Tänään on 29.03.2024, 12:10.

Tärkeää asiaa tietoturvasta

Strategiat, kertoimenlaskenta ja muut ohjeet/vinkit tänne.
Vastaa Viestiin
Mungo
Jäsen
Viestit: 4418
Liittynyt: 25.05.2003, 23:13

Tuotto: +59.91 yks.

Palautus%: 101.26%

Panosten ka: 3.65 yks.

Vetoja: 1305

Pisteitä: 4111

Tärkeää asiaa tietoturvasta

Viesti Kirjoittaja Mungo »

Itseltäni paloi juuri äsken useita luottokortteja, joita olin käyttänyt ulkomaisille bookkereille rahaa siirtäessäni. Niiden tiedot oli hakkeroitu julkisuutenkiin tulleessa tapauksessa USA:ssa. Lisäksi yhden kortin tiedot olivat vuotaneet vääriin käsiin todennäköisimmin erään ulkomaisen bookkerin käyttämän alihankkijan leväperäisyyden vuoksi. Luottokunta / Eurocardin turvallisuusosasto otti asiasta kirjeitse yhteyttä.

Mitä sitten pelaaja voisi tehdä turvallisesti? Ehdoton vaatimus on se, että kaikessa maksuliikenteessä netin yli on toimiva salaus (SSL). Tämä ei täysin estä väärinkäytöksiä, mutta se vähentää niitä. Suomessakaan luottokortilla ei koskaan kannata maksaa mitään, jos SSL-salausta ei ole. Suomalaisessa vedonlyöntibisneksessä luottokortilla voi maksaa ESBC:lle, jonka tietoturva on erittäin huono juuri sen takia, että heillä ei SSL-salausta. Mistä sen tuntee? Siitä, että maksutapahtuman yhteydessä oikeasta alalaidasta löytyy lukon kuva. En olisi viitsinyt mainita koko ESBC:tä tässä yhteydessä, mutta kun he eivät reagoi mitenkään, vaikka otin asiassa heihin yhteyttä, katson tällaisen negatiivisen faktan esille tuomisen jo välttämättömäksi. ESBC:lle ei siis kannata missään nimessä maksaa mitään luottokortilla. Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole. En suosittele ketään boikotoimaan ESBC:tä (päinvastoin, arviot ovat usein asiallisia), vaan pyrin ainoastaan parantamaan heidän tietoturvaansa nykyajan vaatimalle tasolle.

Kannattaa myös varoa bookkereita, joilla on jatkuvasti isoja virhekertoimia. Hyvä esimerkki on vaikkapa Playit.com, jossa saa pelata Allianssin tappiota kertoimella 14.50. Jostain tällaisesta paikasta (mutta ei siis välttämättä Playit -yhtiöstä) on vuotanut yhden korttini tiedot ulos. Toki nämä firmat ostavat maksutapahtumapalvelut ulkoa, mutta ne eivät silti ole ainakaan oman kokemukseni mukaan täysin luotettavia tässä(kään) asiassa.

Eli olkaapa minua varovaisempia.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


speksi
Jäsen
Viestit: 53
Liittynyt: 06.05.2005, 10:32
Pisteitä: 0

Viesti Kirjoittaja speksi »

Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.
Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?

Edit
Aivan samaa mieltä postauksen muiden asioiden kanssa

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Viimeksi muokannut speksi, 12.07.2005, 16:19. Yhteensä muokattu 1 kertaa.

Minikommentit


kumiluu
Jäsen
Viestit: 34
Liittynyt: 06.03.2003, 08:52
Pisteitä: 0

Nojaa

Viesti Kirjoittaja kumiluu »

speksi kirjoitti:
Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.
Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?
Suomalaiset nettipankit käyttävät juuri tuota SSL-salausta yhteyksissään, joten kyllä niiden käyttäminen on täysin turvallista.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

maalissa tasaista...

Minikommentit


Kari
Jäsen
Viestit: 28
Liittynyt: 29.01.2004, 17:46
Pisteitä: 7

Viesti Kirjoittaja Kari »

speksi kirjoitti:
Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.
Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?
nordean ja osuuspankin verkkopalveluilla ei näe tilin omistajan tietoja ilman vaihtuvia tunnuksia mutta ainakin sampo-pankissa pelkällä käyttäjä tunnuksella ja salasanalla saa näkyviin tilinomistajan saldon, nimen ja osoitteen mistä voi käydä sopivan hetken tultua hakemassa tilisiirtoihin ym. tarvittavat vaihtuvat tunnukset. Harva niitä kuitenkaan mukanaan kantaa vaan ovat aina sopivasti hollilla tietokoneen lähettyvillä.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


Mungo
Jäsen
Viestit: 4418
Liittynyt: 25.05.2003, 23:13

Tuotto: +59.91 yks.

