praegune kellaaeg 05.07.2026 13:14:23
|
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 11:59:02
|
|
|
| Tanel kirjutas: |
And the paranoia is setting in...
| tsitaat: |
Hetkel siis minu hinnangul on internetipanga autoriseerimisevahendite järjestus turvalisuse (kliendi seisukohalt) kahanevas järjekorras selline:
1. Ühekordsed paroolilehed
2. PIN-kalkulaator
3. korduvkasutusega paroolikaardid
4. mobiil-ID
5. ID-kaart
|
Muud juttu ma isegi enam ei kommenteeriks, täpselt sama tõeväänamine ja faktidel mittepõhineva jutu korduv keerutamine.
Kui sa leiad ja tood reaalsed faktid, siis kuulaksin neid heameelega võiksin isegi sinu "klubiga" liituda 8)
Seniks aga "võiksid" ja "arvaksid" arvamusavaldused kategoriseeruvad kenasti "naised saunas rääkisid" kategooriasse 8)
| tsitaat: |
Sooviks nüüd ikkagi kuulda, kuidas on panga kliendil võimalik veenduda, et maksekorralduse digiallkirjastamisel panga loodud programmijupi abil allkirjastatakse ikka ja ainult seda maksekorraldust?
|
See on puhtalt riigi ja panga usaldamise küsimus. Nagu sa usaldad pangale oma raha kasutamiseks (pank võib ju pankrotti minna jne.).
Teoreetiliselt ja tehniliselt on see ilmselt üsna võimalik, aga kas sul on muid käegakatsutavaid fakte peale selle paranoilise tõdemuse, et su oponendid peavad tõestama et nad pole kaamlid?  |
Mis puutub panga kui äriühingu usaldamisesse (riigi usaldamine ei puutu siin absoluutselt asjasse!), siis võiks ID-ioodid endale selgeks teha, et oma raha pangale usaldamine toimub konkreetsete lepingute raames ja piiratud summade ulatuses. Seda riski saab kasutaja ise juhtida, valides panka ja otsustades selle summa üle, mida ta konkreetses pangas hoiab. Olemas on ka riigipoolsed garantiid juhuks, kui pank peaks hoiustajate rahadega tünga tegema ja pankrotti minema. Valgel paberilehel digiallkirjade pangale ulatamine võib ju olla usalduse küsimus, kuid turvalisusega pole sellel mingit pistmist. Selline tegevus on nimelt absoluutselt ebaturvaline! Sellise käitumise tagajärjed võivad olla väga tõsised, märksa tõsisemad, kui kontol olevast paarikümnest tuhandest kroonist ilma jäämine!
Millist käegakatsutavat fakti sa üldse küsid? Selle kohta, et kasutaja ei saa tuvastada, mida panga loodud programmijunn parajasti allkirjastab?
Mina väidan, et vähemalt 99% Eesti elanikest ei ole võimelised panga loodud ID-kaardiga maksekorralduste programmijunni tegevusest aru saama isegi siis, kui see jookseb debuggeril koodirea haaval ega suudaks isegi allkirjastamisel jooksvat koodi samm-sammult jälgides aru saada, kas digiallkirjastatakse maksekorraldust või oma kodu pandiks panemise lepingut. Millist tõestust sulle selleks vaja on?
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Tanel
HV Guru

liitunud: 01.10.2001
|
23.04.2009 11:59:26
|
|
|
Pada sõimab katelt, sellist paranoilist maailmalõpu kuulutamist (mis ei põhine faktidel) ma ka päris kindlasti ei salli siin foorumis.
Nagu ma juba sulle mainisin, too välja konkreetsed tõendid/faktid, mitte et mina ei pea tõestama, et ma pole kaamel
Praegune paranoiline süüdistus pankade suunas (et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma) on väga tõsine.
Kas sul on selle tõestuseks ka mõned faktid tuua või on tegemist laest võetud spekulatsiooniga?
Kordan, kui sa suudad seda mulle veenvalt tõestada, liitun sinu klubiga ning aitan tõde ka siin foorumis levitada
_________________ Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
7 :: |
362 |
|
| tagasi üles |
|
 |
SKG
HV Ihaldatuim Poissmees

liitunud: 27.01.2003
|
23.04.2009 12:02:33
|
|
|
Tanel, mis Sults-i jutus nii naeruväärset on? Ta ju tõi välja võimalikke musti stsenaariume, mis võivad ka ID-kaardi kasutamisel juhtuda.
|
|
| Kommentaarid: 373 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
3 :: |
313 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 12:07:01
|
|
|
| Tanel kirjutas: |
Pada sõimab katelt, sellist paranoilist maailmalõpu kuulutamist (mis ei põhine faktidel) ma ka päris kindlasti ei salli siin foorumis.
Nagu ma juba sulle mainisin, too välja konkreetsed tõendid/faktid, mitte et mina ei pea tõestama, et ma pole kaamel
Praegune paranoiline süüdistus pankade suunas (et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma) on väga tõsine.
Kas sul on selle tõestuseks ka mõned faktid tuua või on tegemist laest võetud spekulatsiooniga?
Kordan, kui sa suudad seda mulle veenvalt tõestada, liitun sinu klubiga ning aitan tõde ka siin foorumis levitada  |
Mina räägin, et selline asi on võimalik, mitte seda, et sellisne asi on juhtunud. Ma ei ole pangandusringkonnas insider ja minuni toimunud pettustest otseteavet ei jõua. Saan oma info vaid meedia vahendusel ja meedias ei ole tõesti veel (rõhutan, VEEL) ühestki sellisest juhtumist teada antud. Mina aga tahan juhtida tähelepanu, et selline võimalus ID-kaardi kuritarvitamiseks on pankadel olemas ja on vaid nende endi õiguskuulekuse ja moraali küsimus, kas nad seda mingil hetkel kasutavad või mitte. Pankade moraali ei hinda ma aga kuigi kõrgeks, klientide raha omastamise näiteid on tuua Eestiski (pensionifondid, muud fondid, jne. jne.), maailmamastaabis on aga juhtunud igasuguseid põnevaid juhtumeid.
viimati muutis Sults 23.04.2009 12:08:53, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Tanel
HV Guru

liitunud: 01.10.2001
|
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
7 :: |
362 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 12:09:42
|
|
|
| Tanel kirjutas: |
| Naeruväärseks teeb asja paranoiline süüdistus pankade suunas, et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma. |
Tanel!
Ohu võimalikkusele viitamine ei ole süüdistamine! Palun ära utreeri!
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Tanel
HV Guru

liitunud: 01.10.2001
|
23.04.2009 12:12:31
|
|
|
| tsitaat: |
Mina aga tahan juhtida tähelepanu, et selline võimalus ID-kaardi kuritarvitamiseks on pankadel olemas ja on vaid nende endi õiguskuulekuse ja moraali küsimus, kas nad seda mingil hetkel kasutavad või mitte.
|
ma polegi seda välistanud, vaid ma väidan, et tegemist on paranoiaga ja selle võimaluse sildistamine pankadele on väga tõsine süüdistus, mis sisuliselt võrdub usalduse kaotusega.
Eestis, kui demokraatlikus riigis oleks selline asi suhtkindlalt välistatud ja seepärast ma selle üle niiväga ei muretseks ning paanikat ei külvaks.
Sooviksin, et Hr. Sults oponeeriks mingis meediakanalis avalikult mõne vastava ametkonna/panganduse esindajaga ja arutletaks faktidepõhjaselt riskide ja võimaluste teemal .
_________________ Erakopeerimistasu tõstmise ettepaneku tagasilükkamine
Hinnavaatlus.ee - leia parim hind!
HV-s ID-kaardiga autentimine |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
7 :: |
362 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 12:58:13
|
|
|
| Tanel kirjutas: |
| tsitaat: |
Mina aga tahan juhtida tähelepanu, et selline võimalus ID-kaardi kuritarvitamiseks on pankadel olemas ja on vaid nende endi õiguskuulekuse ja moraali küsimus, kas nad seda mingil hetkel kasutavad või mitte.
|
ma polegi seda välistanud, vaid ma väidan, et tegemist on paranoiaga ja selle võimaluse sildistamine pankadele on väga tõsine süüdistus, mis sisuliselt võrdub usalduse kaotusega.
Eestis, kui demokraatlikus riigis oleks selline asi suhtkindlalt välistatud ja seepärast ma selle üle niiväga ei muretseks ning paanikat ei külvaks.
Sooviksin, et Hr. Sults oponeeriks mingis meediakanalis avalikult mõne vastava ametkonna/panganduse esindajaga ja arutletaks faktidepõhjaselt riskide ja võimaluste teemal . |
Muide, paranoia on vaimuhaigus ja ma kahtlen, kas sa oled pädev vastavat diagnoosi panema.
