Ylikerroin.com
Suomen suurin vedonlyöntisivusto
Tänään on 18.12.2017, 22:08

Kaikki ajat ovat UTC + 2 tuntia



Aloita uusi ketju Vastaa viestiin  [ 14 viestiä ] 
Kirjoittaja Viesti
 Viestin otsikko: Tärkeää asiaa tietoturvasta
ViestiLähetetty: 11.07.2005, 18:57 
Status: JäsenLiittynyt: 25.05.2003, 22:13Viestit: 4418
Pisteitä: 4101
Kassa: +59.91 yks. Palautus%: 101.26% Panosten ka: 3.65 yks. Vetoja: 1305
Itseltäni paloi juuri äsken useita luottokortteja, joita olin käyttänyt ulkomaisille bookkereille rahaa siirtäessäni. Niiden tiedot oli hakkeroitu julkisuutenkiin tulleessa tapauksessa USA:ssa. Lisäksi yhden kortin tiedot olivat vuotaneet vääriin käsiin todennäköisimmin erään ulkomaisen bookkerin käyttämän alihankkijan leväperäisyyden vuoksi. Luottokunta / Eurocardin turvallisuusosasto otti asiasta kirjeitse yhteyttä.

Mitä sitten pelaaja voisi tehdä turvallisesti? Ehdoton vaatimus on se, että kaikessa maksuliikenteessä netin yli on toimiva salaus (SSL). Tämä ei täysin estä väärinkäytöksiä, mutta se vähentää niitä. Suomessakaan luottokortilla ei koskaan kannata maksaa mitään, jos SSL-salausta ei ole. Suomalaisessa vedonlyöntibisneksessä luottokortilla voi maksaa ESBC:lle, jonka tietoturva on erittäin huono juuri sen takia, että heillä ei SSL-salausta. Mistä sen tuntee? Siitä, että maksutapahtuman yhteydessä oikeasta alalaidasta löytyy lukon kuva. En olisi viitsinyt mainita koko ESBC:tä tässä yhteydessä, mutta kun he eivät reagoi mitenkään, vaikka otin asiassa heihin yhteyttä, katson tällaisen negatiivisen faktan esille tuomisen jo välttämättömäksi. ESBC:lle ei siis kannata missään nimessä maksaa mitään luottokortilla. Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole. En suosittele ketään boikotoimaan ESBC:tä (päinvastoin, arviot ovat usein asiallisia), vaan pyrin ainoastaan parantamaan heidän tietoturvaansa nykyajan vaatimalle tasolle.

Kannattaa myös varoa bookkereita, joilla on jatkuvasti isoja virhekertoimia. Hyvä esimerkki on vaikkapa Playit.com, jossa saa pelata Allianssin tappiota kertoimella 14.50. Jostain tällaisesta paikasta (mutta ei siis välttämättä Playit -yhtiöstä) on vuotanut yhden korttini tiedot ulos. Toki nämä firmat ostavat maksutapahtumapalvelut ulkoa, mutta ne eivät silti ole ainakaan oman kokemukseni mukaan täysin luotettavia tässä(kään) asiassa.

Eli olkaapa minua varovaisempia.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 12.07.2005, 15:03 
Status: JäsenLiittynyt: 06.05.2005, 09:32Viestit: 53
Pisteitä: 0
Lainaa:
Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.

Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?

Edit
Aivan samaa mieltä postauksen muiden asioiden kanssa
0


Viimeksi muokannut speksi päivämäärä 12.07.2005, 15:19, muokattu yhteensä 1 kerran
Ylös
  Profiili
 
 Viestin otsikko: Nojaa
ViestiLähetetty: 12.07.2005, 15:14 
Status: JäsenLiittynyt: 06.03.2003, 08:52Viestit: 34
Pisteitä: 0
speksi kirjoitti:
Lainaa:
Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.

Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?


Suomalaiset nettipankit käyttävät juuri tuota SSL-salausta yhteyksissään, joten kyllä niiden käyttäminen on täysin turvallista.
0

_________________
maalissa tasaista...
Ylös
  Profiili
 
 Viestin otsikko:
ViestiLähetetty: 12.07.2005, 16:48 
Status: JäsenLiittynyt: 29.01.2004, 17:46Viestit: 28
Pisteitä: 6
speksi kirjoitti:
Lainaa:
Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.

Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?


nordean ja osuuspankin verkkopalveluilla ei näe tilin omistajan tietoja ilman vaihtuvia tunnuksia mutta ainakin sampo-pankissa pelkällä käyttäjä tunnuksella ja salasanalla saa näkyviin tilinomistajan saldon, nimen ja osoitteen mistä voi käydä sopivan hetken tultua hakemassa tilisiirtoihin ym. tarvittavat vaihtuvat tunnukset. Harva niitä kuitenkaan mukanaan kantaa vaan ovat aina sopivasti hollilla tietokoneen lähettyvillä.
0
Ylös
  Profiili
 
 Viestin otsikko:
ViestiLähetetty: 12.07.2005, 19:21 
Status: JäsenLiittynyt: 25.05.2003, 22:13Viestit: 4418
Pisteitä: 4101
Kassa: +59.91 yks. Palautus%: 101.26% Panosten ka: 3.65 yks. Vetoja: 1305
speksi kirjoitti:
Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?


Koska tiedot voidaan joko hukata tai varastaa. Eikä pelkästään voida, vaan niitä on myös hukattu & varastettu. Tällä hetkellä Suomessa käytetään myös paperisia kertakäyttöisiä nelinumeroisia tunnuslukuja sekä kiinteää asiakasnumeroa. Suomessa Luottokunta hoitaa useiden pankkien (mm. OP ja Tapiola) verkkopankkitunnusten sulkupalvelua. Tätä tarvitaan mm. varkaustapauksissa.

Vaikka yhteys on siis salattu, se ei takaa mitään, jos tunnukset ovat pöydänkulmalla työpisteessä tai kotona. Juuri tämän vuoksi verkkopankkitoimintaan on tietääkseni suunnitteilla muutoksia. On puhuttu verkkopankkitoiminnan varmentamisesta mm. IP-numeron tai monen muun lisätunnisteen avulla.

Kaiken kaikkiaan rikollisuus lisääntyy selvästi tällä alalla. Toistaiseksi korttien ja tunnusten myöntäjät ovat kärsineet suurimmat tappiot nahoissaan, mutta uskoisin juuri siksi muutoksiin lähivuosina niin turvallisuuden kuin asiakkaan oman vastuunkin suhteen.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 12.07.2005, 21:56 
Status: JäsenLiittynyt: 06.03.2003, 08:52Viestit: 34
Pisteitä: 0
Mungo kirjoitti:
Vaikka yhteys on siis salattu, se ei takaa mitään, jos tunnukset ovat pöydänkulmalla työpisteessä tai kotona. Juuri tämän vuoksi verkkopankkitoimintaan on tietääkseni suunnitteilla muutoksia. On puhuttu verkkopankkitoiminnan varmentamisesta mm. IP-numeron tai monen muun lisätunnisteen avulla.


Eipä taida tuo IP-numerovarmennus ainakaan olla hyvä ratkaisu. Niin moni käyttää nettipankkia useammasta kuin yhdestä paikasta (= useammalla kuin yhdellä IP:llä) että tuommoisella systeemillä yksi nettipankin perusajatuksista - riippumattomuus käyttäjän fyysisestä sijaintipaikasta - putoaa pois. Toisaalta kaikilla ei ole kiinteitä IP-osoitteita tai osa käyttää nettiä anonyyminä ilman julkista IP:tä.

Ja eihän se ole systeemin vika jos ihmiset eivät osaa säilyttää oikein tunnuksia/salasanojaan. Samahan se on perinteisen lompakonkin kanssa, kyllä sekin varastetaan jos siitä ei huolehdi :?
0

_________________
maalissa tasaista...
Ylös
  Profiili
 
 Viestin otsikko:
ViestiLähetetty: 12.07.2005, 23:28 
Status: JäsenLiittynyt: 25.05.2003, 22:13Viestit: 4418
Pisteitä: 4101
Kassa: +59.91 yks. Palautus%: 101.26% Panosten ka: 3.65 yks. Vetoja: 1305
kumiluu kirjoitti:
Eipä taida tuo IP-numerovarmennus ainakaan olla hyvä ratkaisu.


Eipä niin. Sähköinen allekirjoitus on yksi vaihtoehto, mitä on harkittu. Euroopassa tutkitaan myös yhden ison - eurooppalaisen - systeemin luomista, jossa maksukorteilla olisi nykyistä suurempi rooli. Tämä on tietenkin alan yhtiöiden toive.

Itse olen kuitenkin varma, että lähivuosina maksuliikenne netin yli tulee olemaan ensin nykyistä laajemmin väärinkäytösten kohteena ja sen jälkeen nykyistä turvallisempaa ja ehkä rajoittuneempaa. Aikajänne on sellaiset 3-6 vuotta.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 13.07.2005, 08:34 
Status: JäsenLiittynyt: 13.07.2004, 14:25Viestit: 31
Pisteitä: 0
Lainaa:
Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?


