[Sults]

[Tanel]

[Sults]

[Tanel]

See on sulaselge spekulatsioon ju
Miks peaks pank sellist asja tegema?

[Sults]

Ma ei saa üldse aru, miks sina, Tanel, sõdid selle nimel, et ID-kaardi ohud kasutajate eest varjul oleksid?
Minu arvates peaks ID-kaardi propageerimisel käima käsikäes ID-kaardi positiivsete külgede tutvustus ja ka ID-kaardi kasutamise ohtude tutvustus. Praegu üritatakse promo korras joonistada võrdusmärki ID-kaardi ja turvalisuse vahele. See on aga jaanalinnu kombel pea liiva alla peitmine.

[Tanel]

No sellist asja ei usu mina eales, et Eesti/Rootsi pangad hakkava tegelema ilmselge kuritegevusega, ehk siis lisama maksekorraldusse nähtamatuid laenulepinguid - täiesti naeruväärne ja absurdne spekulatsioon.
Sellest ei saa jälle mina aru, mis on sinu teinud nii umbusaldavaks kõige suhtes. Või kuidas saab sulle üldse selline mõte pähe tulla, et tänapäeva avatud ühiskonnas selline asi üldse võimalik saaks olla?
Võrdle välispankade internetipankade turvalisust Eesti omadega - väidan, et Eesti internetipankade turvalisus (ID-kaardiga, Mobiil-ID-ga autentimine) on tunduvalt eespool paljude välismaiste pankade omast.
Olen kuulnud hirmulugusid, kuidas mõnedes välismaa internetipankades kasutatakse lihtlabaseid koode autentimiseks, mõnede autentimislehed pole turvatud jne jne.
Vot seal peitub tõsine risk

Ohtude suhtes olen ma täiesti teadlik, kuniks hoiad oma arvuti saastvarast puhta ja ei kaota/jäta ID-kaarti/PIN-kalkulaatorit igale poole, pole ka ohtu.
Niipalju ma usaldan Eesti riiki ja pankasid.

[connor]

Tavainimesele jääb seega paroolikaart ikkagi mugavaimaks variandiks.
ID kaardiga tuleb meeles pidada 3 numbrit ja üks parool ja lisaks kanda kaasas plastikjubinat.
Paroolikaardiga tuleb meeles pidada 1 number ja üks parool ja lisaks kanda kaasas plastikjubinat.
Pin-kalkulaatoriga tuleb meeles pidada 1 number ja kanda kaasas paksu pin kalkulaatorit (mis ei mahu tavarahakotti).
10k limiiti ületatakse tavaarveldustes ikka päris harva selle jaoks kontorisse kõndimine ei ole vähemalt minu jaoks probleemiks.

Sultsi poolt väljatoodud väide et tegelt ma ju ei tea millele allkirja annan on ainult rosinaks koogi peal...

[Sults]

[Tanel]

[Tanel]

[Sults]

[Tanel]

Teadmata tõepoolest üksikasju, on need ikkagi täiesti erinevad case'id.
Mida annab pangale see, kui terve panga IT-osakond peaks illegaalselt koodi muutma?
Loomulikult laseks panga nõukogu terve panga juhatuse ja IT-osakonna lahti, ja pangaga seotud võimalikud lepingud on õigustühised, kuna pank ei saa endale lubada selliseid pettusi.
Sellised asjad tuleks tänapäeva avatud ühiskonnas kohe välja. Vaata kasvõi www.minut.ee, kuidas seal praktiliselt kõigest kahtlasest räägitakse.

[tungraud]

See on ju tõsine turvarisk, lisaks sellele, et arvutis olev uss saab teada pin1 saab teada ka pin2-he. Mingi väiksema rahasumma kadu on selle juures väike probleem, ükspäev selgub et on teadmata allkirjastatud mingi suurem sigadus kokku kellegi poolt! Parem kasutagu kahte kontot, üks päris konto ja teine käibekonto

[Tanel]

[Sults]

[Asgate]

[Sults]

[Tanel]

Kahtlastel saitidel mitte käia ja arvuti hoida puhas!
Ja seda "ID-kaart on sinu käes" ma mõtlesin otseses mõttes.
Kaart ei pea mitte kogu aeg lugejas olema.

[Sults]

[Tanel]

Esiteks, normaalse inimese arvutisse ei satu pahavara. Kui (konkreetset spetsiifilist) pahavara ei ole, siis ei ole ka alljärgnevat juttu.
Teiseks, sellisest pahavarast pole midagi kuulda olnud, kuna kui see oleks olemas, siis oleks ka esimesed juhtumid teada.
Kolmandaks, tegelikult huvi pärast võiksite loetleda üles võimalused, kuidas sellised teoreetiliselt ussi poolt allkirjastatud lepingud üldse õiguspädevad olla saaksid ja kelle/mille suhtes?
Palun ärge tooge näideteks panga laenulepinguid vms, kuna see eeldaks kokkuvõttes pangapoolset teadlikku koostööd petturlusel ja sellised laenulepingud kindlasti legaalsed ei saaks olla.
Maja/maamüük aga eeldab notariaalset kinnitust, ehk füüsilist kohaolekut allkirjastamisel.

[Sults]

[Tanel]

Sults, seda viimast ma tean väga hästi, et digiallkiri on samaväärne paberallkirjaga.
Ma pidasin silmas üldse selliseid dokumente per se, mis saaks olla võimalikud, mis võiksid olla pättidele kasulikud, kuid samas õiguspädevad?