Palautus%: 101.26%

Panosten ka: 3.65 yks.

Vetoja: 1305

Pisteitä: 4111

Viesti Kirjoittaja Mungo »

speksi kirjoitti:Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?
Koska tiedot voidaan joko hukata tai varastaa. Eikä pelkästään voida, vaan niitä on myös hukattu & varastettu. Tällä hetkellä Suomessa käytetään myös paperisia kertakäyttöisiä nelinumeroisia tunnuslukuja sekä kiinteää asiakasnumeroa. Suomessa Luottokunta hoitaa useiden pankkien (mm. OP ja Tapiola) verkkopankkitunnusten sulkupalvelua. Tätä tarvitaan mm. varkaustapauksissa.

Vaikka yhteys on siis salattu, se ei takaa mitään, jos tunnukset ovat pöydänkulmalla työpisteessä tai kotona. Juuri tämän vuoksi verkkopankkitoimintaan on tietääkseni suunnitteilla muutoksia. On puhuttu verkkopankkitoiminnan varmentamisesta mm. IP-numeron tai monen muun lisätunnisteen avulla.

Kaiken kaikkiaan rikollisuus lisääntyy selvästi tällä alalla. Toistaiseksi korttien ja tunnusten myöntäjät ovat kärsineet suurimmat tappiot nahoissaan, mutta uskoisin juuri siksi muutoksiin lähivuosina niin turvallisuuden kuin asiakkaan oman vastuunkin suhteen.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


kumiluu
Jäsen
Viestit: 34
Liittynyt: 06.03.2003, 08:52
Pisteitä: 0

Viesti Kirjoittaja kumiluu »

Mungo kirjoitti: Vaikka yhteys on siis salattu, se ei takaa mitään, jos tunnukset ovat pöydänkulmalla työpisteessä tai kotona. Juuri tämän vuoksi verkkopankkitoimintaan on tietääkseni suunnitteilla muutoksia. On puhuttu verkkopankkitoiminnan varmentamisesta mm. IP-numeron tai monen muun lisätunnisteen avulla.
Eipä taida tuo IP-numerovarmennus ainakaan olla hyvä ratkaisu. Niin moni käyttää nettipankkia useammasta kuin yhdestä paikasta (= useammalla kuin yhdellä IP:llä) että tuommoisella systeemillä yksi nettipankin perusajatuksista - riippumattomuus käyttäjän fyysisestä sijaintipaikasta - putoaa pois. Toisaalta kaikilla ei ole kiinteitä IP-osoitteita tai osa käyttää nettiä anonyyminä ilman julkista IP:tä.

Ja eihän se ole systeemin vika jos ihmiset eivät osaa säilyttää oikein tunnuksia/salasanojaan. Samahan se on perinteisen lompakonkin kanssa, kyllä sekin varastetaan jos siitä ei huolehdi :?

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

maalissa tasaista...

Minikommentit


Mungo
Jäsen
Viestit: 4418
Liittynyt: 25.05.2003, 23:13

Tuotto: +59.91 yks.

Palautus%: 101.26%

Panosten ka: 3.65 yks.

Vetoja: 1305

Pisteitä: 4111

Viesti Kirjoittaja Mungo »

kumiluu kirjoitti:Eipä taida tuo IP-numerovarmennus ainakaan olla hyvä ratkaisu.
Eipä niin. Sähköinen allekirjoitus on yksi vaihtoehto, mitä on harkittu. Euroopassa tutkitaan myös yhden ison - eurooppalaisen - systeemin luomista, jossa maksukorteilla olisi nykyistä suurempi rooli. Tämä on tietenkin alan yhtiöiden toive.

