|
Statistika bezbednosnih propusta banaka u Srbiji
Zelite da vidite koliko su vasi novci sigurni u bankama: Statistika bezbednosnih propusta banaka u Srbiji ;)
|
Ih, kakvi ste, kako da znam da je siguran kada niste ostavili spisak banaka koje su sigurne :1074: ?
|
tizer, bato... plati za spisak :D
|
Primetio sam da u "Klasifikacija propusta" ne postoji faktor "ljudska glupost" i/ili ti ne znanje, koji je u Srbiji cini mi se najcesci :)
Evo ga moj primer... u pitanju je sadasnja Unicredit Bank-a, onomad HVB bank-a....preko e-bankinga sam napravio glupost, greskom sam dao nalog da konvertujem x10 veci iznos deviza od trenutnog u dinare tako da sam "usao" u poveci ne dozvoljen minus na deviznom racunu. Naravno to nista ne znaci dok oni ne proknjize to ali svejedno sam momentalno pozvao banku i obavestio ih koju glupost sam napravio. Dali su mi broj tel. e-banking odeljenja i rekli da sa njima resim taj problem. Pozvao sam ih i objasnio o cemu je rec, od podataka sam samo pomenuo ime i prezime i spornu sumu koja je u pitanju. Nisu mi trazili ama bas nikakav podatak tipa broj racuna, JMBG ili bilo sta sto bi "samo ja znao" radi provere :). Problem je resen u periodu od 3 min sto je pozitivno ali sam postupak "identifikacije klijent-a" po bilo kom parametru sem imena i prezimena je bio katastrofalan. Mislim da bi bilo izuzetno interesantno da se uradi i test tipa "koliko sluzbenici ne znaju da rade svoj posao"... zvati redom banke telefonom i pokusati saznati skakljive podatke koje inace ne smeju da daju, to neke firme (cak i ovde) praktikuju uveliko ;) Doduse ajde, to je bilo pre 5-6 godina... nadam se da je situacija sad drasticno drugacija na bolje :beer: |
Malo detalja (o ovoj osetljivoj temi): http://msforge.net/blogs/levaja/arch...-u-srbiji.aspx
|
Uh, ovo je na samoj ivici legalnosti...
|
Slicna stvar, sa identifikacijom telefonom, se meni desila sa Vojvodjanskom pre mozda godinu dve.
Visa Virtuon Vojvodjanske banke je po defaultu zakljucana, morate nazvati telefonom, reci ime prezime 4 poslednje cifre na kartici i pass koji ste naveli u zahtevu pri otvaranju da bi je otkljucali za koriscenje. Cak se kartica i sama zakljucava po izvrsenoj transakciji, toboz sve zbog nesigurnosti internet placanja bla bla bla... Pozovem ja tako kazem Ime i prezime, 4 poslednja broja sa kartice, da zelim da je ne zakljucavaju po automatizmu. Operater kaze: "otkljucana i nece vise biti zakljucavana"... Sta reci osim da vise ne koristim Visa Virtuon Vojvodjanske banke... |
^ mene su u Vojvodjanskoj banci uvek pitali i za šifru ...
|
Citat:
|
cikam te da objavis spisak ako smes ;)
|
Statistika bezbednosnih propusta banaka u Srbiji / Godina 2010: http://netsec.rs/files/Statistika%20...20-%202010.pdf
I jedno istrazivanje koje opisuje kakve informacije mogu da se nadju u online dokumentima sa ciljem da budu zloupotrebljene: Owned by document properties |
Vrlo detaljna specifikacija, vrlo detaljna.