Ingliskeelsest Wikipediast: "Paranoia is a thought process characterized by excessive anxiety or fear, often to the point of irrationality and delusion."
Ehk siis mõtteprotsess, mis põhjustab hirme kujutletavate (reaalsuses mitteeksisteerivate) ohtude ees. Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. Ma ei räägi siin sellest, et mingid rohelised mehikesed suudavad sõrmenipsuga ID-kaardi kloonida vms. Mingil põhjusel sa ju tühjal lehel paberile antud allkirja pangale ei usalda, või usaldad? Tegemist on ju ikka sama panga ja samade panga töötajatega ning kuritarvitamise risk on praktiliselt ühesugune.
Mina väidan, et minu hinangud ID-kaardi ohtudele ei ole sugugi paranoilisemad, kui ID-kaardi nurgaadvogaatide hinnangud koodikaardi ohtudele.
Ma ei ole mingi nn "arvamusliider", kellesarnaseid meediakanalid heal meelel vahendavad, seega kardan, et isegi tahtmise korral ei pruugi traditsioonilises meedias sel teemal sõna saamine olla minu võimuses. Internetis, ehk uues meedias ma ju sel teemal sõna võtan ja vähemalt sina ei tohiks küll väita, et ma teen seda anonüümselt, sest minu tegelik isik peaks olema sulle teada või siis soovi korral hõlpsasti teada saadav. Oleksin ülimalt õnnelik, kui mõni pädev pangaonu või -tädi põhjendaks siin minu kirjeldatud ohtude naeruväärsust ja tegelikult mitteeksisteerimist. Aga ka selle pangaonu /-tädi siia meelitamine ei pruugi olla minu võimuses. Äkki sa, Tanel, pöördud mõne pädeva pangaametniku poole kes siis tuleks ja hajutaks oma sisukate põhjendustega minu (ja võibolla ka mõnede teiste) poolt maalitud ohte?
Minu jutu mõte on selles, et ei ole mingit alust väita, et ID-kaart oleks internetipangas turvalisem kui koodikaardid. Tõsi küll, ohud on mõneti erineva iseloomuga ja teatavaid ohte annab ID-kaardi abil mõningal määral vähendada. Kuid samas tekivad täiesti uued ohud ja mitmete ohtude realiseerumine jääb lihtsalt selle taha, et maailmas levinud pahavara ei ole siiani (rõhutan, SIIANI!) ID-kaardi rünnetele spetsialiseerunud ja spetsialiseerunud pahavara ei ole vist (rõhutan, VIST!) veel loodud.
Ohtude realiseerumise kohta veel niipalju, et minuni ei ole jõudnud ka infot selle kohta, et keegi oleks oma rahast ilma jäänud koodikaardi koodide märkamatul kuritarvitamisel pahareti poolt. Vähemalt on selliste juhtumite arv piisavalt marginaalne et sellisest põhjustatud kahjunumbrit meedias välja tuua. Olen vaid näinud naljakirju, kus palutakse saata oma koodikaardi koodid ja kasutajatunnused kas meili teel või sisestada kusagile veebilehele. See on aga ju täiesti anekdoot ja kui keegi on selle peale liimile läinud, ei ole kuidagi välistatud, et sama isik ei oleks liimile läinud ka siis, kui talle oleks tulnud samalt aadressilt kiri palvega saata oma ID-kaart ja pin koodid kaardil sertifikaatide uuendamiseks kusagile suvalisele aadressile.
viimati muutis Sults 23.04.2009 13:24:58, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
salasilm66
HV vaatleja
liitunud: 30.03.2009
|
23.04.2009 13:05:10
|
|
|
| tanel tundub raudselt mõne panga palgal või on see lähiajal plaanis. Seletage kasutusvõimalusi nt. välismaal käies, id kaarti kasutada ei saa, mobiil id samuti paljudes võrkudes kasutuskõlbmatu, jääb üle ainult kirvehinnaga pinkalkulaator
|
|
| tagasi üles |
|
 |
Tomorrow
HV Guru

liitunud: 08.02.2006
|
23.04.2009 13:12:44
|
|
|
| salasilm66 kirjutas: |
| tanel tundub raudselt mõne panga palgal või on see lähiajal plaanis. Seletage kasutusvõimalusi nt. välismaal käies, id kaarti kasutada ei saa, mobiil id samuti paljudes võrkudes kasutuskõlbmatu, jääb üle ainult kirvehinnaga pinkalkulaator |
A mina olen ruhnu karu palgal.Ta palkas mu eelseisva PR kampaania jaoks.Tasu saan meekärgedes
_________________ Win11 25H2 upgrade skriptid neile kelle masin ise ei taha 23H2 või 24H2 pealt ennast uuendada: https://foorum.hinnavaatlus.ee/viewtopic.php?p=11720738#11720738
Youtube lisa vene jama eemaldamiseks: https://foorum.hinnavaatlus.ee/viewtopic.php?p=11745846#11745846 |
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
82 |
|
| tagasi üles |
|
 |
tahanteada
Lõuapoolik

liitunud: 04.04.2003
|
23.04.2009 13:24:34
|
|
|
Sults: Aga alates sellest ajast, kui arvutid ja internet tekkis, on kogu aeg häkkerid rünnanud ja häkkinud igal ajal, igal pool ja kõike, kuhu võib üritada ligi pääseda.
Üsna värske vastav uudis Delfist: "Häkkerid pääsesid ligi Pentagoni kalleimale projektile."
http://www.delfi.ee/news/eesti/eesti_uudised/article.php?id=22947605
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
 |
Carl
HV kasutaja
liitunud: 16.11.2002
|
23.04.2009 13:26:15
|
|
|
Mind on sama asi vaevanud: kuidas ma saan teada, millele ma alla kirjutan weebikeskkonnas?
Kirjutasin ID supporti sellise maili:
Tere,
väga tore mäng ID kaardi promomiseks: http://www.arvutikaitse.ee/loos/
tekkis küsimus, et kuidas digiallkirja andmisel ma tegelikult saan näha,
mida ma allkirjastan ?
Vajutan weebis nupule, küsitake pin2 ja kõik. Samahästi võiksin oma hinge ju
maha müüa.
Ma loodan, et olen millestki väga valesti aru saanud ja tegelikult saab
allkirjastatavat asja kuidagi kontrollida. Kuidas ?
-------- vastus oli selline ------------
Tere
Teie tähelepanek on väga õige - enne allkirjastamist peab alati kindlasti allkirjastatava sisuga tutvuma. Ja seda on Teil ka antud juhul võimalik teha. Loosilehel, kus Teilt küsitakse telefoni ja emaili ja kus Teile pakutakse võimalust allkirjastada mängutingimused kas ID-kaardiga või Mobiil-ID-ga, on üleval rida "Mängutingimused leiad siit", kusjuures sõnale/lingile "siit" vajutades saategi kätte allkirjastatavad mängutingimused - failina reeglid.pdf.
Head ID-kaardi ja Mobiil-ID kasutamist!
Ahto Jaago
Ahto Jaago
AS Sertifitseerimiskeskus
Tarkvarainsener
mob: +372 581 60156
tel. +372 6101 883
e-mail: ahto.jaago@sk.ee
Siis uurisin, et kuidas ma ikkagi näen, et ma tegelikult kirjutan alla samale pdf failile, mida seal saidil näidatakse?
Vastus... emmm.. poolteist aastat kirjutavad nad seda vastust juba.. ootan huviga.
Kui mõni ID kunn seda loeb, siis ticket ID 2457
|
|
| Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
45 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 13:29:45
|
|
|
| tahanteada kirjutas: |
Sults: Aga alates sellest ajast, kui arvutid ja internet tekkis, on kogu aeg häkkerid rünnanud ja häkkinud igal ajal, igal pool ja kõike, kuhu võib üritada ligi pääseda.
Üsna värske vastav uudis Delfist: "Häkkerid pääsesid ligi Pentagoni kalleimale projektile."
http://www.delfi.ee/news/eesti/eesti_uudised/article.php?id=22947605 |
Seda minagi, häkkerid tegutsevad! Ja kuna ID-kaardil puudub tehnoloogiline eelis, mis välistaks ründed ID-kaarti kasutavate pangaklientide suhtes, siis jäävad häkkerite ründed ka siis edasi kestma, kui kõik pangakliendid kasutaksid ainult ID-kaarti. Või mida sa tahtsidki väita? Ma ei saanud hästi aru, kas see oli oponeeriv või toetav avaldus. Kas seal Pentagonis oli tegemist panga koodikaartide väljapüügi abil infosüsteemi sisse saamisega?
