[Tanel]

link :: Postimees

Jõuline rünnak hanza.neti klientide vastu sundis Eesti panku kokku leppima uutes karmides turvameetmetes, mis sunnivad kümnetele tuhandetele netipankade kasutajatele peale ID-kaardi. Neli nädalat pärast massiivset rünnakut Hansapanga netiklientide vastu teatasid kõik pangad eile ühiselt, et maikuust alates ei saa koodikaartide kasutajad enam internetipangas liigutada päevas rohkem raha kui 5000 krooni. Seni oli ülempiir 10 000 krooni. Pangaliidu tegevjuht Katrin Talihärm märkis, et netipankade päevalimiiti otsustasid pangad vähendada turvalisuse pärast.

Turvakaalutlused

«Neid panku, kus on suuremad limiidid, rünnatakse agressiivsemalt,» ütles Talihärm. «Põhjus on lihtne: kui kurjategijal õnnestub niisuguses pangas kontole ligi pääseda, siis on võimalik kasu suurem. Limiite vähendame selleks, et muuta netipank kurjategijatele vähem atraktiivseks.» Talihärmi sõnul muutub netikuritegevus üha professionaalsemaks. Kurjategijad eelistavad keskenduda ühele pangale, nagu jaanuaris juhtus Hansapangaga. Samas kinnitas Talihärm, et äsjane pankade otsus pole otseselt põhjustatud Hansapanga juhtumist.

Päevalimiiti vähendasid pangad juba mullu mais. Siis seadsid nad ülempiiriks 10 000 krooni. Talihärmi sõnu hakkasid netipankade kliendid seepeale massiliselt ID-kaarte kasutama. Talihärm kinnitas, et pangad tahavad koodikaartide kasutamise lõpetada, aga lõplikku otsust tehtud ei ole.

Hansapanga IT-eriprojektide juht Tiit Pekk arvas, et selle aasta mais jõustuv 5000-kroonine päevalimiit mõjutab kümnete tuhandete Hansapanga klientide elu. Hansapangal on 780 000 netiklienti, neist 700 000 kasutab Peki hinnangul koodikaarte. Pekk märkis, et emapanga Swedbanki kliendid Rootsis lähevad netipanka enamasti PIN-kalkulaatori abil. See on seade, mis genereerib aina uusi turvakoode paralleelselt panga turvasüsteemidega. Koodikaartide probleem ongi selles, et kurjategijad kopeerivad nuhktarkvara abil koodid ja kuritarvitavad neid.

Hansapanga juhtum

Pekk lisas, et pangad ei aja taga omakasu ID-kaarte peale sundides. Vastupidi, universaalse ID-allkirja massiline kasutamine võiks kasu tuua kogu riigi majandusele, kinnitas ta. «Pangad tahavad jõulise sammuga näidata, et ohud on olemas ja inimesed, kel väheke suurem risk, peaksid muutma oma käitumist,» lausus Pekk.

Postimees kirjutas jaanuaris, et senitundmatu viirus Limbo aitas tühjendada ligi 600 Hansapanga netipanga kliendi arved. Pank eitas toona seda, väites, et troojalasena tuntud nuhktarkvara abil tegid kurjategijad kahju vaid kümnele kliendile. Eile soostus Hansapanga pressiesindaja Kristi Künnapas tunnistama, et kokku teadis pank ligi 600 troojalasega nakatunud kliendi arvutist, millest oleks võinud kontosid tühjendada. Kuidas Hansapank teadis, et inimeste arvutis on troojalane, ilma et kontode kallal oleks käidud, Künnapas ei täpsustanud.

Postimehe andmeil on sellekohase kriminaaluurimise toimikus seitse kannatanut, kelle arvelt troojalase abil raha varastati.
Lisaks teatas Hansapank, et ka koodikaartidest turvalisemaks peetud ID-kaardi abil pangatehinguid tegevad inimesed peavad hakkama oma tehinguid digiallkirjastama.

Netipank

• Pankadel on 1,5 miljonit netipanga klienti.

• Netipanka saab koodikaartide, ID-kaardi, mobiil-ID või PIN-kalkulaatori abil.

• Koodikaardid on kõige vargasõbralikumad.

• ID-kaardi kiipi pole häkkerid väidetavalt valmis murdma.

• ID-kaardi lugeja maksab ligi 100 krooni, ID-kaart 150 krooni.

