Takže pro váženého blogera, který tady šíří dezinformace:
IB je zabezepčeno pomocí HTTPS - pokud bys o tom něco věděl nikdy bys z pusy nevypustil blábol, že nějací šílenci mohou použít keyloger. Jelikož stránky takto zabezepečené nelze softwarovým keylogerem odposlouchávat. Jediná možnost je fyzický keyloger (to je věcička která se musí nainstalovat do klavesnice je to takové udělátko prostě).
Dále i kdyby se někdo dostal do IB i při tvoření šablony potřebuje muj mobil. Já šablony nepoužívám a nevidím důvod. Pokud má někdo strach že jeho existující šablona bude zneužita ať jí prostě zruší a počká jestli banka někdy udělá nějaké změny v šablonách. Dále na privátní operace k nimž patří i ovládání bankovního účtu ti každý odborník jasně řekne že se hodí používat pouze počítač, ke kterému máš důvěru (nejlépe ten co máš doma) a nikdy nechodit dělat takové věci do internetové kavárny. Úroveň IB mBank je na evropské poměry naprosto normální. O peníze příjde jen hlupák hloupý nevzdělaný. Neexistuje realná možnost jak by mohlo člověku, který neudělal hloupost přijít o peníze. Jedině, že by někdo naboural interní síť mBank ale to se může stát u jakékoliv instituce a s tím nemá samotná IB nic společného. A jen na okraj chytrý člověk ani nedostane viry a trojáky a další svinstvo (jen výjmečně) jelikož chytrý člověk, neotevírá každý neznámý mail a nekliká na vše co mu příjde pod ruku. Já osobně s touto havětí neměl takové dva roky vůbec žádný problém a to používám win XP a NOD32 a nějaké antispawery.
Já osobně kdybych byl pracovníkem mBanky který má tohle na starosti tak na tebe blogere podám trestní oznámení za šíření falešné poplašné zprávy nebo bych tě požádal ať dokážeš svá tvrzení.

BillTH napsal(a):

> IB je zabezepčeno pomocí HTTPS - pokud bys o tom něco
> věděl nikdy bys z pusy nevypustil blábol, že nějací
> šílenci mohou použít keyloger. Jelikož stránky takto
> zabezepečené nelze softwarovým keylogerem odposlouchávat.

Sice uz jsem se do podobnych debat nechtel poustet, ale to co tvrdis neni pravda. Keylogeru je zcela jedno, zdali je spojeni sifrovane a nebo neni, protoze stikle klavesy odposlouchava primo z PC a zadny HW k tomu nepotrebuje. Na miru psane keylogery dokonce poznaji, na jakych strankach se pohybujes a odesilaji jiz optimalizovane udaje. Takze zabezpeceni jmeno/heslo je na hure zabezpecenych PC opravdu pomerne snadno zjistitelne. Riziko vybileni uctu neni diky principu sablon velike, ale neprijemnosti zpusobit rozhodne muze kazdemu kdo sablony pouziva. A to nemluvim o tom ze nechci, aby mi nekdo koukal na muj ucet.

BillTH: To je hovadina, že jsem dlouho takovou nečetl. Abych se neopakoval, Rafter ti to tu píše, keylogger a HTTPS je úplně něco jiného, nesouvisí to. Keylogger snímá všechno, co napíšeš na klávesnici a je úplně jedno, jestli píšeš ve Wordu nebo surfuješ po netu. Sofistikovanější loggery samořejmě chytají jenom komunikaci na netu a na určitých stránkách. A to, co píšeš na klávesnici, opravdu šifrované není, šifruje se až přenos! PROTO se používají virtuální klávesnice, protože na nich FYZICKY nic nepíšeš, jen oklikáváš obraz na obrazovce.
A co se týče vyjádření, "tak nesurfujte v kavárnách", to je opravdu ohromná rada. Zabezpečení musí být nastaveno tak, aby bylo možné se bezpečně připojit i na cizím počítači, už mnohokrát se mi na zahraniční cestě stalo, že jsem se musel napíchnout z kavárny a protože jsem byl u ČS a měl jsem autentizační kalkulátor, neměl jsem s bezpečností problém.
Je vidět, že jsi sice chytrák přes všechno, ale vůbec nemáš páru, o čem tu píšeš.

Diky kluci.

Tom

BillTH: ty jsi clovece srandista )

Radeji nepis o necem o cem nemas pravdepodobne vubec paru.
Nebo si z nas delas srandu....

prosím pošlete mi keyloger který bude odposlouchavat mou klavesnici hoši :-* jste chytří jak radia... nemáte pravdu.... keylogery nedokaží odposlouchávat vše... to není absolutně vůbec pravda.... odposlouchat vše dokaže jen a pouze fyzický keyloger.....

pokud si někdo tak věří prosím dostaňte se k mému učtu.... ten kdo se dostane k mému učtui a pošle třeba jen jedinou korunu dám 10 000Kč

a ještě člověk který dnes používá "kalkulačky" k autorizaci je bláázen :-D kalkulačky byli v dobách kdy ještě neexistovala autorizace smskou dnes jsou naprosto zbytečné a nevím kolik lidí je nosí u sebe :-D

