Kirjoittaja Aihe: Riski "roottina toimimisella" on osittain myytti?  (Luettu 19658 kertaa)

Fri13

  • Käyttäjä
  • Viestejä: 465
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #60 : 16.08.10 - klo:22.32 »
Kyseinen hyökkääjä siis poistaa ajasta riippuvaisen työpöydän lukituksen, mutta laittaa oman ohjelman käynnistymään, joka siis näyttää täsmälleen samalta kuin normaalikin työpöydän lukitus.

Heti kun krakkeri saa sudo tilin salasanan niin peli on menetetty. Nimittäi se aika-lukitus ei ole mitenkään esteenä kun krakkeri toimii jo etänä SSH kautta hyödyntäen kaikkia tietämiään paikallisia haavoittuvuuksia. Ensimmäiseksi krakkerit korvaa olemassa olevia järjestlemäsovelluksia joita käyttäjä käyttäisi etsimään epäilyttäviä prosesseja tai tiedostoja. Samalla piilotetaan krakkerin etäsovellukset että niitä ei löydä ja md5/sha1 sovellukset joilla krakkeri estää käyttäjää saamasta oikeita tietoja saastutetuista sovelluksista.

Nopeasti krakkeri on hoitanut koneen siihen kuntoon että se sudottaja kuvittelee vieläkin olevansa ihan turvassa. Krakkereiden scriptit ja muut nopeuttaa toimintoja että ubuntukin murtuu alle parin minuutin siihen kuntoon että uudelleen asennus on edessä ja varmuuskopioiden kaivaminen jostain todella pitkän ajan takaa kun lähiajan versioihin ei voi luottaa yhtään.

Järkevä käyttäjä aktivoi root tilin, vaihtaa sen tunnuksen rootista joksikin toiseksi ja sitten pistää sille tosi vahvan salasanan ja pitää oletuksen päällä että root ei voi kirjautua sisään etänä. Sen jälkeen roottina luo pari uutta käyttäjää joille antaa sudo oikeuksia. Sudo oikeuksia sitten "root" muuttaa siten että yksikään sudottaja ei voi käyttää kuin nimenomaan ennalta määrättyjä käskyjä ja tiedostoja. Eli yksi käyttäjä joka voi käynnistää/sammuttaa palveluja. Toinen käyttäjä joka voi asentaa ohjelmistoja. Kolmas käyttäjä joka voi käsitellä pakettihallinnan lähteitä. Neljäs käyttäjä joka voi lukea lokitiedostoja. Tavallisille viisaille käyttäjille oikeudet asentaa päivitykset mutta ei mitään muuta.

Sitten kun pitää konetta ylläpitää niin su komennolla vaihdetaan aina siksi käyttäjäksi jolla on tarvittavat sudo oikeudet tehtäviin. Jokaisen sudo käyttäjän bash asetuksiin lisätään timeout asetukset sekä sitten asetetaan asetustiedosto vain lukutilaan kyseisiltä henkilöiltä että ei varmana kukaan pysty niitä muuttamaan.

99% ylläpidosta menee vain päivityksien asentamiseen ja se 1% ajasta mitä tarvitaan meneekin sovelluksien asentamiseen ja täten selviää niillä kahdella salasanalla.

Ja jo tässä tapauksessa on turvallista pistää tiedot paperille vaikka näppäimistön alle kun kotona jos joku tulee niin tietoturva on pyöreä 0 kun on fyysinen pääsy koneelle. Yrityksissä ei mitään tietoja saa laittaa paperille koneen lähettyville!

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #61 : 17.08.10 - klo:09.44 »
Kyllä tietysti näin on kuin edellä kirjoitetaan, mutta haluaisin vielä täsmentää, että mistä missäkin turvallisuusriskissä puhutaan.

