Forum Oficjalnego Klubu Mitsubishi - MitsuManiaki

[arekp]

Aby nie zanudzac Was tekstami w watku o NK postanowilem utworzyc nowy. Tematy, ktore bede w nim opisywal beda nieco w innym tonie niz te pisane w w/w watku.

Przepraszam wszystkich za to w jaki sposob tam probowalem uswiadomic Wam, ze o prywatnosc w sieci nalezy dbac i jak ona jest istotna. Wymienilem w miedzyczasie poglady z jednym z Was, ktory skrytykowal moje posty w taki sposob, ze postanowilem nawiazac z nim prywatna korespondencje w temacie. Dzieki temu zauwazylem, ze dzialanie w dobrej wierze przybralo lekko chora postac ... i stad pewnie Wasz odbior tego co pisalem, co mnie teraz nie dziwi.

Zaczynam wiec watek dotyczacy bezpieczenstwa zwyklego, nietechnicznego uzytkownika sieci. Poniewaz w tej chwili nie mam zebranych mysli w jedna calosc, nie przedstawie podstawowych rzeczy ktorych powinniscie pilnowac wprowadzajac COKOLWIEK do sieci.

Na poczatek cytuje tekst, ktory (nie)stety dotyczy serwisu NK. Pomysl utworzenia takiego tematu na klubowym forum powstal po przeczytaniu ponizszego.

Cytat:

Trafiłem dzisiaj na serwis Numery GG, który dostarcza tylko jedną, konkretną funkcjonalność - łączy nazwiska z numerami GG i pozwala na ich wyszukiwanie. Wpisujesz numer GG i znajdujesz jego właściciela. Wpisujesz imię i nazwisko i znajdujesz numery osób tak się nazywających. Prawie jak książka telefoniczna. Kompletność ich bazy danych na dzień dzisiejszy pozostawia wiele do życzenia i nie czyni tego serwisu zbyt przydatnym, ale na uwagę zasługuje fakt, iż twórcy strony bez kompleksów i wprost piszą: “Wszystkie informację z tego serwisu pochodzą z portalu społecznościowego nasza-klasa.pl”.

Calosc znajdziecie na blogu Webstop: Przystanek Web pod adresem: Powstał serwis z danymi osobowymi wykradzionymi z nasza-klasa

[lukamar]

Przyznaje, że to ze mną Arek pisał i dzięki mu za to, bo korzyści były obopólne. Krótko pisząc, zestawił informacje o mnie, jakie można znaleźć w ciągu kilku minut w sieci. Nie są to żadne kompromitujące materiały i pojedynczo niewiele nikomu powiedzą. Jednak gdy się je zbierze do kupy, można sobie jakiś tam obraz już nieanonimowego lukamara zbudować Im dłużej się nad tym zastanawiam, tym bardziej mi się to nie podoba.
Jak ktoś jest ciekawy, co można o nim znaleźć w sieci, niech się zgłosi - metoda jest banalnie prosta, ale sam na to nigdy nie wpadłem.

Przyznaje, że to ze mną Arek pisał i dzięki mu za to, bo korzyści były obopólne. Krótko pisząc, zestawił informacje o mnie, jakie można znaleźć w ciągu kilku minut w sieci. Nie są to żadne kompromitujące materiały i pojedynczo niewiele nikomu powiedzą. Jednak gdy się je zbierze do kupy, można sobie jakiś tam obraz już nieanonimowego lukamara zbudować Im dłużej się nad tym zastanawiam, tym bardziej mi się to nie podoba.
Jak ktoś jest ciekawy, co można o nim znaleźć w sieci, niech się zgłosi - metoda jest banalnie prosta, ale sam na to nigdy nie wpadłem.

[arekp]

Na wstepie krotkie wyjasnienie, posty ktore zniknely zostaly usuniete na moja prosbe. Chcialbym aby kolejne informacje pojawialy sie w tym watku i byly czytelne - bez potrzeby dokopywania sie do nich.

Ponizsze informacje sa pisane 'na kolanie', moga zawierac bledy i podlegac korekcie a nawet czesciowej zmianie. Material przeznaczony jest do publikacji tylko na tym forum. Nie zezwalam na kopiowanie fragmentow lub calosci.



