Každý deň sa ma pýta dosť veľa ľudí, kde je ohlásený článok Test bezpečnosti Slovenských a Českých bánk. Áno, článok mal byť hotový už pred týždňom, no ja som ho ani nezačal. Dôvodom nie je moja lenivosť (ale mohla by byť :) ), ale právne problémy, ktoré s týmito testami mám.
Pár dní po publikovaní článku “Veľký test bezpečnosti známych webov na Slovensku a v Čechách” ma telefonicky kontaktovala pracovníčka právneho oddelenia nemenovanej banky, ktorá mi v 20 minútovom rozhovore vysvetlila, ako budú postupovať v prípade, že tento test uverejním. Samozrejme, že hovorila o žalobe. Pravdepodobne ma chcela postrašiť, ale jej zámer narazil. Okamžite som kontaktoval niekoľkých právnikov, ktorí sa v danej problematike vyznajú, spolu s ktorými som zistil, že vyznať sa v našich zákonoch a aplikovať ich na tento prípad sú dve odlišné veci. Deň na to sa mi opäť telefonicky ozval pracovník právneho oddelenia inej banky, ktorý mi v stručnosti oznámil v podstate to isté, čo prvá pani/slečna. Nuž a ako opatrný človek momentálne skúmam (teda skôr problematiky znalí právnici) možnosti a prípadné právne dôsledky tohoto testu. Výsledky pátrania sa pravdepodobne objavia aj na blogu, aby mohli slúžiť ďalším ľudom ako určitý právny sprievodca touto problematikou.
Článok o bezpečnosti bánk nebude publikovaný a vlastne ani samotné testy nebudú vykonané pokým si nebudem na 100% istý právnymi dôsledkami a možnosťami, ktoré mám. Nikto nechce skončiť pred súdom a tak si radšej dám načas. Ak máte informácie k téme, budem veľmi rád, ak sa so mnou o ne podelíte v komentároch.
No ja neviem, ale mozno v tomto pripade uz staci len ten fakt, ze banky sa boja o zverejnenie informacii, ktore by podla nich bezny smrtelnik asi nemal vediet :) .. a o ake informacie sa jedna, je asi kazdemu pod slnkom jasne
Mozno ani netreba ziadny test robit, uplne asi stacia tieto ich reakcie :)
zaujimavy nazor. no aj tak by som test rad zverejnil
v principe by to viralne ovplyvnilo terajsich a aj novych zakaznikov jednotlivych bank. Maju obavu o migraciu zakaznikov k druhej banke, ale taktiez, im samotnym bankam to moze priniest urcite rizika.
Mozem vediet ktore dve banky su take haklive, respektive ich zamestnanci ako tak sleduju IT blogy?
Bude mi naozaj velmi luto ak tento clanok nebude publikovany ,naozaj rad by som si precital ako su na tom nase banky s bezpecnostou a urovnou ich technikov.K tej moznej zalobe nemam komentar,taky pristup sa dal asi na Slovensku cakat.
crowen: totoznost bank zverejnovat nechcem a ani nebudem. chcem si byt uplne isty, ze som pravne uplne ok.
plco: ten clanok bude, aj keby som sa mal rovno rozkrajat
No, je jasne, ze z toho budou mit strach, ale bohuzel misto nejakeho blizsiho jednani co se tyce objasneni / odstraneni chyb radsi budou zastrasovat,coz taky znamena, ze o (casti)techto chybach vi.
Mozno by bolo vhodne sa stat klientom tych bank. Potom ak ich ako klient oboznamis s tym ze si nasiel nejaku chybu, a oni by sa aj tak isli s tebou sudit, tak by boli fakt za hlupakov. A vyvolavalo by to dost velku nedoveru. Aj ked hadam, ze im viac vadi to ze to chces zverejnit :)
PS. kde na teba ziskali telefonicky kontakt?
Marek: no, ted, kdyz uz je o tom zminka, tak uz bude pomerne snadne zjistit, kdo za tim vezi, nehlede na to, ze takto vydas bance svoje osobni informace, takze to bude jeste jednodussi. Navic, skrz tohle uz se da debatovat o tom, jesli jsi zalozil ucet jen kvuli tomu, ze ti u dotycne banky vyhovuji podminky, nebo ze jsi zalozil ucet jen proto, aby jsi mohl ohlasit tyto chyby, a z toho se dale pak da dohadovat o tom, ze jsi ten ucet zalozil proto, aby jsi chyby ohlasil, nebo zneuzil…
klientom bank som bol, nemam zaujem sa k nim vratit. Slovenske banky ma svojou “urovnou” odrovnali. kazdopadne test bank bude, aj keby sa postavili na hlavu. len si davam trosku casu aby som poznal vsetky svoje moznosti. a ano, radsej budu robit bububu ako by riesili svoje problemy.
Ak by aj bolo prípadne zverejnenie bezpečnostných chýb trestné, skús zistiť, či je trestné prezradiť osobu, s ktorou si dopisuješ (nehovorím vyradiť obsah komunikácie).
Pokiaľ by test nebol právne OK, pokús sa dohodnúť s konkurenciou. Veď aj žiadna informácia je informácia.
zverejnenie testu trestne nie je, test vsak asi ano. momentalne zistujeme, ake chyby a ake postupy mozu byt povazovane za trestne podla trestneho zakona sr. podla toho sa bude postupovat. test bude pravdepodobne len csrf, xss a crlf, ale este uvidim.