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Tomorrow
HV Guru

liitunud: 08.02.2006
|
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
82 |
|
| tagasi üles |
|
 |
tahanteada
Lõuapoolik

liitunud: 04.04.2003
|
23.04.2009 13:37:55
|
|
|
Sults: Selles suhtes Sind kindlasti toetav, et mida rohkem kõikvõimalikke IT (ID) lahendusi tekib, seda suuremaks muutub ka häkkerite huvi ligi pääseda mingisugusele süsteemile või informatsioonile. Ja pole ju vahet, kas see isikutuvastus ja ligipääs käib meil toimiva ID-kaardi või muus süsteemis toimiva mõne teistsuguse elektroonilise tuvastusega.
Uskuda võib, et Pentagonis suudeti kätte saada nii sõrmejälje kui silma iirise tuvastamise info ja siis toimus selle info kasutamine enda huvides. Ei usu, et vastasel korral neile infoserveritele oleks ligi pääsetud.
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 13:40:15
|
|
|
| tomorrow kirjutas: |
| Sults kirjutas: |
| Ma ei saanud hästi aru, kas see oli oponeeriv või toetav avaldus. |
Neutraalsest oled kuulnud?.Nagu Rootsi riik nt  |
Olen küll!
Ma lihtsalt kartsin, et ei suutnud kohe kommentaari mõttele täielikult pihta saada.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Max Powers
liitunud: 21.03.2003
|
23.04.2009 13:46:59
|
|
|
Eks see ole kaupmehe (antud juhul siis pangad) enda otsustada, kuidas nad selles osas käituvad. Samas see, et nad paljud otsused omavahel eelnevalt kokkulepivad on natuke kahtlane.
Võivad nad ju ka tasud jms laua taga omavahel paika panna.
Sama lugu oli ka otsusega mitte lubada alates 01.01.2009 ilma EMV toeta kaardimakse terminale Eestis. Loomulikult lõpetasid nad ammu enne seda kuupäeva EMV toeta kassasüsteemide sertifitseerimise.
Õnneks ei saa nad kuidagi keelata välismaiste pankade teenuste kasutamist kaardimaksete teostamiseks.
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
   |
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 13:51:52
|
|
|
| Carl kirjutas: |
Vastus... emmm.. poolteist aastat kirjutavad nad seda vastust juba.. ootan huviga.
Kui mõni ID kunn seda loeb, siis ticket ID 2457 |
Tänan sind väga asjakohase ja ilmeka näite eest!
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
blas
Kreisi kasutaja

liitunud: 27.01.2002
|
23.04.2009 14:07:28
|
|
|
Häda oli selles, et kodanikud kasutavad e-teenuste tarbeks panga kaudu tuvastamist. E-deklaratsioonil oli lausa ID kaardi banner vist ees, mis tuli esmalt kinni panna.
Ja kogu teema käib tegelikult kasutusharjumuse juurutamise nimel-hakkad panka ID-kaardiga kasutama, hakkad muud ka. Ok, turvalahendused peavad ennetama mitte sabas sörkima
aga sellised kollijutud. Pigem on risk see, et keegi su kaardi tuuri paneb ja poes maksmas käib, kui et paroolikaardiga konto tühjaks teeb (püsiparooli ikka vaja ju). Kui nüüd seda blokkida väitega, et inimesed kannavad püsiparooli koodikaardile kirjutatuna kaasas siis selline inimene kannab oma pinne id kaardile kirjutatuna samuti.
Muide, kas digidoci installimisel antakse jätkuvalt teadet, et 10 allkirja kuus on tasuta ja rohkema eest peab plekkima ning kas kellelegi on rohkemate allkirjade eest arve tulnud:P
_________________ The truth is out there |
|
| Kommentaarid: 79 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
76 |
|
| tagasi üles |
|
 |
Gizmoz
Kreisi kasutaja

liitunud: 24.09.2005
|
23.04.2009 14:18:56
|
|
|
| blas kirjutas: |
Häda oli selles, et kodanikud kasutavad e-teenuste tarbeks panga kaudu tuvastamist. E-deklaratsioonil oli lausa ID kaardi banner vist ees, mis tuli esmalt kinni panna.
Ja kogu teema käib tegelikult kasutusharjumuse juurutamise nimel-hakkad panka ID-kaardiga kasutama, hakkad muud ka. Ok, turvalahendused peavad ennetama mitte sabas sörkima
aga sellised kollijutud. Pigem on risk see, et keegi su kaardi tuuri paneb ja poes maksmas käib, kui et paroolikaardiga konto tühjaks teeb (püsiparooli ikka vaja ju). Kui nüüd seda blokkida väitega, et inimesed kannavad püsiparooli koodikaardile kirjutatuna kaasas siis selline inimene kannab oma pinne id kaardile kirjutatuna samuti.
Muide, kas digidoci installimisel antakse jätkuvalt teadet, et 10 allkirja kuus on tasuta ja rohkema eest peab plekkima ning kas kellelegi on rohkemate allkirjade eest arve tulnud:P |
Imho , kasvatad võlga enese tuvastamise eest
Pole paha , küll sulle ükspäev see ID saadab korraliku arve
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
14 |
|
| tagasi üles |
|
 |
DigeBeni
HV Guru

liitunud: 06.11.2001
|
23.04.2009 16:03:07
|
|
|
Sults,
| tsitaat: |
| Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. |
... usud sa tõepoolest, et ükski pank julgeks võtta sellist riski ? Pangad kardavad sellist võimalust kordades rohkem, kui kõige paranoilisem klient oma kõige märjemates õudusunenägudes. Piisaks vähimast kahtlusest ja panga usaldusväärsus on üleöö kempsust alla lastud. Ükski pank ei saa endale lubada sellist usalduskriisi, isegi kõige lihtsama klendi tasandil. Sellised süüdistused on absurdi tipp ...
_________________
 |
|
| Kommentaarid: 198 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
5 :: |
163 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 16:37:48
|
|
|
| DigeBeni kirjutas: |
Sults,
| tsitaat: |
| Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. |
... usud sa tõepoolest, et ükski pank julgeks võtta sellist riski ? |
Jah, ma usun seda! Panga jaoks on risk praktiliselt olematu, sest ta saab valida, kelle puhul, milleks ja millises ulatuses ta sellist võimalust kuritarvitab.
Mina ei usu hetkekski, et pank (või õigemini mõni selle töötaja) jätaks pikemas perspektiivis sellise võimaluse kuritarvitamata. Seda, et pangale on oma nahk ja kasum kõige lähemal, tasub meenutada kasvõi SEB likviidsusfondi likviidsuse likvideerimise näitel (vt ka selles blogis toodud riskide ja tulude jagamise maatriksit, mis iseloomustab hästi pankade suhtumist klienti).
viimati muutis Sults 23.04.2009 17:28:08, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 17:10:14
|
|
|
Sults, kas sa oled täpsemalt tuvunud sertifikaatide ja smart cardide tehnilise poolega? Oskad sa täpsemalt rääkida pahalste rünnetest ID kaardi vastu? Mina ei tea, et oleks võimalik kuidagi privaatvõtit smart cardi pealt kätte saada. Võibolla tead sa midagi rohkem, mil juhul sa võiksid seda täpsustada.
Väheke kirjandust ka:
http://en.wikipedia.org/wiki/Keystroke_logging#Smart_cards
Ühesõnaga PIN koodi võivad nad sul kätte saada küll aga kui keegi pärast PIN koodi kättesaamist ei tule sul hambaid sisse lööma ja ID kaarti ära varastama peaksid suht kaitstud olema igasuguste väärkasutamiste vastu.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 17:22:48
|
|
|
| someOtherDude kirjutas: |
Sults, kas sa oled täpsemalt tuvunud sertifikaatide ja smart cardide tehnilise poolega? Oskad sa täpsemalt rääkida pahalste rünnetest ID kaardi vastu? Mina ei tea, et oleks võimalik kuidagi privaatvõtit smart cardi pealt kätte saada. Võibolla tead sa midagi rohkem, mil juhul sa võiksid seda täpsustada.
Väheke kirjandust ka:
http://en.wikipedia.org/wiki/Keystroke_logging#Smart_cards
Ühesõnaga PIN koodi võivad nad sul kätte saada küll aga kui keegi pärast PIN koodi kättesaamist ei tule sul hambaid sisse lööma ja ID kaarti ära varastama peaksid suht kaitstud olema igasuguste väärkasutamiste vastu. |
Jah, ma olen tutvunud ID-kaardi tehnoloogiaga ning tunnen ka sertifikaatidel põhineva autentimise teooriat.
Ma ei ole siin küll rääkinud konkreetsetest rünnetest ID-kaardi vastu, kuid küllap ka see võib võimalikuks osutuda. Siiski arvan, et privaatvõtme kangutamist ID-kaardi seest ei lähe vaja mitte ühegi minu poolt eelpool kirjeldatud kuritarvitamise viisi juures, mistõttu ma ei pea vajalikuks privaatvõtmete välja lugemise võimaluse üle diskuteerida.