Da li ste uzeli u obzir da pronalaženje rupa unutar web aplikacija naših banaka ne može dovesti do prikupljanja podataka koji se mogu zloupotrebiti, t.j. da podaci koje se mogu prikupiti su irelevantni za eventualnu zloupotrebu? Analizom ste došli do informacija da se za kreiranje PDF dokumenata koriste skoro svi dostupni kreatori PDF dokumenata. To ste mogli i odokativnom metodom da utvrdite, zar ne? U dva dokumenta, bez uvoda i zaključka, samo 5 stranica analize ? |
<MD mode on>
Citat:
Doduse, podaci koji nisu obuhvaceni istrazivanjem sa ili bez cilja, ne mogu biti ciljani za istrazivanje potencijalne zloupotrebe istih ili slicnih, ali ne i drugih. </MD mode off> |
Jel iko pokušavao sledeći scenario...
Citat:
|
Citat:
U svakom slucaju, mislim da vam nije dobar pristup sa svom tom "misterioznoscu"... ne navodis ni jedan konkretni primer, cak ni spisak banaka koje su testirane, kako su testirane, zapravo, za svaku pojedinu tvrdnju mi treba da ti verujemo na rec da je to bas tako... nije frka ja verujem, ali zasto bi ti verovao neko ko te ne poznaje? Morate neke konkretne podatke da navedete da bi ovo bio teaser, ovako je samo gomila nekakvih grafika koji su mozda tacni, a mozda ste se jedno vece naduvali i nacrtali ih u Photoshopu... :) |
Citat:
Citat:
U konkretnom primeru smo mogli da navedemo tacne procente za svaku aplikaciju, kao i vise detalja o tome gde se koristi i kada ali nismo iz vise razloga. Medju njima jedan je taj da za ovo istrazivanje to nije bitna informacija a drugi je da neke informacije nisu objavljene kako ne bi ugrozavali bezbednost drugih. Citat:
Citat:
|
Citat:
Citat:
Spisak banaka je naveden u dokumentu kao link na: http://www.ubs-asb.com/Default.aspx?tabid=567. Metodi su takodje opisani (prilozen je link): (http://netsec.rs/UserFiles/File/Test...0tehnikama.pdf i info da je utroseno po 10 min za svaku lokaciju. Kakve konkretne podatke bi tacno zeleo da vidis a da ne pritom ne ugorzavaju bezbednost (korisnika,davalaca usluga,istrazivaca,...) ni sa jedne strane ? |
@Ivan
Ajde daj neki konkretan propust koji si uočio pa da i mi, koji čitamo ove postove, naučimo nešto novo. 'Vako SQL injection, email adresa i verzija PDF kreatora su previše opšte teme, a postoji puno tutorijala na YouTUBE-u, gde klinci od 10tak godina objašnjavaju neke od ovih problema. |
@vidak kao sto rekoh cilj ovih istrazivanja nije da analiziramo konkretan propust i njegovu eksploataciju vec samo da skrenemo paznju na njegovo postojanje.
A ako zelis da naucis vise o web sigurnosti mozes za pocetak da pogledas moje slajdove sa raznih predavanja ili da se prijavis za neki od kurseva. Pisanje uputstava za eksploataciju mi se ne cini kao tema koju bi izabrao a i kao sto si rekao vec ima toga puno po webu ... |
Citat:
Napredni security kursevi!? Jednodnevni kurs "PHP Security Coding"? Dvodnevni kurs "Linux za Windows administratore"? Jednodnevni kurs "Web Security"? Verovatno sam ja idiot kada mi su mi za sve ovo trebale godine... ...još ako ti kažem da sam 10 nedelja slušao LPIC1 i LPIC2 u CET-u, sigurno ćeš me proglasiti totalnim moronom. ... ali to je samo moj problem |
Ako hoces da prodajes usluge onda to nudi ciljnoj grupi ali nemoj to bar ovde nazivati istrazivanjem jer to jednostavno nije.