“test bude pravdepodobne len csrf, xss a crlf, ale este uvidim.”
No, i tak toho bude hadam dost ;)
az moc. najskor som rozmyslal o vytvoreni POC pre tatrabanku, ale od tohoto umyslu som nateraz upustil. Mozno sa vsak k nemu vratim, aby som ukazal, ze ziadna grid karta a ani iny ochranny mechanizmus nepomoze, ak bude web obsahovat bezpecnostne chyby csrf a xss
No, logicky, pokud je dira skrz to vsechno, tak ti nepomuze zadne hw overovani, protoze si api mysli, ze je vse overene a v poradku
Mna by fungovanie takehoto PoC-u vcelku zaujimalo. Konkretne to, ze aky request chces spravit cez to CSRF, ktory moze byt uzitocny pre potencialneho utocnika, ale pritom nevyzaduje dodatocnu sekundanu autentifikaciu. Ci som zle pochopil, co myslis?
goose: csrf je pouzite na odstranenie potreby kliknutia na odkaz od uzivatela. tzn. ze uvizatel navstivi stranku s nebezpecnym kodom a nasledne bude poslanych 10sk na ucet utulku pre zvierata. no potom som si tento postup rozmyslel. nefungovalo by to na karticke a citacke, ale tam by som to tiez vedel upravit. kazdopadne ostane to len v hypotetickej hladine
mna pre zmenu prekvapuje, ze tie banky sa skor vyhrazaju, ja byt v ich pozicii, tak radsej vyvalim nejake $ pre jedneho cloveka neh napise dobry report o nas nez ako sa vyrhazat mu zalobou.( i ked toto si my citatelia nevieme overit, ze admin?).
kazdopadne, je jasne, ze niektore banky robia taketo pre mna nepochopitelne kroky. ak im ide o meno, neh ti zaplatia prachy za ten test + navrh riesenia chyb, ako potom by sa to malo medializovat a oni pridu o ovela vacsie $.
na druhu stranu je zase pravda, ze ked sa prevali, ze zaplatili jednemu, tak pridu dalsi a dalsi s inymi testami a napadmi atd atd sa to bude hromadit ako zaloby na clintona alebo jacksona.
tak tie testy urob, ale nezverejni clanok , ale urob jeden velky mailing list :P
ulkas: to sa asi nestane a clanok bude aj ked sa na hlavu postavia. bude to sice chvilku trvat, ale blizim sa do zdarneho konca. nemyslim si vsak ze by spolocnosti mienili komukolvek platit, im je to jedno kym je to jedno klientom
olala: nuz, aj to je riesenie, no nie moc dobre
žial na Slovensku je to tak
držím palce, pekne im to spočítaj :-)
Ak je trestne testovanie a nie uverjenenie, tak aj ty sa im mozes vyhrazat, ze teda testovat nebudes, len uverejnis velmi podrobny navod AKO by si pri testovani postupoval… To je myslim pre nich o dost horsie.
velmi zaujimave riesenie :) no nie az tak prijatelne, ako by som chcel. ono robit tieto testy trva velke mnozstvo casu a zas by clovek aj chcel z toho nieco mat (ked nie ako financnu kompenzaciu, tak samozrejme urobit si meno).
Marek,
ak mas test hotovy a vies o chybach, daj mi nejake info do mailu, myslim, ze pravne oddelenia v tomto pripade budu spolupracovat.
no je tomu uz niejaky ten piatok co sa ohlasoval tento test a k dnesnemu dnu som si nic nevsimol. Som slepy, alebo este riesit pravne problemy? dik za answer
Bez obáv. Trestné to nie je. Jedine by mohli ísť na náhradu škody, tu však narazia na slobodu prejavu a ochranu spotrebiteľa. A neinformovať o bankách, ktoré sa ti vyhrážali, je predposratosť.
no, ono to zalovatelne je a v urcitych pripadoch aj celkom schopne vysuditelne. preberal som to dlhsie s pravnikmi, preto som sa rozhodol urobit ten output trosku inak ako som povodne planoval.
Juj velmi sa tesim, obzvlast ked vidim ze sa brania clanku este len v zarodku = maju co skryvat.
Na margo toho – vedeli by “tvoji” pravnici zistit, ci by sme my ako zakaznici mohli zazalovat banku za utajovanie info o bezpecnosti nasich prachov? (alebo nieco na ten sposob)
Na tento clanok som narazil nahodou, ked som hladal, ci nema nejaka banka nieco lepsie ako card & reader. A ak by nemala, tak aspon ako by take hypoteticke zariadenie vyzeralo. Preto ma napadlo, preco by ten test nemohol byt uplne anonymny, bez zverejnenia nazvov bank. Jednoducho len vymenovat dostupne bezpecnostne ‘nastroje’ a pridat zopar slov o tom, co im chyba. Ergonomia/pouzitelnost/jednoduchost/pohodlnost je pre mna samozrejme velmi dolezita. Takisto bezpecnost sposobena velkostou bezpecnostneho nastroja (tym sa da mysliet aj to, o kolko je bezpecnejsia card&reader, ked reader ostane doma :().
#29 mk: anonymny by samozrejme byt mohol, tam nejde len o to. mnohe banky maju na svojich weboch sql injection, atd. a vyvola to hysteriu, problemy a samozrejme mnozstvo utokov, ktore banky budu musiet riesit. kedze sa mi s nimi nedari najst spolocnu rec, zatial som to nechal tak. teraz riesim ine veci, mozno sa k tomu este tento rok vratim