[Sults]

[Tanel]

[Sults]

[Tanel]

Inimesi on erinevaid ja mitmeid tegureid võis olla, miks suhtlus oli häiritud või jättis negatiivse mulje.
Võib olla päring oli ebaselge, või see konkreetne inimene polnud kompetentne selles konkreetses valdkonnas või siis ei olnud võimalik täpsustavalt vastata vms. Igatahes ei anna see alust meelevaldsele üldistamisele kogu asutuse meeskonna kompetentsis.

Mul on ka olnud erinevaid negatiivseid kogemusi mõnede asutustega, see aga ei pane mind tegema üldistusi.

[Sults]

[Tanel]

[Sults]

[Tanel]

Ka HinnaVaatlus oli maikuus rünnatavate serverite nimekirjas, kui liiga eestimeelne keskkond.
Vähemalt olid venekeelsetes foorumites üleval üleskutsed ka HV ründamiseks.
Rünnakuteni õnneks meie teada ei jõutud, küll aga võtsime toona ühendust Elioniga ja vähemalt siis lubati kõik teha selleks, et liiklust jälgida ja vajadusel IP-sid blokeerida (enne meie tulemüürini jõudmist)

[jägaja]

Miski kummalise pealkirjaga uudis Hanza-neti poolt. Olles ise Uneti kasutaja, olen pidanud iga tehingu kinitamiseks kasutama PIN-2 koodi. Hansapangas piisas siis lihtsalt sisselogimisest ja edasi võis segamatult kontol tegutseda või? Haige wärk.

[Max Powers]

[Tanel]

Max Powers, PIN1 oli ühekordne autentimine sisenemisel, maksekorraldust ei pidanud eraldi PIN koodiga kinnitama.

[Max Powers]

Oli vist jah
Imelik, et nii valesti mäletasin.

Teemasse aga nii palju, et kogu maksete turvalisuse juures on naljakas, kui lihtne on inimeste pangakaartide PIN koode teada saada. Lisaks ka teha kaartidest tõmmiseid.

[libe]

mina kasutan edaspidigi maksete sooritamisel HanzaWAP portaali, kuna seal küsitakse mult määratud maksete sooritamiseks vaid sisselogimisel kasutajatunnust ja püsiparooli
palju see limiit on, ei tea, aga siiani on ta olnud kõige mugavam lahendus

[daddo]

[Sults]

[daddo]

[Sults]

[UB]

Ma ei ole sellega nõus, et kui ID vahenditega audendid, siis pead ikka mingit tobedat püsiparooli meeles pidama ning seda ka regulaarselt vahetama! Mida see turvalisusele juurde annab, sellest ma ei saa aru. Ise olen kogu aeg kahe parooli vahel vahetanud. Hea veel ei ei nõuta selist püsiparooli kus oleks vähemalt üks suur, üks väiketäht ja number ning parooli pikkus vähemalt 8 sümbolit

[libe]

samas isegi nõnda ettevaatlik ja paranoiline olla nagu sina seltsimees daddo oled, ei viitsiks enamus olla - eesotsas mina

mingite saitide külastamiseks eraldi live cd pealt masin üles bootida
tule taevas appi

korra sain endale viiruse, sellega maadelda ei viitsinud, ostsin viirusetõrje - ka windowsil on olemas tarkvara, mis paneb igasugu paharettide eest registri lukku ja kontrollib kogu seda jama mis brauseris sulle kuvatakse
nuhkvaraga ka probleeme pole - vähemalt mitte sellistega, mis mulle mingit prahti masinasse topivad ja spam kirju hakkavad saatma vms

[daddo]

[Tanel]

[daddo]

[Sults]

[libe]

[Tanel]

linux ja loll kasutaja ei lähe eriti kokku

[daddo]

[tahanteada]

Turvalisusest niipalju, et kui keegi kardab paaniliselt enda PIN-i registreerimist, siis selle kopeerimise vastu Linux ei aita. Aitab ainult arvutiväline "numeratsiooni lisaklaver". See, mida tavaklaveri peal vajutatakse, on fikseeritav ka näiteks juba DOS-i tasemel. Ning selline klaveri käskluste kopeerimise temaatika (probleem) on juba praktiliselt sama vana, kui on arvutiviirusedki.
Ehk siis analoogia tänapäevase PIN-kalkulaatori temaatikaga.

Mäletan väga hästi aega a 15 aastat tagasi, kus raamatupidamiste kursustel räägiti ohust, et klaveri koode on võimalik "salvestada". Ning siis räägiti, et kindlasti tuleb kasutada "parempoolset numeratriooni lisaosa, mitte põhiklaveril asuvat numeratsiooni".

[Sults]

Teema juurde tagasi tulles, kas keegi oskab öelda, kas siin on mingi seos ka hiljutiste viiruserünnetega Hansapanga kontodelt raha kantimiseks? Minule jääb mulje, et need 2 asja on otseselt seotud. Tundub, et raha võõrastelt kontodelt ära kandev viirus kasutas just sellist Hansapanga internetipanga disainibugi, et ID-kaardiga sisse logides piisas vaid esialgsest autentimisest. Edasi sai pahavara rahulikult raha ära kanda, sest kinnituseks enam koode ei küsitud.
Arvestades seda salatsemist, mis selle ründe osas valitseb, ja sellele järgnenud ID-kaardiga internetipanga kasutamise mudeli ümberdisainimist, oli disaini puudujäägist tingitud turvaauk justnimelt paljukiidetud ID-kaardiga autentimise osas.
Ja kui see on tõsi, siis rääkige veel, et ID-kaardi lahendusi ära kasutavaid viirusi pole olemas!