Pankkitunnuksia koneelta et saa - erityisesti et juuri Nordean tapauksessa - sellaista dataa ei voi onkia mitä ei ole olemassa. Maailmalta tulevat esimerkit turvariskeistä pohjautuvat oleellisesti huonompiin järjestelyihin kuin mitä täällä on totuttu. Sampo-pankin jutuista en tiedä  :P

Siinä mielessä (yleismerkityksessä) "admin" tunnuksilla pankkitunnuksia et voi onkia oli mikä hyvänsä.

Phishing tyyppisillä järjestelyillä voi tietysti tehdä mitä hyvänsä jos saat käyttäjän toimimaan todella hölmösti. Tämä on osoittautunut viime aikoina varsin toimivaksi petokseksi, ainakin maailmanlaajuisesti, ainakin uutisten mukaan (en tiedä tarkemmin).

Harhauttamalla väärille sivuille voit tietysti ohjata yksittäisen transaction jonnekin - mutta tämän tapahtuman riski on varsin rajallinen - jos nyt sitten et ole tottunut liikuttamaan suuria summia ihan rutiinina.

Jos "admin" tunnukset menettää, niin pelihän on AINA menetetty. Kyse on vain vastustajan mielikuvituksesta, että mitä tapahtuu.

Jos kone jää fyysisesti vartioimatta, niin peli on myös silloin menetetty. Kyse on aikaikkunasta ja vastustajan mielenkiinnosta, mitä tapahtuu. Esim. näin voisi tehdä ... eh ... tarkemmin ajatellen en viitsi kertoa tarkemmin, mutta esim. bootin voisi ohjata uusille raiteille jne ... tavanomainen käyttäjä ei koskaan saisi selville, että hänen tekemisiään vakoiltiin.

henri_aleksi

  • Käyttäjä
  • Viestejä: 319
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #62 : 17.08.10 - klo:14.35 »
Jos joku pääsee manipuloimaan maksun vastaanottajaa niin miksei pääsisi manipuloimaan myöskin summaa?

Sinällänsä ssl suojaa kohtalaisen hyvin. Vaarana sinällänsä on jos joku pääsee asentamaan keyloggerin niin vaarana on että verkkopankin salasana ja käyttäjätunnus joutuu muiden käsiin.

Tätä varten on pankeissa avainlukulista (joka toivottavasti on kertakäyttöinen ja kysyy arvottua avainparia).
"Theory is when you know something, but it doesn't work. Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why."

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #63 : 17.08.10 - klo:14.59 »
Jos joku pääsee manipuloimaan maksun vastaanottajaa niin miksei pääsisi manipuloimaan myöskin summaa? Sinällänsä ssl suojaa kohtalaisen hyvin.

Joo, täytyy myöntää, että käytännön kokemukset tuollaisen toteuttamisesta ovat heikot  ;D .

Voi tietysti olla että ehdottamaanikaan ei niin vain toteuteta. Ajatukseni oli tässä lähinnä se, että jos vastaanottajan tilinumero vaihtuu, niin käyttäjä ei sitä huomaa. Laskun summa on kyllä luettavissa.

Voi kyllä olla, että tämä transaction väärentäminenkin jää keskiverto crackerilta tekemättä.

Lainaus
Vaarana sinällänsä on jos joku pääsee asentamaan keyloggerin niin vaarana on että verkkopankin salasana ja käyttäjätunnus joutuu muiden käsiin.

Salasanaa ei ole ja käyttäjätunnuksella ei yksin vielä tee mitään.


Lainaus
Tätä varten on pankeissa avainlukulista (joka toivottavasti on kertakäyttöinen ja kysyy arvottua avainparia).

Näihin juuri viittasin. Nämä ovat tietääkseni varteenotettavissa pankeissa Suomessa aina olleet käytössä. Muualla eivät välttämättä. Eikä luottokorttiostoksissa.


Näkisin, että tällaiset jutut ovat crackereille aivan liian vaikeita, jotta näitä kannattaisi käyttää. Paljon helpompaa on onkia luottokortin tietoja ja maksaa saadulla kortin numerolla tai kysyä käyttäjiltä suoraan, että haluatko maksaa Nigeriaan näin ja näin paljon rahaa - tällä tavallahan rahaa tulee paljon helpommin. Tai vaikkapa laittaa pystyyn pilkkikisat, jossa on palkintona mopoauto ja osallistumismaksuilla kerätään mersun hinta. Tai pyytää suoraan rahaa orvoille, keuhkotautisille, poliittisin perustein syrjityille lapsille, joita kiusataan koulussa - aina niitä maksajia löytyy.