Allikas: pangaliit, kodakondsus- ja migratsiooniamet

[ranel]

küsimus, kus id-kaardi koodile reseti saab teha

[Tanel]

PIN koodi enam ei mäleta?
Kui sul ilmselt PIN ja PUK koodidega paberit enam alles pole, siis ei jää muud üle kui toimida nende juhiste järgi:
http://www.pass.ee/index.php/pass/est/kui_sul_on_id_kaart/kui_koodid_kaovad

[386]

Needsamad pangad aitavad. Minule pakkus oma abi igatahes SEB.

[ranel]

[Clone^]

Mis kasu on 5000 kroonisest päevalimiidist kui netipangast on võimalik vaadata kliendi krediitkaardi andmeid ja nende abil uusi pettusi korda saata?

[degrass]

Kogu probleem seisneb selles, et koodikaardi ~36 erinevat koodi ei muutu ja pahalane saab hõlpsasti teatud aja jooksul enamus neist teada. Kuid sama on ka ID kaardiga. Mis juhtub siis, kui tädi Maali unustab oma ID kaardi mõneks ajaks lugejasse? 2 koodi on oluliselt lihtsam välja nuhkida, kui 36-te? Seega, kui suur on võimalus, et pahalane juhust kasutab ja ligipääsu pangakontole tekitab?
Saksamaal (Sparkasse) on näiteks ühekordne list numbritest ehk "Transaktions Nummern", mille pank sulle uue saadab, kui oled enamuse oma ~76 numbrist ära kasutanud. Mulle tundub selline lahendus oluliselt turvalisem, kui püsiv koodikaart või ID kaart. Väljaarvatud see, et nad saadavad sulle selle TAN nimekirja postiga koju

[Tanel]

Yeah, ühekordsed koodid

Pilt siis Sampo panga poolt antavatest koodidest.

[lehm2]

Ma ei mõista kuidas see ID kaart siis turvalisem on?

[Tanel]

ID-kaardiga autentimisel on vaja füüsilist kiipi, ID-kaarti aga kopeerida ei saa.
Kelmidel pole ilma ID-kaardita midagi peale hakata ja ka vastupidi, kelmid ei saa midagi teha ilma PIN koodideta.

[rex]

[Sults]

[connor]

Teisest küljest ka ühekordseid koode on vaja reaalselt omada et sisse logida kuna pealtkuulamine ei anna midagi. Lisaks on koheselt näha kui keegi on kontol käinud kuna sinu ja panga koodid on sünkroonist väljas. ID kaardi korral ei ole see nähtav.

Fakt on et kui ühekordsed koodid viia kasutajani turvaliselt on see sama turvaline kui ID kaart - mõlema häkkimiseks on vaja füüsilist juuresolekut. Ühekordsete koodide kergema kopeerimise aga tasakaalustab see et see on koheselt avastatav kui pahalane korragi kasutanud seda on.

[Tanel]

Sults, sina kordad ja siis kordan siis mina ka.
Seda igal pool räägitaksegi ju, et peab oma arvutit turvama (antiviirus, tulemüür) ja ei tohi kahtlastel saitidel käia jne.
Sellist pahavara pole veel olemas (ärme süsti inimestesse asjatut paanikat) ja selle võimalik eduka kasutamise tõenäosus tulevikus võib kõikide asjade kokkulangemisel (loll arvutikasutaja ja täiesti turvamata arvuti) olla sama tõenäoline kui komeedi langemine Oleviste kirikule.
Ja kui tõesti oma arvutit ei usalda, võiks siis teha investeeringu ja osta 700 EEK maksev PIN pad
http://www.trenet.ee/ID/?content=12

[connor]

Btw selline pinpad istub masina küljes hetkel ja pin'e ta enam ei loe (ehk IE'ga kasutada ei saa). Klaveriga koodi pannes (ehk FF kasutades) siiski töötab aga sama töö teeb ära ka 90 EEK lugeja....

[Sults]

[ojapoiss]

[Sults]

[SKG]

äkki peaks tegema Turvafoorumi alla iseseisva teema: "Eesti ID-kaardi turvalisus" (kui seda seal juba pole)

tundub päris huvitav olema...