Tähän varmasti on muitakin konsteja kuin varastaminen. Esim teet ohjelman joka näyttää aivan samalta kuin verkkopankin sivut. Käyttäjä voi joutua sitten ohjelmaan, vaikka huijaajan "vedolyöntitoimiston" nettisivujen linkistä. Näin se voisi toimia. :idea:

Nettisivut näyttävät asiallisilta. Asiakas rekisteröityy palveluun ja kirjoittaa tietonsa. Asiakas haluaa rahaa tilille ja huomaa että sivuilla on linkki suoraan pankin maksutoimintoihin. Asiakas luulee maksavansa tilisiirtona rahaa ihan normaalisti, syöttää koodit ja asettaa summat ja naks ohjelma palautuu vedonlyöntitoimiston sivuille ja saldo tulee näkyviin. Kaikki OK, EI! Nyt huijaaja tietää asiakkaan tiedot pankkiin, käyttäjätunnuksen ja seuraavan muuttuvan koodin. :cry:
0
Ylös
  Profiili
 
 Viestin otsikko:
ViestiLähetetty: 13.07.2005, 10:12 
Status: JäsenLiittynyt: 17.01.2003, 21:55Viestit: 1776
Pisteitä: 75
Kassa: +5.08 yks. Palautus%: 106.91% Panosten ka: 1.88 yks. Vetoja: 39
Niin, ja se kertakäyttöinen lukukin taitaa olla joka pankilla vain neljänumeroinen. 10 000 tiedot kun onnistuu varastamaan niin teoriassa on käyttöoikeus yhden tilille...
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 16.07.2005, 10:45 
Status: JäsenLiittynyt: 25.05.2003, 22:13Viestit: 4418
Pisteitä: 4101
Kassa: +59.91 yks. Palautus%: 101.26% Panosten ka: 3.65 yks. Vetoja: 1305
ESBC:n tekninen asiantuntija kertoi eilen, että ESBC:n salaus on kunnossa myös luottokorttimaksuissa. Hänen mukaansa datan lähetys on salattu oikein siitäkin huolimatta, että itse sivu ei ole salattu. ESBC:n tekninen asiantuntija totesikin, että lukon kuva kertoo ainoastaan sen, onko ko. sivu salattu, mutta ei sitä, välitetäänkö varsinaiset maksutapahtumatiedot salatussa yhteydessä vai ei.

Nyt on niin kiirus, että en itse ehdi selvitellä tätä asiaa. Mutta palaan siihen myöhemmin.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 16.07.2005, 12:15 
Status: JäsenLiittynyt: 23.03.2003, 16:54Viestit: 2187Paikkakunta: Tampere
Pisteitä: 76
Kassa: -109.66 yks. Palautus%: 95.74% Panosten ka: 14.63 yks. Vetoja: 176
Espi näyttää käyttävän luottokunnan salatulla palvelimella olevaa servlettiä joten sen puolesta tuon siirron tietoturvassa tuskin koskaan ollutkaan mitään häikkää. Tosin tietyt "tapahtumat" Espin News Forumin toiminassa ovat viitanneet siihen että firmalla ei ihan täysin ole tietoturva hallussa.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 16.07.2005, 13:04 
Status: JäsenLiittynyt: 25.05.2003, 22:13Viestit: 4418
Pisteitä: 4101
Kassa: +59.91 yks. Palautus%: 101.26% Panosten ka: 3.65 yks. Vetoja: 1305
No niin, nyt on paremmin aikaa. Sivun turvallisuuden voi varmistaa siis salauksella ja sen ehkä merkittävin standardi on SSL. Käyttämällä SSL-palvelua ulkopuoliset eivät pääse tietoihin käsiksi ainakaan siinä tapauksessa, jos salauksen taso on 128 bittiä. Jokaisen yhteyden tilanteen näkee valitsemalla halutulla sivulla IE:ssä tai mm. IE:tä turvallisemmassa ja nopeammassa Firefoxissa hiiren kakkospainikkeen ja sen jälkeen IE:ssä Ominaisuudet. Firefoxissa löytyy tietoa siis kakkospanikkeella ja sen jälkeen Tietoja sivusta ja sitten Turvallisuus.

Firefox ilmoittaa käyttäjän kannalta sen tärkeän tiedon, jos salatulta sivulta siirretään dataa salaamattoman yhteyden yli. Internet Explorer ei tätä tee, joten käyttäjä ei saa IE:lta turvallisuuden kannalta oleellisesta asiasta.

Yksi tärkeä asia vielä. Olen ymmärtänyt, että salatusta yhteydestäkin saa jäämään jälkiä palveluntarjoajan järjestelmiin. Voi olla, että olen väärässä (ja ongelma koskee pelkästään salaamatonta yhteyttä), mutta tietoturvan kannalta tärkeintä olisi se, että palveluntarjoajan järjestelmissä ei säilytettäisi mitään yksilöivää tietoa korttiin tai maksutapahtumaan liittyen.