Keyloggereilla löytyy tietoja, joita voi käyttää väärin, aivan jostain muualta kuin Nordeasta, mihin viitattiin. Mutta en kerro mistä.

Fri13

  • Käyttäjä
  • Viestejä: 465
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #64 : 17.08.10 - klo:17.51 »
Pankkitoiminnoissahan joita on murrettu ja maailmalla uutisoitu on juurikin unohdettu mainita uutisoinnin yhteydessä että kyse on tunnus+salasana kaltaisista järjestelmistä eikä kuten suomessa että on kertakäyttöiset salasanat.

Mutta esimerkiksi Nordeankin järjestelmän pystyy teoriassa murtamaan MIM (Man In the Middle) hyökkäyksellä kaappaamalla salasanat ja muuta. Mutta tämä vaatii jo hyvin suurta esivalmistelua ja tarkkailua. Mutta teoriakin on pelottava kunnes se osottautuu toimivaksi liian yleisesti!

Ja tuollaisissa tilanteissahan ei tosiaan edes root tili hyödytä mitään kun tarvittavatkin sovellukset voi pyöriä tavallisen käyttäjän oikeuksin. Tuota varten juuri monissa jakeluissa asetetaan oletuksena että mitään binääriä ei voi suorittaa käyttäjän hakemistoista. Joten ehkäistään noita tilanteita.

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #65 : 17.08.10 - klo:18.32 »
Pankkitoiminnoissahan joita on murrettu ja maailmalla uutisoitu on juurikin unohdettu mainita uutisoinnin yhteydessä että kyse on tunnus+salasana kaltaisista järjestelmistä eikä kuten suomessa että on kertakäyttöiset salasanat.
...

Niinpä. Sellaista dataa ei voi koneelta kaapata tai varastaa mitä siellä ei ole olemassakaan. Tietotekniikkamurtoina uutisoidaan populäärilehdistössä liian usein sellaista, joka on mahdollista vain perinteisen varastamisen ja murtautumisen keinoin.

Tällöin unohdetaan usein myös se, että vertailutilanteessa, jossa tietotekniikka ei ole pelissä mukana ollenkaan, varastaminen olisi ollut huomattavasti helpompaa. Esimerkiksi jos joku matkalla lähes menettää rahaa kun luottokortti varastetaan, aiheuttaa se suurta keskustelua tietotekniikan turvallisuudesta. Mitähän olisi tapahtunut silloin kun takavuosien matkalompakko olisi varastettu, siis siihen aikaan kun luottokorttia siellä ei matkalla ollut  ::)

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #66 : 17.08.10 - klo:20.36 »
niille ryöstöille on omat sivunsa ;)
ei niistä täällä eikä alan medioissa kuulukaan kirjoitella
Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #67 : 17.08.10 - klo:20.38 »
Pankkitoiminnoissahan joita on murrettu ja maailmalla uutisoitu on juurikin unohdettu mainita uutisoinnin yhteydessä että kyse on tunnus+salasana kaltaisista järjestelmistä eikä kuten suomessa että on kertakäyttöiset salasanat.
...