Küsimus on rohkem selles, et kasutaja enda poolt vabatahtlikult sisestatud ID-kaarti on võimalik kasutada kas pahavara või siis näiteks panga rakenduse poolt millegi sellise allkirjastamiseks, millest kaardi omanik üldse teadlik pole. Läheb panka, hakkab oma arvates maksekorraldust allkirjastama, kuid pank laseb tal selle asemel allkirjastada hoopis midagi muud. Ja kaardi omanikul puudub võimalus kontrollida, mida ta reaalselt allkirjastab.
Sama kehtib ka pahavara kohta. Pistad kaardi vabatahtlikult lugejasse, pahavara tajub, et sisestati ID-kaart ja on võimeline kaardi seesoleku kestel tegema sellega suvalisi kaardi funktsioone kasutavaid toiminguid, kui kõigest ühe pangamakse käigus on see sama pahavara eelnevalt kinni püüdnud PIN1 ja PIN2. Kasutaja võiks teoreetiliselt midagi kahtlustada vaid juhul, kui ta peaks ranget arvestust ID-kaardiga antud allkirjade üle. Kui allkirju tuleb anda aga sageli, näiteks igale pangamaksele, siis ei ole selline asi reaalselt võimalik.
viimati muutis Sults 23.04.2009 17:39:50, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 17:41:16
|
|
|
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata.
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 17:43:51
|
|
|
| someOtherDude kirjutas: |
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata. Selliste rünnete vastu kus olemasolevat sessiooni rünnatakse arvutist endast minu teada kaitset pole. Võibolla sa tead paremini?
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication. |
Sessioon ei puutu üldse asjasse. Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas.
Pingerea koostasin arvestades oma hinnanguid riskide esinemise tõenäosusele ja riski võimalikule ulatusele. Loomulikult ei ole selle taga mingit teadustööd, vaid see põhineb rohkem autentimisviisi iseloomust tuleneval "kõhutundel". ID-kaardile ja mobiilID-le sai määravaks just see pangapoolse hõlpsa kuritarvitamise võimalus, mis on märksa ulatuslikumate võimalike tagajärgedega, kui tühine kontolt raha virutamine. Enamikul eestlastest on kontol oleva sularaha summa siiski väga tagasihoidlik, jäädes alla 100000 krooni.
viimati muutis Sults 23.04.2009 17:47:24, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
| Kommentaarid: 164 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
1 :: |
155 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 17:50:14
|
|
|
| maatriks kirjutas: |
Sults, kehv kõhutunne  |
Vastupidi, väga hea kõhutunne! Ega siis asjata ei jätnud sertifitseerimiskeskus vastamata küsimusele, kuidas saab ID-kaardiga veebi kaudu digiallkirjastamisel veenduda selles, et allkirjastatakse ikka seda õiget dokumenti. Sellist võimalust lihtsalt pole! Ja see on põhjus, mis määrab ID-kaardi ja mobiilID ebaturvalisuse (kliendi seisukohast). Panga jaoks aga on ID-kaart igati OK lahendus. Ega minulgi poleks midagi selle vastu, kui mul oleks enamiku Eesti elanike allkirjadega valgete paberilehtede pakk varnast võtta. Oleks näiteks hea kasvõi siinse vaidluse puhul midagi vaimukat sellele lehele printida ja siis näidata seda näiteks kui tunnistust, et minu siinsed oponendid on tegelikult minuga täiesti päri, kuid kaitsevad ID-kaarti avalikus foorumis üksnes seetõttu, et neile selle eest makstakse või kuna kardavad, et vastasel juhul foorumi administraator müüb nende lapsed inimsööjatele maha.
viimati muutis Sults 23.04.2009 18:19:49, muudetud 2 korda |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 17:53:59
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata. Selliste rünnete vastu kus olemasolevat sessiooni rünnatakse arvutist endast minu teada kaitset pole. Võibolla sa tead paremini?
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication. |
Sessioon ei puutu üldse asjasse. Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas.
Pingerea koostasin arvestades oma hinnanguid riskide esinemise tõenäosusele ja riski võimalikule ulatusele. Loomulikult ei ole selle taga mingit teadustööd, vaid see põhineb rohkem autentimisviisi iseloomust tuleneval "kõhutundel". ID-kaardile ja mobiilID-le sai määravaks just see pangapoolse hõlpsa kuritarvitamise võimalus, mis on märksa ulatuslikumate võimalike tagajärgedega, kui tühine kontolt raha virutamine. Enamikul eestlastest on kontol oleva sularaha summa siiski väga tagasihoidlik, jäädes alla 100000 krooni. |
No esiteks, nii kaua kui see pingerida sul baseerub kõhutundel mitte faktidel siis pole üldse mõtet sellest rääkida. Minu teada nendest autentimis viisidest on just nimelt kiipkaardiga autentimine kõige turvalisem. Ja ma ei saagi nüüd aru mis sulle kõige rohkem muret valmistab. Kas see paranoia, et pangad kuritarvitavad sinu andmeid ja hakkavad sulle mingeid suvalisi lepinguid pähe määrima või muretsed sa internetis levivate pahavarade pärast?
Selliste pahavarade vastu, mis oskavad sessiooni sees sul andmeid muuta on ka kaitse olemas. Kasuta sellist klaviatuuri millel on secure PIN entry olemas. On ka teisi tarkvarasid mis kaitsevad selliste rünnete vastu.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 18:19:03
|
|
|
| someOtherDude kirjutas: |
| Sults kirjutas: |
| someOtherDude kirjutas: |
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata. Selliste rünnete vastu kus olemasolevat sessiooni rünnatakse arvutist endast minu teada kaitset pole. Võibolla sa tead paremini?
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication. |
Sessioon ei puutu üldse asjasse. Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas.
Pingerea koostasin arvestades oma hinnanguid riskide esinemise tõenäosusele ja riski võimalikule ulatusele. Loomulikult ei ole selle taga mingit teadustööd, vaid see põhineb rohkem autentimisviisi iseloomust tuleneval "kõhutundel". ID-kaardile ja mobiilID-le sai määravaks just see pangapoolse hõlpsa kuritarvitamise võimalus, mis on märksa ulatuslikumate võimalike tagajärgedega, kui tühine kontolt raha virutamine. Enamikul eestlastest on kontol oleva sularaha summa siiski väga tagasihoidlik, jäädes alla 100000 krooni. |
No esiteks, nii kaua kui see pingerida sul baseerub kõhutundel mitte faktidel siis pole üldse mõtet sellest rääkida. Minu teada nendest autentimis viisidest on just nimelt kiipkaardiga autentimine kõige turvalisem. Ja ma ei saagi nüüd aru mis sulle kõige rohkem muret valmistab. Kas see paranoia, et pangad kuritarvitavad sinu andmeid ja hakkavad sulle mingeid suvalisi lepinguid pähe määrima või muretsed sa internetis levivate pahavarade pärast?
Selliste pahavarade vastu, mis oskavad sessiooni sees sul andmeid muuta on ka kaitse olemas. Kasuta sellist klaviatuuri millel on secure PIN entry olemas. On ka teisi tarkvarasid mis kaitsevad selliste rünnete vastu. |
See edetabel baseerub küll kõhutundel, kuid kõhutunne jällegi baseerub raudsetel faktidel.
Ega ID-kaardi nurgaadvogaadidki fakte esitama kipu. Neil on see pigem religiooniküsimus. Ja religiooniteemadel vaidlemine ei vii teadupoolest kuhugi. Ma tean, et mul pole mõtet nende nurgaadvogaatidega vaielda nende ümberveenmise eesmärgil. Mina teen seda kirjatööd üksnes sel eesmärgil, et panna mõnedki foorumi lugejad teema üle järele mõtlema ja mitte kaasa jooksma ID-kaardi nurgaadvogaatide sisutühjade loosungitega ID-kaardi turvalisuse kohta.
Mis puutub ID-kaardi turvalisusesse, siis see on oluliselt kõrgem juhul, kui kasutatakse ID-kaardi lugejat, millel on omal pinpad külge ehitatud. Paraku on ID-kaardi nurgaadvogaatide ID-kaardi turvalisuse haipimine alles nii primitiivsel tasemel, et üritatakse näidata selle tingimusteta ülimuslikkust, ega jõutagi tõsiselt võetavate argumentideni. Aga panga poolt allkirjastamisel hoopis muu dokumendi kasutamise vastu ei aita isegi pinpadiga kaardilugeja. Selle vastu (õigemini selliste juhtumite tuvastamisel) aitaks vaid see, kui kaardi kasutaja laeks kõik oma allkirjastatavad maksekorraldused alla ja kontrolliks nende allkirja. Paraku ei tegele sellise kontrolliga tõenäoliselt keegi või tegelevad vaid üksikud eriti ettevaatlikud isikud.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Carl
HV kasutaja
liitunud: 16.11.2002
|
23.04.2009 18:20:48
|
|
|
Kuna kasutasin just ühe töö automatiseerimiseks softi, mis hiirt-klaverit liigutas, siis tekkis siit idee.