[rex]

[sirius4k]

Minu poolest oleks võinud need koodikaardid juba ammu ära kaotada

Kasutan ID kaarti väga aktiivselt ja igasugused iganenud plast- ja paberlipakad, mis idee poolest võivad veel vajalikud olla, võtavad rahakotis ainult ruumi Ma ei mäletagi, millal viimati koodikaarti kasutasin

[SKG]

[Tanel]

Mõttetu teema ju seal, ID-kaardi turvalisusega pole seal midagi pistmist.

[RCC]

ei saa aru kuidas see koodikaart ansekjuur on, vedeleb teine siin naasama laual, kui oskaja tüüp on, käkib ta ära ka selle (low)id kaardi. turvalisus sõltub ikka sellest kes,kus ja kuidas asjadega ümber käib. olgu seal ajalehepaber või mida iganes

[Tanel]

[pacho]

Tegelikult on kõige turvalisem, kui pank kirjade järgi pakub on-line teenust, aga sisuliselt on lihtsam pangakontorisse minna.
Internetimakse protseduur on järgnev.
Lähed panka, avad arveldusarve. Sellega kaasnevad automaatselt on-line teenused.
Pank saadab sulle pangakaardi ja koodid, nii 5-10 pangapäeva jooksul. Kaardile on kirjutatud sinu personaalne kasutajatunnus. Minu pangas 10-kohaline number. Millegipärast on see turvalisem kui kasutaja poolt valitud kasutajatunnus. Koodid ja kaart saabusid sama postiljoniga üheaegselt. Küsisin kommentaari tuttavatelt, nii pidavatki siin kombeks olema.
Helistad panka ja aktiveerid on-line teenused. Selleks läheb vaja kaardil asuvat kasutajatunnust ja koodidega saabunud aktiveerimiskoodi. Klienditeenindaja küsib enne seda protseduuri enam-vähem kõiki andmeid, mille oled pangale andnud. Paha lugu kui pangatöötaja on arve avamisel näiteks ema neiupõlvenimes ühe tähe valesti sisestanud. Aktiveerimisprodseduuri käigus pead valima 6-kohalise PAN koodi ja helistad automatiseeritud telefonile kus toimub lõplik aktiveerimine.
Esmakordsel panka logimisel pead sisestama lisaks salasõna, mille maksimaalne pikkus võib olla 8-tähte. Internetipanka sisselogimiseks pead sisestama kasutajatunnuse, salasõna ja PAN koodist 3 suvaliselt valitud numbrit(protseduur mis toimub, igakordsel panks sisselogimisel).
Seejärel oled ühinenud infotehnoloogiliselt arenenud inimestega ja saad vabalt kasutada internetiteenuseid. Need on:
*Vaadata kui palju raha sul arvel on
*Tellida kontoväljavõte. See saadetakse koju postiga. PDF kujul pole võimalik.
Järgnevalt tahad eriti l33t olla ja ülekande sooritatada. Helistad telefonipanka, sealt küsitakse sinu telefoninumber ja helistatakse tagasi. Järgneb ülekuulamine, mida eelnevalt kirjeldasin. Selleks ajaks on pangakontoris käidud ja kirjaviga andmetes parandatud. Seejärel annad klienditeenidajale saaja konto detailid. Hea oleks kui saaja on anglo-saksi päritolu ja nimes ei leidu täppidega, ega ka muid imelikke tähti. Muidu möödub pool tundi õndas meeleolus seletades mis on "ö". Ja hoopsti nagu imeväel ilmub, 24 tunni jooksul, saaja konto sinu internetipanga loetellu, kus saad paari hiireklõpsuga sellele kontole ülekandeid teha.
Välismaale hetkel internetipangast ülekandeid teha ei saa. Säärast uuenduslikku teenust hakkab pank pakkuma selle aasta jooksul.



Siis on veel on-line maksuamet...

[vallo]

kus maal selline "tase" on?

[daddo]

[ojapoiss]

[rex]

Kas see Kanal2 kuu-paari tagune RD identiteedivarguse saade polnud ka mitte Inglismaal tehtud? Kus jäljendaja jäljendatava prügi varastamas käis ja endale lõpuks posti teel kõik dokumendid ilusti tellitud sai.

[ojapoiss]

[S.W.A.T.]

Vähemalt tundub, et nemad seal saavad oma postiteenust usaldada...