Niinpä. Sellaista dataa ei voi koneelta kaapata tai varastaa mitä siellä ei ole olemassakaan. Tietotekniikkamurtoina uutisoidaan populäärilehdistössä liian usein sellaista, joka on mahdollista vain perinteisen varastamisen ja murtautumisen keinoin.

niinpä, mutt onhan niitä 'kehittyneempiäkin' tapoja olemassa... jossa käyttäjälle ei muutoksia näytetä... mutt pankille kyllä...  
Mutt se on jo toisen threadin ja porukan asioita
Kohan saatais nää 'jokapojan' -luokan perusturva-asiatkin edes jonkinmoiselle tolalle
« Viimeksi muokattu: 17.08.10 - klo:20.42 kirjoittanut jake »
Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #68 : 17.08.10 - klo:22.48 »
Kyllä.  ;D

Tämä rönsyily lähti siitä, että mitä tapahtuu jos "admin" -tunnuksen menettää viholliselle (olipa sitten kyseessä sudo, root tai Administrator tai tavallinen käyttäjä jota ajetaan Administratorina). Huonostihan siinä käy, mutta ei ihan millä tavalla hyvänsä eivät nämä edellä kuvatut "admin" menetyksetkään ole samanarvoisia kaikissa tilanteissa.

Fri13

  • Käyttäjä
  • Viestejä: 465
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #69 : 17.08.10 - klo:23.35 »
Kyllä.  ;D

Tämä rönsyily lähti siitä, että mitä tapahtuu jos "admin" -tunnuksen menettää viholliselle (olipa sitten kyseessä sudo, root tai Administrator tai tavallinen käyttäjä jota ajetaan Administratorina). Huonostihan siinä käy, mutta ei ihan millä tavalla hyvänsä eivät nämä edellä kuvatut "admin" menetyksetkään ole samanarvoisia kaikissa tilanteissa.

Menee sekavaksi jos ruvetaan puhumaan jostain "administrator" asemasta. Sellaista ei ole Unix maailmassa vaan root on kaikki voipa käyttäjä jolla ei ole rajoja. Sitten on tavalliset käyttäjätilit joille root luovuttaa eri tason oikeuksia käyttäjäoikeuksin tai ryhmäoikeuksin.

Noiden perusasioiden lisäksi on mm. sudo jonka avulla root pystyy vähän helpommin antamaan tietyille käyttäjille tiettyjä oikeuksia ja samalla saamaan automaattisesti lokikirjan että mitä kukakin teki. Ilman että joutuu luomaan heti parikymmentä eri käyttäjätiliä. Sudon tehtävä on vain helpottaa hyvin rajallisissa tilanteissa kun muuten pitäisi toimia ihan root/tavallinen tili -tavalla.

Administrator on sitten enemmän tuttu Windows puolelta.

Fri13

  • Käyttäjä
  • Viestejä: 465
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #70 : 17.08.10 - klo:23.40 »
Tällöin unohdetaan usein myös se, että vertailutilanteessa, jossa tietotekniikka ei ole pelissä mukana ollenkaan, varastaminen olisi ollut huomattavasti helpompaa.

Puhumattakaa että aina se käyttäjä on suurin riski eikä tekniikka.

Nytkin sudon ongelma on että se yleinen tapaus on että jokaisella on oma tietokone ja siten siis yksi käyttäjä. Väärin säädetyissä systeemeissä se on sitten se jolla on sudo käytössä. Ja 75% ihmisistä käyttää samaa salasanaa (http://yro.slashdot.org/story/10/08/16/1619243/75-Use-Same-Password-For-Social-Media-amp-Email?from=twitter)

Helposti käy niin, ihminen kun on laiska eläin, että käytetään sitä yhtä ja samaa salasanaa (ja joskus käyttäjätunnusta) eri paikkoihin. Helposti menee käyttäjätunnukseen, sähköpostiin ja sosiaaliseen verkkoon sama. Kun lopulta tosiaan alkaa olemaan useammassa paikassa sama salasana niin sen saaminen haltuun on helpompaa. Ja sen jälkeen kun käyttäjällä on sudo oikeudet niin peli on menetetty.

Tilanne korjataan käyttämällä root ja tavallista käyttäjätiliä missä rootilla on ehdottomasti vahva salasana. Sudolla voidaan säätää vain välttämättömät ylläpitotehtävät hoidettavaksi kuten päivityksien asennus mutta ei mitään muuta pakettihallintaan liittyvää. Sitten jos se useimmiten käytetty salasana murtuu niin muut toiminnot on vielä turvassa.