Itse olen kuitenkin varma, että lähivuosina maksuliikenne netin yli tulee olemaan ensin nykyistä laajemmin väärinkäytösten kohteena ja sen jälkeen nykyistä turvallisempaa ja ehkä rajoittuneempaa. Aikajänne on sellaiset 3-6 vuotta.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


Lius
Jäsen
Viestit: 31
Liittynyt: 13.07.2004, 15:25
Pisteitä: 0

Viesti Kirjoittaja Lius »

Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?
Tähän varmasti on muitakin konsteja kuin varastaminen. Esim teet ohjelman joka näyttää aivan samalta kuin verkkopankin sivut. Käyttäjä voi joutua sitten ohjelmaan, vaikka huijaajan "vedolyöntitoimiston" nettisivujen linkistä. Näin se voisi toimia. :idea:

Nettisivut näyttävät asiallisilta. Asiakas rekisteröityy palveluun ja kirjoittaa tietonsa. Asiakas haluaa rahaa tilille ja huomaa että sivuilla on linkki suoraan pankin maksutoimintoihin. Asiakas luulee maksavansa tilisiirtona rahaa ihan normaalisti, syöttää koodit ja asettaa summat ja naks ohjelma palautuu vedonlyöntitoimiston sivuille ja saldo tulee näkyviin. Kaikki OK, EI! Nyt huijaaja tietää asiakkaan tiedot pankkiin, käyttäjätunnuksen ja seuraavan muuttuvan koodin. :cry:

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


Arrows
Jäsen
Viestit: 1776
Liittynyt: 17.01.2003, 21:55

Tuotto: +5.08 yks.

Palautus%: 106.91%

Panosten ka: 1.88 yks.

Vetoja: 39

Pisteitä: 75

Viesti Kirjoittaja Arrows »

Niin, ja se kertakäyttöinen lukukin taitaa olla joka pankilla vain neljänumeroinen. 10 000 tiedot kun onnistuu varastamaan niin teoriassa on käyttöoikeus yhden tilille...

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


Mungo
Jäsen
Viestit: 4418
Liittynyt: 25.05.2003, 23:13

Tuotto: +59.91 yks.

Palautus%: 101.26%

Panosten ka: 3.65 yks.

Vetoja: 1305

Pisteitä: 4111

Viesti Kirjoittaja Mungo »

ESBC:n tekninen asiantuntija kertoi eilen, että ESBC:n salaus on kunnossa myös luottokorttimaksuissa. Hänen mukaansa datan lähetys on salattu oikein siitäkin huolimatta, että itse sivu ei ole salattu. ESBC:n tekninen asiantuntija totesikin, että lukon kuva kertoo ainoastaan sen, onko ko. sivu salattu, mutta ei sitä, välitetäänkö varsinaiset maksutapahtumatiedot salatussa yhteydessä vai ei.

Nyt on niin kiirus, että en itse ehdi selvitellä tätä asiaa. Mutta palaan siihen myöhemmin.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


MarkusM
Jäsen
Viestit: 2187
Liittynyt: 23.03.2003, 16:54

Tuotto: -109.66 yks.

Palautus%: 95.74%

Panosten ka: 14.63 yks.

Vetoja: 176

Pisteitä: 76
Paikkakunta: Tampere

Viesti Kirjoittaja MarkusM »

Espi näyttää käyttävän luottokunnan salatulla palvelimella olevaa servlettiä joten sen puolesta tuon siirron tietoturvassa tuskin koskaan ollutkaan mitään häikkää. Tosin tietyt "tapahtumat" Espin News Forumin toiminassa ovat viitanneet siihen että firmalla ei ihan täysin ole tietoturva hallussa.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


Mungo
Jäsen
Viestit: 4418
Liittynyt: 25.05.2003, 23:13

Tuotto: +59.91 yks.

Palautus%: 101.26%

Panosten ka: 3.65 yks.

Vetoja: 1305

Pisteitä: 4111

Viesti Kirjoittaja Mungo »

No niin, nyt on paremmin aikaa. Sivun turvallisuuden voi varmistaa siis salauksella ja sen ehkä merkittävin standardi on SSL. Käyttämällä SSL-palvelua ulkopuoliset eivät pääse tietoihin käsiksi ainakaan siinä tapauksessa, jos salauksen taso on 128 bittiä. Jokaisen yhteyden tilanteen näkee valitsemalla halutulla sivulla IE:ssä tai mm. IE:tä turvallisemmassa ja nopeammassa Firefoxissa hiiren kakkospainikkeen ja sen jälkeen IE:ssä Ominaisuudet. Firefoxissa löytyy tietoa siis kakkospanikkeella ja sen jälkeen Tietoja sivusta ja sitten Turvallisuus.