Sitten ESBC:stä. Kun asiakas syöttää heidän sivuilleen 1) luottokortin numeron, 2) voimassaoloajan ja 3) kolminumeroisen tunnuksen, yhteys ei ole hetkeäkään salattu. Tämän takia on mielestäni teoriassa mahdollista, että näitä tietoja voi kolmas osapuoli lukea, vaikka dataa ei siirretäkään tätä kautta. Varsinainen korttitunnistus tapahtuu (https-osoite) /pm/servlet/xxx -lomakkeen avulla ja tätä ei voi kolmas osapuoli lukea.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 16.07.2005, 13:25 
Status: JäsenLiittynyt: 23.03.2003, 16:54Viestit: 2187Paikkakunta: Tampere
Pisteitä: 76
Kassa: -109.66 yks. Palautus%: 95.74% Panosten ka: 14.63 yks. Vetoja: 176
Lainaa:
Sitten ESBC:stä. Kun asiakas syöttää heidän sivuilleen 1) luottokortin numeron, 2) voimassaoloajan ja 3) kolminumeroisen tunnuksen, yhteys ei ole hetkeäkään salattu. Tämän takia on mielestäni teoriassa mahdollista, että näitä tietoja voi kolmas osapuoli lukea, vaikka dataa ei siirretäkään tätä kautta. Varsinainen korttitunnistus tapahtuu (https-osoite) /pm/servlet/xxx -lomakkeen avulla ja tätä ei voi kolmas osapuoli lukea.

ÖÖÖ joo tuota mitä ja miten väität/luulet että kolmas osapuoli pystyisi lukemaan selaimen kenttiin syöttämiäni arvoja ilman että niitä lähetetään minnekkään?

Jos suojaamattomalla sivuilla olisi scriptausta joka esim tarkistaisi syötetyt arvot lähettämällä ne palvelimelle niin riski olisi olemassa mutta tuolla ei sellaista ole ja lopullinen lähetys tapahtuu salattuna. Ainoa mahdollisuus miten kenttiin syötettyjä arvoja voisi kolmas osapuoli lukea on koneella pyörivä spyware tai muu häirikkösofta mutta tässä tapauksessa niitä arvoja pystyttäisiin lukemaan vaikka sivuilla olisi mitkä salaukset. Kun dataa ei siirretä niin sitä on mahdoton lukea edes teorissa.


Sinänsä olet ihan oikeassa että kun tuollainen tilaussivu ei suoraan pyöri https:än päällä niin riski että joku pistää w ww.paypall.co m tyylisen fakesivuston pystyyn eikä käyttäjä tätä huomaa on suurempi.
0
Ylös
  Profiili Seuranta
 
 Viestin otsikko:
ViestiLähetetty: 16.07.2005, 13:43 
Status: JäsenLiittynyt: 25.05.2003, 22:13Viestit: 4418
Pisteitä: 4101
Kassa: +59.91 yks. Palautus%: 101.26% Panosten ka: 3.65 yks. Vetoja: 1305
MarkusM kirjoitti:

ÖÖÖ joo tuota mitä ja miten väität/luulet että kolmas osapuoli pystyisi lukemaan selaimen kenttiin syöttämiäni arvoja ilman että niitä lähetetään minnekkään?


En ole tietoturvaan erityisemmin perehtynyt, mutta kenties juuri siksi minulla on käsitys, että salaamattomalle sivulle syötettyä dataa voidaan varastoida sivuntarjoajan palvelimelle joissain tilanteissa.

Kaikissa tapauksissa ESBC:n tietoturva on maksutapahtumien osalta hyvää tasoa.
0
Ylös
  Profiili Seuranta
 
Näytä viestit ajalta:  Järjestä  
Aloita uusi ketju Vastaa viestiin  [ 14 viestiä ] 

Kaikki ajat ovat UTC + 2 tuntia


Paikallaolijat

Käyttäjiä lukemassa tätä aluetta: Ei rekisteröityneitä käyttäjiä ja 3 vierailijaa


Et voi kirjoittaa uusia viestejä
Et voi vastata viestiketjuihin
Et voi muokata omia viestejäsi
Et voi poistaa omia viestejäsi
Et voi lähettää liitetiedostoja.

Hyppää:  


Powered by phpBB © 2008 phpBB Group | Käännös, Lurttinen, www.phpbbsuomi.com
subSilver+ theme by Canver Software, sponsor Sanal Modifiye