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #71 : 18.08.10 - klo:08.02 »
...
Menee sekavaksi jos ruvetaan puhumaan jostain "administrator" asemasta. Sellaista ei ole Unix maailmassa
...

Ei olekaan, se olikin Windows rinnastus, luulin että se olisi selvinnyt virkkeestä ... joista asioista puhuttiin noin sivu sitten. Sorry, ehkä turhaa ottaa sitä esiin, mutta muutenhan tämä rupesi olemaan ja puhtaaksi kaluttua  ;D

.. ai mutta, toinen sorry, minähän viittasin siihen mistä tämä rönsyily lähti, joten ei "administratorista" puhuminen ollutkaan turhaa vaan aivan konkreettinen viittaus aiempaan  ;D
« Viimeksi muokattu: 18.08.10 - klo:10.05 kirjoittanut Ganymedes »

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #72 : 21.08.10 - klo:10.59 »
Vaikka meneekin jo 'hiukka' sivuun roottina toimimisesta, niin ei kuitenkaan tietoturvan merkityksestä, johon puolestaan roottina toimiminenkin liittyy. - Saattaisko tuon selvemmin sanoa ;)

Ja vaikka ei-roottina koneen käyttäminen olisikaan suojellut noita Nordean asiakkaita rahojensa menetykseltä, niin poistaa se toivottavasti monien sinisilmäisten uskon suomalaisen pankkijärjestelmien 'ylivertaiseen' turvallisuususkoon. Ei siis suinkaan riitä mitkään vaihtuvat salasana ja varmennustunnukset suoritusten jälkeen, niinkuin Nordean käytössä toimitaan.
Niin eikä tietty se ei-roottina toimiminen.

Haittaohjelmia voidaan asentaa käyttäjien koneille ja ne hoitelevat rahansiirtoja 'automatic' siinä samalla kun käyttäjä pankissa vierailee ja ihan käyttäjän huomaamatta. Käy 'helpposti' kuin heinänteko - siis käyttäjän kannalta, mutt pirullista ja mahd kallistakin.

Joten huolehtikaa nyt ihmeessä oikeesti tietoturvastanne . Se kun ei oo mikään 'uskon asia'.

Ja vaikka sudon ja/tai rootin käyttöjänä _vain_ _tarvittaessa_ ei kaikkea korjaa, niin kyllä se joitain alan 'opiskelijoita' ja harrastajia estää tunkeutumasta koneellenne.

http://www.ts.fi/online/kotimaa/154456.html
Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #73 : 21.08.10 - klo:12.05 »
...
Haittaohjelmia voidaan asentaa käyttäjien koneille ja ne hoitelevat rahansiirtoja 'automatic' siinä samalla kun käyttäjä pankissa vierailee ja ihan käyttäjän huomaamatta. Käy 'helpposti' kuin heinänteko - siis käyttäjän kannalta, mutt pirullista ja mahd kallistakin.
http://www.ts.fi/online/kotimaa/154456.html

Tuo uutinen olikin mennyt ohi. Äkkiä tulisi mieleen, että tämän yksi edellytys on itse verkkopankkijärjestelmän murtaminen haittaohjelmalla.

Tällä on sikäli merkitystä käyttäjälle, että jos oikeasti menettää jotakin rahaa korttimaksussa, pitää löytyä allekirjoitus tai PIN - ja verkkoasioissa käyttäjätunnus, PIN&varmennus. Jos kumpaakaan ei korttiostoksessa (pankki tai luotto) löydy, mitään rahaa ei koskaan menetä. Mutta tässä tapauksessa voisi ajatella, että kaiken taustalla pitää olla väärennetyt sähköiset tunnukset eli siis sinänsä oikeat tunnukset.

Sinänsä tällaisten koneiden käyttö tärkeissä asioissa, joissa voi pyöriä itselle tuntemattomia ohjelmia taustalla = normaali tilanne Windows XP:ssä, on alkanut iljettää jo kauan aikaa sitten. Mutta kuten Eemeli totesi: ei se mitään, kyllä se siitä vielä pahemmaksi muuttuu.

