Home > Blog, Kompjuteri > Poštanska Štedionica i sigurnost Homebanking-a
Share

Poštanska Štedionica i sigurnost Homebanking-a

January 21st, 2009 Milan Milošević Leave a comment Go to comments

Poštanska štedionica bila je jedna od prvih banaka kod nas koja je uvela neke osnove Homebankinga. Bez mesečne pretplate i nekih dodatnih zavrzlama moguće je pratiti sve promene na računu i vršiti plaćanja nekih usluga (uz proviziju, naravno). Dugo je sve funkcionisalo bez problema uz neke sitne nedostatke, i delovalo je koliko-toliko profesionalno. Od pre mesec  – dva situacija se drastično promenila.

Otišao sam na sajt Homeb@ankinga kao i ko zna koliko puta do tada i dočekalo me obaveštenje o tome da konekcija nije dovoljno bezbedna. Promenljen je sertifikat za bezbednost, a sertifikat koji je u opotrebi je “domaća proizvodnja” i nije odobren od strane nadležnih institucija.

Poštanska štedionica - HomebankingOk, sve radi i dalje ali isti ovakav “samopotpisan”  sertifikat mogu i ja da napravim, i pravio sam i koristio za neke moje potrebe. Ali ovo je BANKA! Postoji hiljadu načina da se ovakav način samopotpisivanja zloupotrebi. Nisu bez razloga izmišljeni sistemi potpisa, kontrole i svega ostalog što ide uz to. Mislim da nema mesta za filozofiju “verujujem vam na reč” u internet komunikacijama i bezbednosti, a ovo je upravo to – kao da sami napravite svoju ličnu kartu i da očekujete da vam neko veruje.

Poštanska štedionica je upravo to i uradila – izdala sama sebi ličnu kartu. Mogućnosti za zloupotrebu ovog načina potpisivanja su velike, npr “pecanje” (phishing). Ovakav sertifikat može lepo da završi posao ali…. deluje totalno početnički, amaterski i neozbiljno! U svakom slučaju bolje je nego da zaštita uopšte ne postoji… Naravno, ni pravilno potpisani sertifikati nisu 100% ganarcija sigurnosti, ali su u mogućnosti za zloupotrebu višestruko manjenego u ovom slučaju.

Related Posts

  1. Henri Poincaré
  2. Ko sme da ne forwarduje?
  3. 13. januar – Srpska – pravoslavna Nova godina
Categories: Blog, Kompjuteri Tags:

Autor: Milan Milošević

Urednik i vlasnik sajta. Dugogodišnji borac za razotkrivanje astrolagarija i ostalih kvazinauka na Internetu, i šire. Završava fiziku na Prirodno matematičkom fakultetu u Nišu, a najveći deo svog slobodnog vremena posvećuje popularizaciji i približavanju nauke mladima, astronomiji i slobodnom softveru.

  1. Sanja
    Sanja
    January 21st, 2009 at 20:11 | #1
    Reply | Quote

    Imas typo u naslovu :)

  2. mmilan
    Milan Milosevic
    January 21st, 2009 at 20:15 | #2
    Reply | Quote

    Expert za lov na greške ponovo u akciji :D

    Ispravljeno, hvala.

  3. Ivana
    Ivana
    January 21st, 2009 at 22:09 | #3
    Reply | Quote

    Sad nemaš b u naslovu :D Piše homeanking… :)

  4. mmilan
    Milan Milosevic
    January 21st, 2009 at 23:03 | #4
    Reply | Quote

    Hehehe, to “b” malo zeza… već sam ga ispravljao :lol:

  5. zsteva
    zsteva
    January 22nd, 2009 at 18:06 | #5
    Reply | Quote

    Ja se nadam da postoji jedna banka u srbiji koja ne koristi self-signed sertivikat :) ?

  6. mmilan
    Milan Milosevic
    January 23rd, 2009 at 00:55 | #6
    Reply | Quote

    hehehe kod njih se do skora nije bunio browser. Možda više neće da se izdvajaju iz društva :)

  7. Slavko Ilic
    Slavko Ilic
    January 23rd, 2009 at 19:11 | #7
    Reply | Quote

    hej… da se javim i ja :)
    ne bih ja generalno prihvatao tezu “bolje i ovakva zastita nego nikakva” :) osecaj lazne sigurnosti moze biti mnogo opasan :)
    kad znas da nemas zastitu, jos se nekako i pazis ali ako spavas na to uvo da si siguran i lepo se ususkas u filozofiju “nece to mene”.. huh.. :)

    p.s. ne kazem da je to primenljivo u ovom slucaju ali.. kao sto rece.. ovakve sertifikate moze svako da napise :) a i sajt im je tako tesko iskopirati :)

  8. Ketchua
    Ketchua
    January 24th, 2009 at 08:36 | #8
    Reply | Quote

    Cini mi se da Komercijalna banka ima sasvim solidan sistem e-bankinga. Od njih se kupi USB sa “elektronskim potpisom” i dobije se PIN kod koji mora da se ukucava svaki put. E sad, mislim da browser nije nikad pravio probleme sa sertifikatom, ali nisam siguran.