Firefox ilmoittaa käyttäjän kannalta sen tärkeän tiedon, jos salatulta sivulta siirretään dataa salaamattoman yhteyden yli. Internet Explorer ei tätä tee, joten käyttäjä ei saa IE:lta turvallisuuden kannalta oleellisesta asiasta.

Yksi tärkeä asia vielä. Olen ymmärtänyt, että salatusta yhteydestäkin saa jäämään jälkiä palveluntarjoajan järjestelmiin. Voi olla, että olen väärässä (ja ongelma koskee pelkästään salaamatonta yhteyttä), mutta tietoturvan kannalta tärkeintä olisi se, että palveluntarjoajan järjestelmissä ei säilytettäisi mitään yksilöivää tietoa korttiin tai maksutapahtumaan liittyen.

Sitten ESBC:stä. Kun asiakas syöttää heidän sivuilleen 1) luottokortin numeron, 2) voimassaoloajan ja 3) kolminumeroisen tunnuksen, yhteys ei ole hetkeäkään salattu. Tämän takia on mielestäni teoriassa mahdollista, että näitä tietoja voi kolmas osapuoli lukea, vaikka dataa ei siirretäkään tätä kautta. Varsinainen korttitunnistus tapahtuu (https-osoite) /pm/servlet/xxx -lomakkeen avulla ja tätä ei voi kolmas osapuoli lukea.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


MarkusM
Jäsen
Viestit: 2187
Liittynyt: 23.03.2003, 16:54

Tuotto: -109.66 yks.

Palautus%: 95.74%

Panosten ka: 14.63 yks.

Vetoja: 176

Pisteitä: 76
Paikkakunta: Tampere

Viesti Kirjoittaja MarkusM »

Sitten ESBC:stä. Kun asiakas syöttää heidän sivuilleen 1) luottokortin numeron, 2) voimassaoloajan ja 3) kolminumeroisen tunnuksen, yhteys ei ole hetkeäkään salattu. Tämän takia on mielestäni teoriassa mahdollista, että näitä tietoja voi kolmas osapuoli lukea, vaikka dataa ei siirretäkään tätä kautta. Varsinainen korttitunnistus tapahtuu (https-osoite) /pm/servlet/xxx -lomakkeen avulla ja tätä ei voi kolmas osapuoli lukea.
ÖÖÖ joo tuota mitä ja miten väität/luulet että kolmas osapuoli pystyisi lukemaan selaimen kenttiin syöttämiäni arvoja ilman että niitä lähetetään minnekkään?

Jos suojaamattomalla sivuilla olisi scriptausta joka esim tarkistaisi syötetyt arvot lähettämällä ne palvelimelle niin riski olisi olemassa mutta tuolla ei sellaista ole ja lopullinen lähetys tapahtuu salattuna. Ainoa mahdollisuus miten kenttiin syötettyjä arvoja voisi kolmas osapuoli lukea on koneella pyörivä spyware tai muu häirikkösofta mutta tässä tapauksessa niitä arvoja pystyttäisiin lukemaan vaikka sivuilla olisi mitkä salaukset. Kun dataa ei siirretä niin sitä on mahdoton lukea edes teorissa.


Sinänsä olet ihan oikeassa että kun tuollainen tilaussivu ei suoraan pyöri https:än päällä niin riski että joku pistää w ww.paypall.co m tyylisen fakesivuston pystyyn eikä käyttäjä tätä huomaa on suurempi.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


Mungo
Jäsen
Viestit: 4418
Liittynyt: 25.05.2003, 23:13

Tuotto: +59.91 yks.

Palautus%: 101.26%

Panosten ka: 3.65 yks.

Vetoja: 1305

Pisteitä: 4111

Viesti Kirjoittaja Mungo »

MarkusM kirjoitti:
ÖÖÖ joo tuota mitä ja miten väität/luulet että kolmas osapuoli pystyisi lukemaan selaimen kenttiin syöttämiäni arvoja ilman että niitä lähetetään minnekkään?
En ole tietoturvaan erityisemmin perehtynyt, mutta kenties juuri siksi minulla on käsitys, että salaamattomalle sivulle syötettyä dataa voidaan varastoida sivuntarjoajan palvelimelle joissain tilanteissa.

Kaikissa tapauksissa ESBC:n tietoturva on maksutapahtumien osalta hyvää tasoa.

Pisteitä

Pisteitä yhteensä: 0. Antamasi peukut: 0.

Minikommentit


100% 200€ bonus librabet.com.

Katso kaikki vedonlyöntibonukset.

Vastaa Viestiin