Mogu ja da nazovem torentovanje "istrazivanjem propusne moci moje konekciju u cilju izvodjenja manifestacije gledanja filma", nazalost to ga ne cini nimalo "more cool" :D |
@vidak ne vidim poentu ubedjivanja sa tobom ali ponovicu jos jednom:
- Preuzet je spisak svih banaka sa udruzenja banaka. Svaka web prezentacija banke je testirana 10 minuta neinvazivnim tehnikama. Svi rezultati su zapisani i pretoceni u statistiku. Ne vidim sta je ovde apstraktno, izvlacis pogresne zakljucke ? - Pronadjeni propusti nisu detaljno analizirani niti su eksploatisani jer to nije cilj. Dovoljno je sto su aplikacije za banalne upite davale veoma nebezbedne odzive. Ne znam da li razumes da sam hteo da skrenem paznju da je sve ovo pronadjeno za samo 10 min koristeci samo Firefox ? Sto se tice kurseva, ne znam sta zelis da kazes ali uvek mozes da se prijavis i posle komentarises njihov kvalitet. Ovaj je npr zanimljiv: http://netsec.rs/80/penetration-testing-kurs.html |
@McKracken slobodno mozes da se bavis istrazivanjem kako god ti zelis. Molio bih te da se iskljucis sa teme ako nemas sta da prokomentarises vezano za iznete informacije.
Na svim poljima IT-a se vrse analize i istrazivanja koje se kasnije pretacu u statisticke izvestaje koji pomazu razvoju i unapredjivanju. Bezbednost je tema o kojoj se najmanje razgovara i ja zelim da se to promeni zbog svih nas. Ulazem puno svog vremena u to. Dakle, ako neko i dalje zeli da kritikuje moj rad moze na pp, molim vas da ova tema ostane mesto za komentarisanje trenutne situacije na polju bezbednosti u Srbiji. Hvala! |
Ovde kažeš
Citat:
Citat:
Nemoj mi zameriti što se neću prijaviti na kurseve. Odavno sam odustao od kurseva tipa Engleski za 7 dana ili Windows & Office za 5. edit: nisam video tvoj predhodni post. Ne bih dalje komentarisao. |
Izvini ali koje informacije? Da banke koriste PDF?
Ako vec kacis epitet istrazivanje onda ga napravi da bude istrazivanje.. 10 min "neinvazivnog BS-a" ne znaci ama bas nista. "Stating the obvious" nije istrazivanje. |
@vidak ocigledno se ne razumes dovoljno u testiranje web aplikacija sa aspekta bezbednosti pa ti se te dve stvari cine kontradiktorne. Ne moram da analiziram propust detaljno da bih znao da postoji. Druga stvar koju ne shvatas (a mozda i drugi) je da mnoge informacije ne smes da objavis javno iz pravnih razloga.
Ako bas zelis da ucis slobodno zapocni neku temu vezanu za neki tip web propusta i ja cu se ukljuciti i pokusati maximalno da pomognem. Btw, prozivanje ostavi za neko drugo mesto jer nema potrebe za time ... |
Npr.. Istrazivanje izgleda ovako:
http://www.cs.northwestern.edu/~akuzma/doc/cache.pdf (btw, vredi procitati) |
@McKracken svako ima pravo na svoje misljenje. Ne znam zasto gubis vreme na ovoj temi.
|
Citat:
|
Citat:
Ovakav kvalitet istraživanja može da ti prođe na većini državnih fakulteta gde se uglavnom mlati prazna slama i u najboljem slučaju vrte bajate informacije, mada mislim da bi ti i tamo makar tražili reference. Moje lično mišljenje je da je kvalitet prikazanih radova upotrebljiv na nivou dnevne štampe, odličan je za plašenje partijsko-bankarskih službenika, a u perspektivi može dovesti do ozbiljnog povećanja prihoda tvoje firme. Ako ćemo nastaviti diskusiju, molim te pojasni mi svhu objavljivanja ovih fajlova na forumu. Čini mi se da postoje tri moguća razloga: 1. Reklamni razlozi 2. Potrebna ti je pomoć kolega 3. Svoja znanja želiš da podeliš sa ljudima sa foruma Iz tvoj posta se ne vidi koji je razlog, a ja sam predpostavio da svoja znanja želiš da podeliš sa drugima. |
@vidak nepotrebno spamujes temu.