Oletame, et keylogeriga on kätte saadud panga kasutajatunnus, pin1 ja pin2 varasemast ajast.
ID kaart on kasutajal arvutis (kas pidevalt või siis softi käivitamise triger on kaardi sisestamine).
Kliendi masinaks on suvaline windoosa koos toimiva ID rakendusega.
Soft laseb browseri käima, trükib panga aadressi, trükib kasutajatunnuse ning klikib "sisene ID kaardiga". Trükib PIN koodi. Sisestab maksekorralduse, trükib pin2 ja teeb ülekande ära. Sulgeb browseri.
Nett on enamikel suht kiire, võibolla kannatab selle nii ruttu ära teha, et kasutaja väga ei laksa lahtigi, mis toimumas on.
Kogu mu jutt on loomulikult tühi teooria. Esimesel võimalusel katsetan ära.
PS. kuskohast saab normaalse hinnaga oma keyboardiga idkaardi lugejaid? Hetkel tundub see kõige parema lahendusena.
|
|
| Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
45 |
|
| tagasi üles |
|
 |
xin Zeran
HV kasutaja
liitunud: 22.12.2002
|
23.04.2009 18:23:04
|
|
|
someOtherDude, ole nii tore ja loe ka eelnevad postitused läbi ja palun tee seda mõttega.
Sultsi poolt välja toodud argumendid on vägagi kehtivad ja teostatavad. Siia maani pole suutnud siit teemast välja lugeda pädevaid vastuargumente Sultsi poolt toodud teooriate kohta.
Kõik nõuavad tõestust. Tore, ma tahaksin ka neid näha, kuid MITTE KEEGI pole neid siia maani esitanud. Ükski pank ega organisatsioon pole avalikustanud numbreid ühe, teise või kolmanda turvameetmete rakendamiste kohta. Sults on samas enda seiskohti väga pädevalt ja veenvalt argumenteerinud, kus paljud teised ainult tühja lahmivad ja isiklikuks muutuvad.
|
|
| Kommentaarid: 12 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
12 |
|
| tagasi üles |
|
 |
Smith
HV veteran

liitunud: 25.08.2002
|
23.04.2009 18:23:17
|
|
|
| Carl kirjutas: |
| Kogu mu jutt on loomulikult tühi teooria. Esimesel võimalusel katsetan ära. |
Seda, et arvuti programmeeritav on, pole vaja enam tõestada.
_________________ Only the Central Computer knows the truth |
|
| Kommentaarid: 158 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
1 :: |
145 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 18:25:34
|
|
|
| Carl kirjutas: |
Kuna kasutasin just ühe töö automatiseerimiseks softi, mis hiirt-klaverit liigutas, siis tekkis siit idee.
Oletame, et keylogeriga on kätte saadud panga kasutajatunnus, pin1 ja pin2 varasemast ajast.
ID kaart on kasutajal arvutis (kas pidevalt või siis softi käivitamise triger on kaardi sisestamine).
Kliendi masinaks on suvaline windoosa koos toimiva ID rakendusega.
Soft laseb browseri käima, trükib panga aadressi, trükib kasutajatunnuse ning klikib "sisene ID kaardiga". Trükib PIN koodi. Sisestab maksekorralduse, trükib pin2 ja teeb ülekande ära. Sulgeb browseri.
Nett on enamikel suht kiire, võibolla kannatab selle nii ruttu ära teha, et kasutaja väga ei laksa lahtigi, mis toimumas on.
Kogu mu jutt on loomulikult tühi teooria. Esimesel võimalusel katsetan ära.
PS. kuskohast saab normaalse hinnaga oma keyboardiga idkaardi lugejaid? Hetkel tundub see kõige parema lahendusena. |
Seda saaks jah teha primitiivsel viisil inimesele mõeldud kasutajaliidesel inimese kombel info sisestamist programmi abil imiteerides, kuid arvutis saab vastava programmikoodi abil samu käsklusi anda ka ilma inimese jaoks mõeldud kasutajaliidest ekraanil näitamata.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
Carl
HV kasutaja
liitunud: 16.11.2002
|
23.04.2009 18:26:04
|
|
|
| Smith kirjutas: |
| Carl kirjutas: |
| Kogu mu jutt on loomulikult tühi teooria. Esimesel võimalusel katsetan ära. |
Seda, et arvuti programmeeritav on, pole vaja enam tõestada. |
Kui sa oleks teema läbi lugenud, siis poleks sa loodetavasti seda posti teinud.
| Sults kirjutas: |
Seda saaks jah teha primitiivsel viisil inimesele mõeldud kasutajaliidesel inimese kombel info sisestamist programmi abil imiteerides, kuid arvutis saab vastava programmikoodi abil samu käsklusi anda ka ilma inimese jaoks mõeldud kasutajaliidest ekraanil näitamata. |
Tegelikult üritasin ma oma poindiks teha seda, et selleks ei pea progemist tundma vaid et suvaline scriptkiddie saaks tegelikult sellega hakkama, kui mingisuguse ligipääsu arvutile suudab tekitada.
viimati muutis Carl 23.04.2009 18:31:06, muudetud 2 korda |
|
| Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
45 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 18:33:15
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
| Sults kirjutas: |
| someOtherDude kirjutas: |
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata. Selliste rünnete vastu kus olemasolevat sessiooni rünnatakse arvutist endast minu teada kaitset pole. Võibolla sa tead paremini?
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication. |
Sessioon ei puutu üldse asjasse. Oluline moment on see, et spetsiaalse oskusega pahavara saab ID-kaarti vabalt suvaliste dokumentide allkirjastamiseks kasutada, kuni see on lugejas.
Pingerea koostasin arvestades oma hinnanguid riskide esinemise tõenäosusele ja riski võimalikule ulatusele. Loomulikult ei ole selle taga mingit teadustööd, vaid see põhineb rohkem autentimisviisi iseloomust tuleneval "kõhutundel". ID-kaardile ja mobiilID-le sai määravaks just see pangapoolse hõlpsa kuritarvitamise võimalus, mis on märksa ulatuslikumate võimalike tagajärgedega, kui tühine kontolt raha virutamine. Enamikul eestlastest on kontol oleva sularaha summa siiski väga tagasihoidlik, jäädes alla 100000 krooni. |
No esiteks, nii kaua kui see pingerida sul baseerub kõhutundel mitte faktidel siis pole üldse mõtet sellest rääkida. Minu teada nendest autentimis viisidest on just nimelt kiipkaardiga autentimine kõige turvalisem. Ja ma ei saagi nüüd aru mis sulle kõige rohkem muret valmistab. Kas see paranoia, et pangad kuritarvitavad sinu andmeid ja hakkavad sulle mingeid suvalisi lepinguid pähe määrima või muretsed sa internetis levivate pahavarade pärast?
Selliste pahavarade vastu, mis oskavad sessiooni sees sul andmeid muuta on ka kaitse olemas. Kasuta sellist klaviatuuri millel on secure PIN entry olemas. On ka teisi tarkvarasid mis kaitsevad selliste rünnete vastu. |
See edetabel baseerub küll kõhutundel, kuid kõhutunne jällegi baseerub raudsetel faktidel.
Ega ID-kaardi nurgaadvogaadidki fakte esitama kipu. Neil on see pigem religiooniküsimus. Ja religiooniteemadel vaidlemine ei vii teadupoolest kuhugi. Ma tean, et mul pole mõtet nende nurgaadvogaatidega vaielda nende ümberveenmise eesmärgil. Mina teen seda kirjatööd üksnes sel eesmärgil, et panna mõnedki foorumi lugejad teema üle järele mõtlema ja mitte kaasa jooksma ID-kaardi nurgaadvogaatide sisutühjade loosungitega ID-kaardi turvalisuse kohta.
