poste.it sotto attacco?

[-kurgan-]

Quote:

Originariamente inviato da Gennarino

Quanto tempo ci hanno messo le banche per cui hai lavorato ad implementare rispettivamente O-Key e RSA Token ? Diciamo una paio d'anni !!!!
Prima dell'introduzione avevano rispettivamente:
- un fogliettino con delle password dispositive monouso
- un'unica password dispositiva non modificabile dall'utente

ho parlato di patch di sicurezza e bachi applicativi, per cui esistono consulenti pagati 24h/24 7 giorni su 7, che i problemi li risolvono immediatamente. Quelle di cui parli tu sono modifiche funzionali, cosa ben diversa

Quote:

Originariamente inviato da Gennarino

Nel frattempo avevano gia' implementato l'home-banking e una delle banche che hai citato ha dovuto sborsare TANTO, per un caso di phishing andato a buon fine dove il magistrato ha riconosciuto la negligenza dell'istituto bancario nell'applicare tutte le dovute cautele al fine di tutelare l'utente, la banca ha arguito inversamente, ovvero che era stato l'utente negligente nel dare le password ad un sito simile a quello della banca.

per come la vedo io infatti è così, un sito non ha colpe se un utente inserisce user/password sul sito sbagliato
non mi è chiaro quali tutele si potrebbero applicare sui casi di phishing, sono totalmente fuori controllo per chi gestisce un sito web.

Quote:

Originariamente inviato da Gennarino

E' chiaro che l'utente comune che affida i proprio denari ad una banca, non ha le capacita' tecniche che invece la banca dovrebbe avere.
Come mette una guardia giurata all'ingresso e pone delle barriere al fine di proteggere il proprio capitale e poi l'utente (l'ordine delle priorita' e' questo per la banca), al pari avrebbe dovuto attuarsi affinche' anche il servizio fornito via internet fosse protetto nella stessa maniera.

concordo, ma questo con il phishing non ha niente a che fare. E' come consegnare le chiavi dell'auto al primo che passa e poi lamentarsi con il proprietario del parcheggio a pagamento perchè si pensava che il ladro fosse un suo dipendente.

Quote:

Originariamente inviato da Gennarino

Ancora oggi le banche hanno delle pecche nella gestione delle vulnerabilita', una delle banche che hai citato ancora oggi ha le porte d'ingresso NON a bussola, perche' cambiarle tutte ha un costo e il rischio rapina ha un costo inferiore al cambio delle porte stesse.
Parimenti un sistema di protezione dei dati e degli accessi online ha un costo decisamente superiore rispetto all'implementazione, ma anche alla verifica stessa delle vulnerabilita' di un sito online.
In sostanza, meglio rimborsare 1000 euro fregati dal conto di un poveraccio, piuttosto che pagarne 10.000 per un'analisi della vulnerabilita, o 100.000 per costituire un team interno che verifichi con professionalita' e cognizione lo stato dell'infrastruttura informatica.
So' logorroico, lo so, ma se non mi esprimo, muoio

un attimo, il "team di esperti" per qualsiasi banca esiste già e copre le falle della sicurezza del sito e della rete interna. Per le modifiche funzionali dei programmi utilizzati invece entrano in gioco altre persone, gruppi di programmatori, società esterne, ecc e le cose che si valutano per ogni piccolo intervento sono diecimila e non necessariamente legate solo alla sicurezza. Quello che è successo alle poste non può succedere facilmente ad una banca proprio perchè i bachi applicativi vengono corretti "prima di immediatamente" o c'è gente che perde il posto di lavoro. Il modo in cui funziona il sito è un altro discorso. Non so se mi sono spiegato bene

NB le tre banche citate ora sono una banca sola.

[-kurgan-]

Quote:

Originariamente inviato da RaouL_BennetH

Ciao

Di sicuro mi fido ad occhi chiusi di quello che dici per le banche con cui hai avuto a che fare. Stessa cosa non posso dire per una determinata banca, alla quale segnalai (da utente ovviamente) una cosa abbastanza fastidiosa:

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

santo cielo
voglio sperare con tutto il cuore che situazioni come quelle che citi non siano la regola, ma la regola sia quello che ho visto io
che banca era?