Toisaalta, pankithan hakevat koko ajan väärennettyjen maksujen tunnusmerkkejä tapahtumavirrasta. Luottokorteilla tämä on pari dekadia pahempi ongelma, kuin meidän turvallisessa pankkijärjestelmässämme, koska luottokortillahan voi pahimmillaan ostaa mitä hyvänsä ilman minkään valtakunnan varmennusta. Joka tapauksessa ylläesitetyn kaltainen maksun väärennys on oletettavasti varsin helppoa erottaa maksuvirrasta ja laittaa sivuun. Sen lisäksi pankit, ainakin Nordea, vielä soittelevat asiakkailleen ja pyytävät epäselvistä maksuista varmennuksia.

En sinänsä halua vähätellä WC:n (Windows computer) tai PC:n tai Macin tietoturvan merkitystä, mutta en hirveästi osaa pelätä pankin tekemiä kupruja tietoturvassa. Mutta enpä ole käyttänytkään islantilaista enkä edes tanskalaista pankkia  ;D
« Viimeksi muokattu: 21.08.10 - klo:12.14 kirjoittanut Ganymedes »

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #74 : 21.08.10 - klo:19.02 »
ei siinä kaiketi mitään pankin ohjelman murtoja tarvita.
Tapahtumassa vaan tuo tuntematon 'kaveri' (se haittaohjelma siis) pääsee oikean käyttäjän mukana pankkiyhteyteen, siis samanaikaisesti ja voi siinä samalla siirtää rahaa mihin lystää ja se oikea käyttäjä antaa istunnon päätteeksi tarvittavan varmennuksenkin... 'helppoa kuin heinänteko'... sille joka osaa. Voi olla, ett ihan peruskodarin mielikuvitus ja taitokaan ei riitä moisen ohjelman vääntöön, mutt näimmä jonkun muun kyllä. Taitoa se pahantekokin tarvii, jos ei halua kiinni jäädä.

Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #75 : 21.08.10 - klo:19.49 »
Hmm ... tuntematta asiaa juurikaan, eiköhän varmennus liity juuri yksittäiseen transactioon, jolla on yksilöllinen tunnus. Pitäisin sitä jonkinlaisena pankin järjestelmän murtona, jos samanaikaisesti voidaan yhdellä varmennuksella hyväksyä kaksi eri transactionia.

Voisihan tietysti olla, teoriassa, että pankki ei pidä sitä ongelmana, että maksetaan useita laskuja samanaikaisesti ja varmennetaan miten varmennetaan, kunhan luku on oikein. No, ei tämä olisikaan heille ongelma, jos käyttäjä näin haluaisi. Nyt koneella pyörii käyttäjän tietämättä ohjelma, joka pukkaa peliin mukaan maksuja joita käyttäjä ei halua maksaa.

En ihan heti kyllä usko, että pankin tietojärjestelmä on näin välinpitämätön. Toisaalta tietysti voisi kysyä, että minkä ohjelman alla tämä Nettipankki oikeasti toimii käyttäjän työasemalla?

Tulee mieleen, että miten hyvä idea se on ollut rakentaa Windows-järjestelmä niin, että ohjelmia voi asentaa, muuttaa ja ajaa ilman että käyttäjä siitä tietää mitään.

Toivottavasti tämä ohjelma, jossa Nettipankki työasemassa pyörii, on Ubuntussa "normaali ohjelma", jota ei voi asentaa, muuttaa, eikä konfiguroida ilman sudottelua? Jos näin on, niin eihän tämä edellä kuvattu tapakaan, jossa toiminta väärennetään, voi toimia Ubuntussa ... vai? Siis toimii, tietysti jos antaa ulkopuoliselle root-oikeudet, mutta kuten todettua, peli on menetetty siinä vaiheessa.