BillTH:

SW keyloger
http://www.refog.com/

skus si to sam, ci v logu nebudes mat prihlasovacie udaje

Prostě když si ty sám ať již vědomě nebo nevědomě díky chybě v OS a trojskému koni nainstaluješ na PC keylogger, tak ten snímá všechny nebo jen určité stisknuté klávesy a záleží jen na autorovi keyloggeru, co se zjištěnými informacemi udělá. Většinou si je nechá poslat na mail, FTP nebo využije zadních vrátek v daném PC a informace z keyloggeru si vydoluje sám. Prostě když máš kompromitovaný PC třeba rootkitem, tak mu nemůžeš věřit a je velká pravděpodobnost, že daný program zaznamenává jen stisky kláves zadané na https stránkách, kde se předpokládají nějaké cené informace.

Keylogger nemá nic do činění s HTTPS provozem, který lze nabourat třeba MITM útokem nebo u starších implementací pomocí převzetí relace. Ale je to mnohem složitější a člověk si toho všimne, pokud teda neodklikne jakékoliv varování o změněném certifikátu.

Resumé zní, že keyloggery jsou vážná hrozba, proto je více, než vhodné použít dodatkovou metodu autentizace nezávislou na daném PC.

eh a další maličkost heuristická kontrola NOD32 stejně 98% keylogerů (možná i vic) vubec neumožní fungovat dále jak jsem řekl viry a trojské koně a další havěti jako hrozbu internetu si vymysleli spisovatelé sci-fi a výrobci antivirů aby měli kšefty. Ale prostě žádný skutečný hacker nic takového nevyužívá (teda rozhodně ne na normální lidi) a použivájí to jen děti a pár bláznů. A já se pokládám za chytřejší než jsou oni a nejsem klikací stroj a nikdy mě nikdo nepřipravil ani o blbé heslo k mailu natož k něčemu důležitějšímu. Nemám problém z viry protože nestahuju vše co mi příjde pod ruku a kdo se te zasady drží nemá problém pokud má alespoŇ minimálně zabezpečné PC.

BillTH:
skusil si vobec nejaky keyloger? mam NOD32 v3 a keyloger zahlasil, ze NOD ho bude blokovat, ale neblokoval.

chyba je mezi klavesnici a počítačem... můj nod ve stavu zapnutem blokuje :-* někdo má a někdo nemá

Máte pravdu NOD32 opravdu pozná většinu keyloggerů, neb fungují na podobném principu.
Ale například pokud jsem i známý keylogger projel přes Morphine - exe packer, tak NOD32 nezahlásil nic....
A ano, opravdoví hackeři nemají důvod hrát si keyloggery, ale hodně jiných lidí to uajímá a chtějí se lehce dostat k pěnězům. Prostě taková hrozba tu je.
Je jasné, že zkušený uživatel má PC dostatečně zabezpečené nebo používá linux, ale znám účetní přes 50let, které posílají platby nebo mzdy a jsou schopny odkliknout cokoliv, včetně podvrženého certifikátu.
Prostě je to v lidech, mě naprosto současné zabazpečení vyhovuje a dostačuje. Jiným třeba ne...

Hm, tak to hochu vypadá že mBank je pro 1% nejchytřejší populace, jako jsi ty sám ))

Škoda, myslel jsem že mBank má zájem třeba i obyčejné průměrné lidi (třeba s nadprůměrnými příjmy), kteří sotva umí poslat email a jakoukoliv hlášku prostě odkliknou, protože jí nerozumí.

Bohužel, až se jim něco špatného přihodí, nebudou moc chápat, jak se to stalo a možná se budou zlobit na banku. Banka jim možná peníze vrátí, možná to bude chvilku trvat, než se to vyřeší. A možná o tom budou někde vyprávět a asi to nebude nic, co by banka chtěla slyšet.

Nemůžeš se na ně zlobit, jsou dobří prostě v něčem jiném, než v bezpečnosti internetového bankovnictví. I dokonce i ten nejchytřejší se může vyjímečně mýlit, jak to koneckonců ukazuje tvůj příspěvek ))

Tom

Peter:
Když chodíš po internetu kdoví kde, asi máš sníženou ochranu na nodu, aby lecos prošlo.

Doplnění: předchozí příspěvek byl pro BillTH...

BillTH, george.george: nechodim ktoviekam, NOD ma zapnute vsetko, heuristiku, zneuzitelne aplikacie, vsetko co sa da pre detekciu a aj tak nic na keyloger, z mojho odkazu nereagoval

tak ja si nemyslím že linux je zarukou bezpečnosti naopak myslím si že je zarukou dost velkeho nebezpečí v případě malé obezřetnosti protože na vyvoji se podíleji masy lidí a nikdo nemuže vědět kdo má jaké úmysly. i když některé distribuce mohou být dobré ale podle mě je linux oproti profesionálním OS jako je win a mac os x pouhou atrapou což dokazuje i jeho podíl na stolních pc.