W tej czesci chcialbym zwrocic uwage na dwie sprawy, pierwsza jest bardzo istotna i dotyczy bezpieczenstwa Waszych pieniedzy a druga zapewni Wam poufnosc korespondencji podczas uzywania poczty elektronicznej.

BANKI Z DOSTEPEM PRZEZ INTERNET:
---------------------------------------------

Wbrew pozorom transakcje wykonywane przez Internet, jak i bankowosc elektroniczna sa bezpieczne. Co jakis czas pojawiaja sie informacje, ze z jakiegos banku klientom 'wyparowaly' pieniadze. Zapewniam Was, ze prawdziwe banki internetowe sa bezpieczne. W kazdym z nich pracuje sztab ludzi, ktorzy o to dbaja.

Co w takim razie jest nie tak? Moim zdaniem sa conajmniej dwa glowne powody:
1) banki pseudointernetowe
2) klienci

Pod punktem pierwszym zawieraja sie banki, ktore w pewnym momencie staraly sie gonic konkurencje 'elektroniczna' i potworzyly pseudo dostep do swoich zasobow.

Banki internetowe w Polsce to mBank i Inteligo. Mozna by w sumie dorzucic do tego grona Multibank, poniewaz to rowniez dziecko BRE i ich system obslugi kont przez internet jest dokladnie tym samym oprogramowaniem, ktore posiada mBank.

Pozostale banki oferuja tylko namiastke bankowosci elektronicznej pilnujac aby ich klienci nie uciekli do duzo atrakcyjniejszej konkurencji. I to jest glowny problem bezpieczenstwa.

Drugi punkt to klienci, ktorzy reprezentuja najslabsze ogniwo w lancuszku zabezpieczen jakiegokolwiek systemu. Klienci to bardzo nieodpowiedzialne ogniwo, bardzo lekcewazace sobie zasady bezpieczenstwa.

Dlaczego tak twierdze? Bo wystarczy wybrac sie do pierwszej lepszej popularnej kawiarenki internetowej i poobserwowac klientow, ktorzy uzywajac publicznych komputerow loguja sie do swoich kont bankowych.

NIGDY NIE LOGUJCIE SIE DO SWOICH KONT BANKOWYCH Z KOMPUTEROW CO DO KTORYCH NIE MACIE 150% PEWNOSCI, ZE SA BEZPIECZNE!!

W pelni bezpieczny komputer, to Wasz prywatny, domowy komputer, zabezpieczony AKTUALNYM programem antywirusowym i jesli to Windows to koniecznie zaktualizowany o poprawki z Windows Update.

Do bezpiecznych komputerow mozna tez zaliczyc komputery sluzbowe, o ile mamy pewnosc, ze nie ma na nich zainstalowanych zadnych programow mogacych zeskanowac dane, ktore wprowadzamy z klawiatury.

Kiedy juz siadamy do bezpiecznego komputera, mozemy byc pewni ze nasze pieniadze tez sa bezpieczne. Do tej chwili

Poniewaz od tej chwili pozostaje jeszcze jedna zasada, ktorej nalezy bardzo pilnowac. Bezpieczny protokol SSL. W tym miejscu nalezy uwaznie wpisywac adres strony banku oraz sprawdzic czy przegladarka informuje nas, ze polaczenie z serwerem zostalo nawiazane za pomoca bezpiecznego protokolu https - to 's' na koncu ma bardzo duze znaczenie.

Najbezpieczniej jest poslugiwac sie linkiem kierujacym do panelu logowania do konta umieszczonym na stronie banku, lub jesli uzywamy stalego komputera polecam utworzyc w 'ulubionych' bezpieczny skrot do strony. Nie polecam uzywania takich linkow na komputerach, co do ktorych nie mamy pewnosci, ze sa bezpieczne. Taki link mogl utworzyc ktokolwiek i niekoniecznie w dobrej wierze.