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #76 : 21.08.10 - klo:21.27 »
jokaista maksua/laskun suoritusta ei suinkas varmenneta erikseen, vaan kerralla kaikki ja istunnon päätteeksi maksaja antaa varmennustunnuksen maksujen varmistamiseksi, jonka jälkeen pankki ...tai 'pankki'... - se haittaohjelma - ilmoittaa kaiken olevan OK istonnn jäädessä todellisuudessa vielä auki... ja jatkaakin omia rahansiirtojaan ko pankista ja lähettää vasta sitten tuon käyttäjän aiemmin antaman varmennustunnuksen pankille...
Eikä siinä mitään erillistä pankkiohjelmaa ole käytössä, niinkuin kuvailet, vaan selaimellahan noita laskuja kaikissa pankeissa maksellaan.

Et kai tarkoita, että kirjoittelet täällä uskomuksiasi ilman käytännön kokemusta laskujen maksamisesta pankkiin iltasella ja/tai yöaikaan netin kautta. Kyllä siinä toki käytetään salattua ssh-yhteyttä.

Ja jos mielikuvituksesi riitä uskomuksiasi pidemmälle, niin ...no olkoon
« Viimeksi muokattu: 21.08.10 - klo:21.44 kirjoittanut jake »
Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #77 : 21.08.10 - klo:22.02 »
jokaista maksua/laskun suoritusta ei suinkas varmenneta erikseen, vaan kerralla kaikki ja istunnon päätteeksi maksaja antaa varmennustunnuksen maksujen varmistamiseksi, jonka jälkeen pankki ...tai 'pankki'... - se haittaohjelma - ilmoittaa kaiken olevan OK istonnn jäädessä todellisuudessa vielä auki... ja jatkaakin omia rahansiirtojaan ko pankista ja lähettää vasta sitten tuon käyttäjän aiemmin antaman varmennustunnuksen pankille...
Eikä siinä mitään erillistä pankkiohjelmaa ole käytössä, niinkuin kuvailet, vaan selaimellahan noita laskuja kaikissa pankeissa maksellaan.

Et kai tarkoita, että kirjoittelet täällä uskomuksiasi ilman käytännön kokemusta laskujen maksamisesta pankkiin iltasella ja/tai yöaikaan netin kautta. Kyllä siinä toki käytetään salattua ssh-yhteyttä.

Ja jos mielikuvituksesi riitä uskomuksiasi pidemmälle, niin ...no olkoon

Jos nyt pysyttäisiin asiassa kuitenkin.

Tuo tapa jonka kuvailet ja jonka väität edellä koskevan Nordean asiakkaita ei pidä paikkansa. Jokainen maksu varmistetaan yksittäin - on toiminut noin jo pitkään.

Yritän vain hahmottaa sitä mitä tässä todella tapahtuu. Ei sen pitäisi olla aivan noin vaikeaa hahmottaa kirjoitukseni perusteella. Kaikki eivät välttämättä halua hyökätä henkilökohtaisesti kirjoittajaa vastaan vaikka sinä sellaiseen haluat turvautuakin. Kirjoita asiasta äläkä minusta.

Sinänsä olet varmaan oikeassa siinä, että tuon toteuttamiseen ei tarvita asennettavaa ohjelmaa - rekisterimuutoksista ja muusta konfiguraatiosta en olisi niinkään varma.

Toisaalta turhahan tätä on jatkaa ...
« Viimeksi muokattu: 21.08.10 - klo:22.18 kirjoittanut Ganymedes »

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #78 : 21.08.10 - klo:22.37 »
OK - lopetus tästä sopii kyllä, mutta olen maksellut Nordean kautta laskujani kyllä toistakymmentä vuotta, joten tunnen kyllä sen toiminnan. Vaikka muuta väitätkin. Sorry!
Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Riski "roottina toimimisella" on osittain myytti?
« Vastaus #79 : 21.08.10 - klo:23.10 »
Tuo tapa jonka kuvailet ja jonka väität edellä koskevan Nordean asiakkaita ei pidä paikkansa. Jokainen maksu varmistetaan yksittäin - on toiminut noin jo pitkään.
Mutta voithan tehdä useamman tapahtuman ja kuitata ne yhdellä varmistuksella.