[RaouL_BennetH]

Quote:

Originariamente inviato da -kurgan-

santo cielo
voglio sperare con tutto il cuore che situazioni come quelle che citi non siano la regola, ma la regola sia quello che ho visto io
che banca era?

Posso citarla senza trovarmi l'fbi fuori la porta ?

[eraser]

Quote:

Originariamente inviato da RaouL_BennetH

Posso citarla senza trovarmi l'fbi fuori la porta ?

Sono GIA fuori della tua porta

[Rizlo+]

Quote:

Originariamente inviato da -kurgan-

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Guarda che non hai centrato il punto... Qui non si tratta di applicare patch di sicurezza, la vulnerabilità che ha causato il defacement non riguarda i sistemi ma la web application di home banking scritta ad-hoc per poste, quella vulnerabilità è stata scoperta probabilmente dalla persona che l'ha postato sul suo blog(censurando nelle immagini la pagina esatta e i nomi) e l'ha segnalato a poste oltre un mese fa, nessun consulente di microsoft o di qualsivoglia "programma installato" avrebbe prevenuto tale errore!
Io lavoro come consulente in una società di servizi finanziari quindi so benissimo che non sono ambienti di incompententi e so benissimo che funziona proprio come dici tu, il punto è che questo è un altro livello...Anche quelle società non hanno al loro interno degli esperti di pen-testing e vulnerability assessment che ad ogni piccola modifica delle applicazioni (quelle ah-hoc con un team fisso, magari di consulenti esterni) ricontrollano che non siano state introdotte vulnerabilità! Vengono incaricate società esterne specializzate solo in quello, chiamate per fare degli assessment *periodoci* (costosi) purtroppo spesso solo per rassicurare il management(risparmiando).
Basta che per un qualunque motivo il test slitta "al mese prossimo" , se dall'ultima volta che l'hanno fatto è stata introdotta una vulnerabilità ad esempio in una pagina che prima non c'era (salastampa.poste.it ?) ecco che ti defacciano il sito o peggio... Probabilmente Poste Italiane non ha un IPS (intrusion prevention system) davanti ai web server pubblici o ce l'ha ed è configurato malino (mi sa che è questa visto che è improbabile non ce l'abbia).
In questo caso gli sarebbe bastato semplicemente prendere sul serio un avvertimento e verificare, o far verificare visto che, lo ripeto, le competenze interne non ci sono, o se ci sono quelle persone devono occuparsi di altre 30 robe e quindi qualcosa sfugge...

[Rizlo+]

Beh aggiungo che comunque riguardo al disservizio hai perfettamente ragione, non è serio che ci sia questo problema del cambio password specialmente dopo un evento del genere! Si contano i secondi/minuti quando si arriva a "giorni" cadono molte teste.
Poste italiane in questa vicenda: SCANDALOSI

[Rizlo+]

Ad oggi ancora non posso cambiare password... Intanto ho scritto al supporto...

[checo]

Quote:

Originariamente inviato da Gennarino

Si, con la tecnica di brute forcing, se hai tempo (qualche anno) o qualche supermegacomputer e sperando che nel frattempo non le abbiano cambiate... oltre a cambiare anche le username, vista la disclosure sul quel sito...

ma anche no
sfruttando le gpu i tempi si accorciano moltissimo, e la cosa non è poi così lunga

[Gennarino]

Quote:

Originariamente inviato da checo

ma anche no
sfruttando le gpu i tempi si accorciano moltissimo, e la cosa non è poi così lunga

L'utilizzo delle GPU per il brute forcing e' ancora allo stato embrionale, e comunque l'uso del brute forcing e' oramai (spero) vanificato dall'introduzione del timing tra l'inserimento delle password e il numero di tentativi ammessi per sessione.
Diciamo che sono ancora attuabili le tecniche usando dei dizionari o le rainbow-tables, ma il cerchio si chiude se le password vengono cambiate periodicamente e vengono utilizzate delle forzature affinche' non siano utilizzate almeno le ultime 5 password e siano lunghe 10 caratteri inclusi caratteri "extra" e numeri.