Ponizej screenshoty z panelem logowania do mBanku z zaznaczonymi miejscami, po ktorych mozemy sie zorientowac o poprawnym zadzialaniu mechanizmow szyfrujacych transmisje miedzy nasza przegladarka a serwerem banku:

Dla IE w wersji 7:



Dla FireFox w wersji 2:



Bardzo polecam zapoznac sie z materialem przygotowanym przez mBank w dziale Bezpieczenstwo. Znajdziecie go tutaj.

Kolejna istotna sprawa jest to, ze banki NIGDY nie wysylaja do swoich klientow emaili z linkami do logowania, prosbami weryfikacji danych czy temu podobnych. Nigdy nie logujcie sie do swoich bankow uzywajac takich linkow. Krotko na ten temat pisalo jakis czas temu Inteligo ostrzegajac swoich klientow. Mozecie o tym poczytac tutaj


POCZTA ELEKTRONICZNA
-------------------------------

w przeciwienstwie do bankow z dostepem do konta przez internet - niekoniecznie elektronicznych bankow - jest to jedna z uslug sieci, z ktorej korzysta chyba kazdy internauta. Najczesciej spotykany model to jedno konto prywatne i jedno sluzbowe, sa tez tacy jak ja, ktorzy poczte pobieraja z kilkunastu roznych kont pocztowych

Wydawaloby sie, ze to nic skomplikowanego. Wchodzimy na strone, wpisujemy login i haslo a nastepnie czytamy/piszemy korespondencje. Mozemy tez wlaczyc program pocztowy i zrobic dokladnie to samo ... proste prawda? Banalne.

Pozornie, poniewaz w przeciwienstwie do uslug bankowych przy poczcie elektronicznej malo kto zadaje sobie trud (choc patrzac z punktu widzenia techniki tylko pozorny trud) zabezpieczenia swojej wlasnosci jaka jest korespondencja.

Malo kto zdaje sobie sprawe z tego, ze uzywajac poczty przez strone www i nie laczac sie za pomoca bezpiecznego protokolu https, z waznym certyfikatem SSL zainstalowanym na serwerze wysyla swoje dane autoryzacyjne JAWNIE. Tak, jawnie. Nie laczac sie z uzyciem https, wasze loginy, hasla, tresc korespondencji, wprowadzane do ksiazki adresowej kontakty 'leca' JAWNYM TEKSTEM. Rownie dobrze moglibyscie zapisac na kartce papieru login i haslo, ewentualnie adres serwera i zostawic to na lawce w parku.

Pamietajcie wiec, ze uzywajac poczty przez strone www ZAWSZE sprawdzajcie czy mozecie polaczyc sie za pomoca https.

Ok, uzywanie poczty przez strone www bez uzycia https jest niebezpieczne. Moze wiec program pocztowy? Dane autoryzacyjne wpisujemy do programu, ktory jest zainstalowany u nas na komputerze. Czujemy sie bezpieczni. BLAD. Program pocztowy wysyla do serwera login i haslo za kazdym razem gdy naciskamy klawisz wyslij/odbierz poczte. Na szczescie nie jest tak zle jak mogloby sie wydawac. W ustawieniach programow pocztowych znajdziemy 3 opcje, ktore pozwalaja nam na zabezpieczenie naszej korespondencji ...

1) ustawienia portu poczty wysylanej (SMTP)
2) ustawienia portu poczty otrzymanej (POP)
3) autoryzacje podczas wysylania wiadomosci

Niestety, swiadomosc tego ze opcje te powinnismy poprawnie skonfigurowac to jedno, a niedostepnosc powyzszych u operatora to drugie.

Co nalezy zrobic? To proste, zagladamy w dokumentacje uslugi u naszego operatora lub dzwonimy na infolinie w celu uzyskania informacji na temat adresow portow dla polaczen SSL do serwerow poczty, obu serwerow (SMTP i POP).

Porty domyslne, okreslone w specyfikacji RFC to: 995 dla POP i 465 dla SMTP. Wazny jest tez adres serwera, poniewaz certyfikat SSL jest wystawiany dla konkretnego adresu - wiec o to tez musimy spytac.

Pozostala ostatnia sprawa, 'autoryzacja poczty wychodzacej'. Mysle, ze u wiekszosci operatorow w Polsce (zarowno tych darmowych jak i komercyjnych) opcja ta jest domyslnie wlaczona - szczegoly w dokumentacji uslugi.