A ja nikdy neřekl že se pokladam za chytreho ja se jen nepokládám za hloupého. A člověk který pracuje na pc na urovni bankovních učtů by měl mít alespoň nějakou představu co je bezpečné dělat a co ne.

mBank má jednu jedinou mizernou slabinu a to jsou zatracené šablony diky kterým se stejně nikdo neobohatí jen vám způsobí problémy a sobě způsobí několik let kriminálu.

BillTH: Pro pana Nejchytřejšího, který nejspíš ani (přes svůj nick) ani neumí anglicky, neboť potom by si přeložil "keylogger" a bylo by mu jasné, jaké hovadiny píše ...:
kalkulátor používám proto, že jsem si ho pro zabezpečení koupil v době, kdys ty ještě čůral do plenek a na přihlašování k účtu (jestlis v té době nějaký měl) jsi používal jenom heslo. U mojí banky to bylo to stejné a protože nemám v hlavě naděláno, tak mi heslo nestačilo a kalkulátor, coby jednu z nejbezpečnějších věcí k přihlašování a autorizaci, jsem si koupil. Tehdy totiž autorizace SMS neexistovaly a nevím, proč bych ho vyhazoval a měnil autorizace na SMS.

BillTH napsal(a):

A člověk který pracuje na pc na
> urovni bankovních učtů by měl mít alespoň nějakou
> představu co je bezpečné dělat a co ne.

Je spousta lidí, kteří
by neměli řídit auto, vychovávat děti, používat počítač.... A přesto to dělají.

Nevím jestli Tvoje maminka ví, co je keylogger, ale pokud neví, neměla by používat internetové bankovnictví? To je blbost...

Pokud nepředeláš klienty, měl bys předělat IB. Protože klienty, narozdíl od IB, banka životně potřebuje.

> mBank má jednu jedinou mizernou slabinu a to jsou zatracené
> šablony diky kterým se

ano, přesně ty šablony drží banku na chvostu, co se týče bezpečnosti. Až to napraví, dostanou se do šedé zóny průměru českých bank.

> stejně nikdo neobohatí jen ta
> způsobí problémy a sobě způsobí několik let kriminálu.

Pokud ho chytnou...

muf-rodrigo: ty opravdu nemáš v hlavě naděláno ale přímo nasráno... si -píp-... ja řekl proč se dělaly kalkulačky.... a ten kdo ji používá dnes je to jeho problém ale dnes je doba sms a kdo je nepoužívá je to jeho věc ale rozhodně by se proto neměl nějak povyšovat nad ostatní přejí hezký den soudruhu

http://blog.hubalek.net: ignoroval si jednu věc "stejně nikdo neobohatí". a moje mamka opravdu co je to keyloger neví ale zase trošku ví že nemá na vše klikat na vše stahovat a instalovat... a to že spoustu věcí by lidé dělat neměli a přesto to dělají je směšný argument... ano ať vychovavají děti i když jsou v tom ohledu neschopní ale ponesou nasledky a tak to je a tak to prostě bude takový je svět...

No, o úrovni soudruha BillTHa svědčí nejen jeho nové, nýbrž i archivní příspěvky. Řekl bych, že s hlupáky nemá smysl diskutovat, takže tohle vlákno mohu s klidem opustit. 4lověk, který ani neví, co je to keylogger, jak funguje a přesto o něm dokáže napsat třicetiřádkovou stať, to je opravdu MACHR a s takovým se opravdu měřit nemohu :-( Fnuk

muf-rodrigo: ano došly ti argumenty a jen na okraj uražet si začal ty :-* a i kdybych o tom nic nevěděl tak geniální člověk se pozná tak že dokaže kecat o něčem i když tomu nerozumí :-D (eh to berte jako vtip)

Já argumentovat nemusím, ty bys měl obhájit ty nesmysly, které jsi psal výše. Když jsme u toho. Člověka, který mluví/píše o tom, čemu nerozumí, nazýváš géniem, zbytek společnosti ho nazývá diletantem, podvodníkem nebo hlupákem. Ale je zřejmé, že géniové se tak hluboko snižovat nebudou ...

ja nenapsal jediný nesmysl.... ja dokonce nabidl ať se někdo dostane k memu učtu... nebudu informovat ani policii ani banku....

Ty voe, ty jsi napsal zatim jen same nesmysle....

Clovece, vzpamatuj se nedelej tady ze sebe -píp-a jeste

BillTH napsal(a):

> ja nenapsal jediný nesmysl.... ja dokonce nabidl ať se někdo
> dostane k memu učtu... nebudu informovat ani policii ani
> banku....

manas manas :D tohle řekne jenom (no to nemužu napsat bo to bude censored zase) prostě seš hloupej a nic si sam nenapsal a říkáš že vše co jsem napsal je hloupost a to není... rozhodně ne vše když už budu natolik tolerantní...

Řešení je jednoduché: Přidat k definici šablony zaškrtávací políčko "Autorizační SMS pro každou transakci" nebo podobně. Nebudu přece autorizovat převody mezi svými účty, ale jen převody někam pryč.

Když ovšem uvážím, že "Chyba Altamiry" je v aplikaci dlouhá léta, pak požadavek na zaškrtávací políčko je určitě z oblasti Sci-fi.