to zrobic może.

Chyba że by mi sie nie chciało to bym zrobil tylko jeden certyfikat glowny, wsadzil go do przegladarki a potem kazda strone podpisywal certyfikatem z jego nazwa. Pewnie wiekszosc userow nie zaglada w "kłódeczke" w przegladarce jak jest ona zielona.

A jak user podejżliwy to i tak juz po ptokach i z oszustwa nici...

Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony
także może być inny. Ale poleganie na tym to IMHO kiepski pomysł.

> No i co z tego?
>
> Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?

Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi
antywirusami w kontekście PKI i HTTPS.
Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione
certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli
nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera.

Poszperaj sobie w sieci pod tym katem, jeden link ci przyslalem ale pewnie znajdziesz więcej tego typu stronek.

W moim przypadku mialem sytuacje gdzie nie wiedzialem czy mam komputer zarazony czymś czy modem/router sieciowy mial podmienione dns-y.

na szybko chcialem sprawdzic czy mam poprawnie zaszyfrowana komunikacje i nie znalazlem innego info niz po prostu ciag certyfikacyjny wczytany na innym urządzeniu.

Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze. Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie aby zainteresowani mogli sie skonsultować.

>> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
>> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
>
> poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i umiescila na imgurze.
> Tego wirus nie podmieni...

Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum,
autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy,
które nie mają możliwości modyfikacji oprogramowania w pececie. Autor
wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak
samo jak oryginał.

Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy już realizowane?
O takim przypadku nie słyszałem.

Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać
w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę).

> Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
> środkami na koncie.

W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
(lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
środki na koncie, ew. limity kredytowe itp.

W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
kogoś innego.

No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki (równiez przez sms-y których nawet nie otwarli) i spokojnie w ciagu nocy oczyszczono konto wieloma przelewami.

>> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
>> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
>> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
>> czegokolwiek tego typu na stronie banku to nieporozumienie
>> (niezrozumienie idei PKI).
>
> Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.

Certyfikat może się zmienić nawet bez malware.

> A PKI jest fajne o ile nie masz po drodze firmowego proxy czy
> antywirusa.

Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy?
No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy
firmowe?

Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa.
Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha certyfikacji jest silna ale swiadomosc ze sama zielonosc "kłódki w przeglądarce" to nie jest 100% sukcesu.

> Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie
> bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest
> wsparta mozliwoscia zewnetrznego sprawdzenia - recznie.

Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc.
Zrozum to, na malware na pececie żadne certyfikaty nie pomogą.

Na wszystkie malware nie. Ale na niektóre tak. W tym watku tylko o tym wspominam i tylko pod tym katem.
Rodzajów oszustw realizowanych przez malware jest sporo ale narazie nie są one strasznie wyszukane. Mam wrażenie że dzisiejsze malware są sporo słabsze technicznie niż wirusy z czasów dosa czy win95 bo wtedy były to bardzo zgrabnie pisane programiki a dziś to w praktyce skrypty montowane z dosyć duzych klocków.

sczygiel@gmail.com writes:

Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
cokolwiek.

Ano może. Ale gdzies trzeba załozyć że istnieje granica.

Owszem, ale ta granica jest w zupełnie innym miejscu. A przynajmniej
powinna być.

Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze. Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie
aby zainteresowani mogli sie skonsultować.

Chyba po to, by dać im fałszywe poczucie bezpieczeństwa.

Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy
już realizowane?

Chciałbyś sprawdzić to na sobie, gdy już będzie realizowane?

No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki
(równiez przez sms-y których nawet nie otwarli) i spokojnie w ciagu
nocy oczyszczono konto wieloma przelewami.

No jednak tak. Oczywiste jest, że pisałem o przypadku, w którym
zawirusowany był tylko pecet. Jeśli ktoś jest na tyle nierozgarnięty
(albo ma na tyle zdeterminowanych wrogów), że wykonuje przelewy używając
zawirusowanego" komputera ORAZ jednocześnie zawirusowanego telefonu
(jako końcówki do kodów "SMS"), i dodatkowo oba "wirusy" współpracują ze
sobą (muszą się ze sobą lub z atakującym komunikować, komórka musi
wiedzieć co ma wyświetlić, albo musi przesłać SMSa komputerowi), to
rzeczywiście ryzyko tej sytuacji jest zasadniczo takie samo jak w
przypadku kodów papierowych i zawirusowanego "tylko" komputera.

BTW wystarczy do tego 1 przelew.

Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa.

Ale jest tykającą bombą, to "mechanizm" dla samobójców.

Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha
certyfikacji jest silna ale swiadomosc ze sama zielonosc "kłódki w
przeglądarce" to nie jest 100% sukcesu.

Prawda jest zupełnie inna. PKI jest zawodne. Słabe strony PKI znajdują
się jednak w zupełnie innych miejscach - to jest słabość procedur
stosowanych przez poszczególne CA, podatność na wyłudzenia certyfikatów,
podatność na działania np. służb itd. Prawidłowo wystawiony certyfikat
nie gwarantuje, że jego użytkownik jest tym, za kogo się podaje (chociaż
prawdopodobieństwo jest znaczne).

Natomiast porównywanie słabości PKI do sytuacji z malware na komputerze,
i recepta w postaci sprawdzania łańcucha certyfikatów (w czasie każdego
żądania?) to, nazwijmy to, nieporozumienie.
--
Krzysztof Hałasa

Dnia Fri, 19 May 2017 16:01:32 +0200, Krzysztof Halasa napisał(a):

sczygiel@gmail.com writes:

Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
robią.

Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?

A propos - mBank wlasnie zmienil certyfikat ... i chyba nie ostrzegl,
ze zmienia.

Czy po prostu mam wirusa ?

Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
środkami na koncie.

W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
(lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
środki na koncie, ew. limity kredytowe itp.

W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
kogoś innego.

Chyba, ze wirus siegnie tez telefonu.
Wtedy znow mozna stracic wszystko, i nawet sie nie dowiedziec kiedy.

J.