  9. mmilan
    Milan Milosevic
    January 24th, 2009 at 13:39 | #9
    Reply | Quote

    To je drugi tip zaštite. Elektronski potpis i PIN služe za identifikaciju korisnika, sprečavaju zloupotrebu računa od strane nekoga ko nije ovlašćen.

    Potpis banke radi drugo – on štiti korisnika od “banke”. Pomenuti sertifikat garantuje korisniku da sajt (na koji treba da unese šifru, potpis, PIN itd) pripada banci, a ne nekom drugom, ko pokušava da prevari korisnika.

    Nedostatak autorizovanog sertifikata omogućava nekom trećem da bukvalno klonira sajt, napravi skoro identičan sertifikat i preko različitih metoda dovede korisnike banke na svoj sajt i tako pokupi sve nijihove podatke.

  10. Ketchua
    Ketchua
    January 24th, 2009 at 18:59 | #10
    Reply | Quote

    Moja greska… Dobro, svakog dana naucimo po nesto novo. Hvala.

  11. Punky
    Punky
    January 24th, 2009 at 22:34 | #11
    Reply | Quote

    Samo ću da kažem “njaaaaaaaaah”…mrzim banke i njihove ideje o bezbednosti…i da s nadovežem, mrzim IE i tako to…u vezi sa bankama…

  12. mmilan
    Milan Milosevic
    January 24th, 2009 at 23:46 | #12
    Reply | Quote

    Poštanska štedionica radila je iz Linuxa :)

    O “samo za IE” filozofiji banaka neću da trošim reči…

  13. zsteva
    zsteva
    January 25th, 2009 at 10:51 | #13
    Reply | Quote

    @mmilan ma da, to je prica za sebe :)

    komercialna banka koristi halcomov sistem koji radi na linuxu iz firefoxa i (gore spomenuti) USB flash sa serfitikatom se moze (tj samo sertifikat) uvesti u ff i sve radi kao sat!

    (ako se neko ne snadje, nek ostavi komentar napisacu kako)

    dodushe ima tu i druga stana medalje, oni su pre nekog vremena “menjali sistem” pa neko vreme tu nishta nije radilo, a onda je neshto proradilo a neshto nije i tako u krug… da bi neshto posle nove godine dolazeci u banku da zavrshim neke transakcije saznao da mi je racun u minusu (debitni racun), jer je neko ponovo pustio “fajl sa transakcijama” za kartice iz decembra. Poshto je sluzbenik bio prvo vrlo grlat pokushavajuci da me ubedi da sam na bankovmatu skinuo pare koje su me odvele u minus (ne izvodljivo svi to znaju), onda kad sam mu pokazao duplu transakciju on je prvo gledao u ekran, pa zvao kolegu.. E u pola razgovora je poceo tako tiho da prica da se vishe nije culo kroz shalter shta se domundjavaju..

    BTW, od cetvrtka meridian banci “ne radi sistem” pa platni promet kod njih ne funkcionishe.

    Nije mesto za pitanje, ali imam utisak da domace banke zapadaju u probleme, i da ovi “ispadi sistema” nemaju veze sa tehnikom nego da oni jednostavno krpace-kraj-sa-krajem pa tako otkacinju mushterija, zadrzavaju njihova sredstva i slicno i tako prolaze kroz kratkotrajnu nelikvidnost. Nisam strucnjak za bankarstvo ni finansije, ali ozbljno sumnjam da se tu neshto sumljivo deshava i da ce pre ili kasnije to da pupuca… Ako nishta drugo banke gube tek steknuto poverenje u zadnju 5-6 godina.

  14. mmilan
    Milan Milosevic
    January 25th, 2009 at 13:29 | #14
    Reply | Quote

    Nisam korisnik Komercijalne banke, ali bilo mi je zanimljivo da proverim tvoju tvrdnju da su svuda self-signed sertifikati i neprijatno sam se iznenadio.

    Kada sam trazio Komercijalnu, naleteo sam na sajt banke iz Skoplja i sertifikat je bio Ok, ali video sam da sa jezikom nesto nije u redu :) Dalje pretrazivanje dalo je ili rezultat “instalirajte Windows” ili self-signed. Probao sam nekoliko banaka, jedini izuzetak je Société Générale).

    Ovo sto si napisao za Komercijalnu banku je lepa vest, znaci moze da radi i Linux – samo kad neko hoce (i zna) to da omoguci.