Mis puutub ID-kaardi turvalisusesse, siis see on oluliselt kõrgem juhul, kui kasutatakse ID-kaardi lugejat, millel on omal pinpad külge ehitatud. Paraku on ID-kaardi nurgaadvogaatide ID-kaardi turvalisuse haipimine alles nii primitiivsel tasemel, et üritatakse näidata selle tingimusteta ülimuslikkust, ega jõutagi tõsiselt võetavate argumentideni. Aga panga poolt allkirjastamisel hoopis muu dokumendi kasutamise vastu ei aita isegi pinpadiga kaardilugeja. Selle vastu (õigemini selliste juhtumite tuvastamisel) aitaks vaid see, kui kaardi kasutaja laeks kõik oma allkirjastatavad maksekorraldused alla ja kontrolliks nende allkirja. Paraku ei tegele sellise kontrolliga tõenäoliselt keegi või tegelevad vaid üksikud eriti ettevaatlikud isikud. |
Ma ikkagi näen suuremat ohtu pahalastes kes oskavad mööda minna 2factor autentimisest, kui selles et pank hakkab teadlikult kliente petma. Nagu keegi juba ütles, et pank sisuliselt ju müübki usaldust. Mis sa pakud palju peaks eelnevalt selliseid juhtumeid hakkama pinnale tulema, kus inimesed kaebavad lepingute üle millele nad pole allkirja andnud enne, kui asja ametlikult uurima? Ja miks peakski pank midagi erakliendilt välja petma hakkama. See on täielik nonsens jutt ausalt öeldes. Ja suured tehingud käivad nagunii notarite jne. asjadega. Selle kohapealt ma ei näe küll mingit riski. See on umbes samal tasemel jutt et riigi valitsus laseb kuskile joogivette psühhotroopseid aineid vms.
Ainuke risk, mis on reaalne on ikkagi see et liiguvad ringi pahalased mis teevad inimeste kontosid tühjaks. Miks peaks mingi tüüp tegema mingi proge mis allkirjastab niisama suvalisi dokumente kellegi nimega. Lihtsalt funi pärast?
Enivei ma ei saa ikkagi su poindist täpselt aru. Algul oli see, et smart cardid on vähem turvalised, kui muud praegused variandid, mis pole kindlasti nii. Siis oli see, et nende turvast pääsevad teatud pahalsed mööda, kui sessioon on püsti juba aga see toimib samamoodi nende teiste autentimis meetoditega. Seega see point on ka nagu mõttetu.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
electron
HV kasutaja
liitunud: 06.10.2004
|
23.04.2009 18:37:51
|
|
|
| someOtherDude kirjutas: |
Ainuke risk, mis on reaalne on ikkagi see et liiguvad ringi pahalased mis teevad inimeste kontosid tühjaks. Miks peaks mingi tüüp tegema mingi proge mis allkirjastab niisama suvalisi dokumente kellegi nimega. Lihtsalt funi pärast?
|
Paljud peavad siin Sultsi paranoiliseks... OK, võibolla tõesti ei SEB, Swedbank või mingi muu suur pank sellist asja endale lubada ei saa. Aga näiteks teevad mingid kandid järjekordse kiirlaenu kontori. Reklaamivad ennast kui et kiirlaen otse arvutist, võtad seda ja kasutad ID-kaarti ja toksid nii PIN-1 kui ka PIN-2 sinna sisse. Tegelikult annad aga allkirja maja müümiseks ja oledki maja maha müünud mingi 10 000 krooniga. ütleme, et pool aastat või aasta korjab niimoodi "ettevõte" allkirju majanduslikult raskustesse sattunud inimestelt ja siis paneb oma kontori kinni ja viskab kõik allkirja andnud inimesed SEADUSLIKULT tänavale.
Kas tänapäeva Eestis on selline mõtlemine paranoia?
_________________ Tuleb lihtsalt täiega panna!!! |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 19:12:14
|
|
|
| xin Zeran kirjutas: |
someOtherDude, ole nii tore ja loe ka eelnevad postitused läbi ja palun tee seda mõttega.
Sultsi poolt välja toodud argumendid on vägagi kehtivad ja teostatavad. Siia maani pole suutnud siit teemast välja lugeda pädevaid vastuargumente Sultsi poolt toodud teooriate kohta.
Kõik nõuavad tõestust. Tore, ma tahaksin ka neid näha, kuid MITTE KEEGI pole neid siia maani esitanud. Ükski pank ega organisatsioon pole avalikustanud numbreid ühe, teise või kolmanda turvameetmete rakendamiste kohta. Sults on samas enda seiskohti väga pädevalt ja veenvalt argumenteerinud, kus paljud teised ainult tühja lahmivad ja isiklikuks muutuvad. |
Too siis palun need argumendid välja, mis sinuarust nii paikapanevad olid. Sest ma lugesin kõik ta postid läbi ja leidnud küll midagi asjalikku. Tõsi ID-kaart ei ole hõbekuul pettuste vastu. Seda saab murda ja on olemas pahalased, mida ei peata 2factor autentimine. Aga selline väide et ID-kaart on muudest autentimisviisidest kõige nõrgem on küll vale. Kui sul on arvutis see konkreetne pahalane (otsi googlest näiteks Trojan.Silentbanker), mis oskab ennast sessiooni sisse peita ja muuta seal andmeid siis ei aita sind ka PIN kalkulaatorid ega ühekordsed paroolilehed, kuna muudatused tehakse käimatõmmatud sessiooni sees. Fakt on see, et kiipkaardiga autentimine on nendest hetkel kõige turvalisem kuna sul on vaja füüsiliselt kiipkaarti ja PIN koodi, et midagi korda saata. See väide, et pangad hakkavad digitaalallkirjastamisega mingit kelmust korda saatma on ausaltöeldes mõttetu.
Kas see pangas allkirjastamise teema pole mitte sama, et kuidas ma tean kui ma kannan mingile kontole 100 eeku üle, et see ikka on 100 eeku ja see läheb ikka sinna kontole. Pank saab ju vabalt tagataustal vormi sisu muuta kui tahab. Mis see point on?
_________________ ebastabiilne
viimati muutis someOtherDude 23.04.2009 19:21:08, muudetud 2 korda |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
tahanteada
Lõuapoolik

liitunud: 04.04.2003
|
23.04.2009 19:14:21
|
|
|
| Tegelikult polegi küsimus selles, et kas muugitakse ja häkitakse. Küsimus on selles, et kas lubatakse või keelatakse vastava informatsiooni avaldamist või mitte. Ja nii on see kogu aeg läbi ajaloo olnud. Kui vanasti mindi raudkangiga panga keldris oleva rahaseifi kallale, siis nüüd tehakse sedasama moodsa "Interneti-IT-kangi" kaasabil. Muud vahet polegi 8)
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 19:27:42
|
|
|
Ma siin oma eelneva kõhutunde jutu asemel pakun välja natuke "teaduslikuma" riskimaatriksi, millel minu pakutud autentimisviiside järjestus põhineb. (Selgituseks: mida rohelisem, seda parem näitaja, mida punasem, seda halvem). Loodan, et on loetav.
Spoiler 
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 19:38:42
|
|
|
| Sults kirjutas: |
Ma siin oma eelneva kõhutunde jutu asemel pakun välja natuke "teaduslikuma" riskimaatriksi, millel minu pakutud autentimisviiside järjestus põhineb. (Selgituseks: mida rohelisem, seda parem näitaja, mida punasem, seda halvem). Loodan, et on loetav.
Spoiler 
|
Vaata asja mõte on ikkagi viidata mingitele allikatele või uurimustele, mitte oma arvamusi avaldada pildi vormis. Ilma nn. teadustööta on see riskimaatriks ikkagi sinu isiklik arvamus ja seda tulekski nii käsitleda.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 19:41:14
|
|
|
| someOtherDude kirjutas: |
| Sults kirjutas: |
Ma siin oma eelneva kõhutunde jutu asemel pakun välja natuke "teaduslikuma" riskimaatriksi, millel minu pakutud autentimisviiside järjestus põhineb. (Selgituseks: mida rohelisem, seda parem näitaja, mida punasem, seda halvem). Loodan, et on loetav.
Spoiler 
|
Vaata asja mõte on ikkagi viidata mingitele allikatele või uurimustele, mitte oma arvamusi avaldada pildi vormis. Ilma nn. teadustööta on see riskimaatriks ikkagi sinu isiklik arvamus ja seda tulekski nii käsitleda. |
Aga just oma isikliku arvamusena ma seda ju kohe algusest peale serveerinud olengi.
| tsitaat: |
| Hetkel siis minu hinnangul on internetipanga autoriseerimisevahendite järjestus turvalisuse (kliendi seisukohalt) kahanevas järjekorras selline: |
Kas sul on vastuväiteid mõnes maatriksi kastikeses kirjutatu paikapidavuse kohta?
Katsu oma kriitikas siiski konstruktiivsem olla, ei ole ju sinu väidetel ka teadustööd taha esitada olnud!
viimati muutis Sults 23.04.2009 19:41:38, muudetud 1 kord |
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 19:41:23
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
| Sults kirjutas: |
Ma siin oma eelneva kõhutunde jutu asemel pakun välja natuke "teaduslikuma" riskimaatriksi, millel minu pakutud autentimisviiside järjestus põhineb. (Selgituseks: mida rohelisem, seda parem näitaja, mida punasem, seda halvem). Loodan, et on loetav.
