Pozostań przy zdrowych zmysłach i zachowaj życiową równowagę.
Blog > Komentarze do wpisu
Bankowość internetowa bez stresu

Październik do niedawna jednoznacznie kojarzył się z oszczędzaniem. Ostatnio stał się też miesiącem premier kolejnych wersji Ubuntu - najpopularniejszej, pieczołowicie przygotowywanej dla zwykłych ludzi, dystrybucji systemu operacyjnego Linux. W zadziwiający sposób te dwa październikowe skojarzenia prowadzą nas do tematu dzisiejszego wpisu, czyli bezpiecznej bankowości internetowej.

Ostatnio temat ten wywołał publicysta Washington Post, Brian Krebs w artykule Avoid Windows Malware: Bank on a Live CD. Większość użytkowników nie chce, bądź nie może zrezygnować z Microsoft Windows jako podstawowego środowiska pracy. Niestety, niezależnie od wysiłków czynionych ostatnio przez firmę z Redmond, system ten jest siedliskiem dziur umożliwiających przejmowanie haseł dostępu do kont bankowych oraz głównym celem ataku cyberprzestępców. Linux - przede wszystkim ze względu na mniejszą popularność, jak i jawność kodu - jest powszechnie uważany za najbezpieczniejsze oprogramowanie systemowe dostępne dla przeciętnego użytkownika.

Najprostszą metodą pogodzenia tych dwóch, sprzecznych ze sobą wymagań jest używanie komputera pracującego pod kontrolą Microsoft Windows do wszystkiego oprócz bankowości internetowej, a do bankowości internetowej Linuksa.

Aby zrobić to w sposób lekki, łatwy i przyjemny powinieneś skorzystać z dysku CD z dystrybucją Linux Ubuntu Live. Jego obraz możesz pobrać ze strony Get Ubuntu i zapisać na dysku CD.

Każdorazowo, gdy będziesz chciał wystartować komputer z dysku CD, podczas startu wciśnij klawisz wywołujący "BOOT MENU" (na ekranie powinna być podpowiedź, który to klawisz) i wybierz z wyświetlonego menu pozycję "CD-ROM". Ubuntu uruchomi się nie psując systemu Windows, który masz zainstalowany na twardym dysku. Następnie uruchom przeglądarkę Firefox (jej ikona powinna być widoczna na "belce" u góry ekranu) i wpisz adres internetowy swojego banku. W tym momencie możesz być pewny, że żaden intruz nie podejrzy twojego hasła i treści przeprowadzanych transakcji (o ile oczywiście bank prawidłowo stworzył swój system obsługi bankowości internetowej).

Od kilku lat stosuję podobną metodę. Udało mi się wygospodarować osobny komputer, który jest przeznaczony tylko i wyłącznie do bankowości internetowej. Zainstalowałem na nim Linuksa Ubuntu i nigdy nie wchodzę za jego pomocą na strony internetowe niezwiązane z transakcjami bankowymi. Skomplikowane hasła dostępu wygenerowałem za pomocą strony Perfect Passwords (darzę ją pełnym zaufaniem) i zapisałem na dysku USB, który przechowuję w zupełnie innym miejscu niż komputer.

Stosowanie Linuksa jako środowiska dostępu do bankowości internetowej jest jednym z istotnych elementów mojego BIZNESU BEZ STRESU, czego i tobie życzę.

czwartek, 29 października 2009, testeq
Komentarze
Gość: ORGINAL REPLICA, 188.33.99.*
2009/10/29 09:14:30
Jeśli to działa, to rewelacja.
Poświęciłbyś temu sposobowi ze 2 kolejne opisy i przedstawił tak dokładnie jak w przypadku Kindla?
Ja, jak prawdopodobnie większość, nie mam możliwości posiadania osobnego kompa do spraw bankowych.
Chyba ilość zadowolonych czytelników przekroczy oczekiwania.
Salve!
-
frugal
2009/10/29 09:18:23
Świetny pomysł. Nigdy - będę szczery - nie przyszło mi do głowy inne wykorzystanie płyt typu Live CD do czegokolwiek innego niż przegląd możliwości systemu.
PS Jeszcze dwa/trzy lata temu, gdy mówiło się Linux, to myślało się Mandriva, SuSe, Ubuntu i parę innych. Dziś, gdy pojawia się hasło Linux, to prawie zawsze: Ubuntu. Czyżby pierwszy krok do upowszechnienia jednej tylko dystrybucji?
-
szarex
2009/10/29 09:37:33
To nie system jest tu najważniejszy. Fakt, jeśli na Windows zainstaluje się jakiś program, który będzie przechwytywał naciskane klawisze, może uzyskać hasło dostępu do konta. Mając hasło można jednak tylko sprawdzić stan konta i ilość lokat. Bez listy haseł jednorazowych nie można zrobić nic więcej. Nie można komuś wyczyścić konta bo do tego potrzebna jest lista haseł jednorazowych. I tu dochodzimy do sedna sprawy. Włamywacze bankowi czyhają właśnie na hasła. Stąd powtarzane już do znudzenia informacje, że bank nigdy nie poprosi nas o hasła jednorazowe.