Insomma la soluzione rimane sempre e solo il buon senso degli amministratori di sistema e degli utenti.

[Pipppos]

Quote:

Originariamente inviato da Rizlo+

Ad oggi ancora non posso cambiare password... Intanto ho scritto al supporto...

anche io ho scritto ieri sera per il cambio password non funzionante, nessuna risposta ancora.

[Pancho Villa]

Quote:

Originariamente inviato da Onisem

[...]

Inoltre già solo il fatto che abbiano una rete bancomat molto meno capillare per me è motivo sufficiente per rivolgermi a chi la banca la fa di mestiere.

[Gennarino]

Quote:

Originariamente inviato da Onisem

[...] Inoltre già solo il fatto che abbiano una rete bancomat molto meno capillare per me è motivo sufficiente per rivolgermi a chi la banca la fa di mestiere.

Quote:

Originariamente inviato da Pancho Villa

Da "straniero" non posso che concordare... ho provato a prelevare con bancomat belgi in Italia su ATM BancoPoste e mi hanno sempre mandato a digerire...

[Pipppos]

tra quelli che hanno provato a cambiare la password con esito negativo, la vecchia password quanti caratteri era lunga?
Contattato il supporto telefonico, mi hanno detto che il problema potrebbe essere dovuto al fatto che la vecchia password è minore di otto caratteri.A me sembra una stronzata ma la mia effettivamnete era minore di 8.
Aspetto notizie.

[Raven]

Quote:

Originariamente inviato da Pipppos

tra quelli che hanno provato a cambiare la password con esito negativo, la vecchia password quanti caratteri era lunga?
Contattato il supporto telefonico, mi hanno detto che il problema potrebbe essere dovuto al fatto che la vecchia password è minore di otto caratteri.A me sembra una stronzata ma la mia effettivamnete era minore di 8.
Aspetto notizie.

12 caratteri alfanumerici...

[Gemini77]

Quote:

Originariamente inviato da Pipppos

tra quelli che hanno provato a cambiare la password con esito negativo, la vecchia password quanti caratteri era lunga?
Contattato il supporto telefonico, mi hanno detto che il problema potrebbe essere dovuto al fatto che la vecchia password è minore di otto caratteri.A me sembra una stronzata ma la mia effettivamnete era minore di 8.
Aspetto notizie.

la mia era di 7 e l'ho cambiata senza problemi

[Pipppos]

Quote:

Originariamente inviato da Gemini77

la mia era di 7 e l'ho cambiata senza problemi

L'hai cambiata in questi giorni?

Come cacchio è possibile che alcuni riescono a cambiarla e altri no?
L'unica cosa possibile è che al momento del cambio era online una versione diversa del software.

[Pipppos]

Quote:

Originariamente inviato da Raven

12 caratteri alfanumerici...

provando a affettuare il cambio, adesso richiede una password di lunghezza compresa tra 8 e 10.Quindi sicuramnete adesso il software è stato cambiato visto che ci sono password impostate a lunghezza 7 e 12.

[Raven]

Quote:

Originariamente inviato da Pipppos

provando a affettuare il cambio, adesso richiede una password di lunghezza compresa tra 8 e 10.Quindi sicuramnete adesso il software è stato cambiato visto che ci sono password impostate a lunghezza 7 e 12.

può essere... però resta comunque una vaccata epocale...

(ho già svuotato la postepay)

[Gemini77]

Quote:

Originariamente inviato da Pipppos

L'hai cambiata in questi giorni?

Come cacchio è possibile che alcuni riescono a cambiarla e altri no?
L'unica cosa possibile è che al momento del cambio era online una versione diversa del software.

qualche giorno dopo il "fattaccio" ... cmq il cambio non è stato "istantaneo" mi ha avvisato che la pass sarebbe cambiata entro 2gg

[ulk]

Quote:

Originariamente inviato da Gennarino

Da "straniero" non posso che concordare... ho provato a prelevare con bancomat belgi in Italia su ATM BancoPoste e mi hanno sempre mandato a digerire...

Bisogna vedere in quale circuito era inserito la tua "carta di credito belga".