    Koristim Meridian banku i ne secam se koliko puta sam tamo usao a da se ne iznerviram. Pocev od komentara “idi u nase drugo predstavnistvo”, preko cekanja duzeg od tri nedelje da poniste neuspesna placanja (iz nekog razloga jedino njihove kartice ne rade na Skype), pa do slanja brojeva kartice e-mailom. Bezbednost i zastita podataka o licnosti zagarantovana :)

    Poslednji paragraf zvuci tako istinito, dodao bih jedino to da je jedan deo tehnickih problema prouzrokovan (ne)znanjem tehnickog osoblja (banke ipak nisu mesto gde neko treba da uci o mrezama, bezbednosti i ostalim tehnickim stvarima)

  15. Aleksandar
    Aleksandar
    January 26th, 2009 at 00:38 | #15
    Reply | Quote

    Koristim već više godina RSA token kod PŠ za elektronsko plaćanje i to radi lepo (iz linuxa). Što se tiče samopotpisanog sertifikata, zar nisu oni (Pošte Srbije) dobili licencu od države za izdavanje digitalnih potpisa? (nije isto, al je na tu foru :)

  16. mmilan
    Milan Milosevic
    January 26th, 2009 at 01:21 | #16
    Reply | Quote

    Dobro si primetio, a problem je nastao upravo tih dana kada su najviše pričali o digitalnom potpisu.

  17. zsteva
    zsteva
    January 26th, 2009 at 03:51 | #17
    Reply | Quote

    Provereno: http://sertifikati.ca.posta.rs/crl/PostaCARoot.crl
    ne koristi sertifikat izdat od strane Poste (tj zvanicnog issuera za nashu malu drzavu).

  18. zsteva
    zsteva
    January 26th, 2009 at 03:52 | #18
    Reply | Quote

    Pogreshan URL gore… ovo je url sa sajta za sertifikacte… :(
    trebao je da bude: https://hb.posted.co.yu/posted/index.html

  19. Aleksandar
    Aleksandar
    January 26th, 2009 at 06:50 | #19
    Reply | Quote

    A onda ne treba ništa da nas brine, samo da PŠ budu validovane i od strane međunarodnih izdavalaca sertifikata pa će postati „ovlašćeni“. A znaš da se kod nas sve sporo integriše u međunarodni sistem :)

  20. Punky
    Punky
    January 26th, 2009 at 07:23 | #20
    Reply | Quote

    Onda je to sa poštanskom štedionicom druga priča… no svestan si i sam kako je sa većinom banaka…stoga se ni ne odlučujem na sve to jer me izluđuje…

  21. Jaca
    Jaca
    January 26th, 2009 at 11:03 | #21
    Reply | Quote

    Cao svima! Treba mi jedna mala pomoć. Upravo radim diplomski rad na temu “e-usluge Poštanske štedionice”, pa ako neko ima nešto o samoj banci, nešto opširnije (jer na njihovom sajtu nema baš puunoooo)ili možda neki dr.sajt, bilo bi lepo da to podeli sa mnom.:) Hvala unapred!!! :)

  22. mmilan
    Milan Milosevic
    January 26th, 2009 at 12:55 | #22
    Reply | Quote

    @zsteva
    Ne znam koja je veza između PŠ i Pošte ali nisu mi baš jasni. Pošta je počela da izdaje sertifikate, a PŠ koristi sertifikat koji je izdala PŠ (vidi se na linku koji si postavio i na screenshoot-u u tekstu). “Malo” su haotični

    @Aleksandar
    Ima li neko pojma o tome šta se dešava sa “evro-atlantskim” integracijama digitalnog potpisa?

    @Punky
    Sam si kriv. Koristi Windows & IE :lol: Sajtovi banaka možda i prorade, a ostalo… pa ne treba.

    @Jaca
    Ja pojma nemam, možda može da pomogne neko drugi :)

  23. zsteva
    zsteva
    January 26th, 2009 at 13:01 | #23
    Reply | Quote

    @mmilan e tu ulazimo u neke druge i komplikovane stvari :) )
    banka postanska shtedionica a.d. je nezavisna banka kao svaka druga, kako je postala i skandali oko toga, kao i to ko su akcionari i slicno, duge price (ja znam samo deo) i trebalo bi vremena i truda da se izadje na kraj sa tim :) ) I direktne veze oni i JP Poste nemaju.

    BTW: shto dugne ‘Posalji komentar’ nebi bilo belo ? svaki put se tripujem da nema dugmeta za slanje kommentara :)

  24. Punky
    Punky
    January 26th, 2009 at 20:17 | #24
    Reply | Quote

    I to što kažeš…Verovaću Billu uz dupli backup i moći ću da koristim usluge banaka…ostalo je nevažno…Hvala na prosvetljenju! :D

  25. mmilan
    Milan Milosevic
    January 26th, 2009 at 22:21 | #25
    Reply | Quote

    @zsteva
    Volim komplikovane stvari, ali to je previše. Dovoljno mi je da znam da su to dve različite firme :)

    Predlog za dugme prihvaćen, sad ću da sredim.

    @Punky
    Nema na čemu, i drugi put :D

  1. No trackbacks yet.