Oczywiście można chcieć aby nikt nie poznał nawet stanu naszego konta i wtedy można stosować silne hasła i systemy, których keyloggery się nie imają, ale podstawą jest to aby pamiętać o tym, że bank nigdy nie prosi o listę haseł jednorazowych. Żadne nawet najlepsze zabezpieczenia nie pomogą, jeśli użytkownik nie jest świadomy niebezpieczeństw.

A jeśli chodzi o hasła dostępu stosuję taką metodę. Przykładowo mam hasło 123456. Ale aby oszukać potencjalne keyloggery nie wpisuję go od początku do końca lecz np.

- najpierw 34
- klikam przed liczbą 3 i wpisuję 12
- klikam za liczbą 4 i wpisuję 56

wówczas keylogger zapisuje hasło w postaci 341256 podczas gdy moje hasło to 123456.
-
Gość: zoom23, 83.1.103.*
2009/10/29 09:48:20
Fajny sposób z tymi keyloggerami. Choć wg. mnie to przesada, z samych hasłem do kont w polsce sobie nie pohasaja, wszedzie i tak sa hasla jednorazowe...

PS: Do analizy budżetu domowego na kontach internetowych używam kontomierz.pl - trochę w stulu mint.com i się nie boję. Wg. mnie korzyści z jego używania są duże wieksze niz zagrozenia
-
Gość: Torlin, *.neoplus.adsl.tpnet.pl
2009/10/29 10:10:51
Ja nie jestem tak doświadczony w komputerach, niektóre części wypowiedzi komentatorów Mister Tes Teqa są dla mnie czarną dziurą. Ja z bankiem robię tak: oprócz numeru konta muszę podać hasło, ale jest ono przedstawione w okienku tylko czasami kompletne, w większości jest to od 9 do 13 pierwszych znaków, muszę wstawić tylko niektóre (te, co są opatrzone kropeczkami - nie muszę), a na dodatek używam klawiatury wirtualnej (czyli klikam myszką). Wszelkie wypływy z konta są związane z sześciocyfrowym numerem, który dostaję na komórkę (można to nazwać tokenem), a te numery jednorazowe w komórce są również numerowane. Ja nie jestem praktykiem bankowości, ale wydaje mi się, że jeżeli nie będzie włamania do samego banku, to nie można mi wyciągnąć pieniędzy.
-
Gość: Leszek Cyfer, *.perfekt.pl
2009/10/29 10:20:06
Linux daje możliwość uruchomienia tzw. maszyny wirtualnej - przeglądanie internetu poprzez nią jest jak użycie jednorazowego komputera i spalenie go po użyciu - cokolwiek by się chciało doczepić ginie :)
-
testeq
2009/10/29 10:46:16
@wszyscy: Zastosowanie osobnego Linuksa (najlepiej wczytywanego z niezmiennego obrazu zapisanego na płycie CD) zabezpiecza przed uruchomieniem malware'u - oprogramowania służącego między innymi do kradzieży naszych pieniążków z konta bankowego.

W najprostszym przypadku malware jest keyloggerem, który zapamiętuje naciskane klawisze (w tym hasła dostępu) i wysyła je do złoczyńcy.