Posluze sie tu dokumentacja home.pl dostarczajac Wam troche wiedzy teoretycznej i zwiazanej z przykladowa konfiguracja (dla innych operatorow bedzie bardo podobna, ale adresy serwerow beda sie roznic).

- ssl i autoryzacja poczty wychodzacej (trzeba przesunac ekran w dol)
- konfiguracja ssl w Outlook Express

[turek61]

arekp, dzięki za wyczerpujący materiał. Dziękuje, że nie skorzystam bo już korzystam z wszystkich Twoich rad
Na pewno wielu osobom Twój tekst będzie pomocny.
Dzięki.

[JCH]

Arku...
Z całym szacunkiem dla Twojej wiedzy to co napisałeś o bezpieczeństwie przy korzystaniu z bankowości internetowej są to informacje powszechnie znane i prezentowane przez banki. OK - nigdy za wiele przypominania o pewnych kardynalnych zasadach. Jednak nie mogę w pełni zgodzić się z poniższymi stwierdzeniami (celowo pogrubiłem fragmenty Twojej wypowiedzi, które mnie nieco rażą):

[cns80]

Co do BZWBK muszę się zgodzić:
Najpierw NIK (8 cyfr)
Potem hasło (w nowej wersji ciąg do 24 znaków). Serwer pyta o wybrane znaki.
Potem sms-kod dla potwierdzenia transakcji (dane z przelewu muszą się zgadzać z sms-kodem).
Automatyczne wylogowywanie przy bezczynności.

Ten poziom zabezpieczeń na razie nie zawiódł nikogo z moich znajomych, ani rodziny.

[turek61]

[arekp]

Okreslenie banki pseudointernetowe dotyczy bankow, ktore potworzyly dostep on-line do swoich zasobow jednak niewiele da sie z tym dostepem zrobic.

Zwroccie uwage na fakt, ze w bankach z pelnym dostepem przez internet przelwy miedzy rachynkami wlasnymi banku odbywaja sie natychmiast i nie ma przy tym znaczenia, czy transakcje dotycza rachunkow indywidualnych czy firmowych (wlaczajac w to transakcje miedzy roznymi typami rachunkow). W bankach internetowych mozecie splacic swoj debet na karcie, zaplacic rate kredytu, dokonac transferu srodkow 24/7/365 - wylaczajac z tego przerwy konserwacyjne i niezalezne od bankow wydarzenia.

W bankach pseudointernetowych macie co prawda dostep do rachunkow, ale dokonanie w nich przelewu miedzy rachunkami wlasnymi banku jest zlecane a nie wykonywane on-line. Pomijam pozostale uslugi.

Oczywiscie te sprawy nie maja nic wspolnego z bezpieczenstwem, chcialem tylko wyjasnic co rozumiem pod uzywanym przez siebie pojeciem.

Twierdze, ze banki typowo internetowe sa lepiej zabezpieczone, poniewaz bezpieczenstwo transakcji i dostepu do rachunkow jest tam priorytetem. To jedyna metoda dostepu do rachunkow, jedyna o ktora trzeba dbac i dlatego panele dla tych bankow sa priorytetem - pomijam kwestie niemobilnosci bankowosci elektronicznej, bo dostep przez wap czy chocby z PDA poprzez okrojona z javascriptow przegladarke jest rownie upierdliwy we wszystkich bankach.

Przyklady lekkomyslnosci bankow pseudointernetowych mozna mnozyc. Dla przykladu mozna podac Citi, bank z wieloletnia miedzynarodowa tradycja i najbardziej lubiany przez wlamywaczy. Inny bank, (nie pamietam ktory) zabezpieczyl dostp do konta tak, ze na ekranie pojawila sie klawiaturka do wprowadzania znakow aby klikac myszka - nie biorac pod uwage tego, ze latwo za pomoca trojana wyludzic takie parametry - w koncu wklepywane sa za pomoca javascriptu :]

Token nie rozni sie niczym od karty kodow jednorazowych stosowanych przez e-banki. Zgubisz token czy zgobisz karte ... bez roznicy

Nie twierdze, ze wszystkie banki z dostepem przez siec sa 'be'. Jest jednak sporo do zarzucenia w kwestiach bezpieczenstwa bankom pseudo internetowym a zdecydowanie mniej do e-bankow.