Spoiler 
|
Vaata asja mõte on ikkagi viidata mingitele allikatele või uurimustele, mitte oma arvamusi avaldada pildi vormis. Ilma nn. teadustööta on see riskimaatriks ikkagi sinu isiklik arvamus ja seda tulekski nii käsitleda. |
Aga just oma isikliku arvamusena ma seda ju kohe algusest peale serveerinud olengi.
| tsitaat: |
| Hetkel siis minu hinnangul on internetipanga autoriseerimisevahendite järjestus turvalisuse (kliendi seisukohalt) kahanevas järjekorras selline: |
|
See ei anna su argumentidele paraku mingit kaalu. Miks on sinu isiklik arvamus õigem kui kellegi oma kes ütleb et ID kaart on kõige turvalisem asi üldse. Kui teie mõlemi argumentidel puuduvad faktid mis neid argumente toetavad. Ühtemoodi mõttetud ja sisutühjad argumendid.
Kogu erinevus nende autentimismeetodite vahel su maatriksis tekib viimase 4 ruudu alt paremalt (MobiilID ja ID kaardi puhul). See tugineb eeldusele, et pank peaks mingil hetkel tahtma allkirjastada sinu allkirjaga mingit dokumenti. Kust tekib selline hirm, et pank peaks sellist asja tegema?
_________________ ebastabiilne
viimati muutis someOtherDude 23.04.2009 19:45:01, muudetud 1 kord |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 19:43:09
|
|
|
| someOtherDude kirjutas: |
| Sults kirjutas: |
| someOtherDude kirjutas: |
| Sults kirjutas: |
Ma siin oma eelneva kõhutunde jutu asemel pakun välja natuke "teaduslikuma" riskimaatriksi, millel minu pakutud autentimisviiside järjestus põhineb. (Selgituseks: mida rohelisem, seda parem näitaja, mida punasem, seda halvem). Loodan, et on loetav.
Spoiler 
|
Vaata asja mõte on ikkagi viidata mingitele allikatele või uurimustele, mitte oma arvamusi avaldada pildi vormis. Ilma nn. teadustööta on see riskimaatriks ikkagi sinu isiklik arvamus ja seda tulekski nii käsitleda. |
Aga just oma isikliku arvamusena ma seda ju kohe algusest peale serveerinud olengi.
| tsitaat: |
| Hetkel siis minu hinnangul on internetipanga autoriseerimisevahendite järjestus turvalisuse (kliendi seisukohalt) kahanevas järjekorras selline: |
|
See ei anna su argumentidele paraku mingit kaalu. Miks on sinu isiklik arvamus õigem kui kellegi oma kes ütleb et ID kaart on kõige turvalisem asi üldse. Kui teie mõlemi argumentidel puuduvad faktid mis neid argumente toetavad. Ühtemoodi mõttetud ja sisutühjad argumendid. |
Mina vähemalt põhjendan, miks ma nii arvan. ID-kaardi turvalisuse advogaadid pole seda oma väidete puhul isegi vaevunud tegema. Nad vist peavad oma väiteid automaatselt aksioomiks.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 19:51:14
|
|
|
Vaata asi on sedasi. Ükski pahalane ei hakka sulle mingeid lepinguid väänama. Sest hiljem nad ei tule seda ju kohtusse vaidlustama eksole. Seega see krdi kohustuste väide põhineb ainult sellel alusel, et pangal on mingi huvi sind lepinguga tüssata. Kui sa seda kardad siis palun ära allkirjasta ID kaardiga dokumente. Aga sellest hirmust ei tulene ID-kaardi ebaturvalisus. Pank saab samamoodi paljude muude vahenditega sulle käkki keerata, kui tahab. Ometi sa ajad pangaga asju (ma eeldan), seega mingi usalduse on nad sinu silmis siis ära teeninud? Miks sa arvad et nad lambist mingeid lepinguid allkirjastama hakkavad.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 20:03:29
|
|
|
| someOtherDude kirjutas: |
| Vaata asi on sedasi. Ükski pahalane ei hakka sulle mingeid lepinguid väänama. Sest hiljem nad ei tule seda ju kohtusse vaidlustama eksole. Seega see krdi kohustuste väide põhineb ainult sellel alusel, et pangal on mingi huvi sind lepinguga tüssata. Kui sa seda kardad siis palun ära allkirjasta ID kaardiga dokumente. Aga sellest hirmust ei tulene ID-kaardi ebaturvalisus. Pank saab samamoodi paljude muude vahenditega sulle käkki keerata, kui tahab. Ometi sa ajad pangaga asju (ma eeldan), seega mingi usalduse on nad sinu silmis siis ära teeninud? Miks sa arvad et nad lambist mingeid lepinguid allkirjastama hakkavad. |
Miks mitte? Lepingud võivad olla sellise tekstiga, et ei ole võimalik kuidagi kahtlustada, et üks osapool ei ole sellist lepingut sõlminud. Ma tean küll ja küll firmasid, kes oma kujutletavate õiguste nõudmiseks on kohtus käinud. Kui tekib sobiv võimalus libalepingute ID-kaardi abil juriidiliselt korrektseks muutmiseks, on see vaid vesi selliste veskile. Kuidas sa kohtus vaidlustad omaenda digiallkirja, maailmas "kõige turvalisema allkirja"?
Ja ka pangad pole mingid lambukesed. Vt kasvõi seda eespool viidatud likviidsusfondi teemat. Või vaata oma pensionisamba seisu.
ID-kaardi internetipangas kasutamise ebaturvalisus tuleneb suuresti just sellest, et kasutaja ei saa kontrollida, mida ta allkirjastab.
Minu jaoks ei oma pank karvavõrdki rohkem usaldust kui suvaline teine äriettevõte. Kasutan nende teenuseid ainult vajaduse tõttu, nii, nagu vajan vahel autohoolduse teenust või juuksuriteenust. Ja rõhutan, et digiallkirjastad ikka sina ise! Pank vaid saab esitada maksekorralduse asemel allkirjastamiseks midagi muud ja sina lihtsalt seda ei tea, millele sa allkirja paned (kontrollivõimalus puudub).
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 20:06:48
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
| Vaata asi on sedasi. Ükski pahalane ei hakka sulle mingeid lepinguid väänama. Sest hiljem nad ei tule seda ju kohtusse vaidlustama eksole. Seega see krdi kohustuste väide põhineb ainult sellel alusel, et pangal on mingi huvi sind lepinguga tüssata. Kui sa seda kardad siis palun ära allkirjasta ID kaardiga dokumente. Aga sellest hirmust ei tulene ID-kaardi ebaturvalisus. Pank saab samamoodi paljude muude vahenditega sulle käkki keerata, kui tahab. Ometi sa ajad pangaga asju (ma eeldan), seega mingi usalduse on nad sinu silmis siis ära teeninud? Miks sa arvad et nad lambist mingeid lepinguid allkirjastama hakkavad. |
Miks mitte? Lepingud võivad olla sellise tekstiga, et ei ole võimalik kuidagi kahtlustada, et üks osapool ei ole sellist lepingut sõlminud. Ma tean küll ja küll firmasid, kes oma kujutletavate õiguste nõudmiseks on kohtus käinud. Kui tekib sobiv võimalus libalepingute ID-kaardi abil juriidiliselt korrektseks muutmiseks, on see vaid vesi selliste veskile.
Ja ka pangad pole mingid lambukesed. Vt kasvõi seda eespool viidatud likviidsusfondi teemat. Või vaata oma pensionisamba seisu.
ID-kaardi internetipangas kasutamise ebaturvalisus tuleneb suuresti just sellest, et kasutaja ei saa kontrollida, mida ta allkirjastab.
Minu jaoks ei oma pank karvavõrdki rohkem usaldust kui suvaline teine äriettevõte. Kasutan nende teenuseid ainult vajaduse tõttu, nii, nagu vajan vahel autohoolduse teenust või juuksuriteenust. Ja rõhutan, et digiallkirjastad ikka sina ise! Pank vaid saab esitada maksekorralduse asemel allkirjastamiseks midagi muud ja sina lihtsalt seda ei tea, millele sa allkirja paned (kontrollivõimalus puudub). |
Vabandust ma ei saa täpselt pihta kuidas see likviidsusfondi jama sinu argumenti toetab. Tekkis probleem, pank üritas kinni mätsida, probleem sai suure kõlapinna kuna inimesed kaebasid, asi läks meediasse, kahjud hüvitati.