Jednak zaawansowane, dedykowane ataki polegają na przechwytywaniu komunikacji z bankiem i jej modyfikowaniu. Dopiero ostatnio Microsoft załatał dziurę umożliwiającą wykorzystywanie fałszywych certyfikatów uwierzytelniających tę komunikację, ale nie wiemy, gdzie są inne luki w systemie. Na taki zaawansowany atak podane przez Was sposoby nie są skutecznym antidotum, ponieważ złodziejskie oprogramowanie wyświetla użytkownikowi nie to, co wysłał bank i przesyła do banku nie to, co wprowadził użytkownik (za wyjątkiem hasła i haseł jednorazowych). Tak więc, korzystając z pomocy samego użytkownika, malware może wysłać 20 000,- zł. "niewiadomo-gdzie" zamiast 97,50 zł do zakładu energetycznego.
-
Gość: Wojtek Myszka, *.ssp.dialog.net.pl
2009/10/29 17:58:49
Taki Linux instalowany z płyty bardzo utrudnia też instalowanie przez uprawnione służby oprogramowania szpiegowskiego. No, wiem że tego nie boi się żaden porządny biznes(men), ale i tak.
-
Gość: ORGINAL REPLICA, 188.33.52.*
2009/10/29 20:23:39
Ale jak to - klawisz po klawiszu - zrobić?
Nie umiem zapisac Ubuntu na CD. To może jest trywialnie proste, ale...
-
testeq
2009/10/29 21:03:06
@Wojtek Myszka: Z drugiej strony wadą Ubuntu Linux Live jest to, że obraz na CD nie jest aktualizowany poprawkami, ale jeśli wchodzi się tylko na stronę swojego banku, to nic nie ma prawa zainstalować się w pamięci komputera.

@ORGINAL REPLICA: Na stronie pobierania Ubuntu www.ubuntu.com/getubuntu/download jest odnośnik do instrukcji nagrywania płyt CD: help.ubuntu.com/community/BurningIsoHowto

Niestety narzędzia systemowe Windows nie umożliwiają nagrania obrazu całej płyty (plik ISO), więc trzeba podeprzeć się programem dodatkowym. W polskich komputerach często widziałem zainstalowany program Nero Express, więc może masz już coś takiego w swoim komputerze.
-
Gość: bmas, *.neoplus.adsl.tpnet.pl
2009/10/29 23:09:21
Nie rozumiem jakie zagrożenie stwarza dziurawy Windows?
Ba. Nie rozumiem jakiego typu zagrożenie stwarza Windows np. XP bez żadnego Service Packa, bez antywirusa, bez firewalla z nawet BA! zainstalowanymi backdoorami itp. - pracujący na łączu stałym przez miesiąc - i wtedy przelanie pieniędzy na konto jakieś.

Jedyne zagrożenie stwarza typu: podejrzenie danych transakcyjnych i stanu konta itp. Pieniądze nie mogą zostać wykradzione ponieważ każdy szanujący się znany mi bank wymaga poza zalogowaniem się za pomocą loginu i hasła podania JEDNORAZOWEGO KODU SMS z LISTY KODÓW JEDNORAZOWYCH lub...często zamienianych na jednorazowy kod przychodzący SMS'em (i tu przestać mi dywagować o przechwyceniu smsa) - to dotyczy użytkowników domowych.

Co do firmowych kont? Oto co trzeba znać żeby wykraść pieniądze:
- login i hasło
- mieć klucz w postaci pliku
- znać do tego klucza hasło
- znać kod sms
- a jeśli powyższe nie poza logowaniem się - mieć fizyczny dostęp do czytnika kart procesorowych, do karty procesorowej i znać PIN który jest w pamięci ludzkiej.

Mało tego. Gdy ktoś zaloguje się na konto i chciałby zmienić limit dzienny żeby przelać większą kwotę niż ustanowiona a która to przekracza limit miesięczny - transakcja jest wstrzymywana i dzwoni od razu pracownik banku na zdefiniowany wcześniej numer zaufany i zadaje szereg pytań potwierdzających chęć wykonania a później na zasadzie ograniczonego zaufania zadaje min. 10 pytań których złodziej nie jest w stanie znać.

MOŻE ktoś mi wyjaśnić jak wielkim imbecylem albo jak mongolsko-kambodżańskim bankiem trzeba być żeby nawet po spełnieniu warunków z akapitu pierwszego dać się okraść???

TESTEQ te bawienie się w live CD to strata cennego czasu. Wystarczy kompletnie połatany Windows, jakiś X Internet Security (KIS albo NIS) + szereg zabezpieczeń które wymieniłem a które jeden z polskich banków stosuje w którym jestem i STARCZY.
-
testeq
2009/10/30 05:40:53
@bmas: Starałem się to wyjaśnić w komentarzu @wszyscy. Chodzi o ataki typu "man in the middle". Szczegóły możesz znaleźć między innymi w świetnym podcaście "Security Now".

