Hlavní navigace

Vlákno názorů k článku Je šifrování českých bank bezpečné, nebo je to jen iluze? od tetroda - Koukám, to se tu vyrojilo expertů…Když chce někdo...

Článek je starý, nové názory již nelze přidávat.

  • 7. 7. 2010 18:30

    tetroda (neregistrovaný) 95.85.213.---

    Koukám, to se tu vyrojilo expertů…Když chce někdo dokázat, jak je něco nezabezpečené, tak provede a zdokumentuje útok, ne?
    Tyhle oblbující řečičky se sice hezky čtou, mohou vyvolat zdání, že na zabezpečení se kašle…ale v praxi provést útok, to tihle experti nedokáží…

  • 7. 7. 2010 23:59

    ABCPS (neregistrovaný) ---.58.broadband2.iol.cz

    Já to pochopil tak, že autorovi příspěvku který popisuje komunikaci s ČS asi nešlo o to udělat ze sebe „bezpečnostního experta“ ale o to ukázat jak na problematiku zabezpečení Spořitelna „háže bobek“. Co se týká vlastního „ostrého testu“, kdy by se pokusil uskutečnit útok, pravděpodobně by tímto pokusničením porušil zákon.
    K autorizační SMS ČS – například při převodu peněz z debetního na kreditní účet není toto zabezpečení vůbec využito. Věřím že podobných výjimek by se našlo víc a ke zneužití by dojít mohlo.

  • 8. 7. 2010 0:22

    Franta Kučera

    „pravděpodobně by tímto pokusničením porušil zákon.“
    Přesně tak – tohle si může dovolit leda hacker s bílým kloboukem, kterého si najala banka – ale u něj se zase předpokládá, že řekne výsledky jen jí a nikde to nerozkecá. Jinak je to moc práce (aby se na to nepřišlo) a člověk se pak ani nemůže pochlubit výsledky své práce :-) Leda si udělat vlastní server s identickou konfigurací a simulovat útok proti vlastnímu stroji.

  • 26. 7. 2010 17:10

    Vít Šesták (v6ak)

    Předem říkám, že nejsem právník a neorientuji se nějak zvlášť dobře v příslušných zákonech.
    Pokud se nemýlím, tak dříve nebyl trestný útok jako takový, ale až nějaké způsobení škod. Takže třeba i získání citlivých informací bylo legální, dokud nebyly zneužity.
    Dnes je nelegální i získání neoprávněného přístupu k počítačovému systému. Nejsem si jist, zda by do toho šlo napasovat odposlech cizí komunikace. Odposlech vlastní komunikace ale zcela určitě sem nepatří. Podobně by IMHO šlo legálně za určitých podmínek testovat XSS něco CSRF. Anebo je tu nějaký jiný (možná novější) zákon nebo je někde chyba v mém výkladu.
    Se zveřejněním by to již asi bylo horší. Tam by se to dalo klasifikovat jako nějaké napomáhání trestnému činu. A to možná i informace „tito nejsou bezpeční, podrobnosti neřeknu“ by mohlo být bráno jako „tady je příležitost k útoku, prozkoumejte si to sami“.

  • 8. 7. 2010 8:19

    hucul (neregistrovaný) ---.47.66.43.adsl.nextra.cz

    moje komunikace s Ceskou sporitelnou nema s clankem nic spolecneho. Jen jsem si pri cteni clanku vzpomnel na usmevnou vymenu mailu s pani Adamkovou a tak jsem se podelil. Do Ceske sporitelny jsem psal z ciste sobeckych pohnutek, protoze u nich mam stale ucet. Bohuzel mbank, ktera je mou primarni bankou, nema mezinarodni identifikaci, takze by mi nemela kam chodit vyplata. Navic jsme museli MITM problem resit s nasim zakaznikem a na stole z pocatku bylo i pozastaveni IB a navic jsem byl zvedavy, jak se k problemu postavi konkurence.