Sto se tice referenci one su javno dostupne (mogu da ti posaljem linkove na pp ukoliko nisi pronasao) i medju njima su owasp, backtrack, microsoft, ... Da si malo ulozio truda i pogledao spisak referenci na sajtu gde se nalazi i fajlovi istrazivanja mozda bi pronasao jos neke. Uglavnom ne zelim vise da ulazim u ovakve diskusije. Odgovaracu samo na pitanja/komentare u vezi teme. |
Ok, kako gledas na to da security kompanija koja tupi okolo o verzijama PDF-a ostavlja ovako nesto :
"Apache/1.3.41 Server at netsec.rs Port 80" Dakle : www.gloginje.com Off Topic: Kad vec pominjes neke kurseve, bolje idi na neki PR kurs. |
Citat:
1. Želiš svoja znanja da podeliš sa drugima 2. Potrebna ti je pomoć sa foruma 3. Reklamiraš svoju firmu Predpostvaljam da svoja znanja želiš da podeliš sa drugima pa me interesuje, na strani 6 fajla 'Statistika bezbedonostnih...' u prve dve stavke kažeš: Klasifikacija propusta 1. Izmena SQL upita (eng. SQL injection) 2. Izmena SQL upita u cilju dobijanja vitalnih informacija iz poruka o greškama Kakva je suštinska razlika između stavke 1 i stavke 2? |
@McKracken da li mozes i da pronadjes kod koje firme je hostovana html prezentacija ? I za tebe ubuduce vazi isto sto se tice odgovora na ovoj temi.
|
Citat:
Citat:
|
Znaci moje "istrazivanje" nije dovoljno dobro da se stavi u PDF i objavi? Mozda tehnika nije bila previse neinvazivna?
Daj, smanji malo gas i diskutuj normalno. |
Teški off topic
Off Topic: Citat:
Citat:
|
McKracken, i vidak
Zaista, zaista preterujete. Pročitajte temu ponovo, i pogledajte vaš ton, način komunikacije. Znači ako bih se ograničio na ovu temu, a evo, javno se ograničavam, na osnovu pročitanog mogu reći da ste najveći hejteri koje videh do danas na nekoj ozbiljnoj temi u skorije vreme. Izvinjavam se na off-u. |
@nn.nn
Radovi koji su kreirani na principu stravaranja magle i pojačanja iracionalnog straha kod klijenta imaju za primaran cilj povećanje prihoda kreatora rada, a ne rešavanje problema klijenata. Svaka stručna analiza koja je kompleksnija od nivoa dnevne štampe odbija klijente u najvećem broju slučajeva t.j. retki su nestručni klijenti kojima možeš predstaviti kompleksnije informacije a da ih pri tom ne odbiješ. - nadam se da sam sada objasnio vezu između kvaliteta rada i stila dnevne štampe. Ono što je problematično u pristupu ovog rada je to što je analiza sigurnosnih aspekata namenjena bankama, kao metodologija istraživanja je korišćena odokativna metoda ulepšana velikim slikama, a banke su po defaultu stručni klijenti. @SSpin ako si u pomenutnim radovima uočio neki deo koji smatraš stručnim, pogodnim za analizu, interesuje te da više saznaš o temi obrađenoj u članku, a ti pitaj autora članka. Ja nisam našao nikakvu teoretsku ili praktičnu vrednost u radovima pa mi nije jasna svrha objavljivanja radova ali ni čemu služe bombastični nazivi u tako škakljivoj temi pa me interesuje da čujem od autora šta je zaista želeo da postigne sa ovim. |
@SSpin: Procitaj temu jos jednom i jos jednom "istrazivanje".
Na moj komentar da je "istrazivanje" ravno [cenzorisano] dobio sam attitude-odgovor. Nemam nista protiv shameess samopromocije, ali brate onda prihvati kritiku kad ti kolege kazu da to sto objavljujes ne vredi ni bajtova potrosenih na PDF. |
| Vreme je GMT +2. Trenutno vreme je 13:31. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.