U Tatra banky je možné efektívne blokovať internetový prístup k účtom

DSL.sk, 24.2.2010

U slovenskej Tatra banky je možné majiteľom cudzích účtov efektívne blokovať prístup k týmto účtom cez Internet banking.

Upozornil na to bezpečnostný analytik Rastislav Turek zo spoločnosti Synopsi.

Turek analyzoval systém blokovania prístupu k účtom Tatra banky potom, ako sa v polovici mesiaca medializoval podobný prípad banky Axa v Českej republike.

Tatra banka podľa jeho zistení po nesprávnom zadaní hesla blokuje prístup k užívateľskému účtu identifikovanému číslom, tzv. PID, najskôr na niekoľko minút. Po viac ako desiatich nesprávnych zadaniach hesla sa ale prístup už blokuje na viac ako hodinu a neskôr na približne 121 minút.

Navyše pri zadaní nesprávneho hesla kedykoľvek počas takejto doby blokovania sa blokovanie predĺži až do času približne 121 minút po poslednom neúspešnom pokuse o prihlásenie.

Počas blokovania sa nie je možné prihlásiť k účtu zo žiadnej IP adresy, prihlásenie je tak blokované aj pre majiteľa účtu.

Keďže podľa Tureka sú čísla užívateľských účtov prideľované sekvenčne, nie je problém pomerne jednoducho hromadne zablokovať prístup k Internet bankingu pre veľký počet účtov a blokovanie ľubovoľne predlžovať.

AXA Banka vyriešila problém povinnosťou zadať pri prihlasovaní aj osobný údaj, konkrétne dátum narodenia. Účty tak už aspoň nie je možné efektívne blokovať hromadne, keď útočník nemá ako k číslu účtu zistiť identitu majiteľa a teda jeho dátum narodenia.

Turek navrhuje aj iné riešenia, založené na eliminácii množstva IP adries využiteľných útočníkmi využitím dostupných databáz IP adries proxy serverov a IP adries zapojených v botnetoch a reštrikciách na prihlásenie aplikovaných len na IP adresy respektíve IP siete.

Analytik banku informoval o probléme v polovici mesiaca, banka zatiaľ podľa jeho informácií neprikročila k zmene systému blokovania. Kompletné zistenia Tureka je možné nájsť tu.


Najnovšie články:



Diskusia:

FATRA banka Od: Mao-ce-tung | Pridané: 24.2.2010 12:06 NAJHORŠÍ IDÚ ZA NAMI !!! Odpovedať Známka: 2.1 Hodnotiť:

Re: FATRA banka Od: l0ler | Pridané: 24.2.2010 12:51 Najhorsi idu pred nami! Odpovedať Známka: 9.0 Hodnotiť:

Re: FATRA banka Od reg.: marha | Pridané: 24.2.2010 12:53 a už zvoní, takže do lavice Odpovedať Známka: 6.8 Hodnotiť:

Re: FATRA banka Od: marek1234 | Pridané: 24.2.2010 14:42 To trvalo roky, nez na to niekto pride??? O tejto skodoradosti aspon ja osobne viem odkedy mam ucet v TB. Odpovedať Známka: -4.1 Hodnotiť:

Re: FATRA banka Od reg.: marha | Pridané: 24.2.2010 15:10 ako tvoja odpoved suvisi s mojim komentarom Odpovedať Známka: 4.7 Hodnotiť:

Re: FATRA banka Od: guláš | Pridané: 24.2.2010 16:34 nijako, len chlapik nechcel byt na konci diskusie Odpovedať Známka: 5.7 Hodnotiť:

Re: MATRA banka Od reg.: ujo horar | Pridané: 25.2.2010 11:45 tak ako ja.. ze? inak mam taky dojem ze pan analytik ma v TB ucet bez spatneho overovania SMS-kou... ja to mam s overovanim pidu cez mobil a tam by blokovanie cudzieho uctu nemalo hrozit... alebo sa mylim? Odpovedať Hodnotiť:

Re: MATRA banka Od: waveeee | Pridané: 25.2.2010 23:51 neviem, sprav anketu na FB... Odpovedať Hodnotiť:

jjjjjjjjjj Od: jozef32 | Pridané: 24.2.2010 12:17 najblbsi Odpovedať Známka: 1.2 Hodnotiť:

BLBCI NA ČELE Od: Redo | Pridané: 24.2.2010 12:33 Ne-ne-ne, oni majú slogan správny. Najlepší idu za nami. BLBCI SÚ VŽDY A VŠADE NA ČELE !!! Odpovedať Známka: 7.8 Hodnotiť:

Re: BLBCI NA ČELE Od: MATTTOooo | Pridané: 25.2.2010 18:47 Tomu sa hovori stado vede vuuuul :D Odpovedať Hodnotiť:

Re: BLBCI NA ČELE Od: Bozzzzzzzz | Pridané: 27.2.2010 15:33 Stado vede Fico Odpovedať Hodnotiť:

Re: BLBCI NA ČELE Od: lopata | Pridané: 25.2.2010 20:43 na cele je bud autoskola alebo avia Odpovedať Známka: 10.0 Hodnotiť:

Spending Report a FB Od reg.: TheSalko | Pridané: 24.2.2010 12:42 Síce som to neštudoval podrobne, ale prečo pri navštívení stránky: http://www.spendingreport.sk/mozaika-vydavkov a kliknutí "Vytvoriť mozaiku výdavkov" som presmerovaný na Facebook?? To už akože Facebook je všade, aj v bankách?? Odpovedať Známka: 8.6 Hodnotiť:

Re: Spending Report a FB Od: dnes má meniny Matej, rik, | Pridané: 24.2.2010 13:39 LoL ! Odpovedať Známka: 6.2 Hodnotiť:

Re: Spending Report a FB Od: jablko | Pridané: 24.2.2010 14:45 TrOL ! Odpovedať Známka: 7.0 Hodnotiť:

Re: Spending Report a FB Od: fotograf | Pridané: 24.2.2010 15:30 To nemyslíš vážne?! A keď hej, tak je to riadny blud... Odpovedať Známka: 7.1 Hodnotiť:

Re: Spending Report a FB Od: 0dee | Pridané: 24.2.2010 19:27 potvrdzujem, aj mna to tam hodilo z TB na FB :) Odpovedať Známka: 8.9 Hodnotiť:

Re: Spending Report a FB Od: rouen | Pridané: 24.2.2010 16:21 odpoved na tvoju sugestivnu a napriek tomu hlupu otazku ma 2 slova : facebook connect (ak nezapina, skus ine dve : single sign-on) Odpovedať Známka: -7.5 Hodnotiť:

Re: Spending Report a FB Od reg.: TheSalko | Pridané: 24.2.2010 18:54 Čo by malo zapínať?? Mňa zaujíma, čo má spoločné banka a facebook. Facebook je sociálna sieť, kde sa predovšetkým zviditeľňujem. Banka je zase moje súkromie, do ktorého si nechcem nikoho pripustiť. Takže keď sa zaujímam o produkt ohľadom osobných financií a výdavkov, tak čo mi do toho niekto montuje Facebook?? Už len čakám, keď otvorím plechovku s olivami a aj tam bude facebook... Odpovedať Známka: 8.9 Hodnotiť:

Re: Spending Report a FB Od: rouen | Pridané: 25.2.2010 9:20 ak nevidis rozdiel medzi bankovym informacnym systemom a strankou reklamnej kampane (kde je facebook login postacujuci ba mozno este vhodnejsi), tak by si to nemal pouzivat.... Odpovedať Známka: 7.5 Hodnotiť:

Re: Spending Report a FB Od: ................ | Pridané: 24.2.2010 17:22 asi preto, ze to nie je stranka spendingreport-u od TABy :)... Odpovedať Známka: 3.3 Hodnotiť:

Re: Spending Report a FB Od reg.: TheSalko | Pridané: 24.2.2010 18:29 A komu asi tak patri ta stranka? Preklikal som sa na nu zo stranok tatrabanky... Proste banka a facebook mi nejdu dokopy... Odpovedať Známka: 10.0 Hodnotiť:

Re: Spending Report a FB Od: ..................... | Pridané: 24.2.2010 20:05 Domain-name spendingreport.sk Admin-id ZARA-0003 Admin-name Zaraguza s.r.o. Admin-legal-form s.r.o Odpovedať Známka: 7.1 Hodnotiť:

Re: Spending Report a FB Od reg.: TheSalko | Pridané: 24.2.2010 20:39 Tak sa tam skús preklikať zo stránky tatrabanky a potom skús komentovať... Odpovedať Známka: 5.0 Hodnotiť:

Re: Spending Report a FB Od: ........... | Pridané: 24.2.2010 20:07 Domain-name tatrabanka.sk Admin-id TBAN-0001 Admin-name Tatra banka, a.s. Admin-legal-form akciova spolocnost Odpovedať Známka: 6.7 Hodnotiť:

Re: Spending Report a FB Od: yogi007 | Pridané: 25.2.2010 8:49 Ano, FB je aj v bankach, ale z banky sa k nemu nedostanes, len z domu (aspon z fatra banky nie... :o) Odpovedať Hodnotiť:

Re: Spending Report a FB Od reg.: Domer.PDo | Pridané: 25.2.2010 14:37 Tiez nie je celkom pravda... Odpovedať Hodnotiť:

Dobre rano Od: aleluja | Pridané: 24.2.2010 12:58 No nic v zlom, ale VUB je na tom este horsie, staci 2x (mozno ze to zmenili na 3x) sa zle prihlasit a byebye, na VUB tel. linke sa vas budu pytat asi tak .. ehm 10 otazok, a potom minutu rozmyslat ci vam daju heslo alebo nie, a ci ist do banky alebo nie.. Staci vediet rodne cislo obete a problem je na svete.. Odpovedať Známka: 10.0 Hodnotiť:

Re: Dobre rano Od: aleluja | Pridané: 24.2.2010 12:59 Este ma napadlo... celkom fajn sposob ako niekomu zabranit v zaplateni faktury.. a potom is uctovat penale.. Odpovedať Známka: 8.9 Hodnotiť:

Re: Dobre rano Od: aleluja | Pridané: 24.2.2010 13:01 A je tu este jedna vec, co takto zablokovat pristup na povedzme 15 minut po zadani zleho hesla? Jedno heslo za 15 minut, to je 99 hesiel (24*4+3na rozstrel) za den, relativne malo na uhadnutie spravneho hesla.. Odpovedať Známka: -5.0 Hodnotiť:

Re: Dobre rano Od: hulo | Pridané: 24.2.2010 13:24 A aký je rozdiel medzi tým, čo si teraz navrhol a tým, čo robí TatraBanka? po zadaní 3x nesprávneho hesla zablokujú účet na 5 minút. Ak ale počas tých 5 minút spravíš ďalší pokus o prihlásenie, blokácia sa predĺži(napíšu Ti, dokedy je účet zablokovaný). Ak sa budeš snažiť napriek oznamu o zablokovaní znova a znova prihlásiť, budú účet blokovať dlhšie a dlhšie. Pri tom Tvojom nápade by si už po prvom preklepe čakal ako lolo 15 minút. A ako zlomyseľník by som si spravil skript, ktorý by sa pokúsil prihlásiť na Tvoj účet každých 15 min. a bol by si v <> rovnako ako teraz v TB. ...tudy tedy cesta nevede... Odpovedať Známka: 7.8 Hodnotiť:

Re: Dobre rano Od reg.: OmeGa | Pridané: 24.2.2010 15:05 tu sa bavia o VUB, kde aj legitimny zakaznik sa 2-3x preklepne [napr capslock] a nemoze sa prihlasit do odblokovania uctu cez fon or osobne... Odpovedať Známka: 8.0 Hodnotiť:

Re: Dobre rano Od: obet | Pridané: 24.2.2010 15:34 jojo vies o com rozpravas -- stalo sa to tu niekolko krat haha :] Odpovedať Známka: 7.5 Hodnotiť:

Re: Dobre rano Od: trhtrhtrh | Pridané: 24.2.2010 16:04 ja ten ich internet banking nepouzivam cize mna to netrapi ...asi som prilis paranoidny ale jak to tu tak citam tak moja paranoja je niekdy aj opodstatnena .... neverim bezpecnosti internet bankingu neverim paypalu ani nicomu co naraba z peniazmi cez internet Odpovedať Známka: 2.0 Hodnotiť:

Re: Dobre rano Od: aleluja | Pridané: 24.2.2010 16:12 No je tam ista nedovera :-) Ista nedovera je aj k USD aj k EUR, co ak nam to padne.. Ale kd musis tak musis :D (k tomu IB) Odpovedať Známka: 7.1 Hodnotiť:

Re: Dobre rano Od reg.: noobik | Pridané: 24.2.2010 16:17 no ked chodis nakupovat len do potravin pod blokom tak ti to naozaj netreba. Ked potrebujes niekomu zaplatit a viac ti vyhovuje sa s nim osobne stretnut, alebo ist na postu vysta radu zaplatit postovne tak tiez ti to netreba. Otazka je naco ti je vobec banka? Odpovedať Známka: 7.5 Hodnotiť:

Re: Dobre rano Od reg.: Pjetro de | Pridané: 25.2.2010 8:09 No ked si budes chciet kupit ucet na rapidshare, tak asi musis letiet do svajcu (svajciarska) a tam to niekde do nejakej banky vlozit, najprv musis vediet do akej a ma aky ucet. Dost blbe. Nebolo by naaaaaaaaaaaahooud jednoduchsie napr. na www.brapid.sk si ucet kupit a zaplatit jednoduchym bankovym prevodom so slovenskej banky do slovenskej banky a o ostatne sa postara brapid za 2-3-4-5 €? Odpovedať Známka: -3.3 Hodnotiť:

Re: Dobre rano Od: gwqgrergerg | Pridané: 25.2.2010 8:49 existuje aj rapidko.sk posles sms a mozes tahat .. na rapidshare ja osobne nemam co dat .. Odpovedať Známka: 10.0 Hodnotiť:

Re: Dobre rano Od reg.: marko358 | Pridané: 25.2.2010 16:28 a čo tak použiť paypal ? expresne rýchle keď ho už máš založený. Odpovedať Hodnotiť:

Re: Dobre rano Od reg.: gandor | Pridané: 24.2.2010 13:25 Praveze by som tam hodil nejaky rozsah... Inak si utocnik nastavy system, ze presne po 15 minutach a 1 milisekunde ta blokne znova.... Ked da rozsah, tak bezny realny uzivatel ma aspon malu sancu sa prihlasit... :) Odpovedať Známka: 0.0 Hodnotiť:

Re: Dobre rano Od: aleluja | Pridané: 24.2.2010 15:12 jaaaj, no jo, neviem preco, ale nejak som si domyslel ze ten utocnik sa tam chce aj dostat :D hulo a gandor tak mate pravdu, ten moj 3. prispevok bol velmi odveci. Odpovedať Známka: 10.0 Hodnotiť:

Re: Dobre rano Od reg.: cinko | Pridané: 24.2.2010 15:47 lenze do IB sa prihlasujes pomocou PID a nie cisla uctu takze by si najrpv musel poznat vztah medzi tym PID a cislom uctu... Odpovedať Známka: 5.0 Hodnotiť:

Re: Dobre rano Od: KoCi | Pridané: 24.2.2010 16:38 Ty poznas PID konkretneho klienta? Vyslovene by si to musel robit len kvoli zaskodnosti, z ktorej ale nijako nedokazes profitovat. Navyse, aj toho najvacsieho zaskodnika prestane bavit repetitivna zaskodnicka cinnost, ked nevidi reakciu poskodeneho a teda nevie si ani domysliet, ako velmi (ak vobec) ho to serie. Takze je otazne, ci sa takouto banalitou vobec zaoberat. Odpovedať Hodnotiť:

Re: Dobre rano Od: presn tak | Pridané: 24.2.2010 17:55 presne tak, a ako mam skusenost s TB, cez DialogTB by som to vyriesil za chvilu celu transakciu a ten bloknuty internet banking by mi ani na 15 minut nevadil Odpovedať Hodnotiť:

Re: Dobre rano Od reg.: pistiacik | Pridané: 24.2.2010 20:00 nehovorim ze vub je ideal ale kecas kraviny lebo 1. k vub potrebujes rodne cislo respektyve osobne idetifikacne cislo a potom az zadavas pin a heslo 2. sice po zadani 3 nespravnyh pinov respektyve hesiel zablokuju pristup ale cez telefon jednoducho odblokujes pristup 3. na telefonicke odblokovanie potrebujes osobne idetifikacne cislo (rod.c) pin a heslo, pin zadavas celi potom sa ta operator operator opyta na poziciu z hesla a da ti kontrolnu otazku tym je tvoj pristup odblokovany a mozes sa prihlasovat P.s.: mozno niekomu pridem ako mantak ale mam dva internet bankingy a dost sa mi plietly piny cize som si zablokoval vub tak 2-3 krad do tyzna tak si mozete byt isty ze co tu pisem poznam dvoverne a neaky kecalek co tu trepe 2 na 3 je fakt fajn. Odpovedať Hodnotiť:

Re: Dobre rano Od reg.: pistiacik | Pridané: 24.2.2010 20:05 este napr taka mbanka na slovensku ma pin a heslo ano to je asi podobne ako tatra banka ale sa mi zda ze mbank ma na rozdiel od tatra banky nahodny pin a hlavne nema tie piny niako posebe a su asi fakt uplne nahodne je to 8 miestne cislo cize pomerne dost vela moznosti no a poznam este cesku banku ebank a ta to mala perfektne zadali ste idetyfikacne cilo sa mi zda ze rodne a na mobil vam prislo heslo a inak ste sa na ucet neprihlasili xi xi Odpovedať Hodnotiť:

Re: Dobre rano Od: aleluja | Pridané: 24.2.2010 22:12 No sa som volal do VUB pre obnovenie hesla pred 2 rokmi, ten telefonat so slecnou trval 10 minut :D Pytala sa velmi vela otazok, myslim ze vsetky tie (4) bezpecnostne otazky a este mnoho viac.. Asi to uz zmenili To bol moj jediny socialny kontakt v danom tyzdni, cize sa na to neda zabudnut. Ale rodne cislo sa da zistit pomerne jednoducho a ak keby nie, da sa tipnut ;) avsak treba vediet datum narodenia. Pravdupovediac, tak ako sa vacsina ludi dnes spravaju to nebude najmensi problem. mBank ma PIN nahodny.. Teda pokial viem, a co som mal moznost vidiet. Mozno by bolo idealnejsie mat citacky/SMS overenie a aj ked by clovek zadal zle heslo, musel by zadat overovacie cisla, aby mu to vyhodilo ci to je dobre, alebo zle heslo. Mozno to zaberie zbytocnu namahu pre klienta, avsak nebolo by takto mozne nic zablokovat, a ani uhadnut. Teda pokial by nemal utocnik pri sebe citacku/SIM kartu.. Povedzme taka DEXIA neobnovuje heslo do IB cez telefon. Pan na linke mi tam povedal ze musim ist do pobocky :) Odpovedať Hodnotiť:

Re: Dobre rano Od reg.: Pjetro de | Pridané: 25.2.2010 8:14 aj ked poznas datum narodenia, rodne cislo uhadnes len s pravdepodobnostou 1:909, nakolko hadas len posledne stvorcislie a ako vieme kazde rodne cislo je delitelne jedenastimi :-) sancu by mohli zvysit nejake statistiky, kolko ludi sa v dany den v CSR, CSSR, CSFR, SR narodilo :-) Odpovedať Hodnotiť:

Re: Dobre rano Od: hulo | Pridané: 25.2.2010 9:45 Ak vieš, z ktorého mesta je daný človek(ak vieš rodné číslo, toto by si mohol vedieť) a vieš, ktorú sadu číslic za lomkou používa-la miestna pôrodnica(okres), šance stúpajú. :-) Odpovedať Hodnotiť:

nie je to prvy krat Od reg.: petox | Pridané: 24.2.2010 13:49 co synopsi na svojom blogu uverejnil zranitelnost ib nasich bank... zaujimave je, ze tb tam ale vyskocila vzdy ako problem :-P Odpovedať Známka: 10.0 Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: roob_ | Pridané: 24.2.2010 13:54 ved to maju dobre. Problem je len, ze by po 3 nespravnych heslach mali zablokovat danu IP, nie vsetky IP. Na 24 hodin. Odpovedať Známka: 3.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: roob_ | Pridané: 24.2.2010 13:55 a poslat notifikacnu sms/email o neuspesnom prihlaseni. Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: aleluja | Pridané: 24.2.2010 15:14 Tak to robi napr VUB (mozno aj iny) a su zadarmo (teda aspon dufam) a kazde uspesne/neuspesne prihlasenie pekne odosle SMS :) Odpovedať Známka: 6.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: illi | Pridané: 26.2.2010 10:19 a utocnik si len zmeni IP a moze spokojne pokracovat v utoku.. super Odpovedať Hodnotiť:

-------- Od: Bobobo | Pridané: 24.2.2010 14:29 Je tam toho... Este pred casom (odvtedy som to nepozeral) bolo mozne vymknut vsetkych registratorov domen na SK-NICu - zo zoznamu domen stacilo rozparsovat nazvy registratorov, hodit to do skriptu a za par minut by boli vsetci vymknuti... Odpovedať Známka: 5.0 Hodnotiť:

PDA wifi Od: :-) | Pridané: 24.2.2010 17:02 Podla mna by sa vsetko vyriesilo tym, keby sa prihlasoval so svojim PDAckom vo velkom kancli na firemnej Wi-Fi a nechaval by si logy posielat priamo na tlaciaren Odpovedať Známka: 8.8 Hodnotiť:

advert Od: risototh | Pridané: 24.2.2010 19:00 Preco mam pocit, ze pan bezpecnostny analytik zo spolocnosty synopsi prave objavil ameriku? To snad napadlo kazdeho, kto tam uz niekedy napisal zle heslo. Tento clanok beriem iba za predpokladu, ze spominany pan si chcel zdarma urobit reklamu, inak ma nulovu informacnu hodntu. Odpovedať Známka: 10.0 Hodnotiť:

Re: advert Od: risototh | Pridané: 24.2.2010 19:02 och, aku hrubku som spravil... spravne by tam samozrejme malo byt spolocnosti... Odpovedať Známka: 5.0 Hodnotiť:

Re: advert Od: cinko@home | Pridané: 24.2.2010 21:45 vies este to asi nevedel kazdy takze to nebolo dost zneuzivane :)) Odpovedať Známka: 10.0 Hodnotiť:

Re: advert Od: Angerfist | Pridané: 25.2.2010 1:03 To je taky analytik ako za korunu pitcha.Ako vsetci analytici darmozraci. Na podobnu vec som uz upozornoval aj vo fore mBank: http://tinyurl.com/y87ly43 Odpovedať Známka: 3.3 Hodnotiť:

Nic nove pod slnkom Od: uiuiug | Pridané: 24.2.2010 21:33 Nic noveho, ze banky maju dosti napikacu internetbankingy... Ja v dvoch, co sporadicky pouzivam som reportoval asi 6 chyb, pricom dve boli zavazne... tie dve fixli behom troch mesiacov, ale na ostatne sa akosi kasle a bude to az v novej verzii systemu... To ako keby studaci mali na starosti cely vyvoj a nielen kodenie... Odpovedať Známka: 10.0 Hodnotiť:

NECHAPEM, O COM PISU TIE DETI? Od: DETI | Pridané: 25.2.2010 9:52 NECHAPEM, O COM PISU TIE DETI? CHODTE DO SKOLY! Odpovedať Známka: -5.0 Hodnotiť:

Pridať komentár