[Tanel]

[kännuämmelg]

Heakene küll, kuid kui id-kaart rikneb, peab kapa-kohila mees senikauaks online teenustest loobuma ning hakkama kümnete kilomeetrite kaugusel pangapõrandatesse jalajälgi kulutama?. Ja id-kaart oskab katki minna, samuti oskab ta ära kaduda, kehtetuks muutuda jne.
endal on enamik raha liiklust ülekannete teel (toidupood ja tankla siis ainsad kaardi/sularaha tarbijad) ja ausalt öeldes, ei kujuta ettegi, kui mingiks pooleks kuuks id-kaardituks jäädes peaksin pankades aega surnuks lööma

[rex]

Makseautomaat on veel üks variant. Ei tohi end heaoluühiskonna mugavustest nii sõltuvaks lasta muutuda, et nende ära kukkumisel nälg majas oleks.

[kännuämmelg]

[taavi]

[rex]

[kännuämmelg]

sedamoodi (inimelu on ainult linnades) mõtlevad ilmselt ka pangajuhid..
aga omal on näiteks plaan "kaheksat teha" (ehk siis urbaniseerumisele metsade vahele kolimisega vastu hakata) ja tõsine mure on, et elu maal ilma postkasti, auto, bussi, kaupluse ning naabriteta muutub kaunikesti raskeks, kui interneti (mis lisaks toidule, veele ja elektrile on esmavajadus) kaudu pole isegi võimalik oma vähest kopikut rullida

[jkddp]

aga kui keegi makseautomaadi ära varastab? eelnevalt sõrmisesse mingi lugeja pannes? teatakse kõiki koode ju või ei?

sai lõpuks ka nii kaugele end aetud, et id-kaardi asju ajama aetud...

[mikk36]

jkddp, noh, makseautomaate on jah niiviisi häkitud et kaardilugeja ette on eraldi õhuke kaardilugeja pandud ja siis üleval nurgas on kaamera, mis salvestab koodi

[Tanel]

[tiirP]

Samas võib ka juhtuda, et tõesti avastatakse vargus ID kaardi näol. Kuna enam alternatiive pole (koodikaardid), see ju siis lööks ajutiselt ka selili rohelise E-arveldamise, ehk halvaks mind korralikult.
Mustem stsenaarium vast isegi oleks, et vasturohuks tuleks olemasolevad kaardid väljavahetada, mis omakorda tekitaks jooksmist (Võrust ma parem ei räägigi).Töösipelgad, kes tegelevad töö tegemisega ja ei käi naaberfirma sekretäridega "lõunatamas" ja ei leia seda aega tihtipeale.
Siiski olen poolt, et alternatiivsed võimalused jääksid, nagu on sularaha väljavõtmine ja kaardimakse e. kui terminal ei tööta on võimalus sulas raha välja võtta.

E: Otsekorraldus jääb minupuhul välja, kuna majandan siiski ise oma rahadega vastavalt äranägemisele.

[jkddp]

ma olen kindel, et id-kaart mingi aeg murtakse ja leitakse järgmine turvalisem väljund. Tõde on see, et "vargad on võmmidest sammu võrra ees". Kes vastu vaielda tahab siis vaadaku ajalukku. Sõjad ja meditsiin - need on just uute ravimite ja vahendite leidmiseks peamine stiimul.

[tahanteada]

Mingites tänastes uudistes oli, et kusagil Lõuna-Eestis viidi Hansapanga rahaautomaat minema 8)

[Max Powers]

[wirx]

Mac-i kasutajatel on nüüdsest 5000 kroonine limiit ning ID kaardi abil ei saa ühtki makset teostada :s
http://www.emug.ee/foorum/viewtopic.php?id=6042&p=4
ID kaart on tunduvalt rohkem haavatav, kui see enamus ajast arvutis või kaardilugejas pesitseb ja ma pakun, et paljudel see ka nii on...pole raske keyogger arvutisse istutada ning hilem kaughaldusega ülekandeid teha.

[ojapoiss]

[wirx]

kui käid näiteks HV-s, maksuametis, interneti pankades ja tulevikus kindlasti ka paljudes teistes kohtades lisaks on jõle tüütu igakord seda kaarti sisestama hakata
ofcoors, kui kuus korra käia ja arveid maksta, siis ei hoiaks arvutis kaarti, aga antudhetkel on minu jaoks ID kaart töövahend ja igal võimalikul hetkel on see ka arvutiga ühendatud

[sirius4k]