Jesli chodzi o jakiekolwiek dzialania 'w locie'. Transmisja SSL w przypadku autoryzacji zapewnia bezpieczenstwo dla Twojego loginu i hasla - tak samo jak w przypadku poczty e-mail, dostepu do ulubionego forum czy do serwisu z tresciami xxx. Uzycie SSL w dalszej czesci ma za zadanie jedynie zapewnienie poufnosci przesylanych przez Ciebie danych.

Jesli chodzi o podmiane w locie ... to zapewniam Cie, ze jesli nie odbywala sie za pomoca SSL, czyli nie bylaby szyfrowana to podmiana jest banalna Oczywiscie trzeba sie do tego przygotowac, odpowiednie 'wbicie sie' w droge pakietow oraz oprogramowanie, ktore wychwyci interesujaca nas fraze z numerem konta i podmieni na wlasne. Przy jawnej transmisji jest to oczywiscie mozliwe, choc malo prawdopodobne.

Inaczej ma sie tu kwestia wszelkiego rodzaju trojanow zainstalowanych na komputerach, z ktorych uzyskujemy dostep do kont bankowych. Trojan, dzialajac w tle ma dostep do wszystkiego - kwestia tego jak i po co zostal napisany. Moze zapisywac informacje, ktore wprowadzamy z klawiatury co pozwoli pozniej wyluskac pary kluczy: adres strony, login i haslo. Tu zastosowanie tokena w przypadku bankow ma sens, jednorazowy klucz aby dostac sie do konta ... przyznam szczerze, ze w zyciu nie skorzystalbym z oferty banku, ktory wymaga uzycia tokena przy logowaniu. Z tego powodu nie uzywam tez paneli u operaotorw komorkowych, bo wymaga to czekania na sms i jego przepisywania.

Moim zdaniem wystarczajacym zabezpieczeniem jest samo potwierdzanie wykonywania zlecenia: czy to w banku czy u operatora komorkowego. Co komus z tego, ze zobaczy ile mam $$ na koncie jesli nic z tym nie zrobi? Wiec po co upierdliwa tokenizacja przy logowaniu? Ale to tylko moje zdanie.

Z kodami sms jest jeszcze dosc istotny problem, wlasciwie kilka problemow z powodu ktorych nie zdecydowalem sie na taka opcje w mBank. Najwazniejszy jest taki, ze jestesmy uzaleznieni od zasiegu sieci komorkowej, zdarza mi sie spedzac czas w centrach danych czy pomieszczeniach podziemnych, w ktorych mozna zapomniec o dzialaniu komorek. Kolejny jest taki, ze smsy lubia przychodzic z mniejszym lub wiekszym opoznieniem - w przypadku Ery zdarzylo mi sie uzyskac token do ich panelu po kilku godzinach. Nastepna upierdliwosc to, ze nie mozna wylaczyc sobie telefonu dla swietego spokoju i korzystac z banku w tym czasie.

Najwazniejsza jednak w tym wszystkim jest jednak rozwaga. Wchodzimy do bankow TYLKO PO SSL, wchodzimy do nich TYLKO PRZEZ WLASNY SKROT W ULUBIONYCH/LINK NA STRONIE BANKU/UWAZNIE WPISANY RECZNIE ADRES i NIGDY NIE DAJEMY SIE NABRAC NA E-MAILE proszace o jakas autoryzacje etc.

I wiem, ze banki o tym pisza ... co z tego? Co chwilka kolejny klient daje sie wpuscic w maliny.

[arturro]

[arekp]

[JCH]

[arekp]

[turek61]

[Lothar]

[arekp]

Multiklient ktorego uzywam, czyli konnekt pozwala na wymiane kluczy PGP/GPG i prowadzic zaszyfrowane rozmowy nawet poprzez siec GG jesli kogos to interesuje

To tez jest jeden ze sposobow na zabezpieczenie prywatnosci wlasnej korespondencji.