Oczywiście im więcej zabezpieczeń, tym trudniej jest napisać oprogramowanie realizujące tego typu atak. Zabezpieczenie kartą procesorową jest bardzo dobre, ale użytkownikom indywidualnym wystarczy CD z Linuksem - to co najmniej 100 razy tańsze rozwiązanie.
-
Gość: Wojtek Myszka, 78.8.138.*
2009/10/31 19:33:08
@Testeq:
1. Jeżeli chodzi o Ubuntu, to wydania są dwa razy do roku. W pewnych sytuacjach można uznać, że to wystarczy. Taka dystrybucja Live od producenta daje też niezłą pewność, że nie ma tam nic dziwnego.
2. Procedura tworzenia własnej płyty LiveCD jest skomplikowana, ale nie aż tak bardzo. Jest opisana na kilka sposobów i jak się wydaje możliwa do odtworzenia. Procedura taka często bazuje na istniejącej instalacji (i tu nie można już być pewnym, że nic się nie doinstalowało). Jeżeli się na coś takiego zdecydować, można mieć poinstalowane nie tylko aktualne wersje aplikacji, ale także oprogramowanie, które jest niezbędne

Poza tym... W każdym przypadku trzeba sobie policzyć ile trzeba stracić żeby się zabezpieczyć i ile można stracić, jeżeli się nie zabezpieczyć.

A biorąc pod uwagę najnowsze prace legislacyjne (pisze o tym VaGla: Zdalne przeszukanie komputerów obywateli i policyjne trojany w projekcie nowelizacji polskiej ustawy o Policji) to za chwilę będziemy mieli trojany szpiegowskie. Ja wiem, że żaden porządny biznesmen nie musi się tego obawiać, ale jak coś takiego zainstaluje konkurencja?
-
testeq
2009/11/01 20:00:11
@Wojtek Myszka: Wpis był związany z październikiem, więc nie wspomniałem o wydaniach kwietniowych.

Stosunkowo trudno jest coś dokleić do obrazu ISO płyty CD.

Nie wiem, jaki jest projekt legalizacji szpiegowskiego oprogramowania dla policji. Na miejscu policji dążyłbym do wprowadzenia zapisu, że zabezpieczanie się przed takim oprogramowaniem też stanowi wykroczenie. I to wcale nie jest śmieszne...
-
Gość: grx, *.adsl.inetia.pl
2009/12/23 13:24:35
1. zgodzę się co do aktualności live ale na www.distrowatch.com/ jest tego dużo (polecam slax i inne dystrybucje nie będące "all in one"; im więcej kodu tym większa szansa na błąd/lukę)
2. kiedyś był linOS dedykowany do tych spraw ale teraz stał się zdezaktualizowany
3. co do haseł jednorazowych to się nie zgodzę w 1 kwestii: można wysłać komuś wszystkie pieniądze na konto zakładu energetycznego jeśłi ma go w odbiorcach zdefiniowanych a używanie konta bez tych odbiorców jest kłopotliwe; potem odzyskuj te pieniądze o la la
4. jak ktoś już pozna nasze hasło to ma wszystkie nasze dane osobowe i może ... tu niech zadziała wyobraźnia

-
testeq
2009/12/24 08:13:37
@grx: Masz rację. Korzystanie z alternatywnego Linuksa z dysku CD jest solidnym zabezpieczeniem, ale oczywiście nie stuprocentowym.
-
Gość: bp, *.neoplus.adsl.tpnet.pl
2010/11/22 23:10:20
Autor mógłby jeszcze napisać, jak skonfigurować internet np. neostradę pod ubuntu live CD i dopiero wtedy artykuł miałby prawdziwą wartość.
-
testeq
2010/11/23 06:56:27
@bp: Autor nie wie. Autor podłącza komputer z Ubuntu do rutera dostępowego Neostrady z 4 portami Ethernet, który to ruter automagicznie przydziela adres IP i już.

Napisz do mnie na adres:

adres zwrotny autora


Creative Commons License

Ten utwór jest dostępny na
licencji Creative Commons
Uznanie autorstwa-Użycie niekomercyjne
.