Kui pank hakkab metoodiliselt lepingute sisudega sedasi sahkerdama, miks sa arvad siis et ei teki samasugust kära meedias? Lisaks suuremad lepingud allkirjastatakse notari juures. Digiallkirjaga sa ju päris korterilaenu ei võta ja laenutingimusi ei muuda. Selle jaoks ju notarid on. Arvad et pank hakkab mingit mingeid sandikopikaid (panga jaoks) taga ajama riskides suurema jamaga, millega kaotab klientide usalduse. On see sinu arvates normaalne riski/kasu suhe panga jaoks? Miskipärast ma ei usu seda.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 20:19:57
|
|
|
| someOtherDude kirjutas: |
Vabandust ma ei saa täpselt pihta kuidas see likviidsusfondi jama sinu argumenti toetab. Tekkis probleem, pank üritas kinni mätsida, probleem sai suure kõlapinna kuna inimesed kaebasid, asi läks meediasse, kahjud hüvitati.
Kui pank hakkab metoodiliselt lepingute sisudega sedasi sahkerdama, miks sa arvad siis et ei teki samasugust kära meedias? Lisaks suuremad lepingud allkirjastatakse notari juures. Digiallkirjaga sa ju päris korterilaenu ei võta ja laenutingimusi ei muuda. Selle jaoks ju notarid on. Arvad et pank hakkab mingit mingeid sandikopikaid (panga jaoks) taga ajama riskides suurema jamaga, millega kaotab klientide usalduse. On see sinu arvates normaalne riski/kasu suhe panga jaoks? Miskipärast ma ei usu seda. |
Likviidsusfondi teema iseloomustab hästi seda, kuidas pank nahhaalselt üritab klientide usaldust kuritarvitada. Selle asemel, et katta tühised 13.5% kahjumit oma varasemate perioodide miljardistest kasumitest, sest lubatud sai riskivaba investeeringut, püüti ikka klientidele kotti pähe tõmmata. Kui klientide hulgas ei oleks olnud mõnd eriti tähtsat ja mõjukat isikut, olekski klientidele kott pähe tõmmatuks jäänudki. Tuletan sellega seoses meelde, et siseinfo põhjal müüsid "omad" vahetult enne osakute allahindamist oma osakud maha (nn. insaidertehing, mis on seadusega keelatud, kuid kas pank sellest hoolis?). Seda osa teistele klientidele koti pähe tõmbamisest ei ole minu teada tagasi pööratud.
Oskusliku ohvrite valiku ja osava social engineeringuga annab võimalikku kära ennetada. Likviidsusfondi puhul mindi lihtsalt hooletuks ja tehti asja lihtsalt liiga robustselt. Kui paljud on oma pensionisammaste põletamise tõttu kisa tõstnud ja pangateenustest loobunud? Põletatud on miljardeid, kuid kuulda on vaid kerget rahulolematust. Ei juhtu panga jaoks midagi hullu, kui samas mahus võetakse klientide vara selliste libalepingutega. Kordan, jutt on miljardistest mahtudest!
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 20:24:22
|
|
|
| Sults kirjutas: |
| someOtherDude kirjutas: |
Vabandust ma ei saa täpselt pihta kuidas see likviidsusfondi jama sinu argumenti toetab. Tekkis probleem, pank üritas kinni mätsida, probleem sai suure kõlapinna kuna inimesed kaebasid, asi läks meediasse, kahjud hüvitati.
Kui pank hakkab metoodiliselt lepingute sisudega sedasi sahkerdama, miks sa arvad siis et ei teki samasugust kära meedias? Lisaks suuremad lepingud allkirjastatakse notari juures. Digiallkirjaga sa ju päris korterilaenu ei võta ja laenutingimusi ei muuda. Selle jaoks ju notarid on. Arvad et pank hakkab mingit mingeid sandikopikaid (panga jaoks) taga ajama riskides suurema jamaga, millega kaotab klientide usalduse. On see sinu arvates normaalne riski/kasu suhe panga jaoks? Miskipärast ma ei usu seda. |
Likviidsusfondi teema iseloomustab hästi seda, kuidas pank nahhaalselt üritab klientide usaldust kuritarvitada. Selle asemel, et katta tühised 13.5% kahjumit oma varasemate perioodide miljardistest kasumitest, sest lubatud sai riskivaba investeeringut, püüti ikka klientidele kotti pähe tõmmata. Kui klientide hulgas ei oleks olnud mõnd eriti tähtsat ja mõjukat isikut, olekski klientidele kott pähe tõmmatuks jäänudki. Tuletan sellega seoses meelde, et siseinfo põhjal müüsid "omad" vahetult enne osakute allahindamist oma osakud maha (nn. insaidertehing, mis on seadusega keelatud, kuid kas pank sellest hoolis?). Seda osa teistele klientidele koti pähe tõmbamisest ei ole minu teada tagasi pööratud.
Oskusliku ohvrite valiku ja osava social engineeringuga annab võimalikku kära ennetada. Likviidsusfondi puhul mindi lihtsalt hooletuks ja tehti asja lihtsalt liiga robustselt. |
Sul vist insider info, et nii täpselt tead mida teha taheti. Kas me räägime nüüd SEB likviidsusfondi jamast või ID-kaardist? Sinu argument on siis, et ära kasuta ID kaarti kuna pank tõmbab sul igal võimalikul sammul naha üle kõrvade? Ja nüüd juba räägime pensionifondidest. Teema kaldub minu jaoks natuke liiga kõrvale ära. Kui sul midagi enamat lisada pole siis ma vist lahkuks siit teemast ja jääksime sõbralikult oma erinevate arvamuste juurde.
_________________ ebastabiilne |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
 |
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 20:32:21
|
|
|
| someOtherDude kirjutas: |
| Sults kirjutas: |
| someOtherDude kirjutas: |
Vabandust ma ei saa täpselt pihta kuidas see likviidsusfondi jama sinu argumenti toetab. Tekkis probleem, pank üritas kinni mätsida, probleem sai suure kõlapinna kuna inimesed kaebasid, asi läks meediasse, kahjud hüvitati.
Kui pank hakkab metoodiliselt lepingute sisudega sedasi sahkerdama, miks sa arvad siis et ei teki samasugust kära meedias? Lisaks suuremad lepingud allkirjastatakse notari juures. Digiallkirjaga sa ju päris korterilaenu ei võta ja laenutingimusi ei muuda. Selle jaoks ju notarid on. Arvad et pank hakkab mingit mingeid sandikopikaid (panga jaoks) taga ajama riskides suurema jamaga, millega kaotab klientide usalduse. On see sinu arvates normaalne riski/kasu suhe panga jaoks? Miskipärast ma ei usu seda. |
Likviidsusfondi teema iseloomustab hästi seda, kuidas pank nahhaalselt üritab klientide usaldust kuritarvitada. Selle asemel, et katta tühised 13.5% kahjumit oma varasemate perioodide miljardistest kasumitest, sest lubatud sai riskivaba investeeringut, püüti ikka klientidele kotti pähe tõmmata. Kui klientide hulgas ei oleks olnud mõnd eriti tähtsat ja mõjukat isikut, olekski klientidele kott pähe tõmmatuks jäänudki. Tuletan sellega seoses meelde, et siseinfo põhjal müüsid "omad" vahetult enne osakute allahindamist oma osakud maha (nn. insaidertehing, mis on seadusega keelatud, kuid kas pank sellest hoolis?). Seda osa teistele klientidele koti pähe tõmbamisest ei ole minu teada tagasi pööratud.
Oskusliku ohvrite valiku ja osava social engineeringuga annab võimalikku kära ennetada. Likviidsusfondi puhul mindi lihtsalt hooletuks ja tehti asja lihtsalt liiga robustselt. |
Sul vist insider info, et nii täpselt tead mida teha taheti. Kas me räägime nüüd SEB likviidsusfondi jamast või ID-kaardist? Sinu argument on siis, et ära kasuta ID kaarti kuna pank tõmbab sul igal võimalikul sammul naha üle kõrvade? Ja nüüd juba räägime pensionifondidest. Teema kaldub minu jaoks natuke liiga kõrvale ära. Kui sul midagi enamat lisada pole siis ma vist lahkuks siit teemast ja jääksime sõbralikult oma erinevate arvamuste juurde. |
Minu argument on, et internetipanga kasutamisel koodikaardi asendamine ID-kaardiga ei ole sugugi turvalisem vaid toob kaasa täiesti uued ja tõsised ohud. Pankade poolne surve ID-kaardi kasutamisele ainult annab minu jaoks sellistele kahtlustele kinnitust. Minu arvates oleks elementaarne, et kliendil oleks oma valik, milliseid autentimisviise ta eelistab ja millised on tema tehingulimiidid. Pangapoolne surve ID-kaardi kasutamiseks ja kliendi enda raha kasutamisele seatavad piirangud, ei jäta mingit kahtlust, et asja aetakse mitte kliendi vaid panga huvides.
|
|
| Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
35 |
|
| tagasi üles |
|
 |
|
| lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|