Bankovni Identita - obrovsky bezpecnostni pruser

Aktuální kauzy týkající se programu a politiky Pirátů.


Pravidla fóra

Aktuální kauzy týkající se programu a politiky Pirátů.

Toto je veřejné fórum, které nesděluje politická stanoviska či názory Pirátské strany. V anketách zde může hlasovat úplně každý, kdo má účet včetně robotů a nepříznivců strany.
Dodržujte prosím jeho pravidla a pravidla slušného chování.
Pro lepší diskuzi doporučujeme si založit účet.

Svartholm
Návštěvník – nepatří k Pirátům

Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Svartholm »

Po novele trestniho zakoniku a paragrafu 7b prichazi dalsi totalni fail a to podpora Ukradene Identity, pardon Bankovni Identity.

Je to prakticky oauth https://www.isss.cz/archiv/2019/downloa ... olejsi.pdf kdy jmenem obcana muze komunikovat, cituji. "Projekt Bankovní identita je otevřen všem českým bankám. Bude záležet jen na nich, zda se připojí či nikoliv. " - seznam clenu https://czech-ba.cz/clenove - Bank of China, BNP Paribas, Moneta, Sberbank a desitky dalsi

To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti? Nebo to bylo zase narizeno z EU ze to musi projit jako 7b? Neznalost nebo umysl?

A ten potencial pro phishing je taky neco - az se na nejakem eshopu objevi moznost prihlaseni bankovni identitu a BFU si rekne jak to ma ten eshop vychytany a samozrejme si nevsimne ze domena je trosinku trochu, zelenej zamecek to ma tak co by resil (preposilat udaje, ktere predal BFU do banky aby prisla overovaci sms, aby se overil token je to nejmensi).
Uživatelský avatar
Petr.Vileta
Člen KS Plzeňský kraj
Příspěvky: 34601
Registrován: 22 črc 2009, 18:12
Profese: Celkem Spokojený Důchodce
Bydliště: Plzeň 2
Dal poděkování: 31560 poděkování
Dostal poděkování: 25689 poděkování
Kontaktovat uživatele:

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Petr.Vileta »

Svartholm píše: 23 pro 2019, 12:26 To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti?
Zkusíme sem nějaké přilákat ;) @Ivor.Kollar @Michal.Ketner

Řadový člen, stínový ministr švihlých nápadů a fórista

Fide, sed cui fidas, vide.
Věř, ale komu věříš měř.

(Perchta z Pernštejna - Bílá paní)

Ivor.Kollar
Člen KS Praha
Příspěvky: 965
Registrován: 05 bře 2017, 11:57
Profese: IT konzultant
Dal poděkování: 2204 poděkování
Dostal poděkování: 2515 poděkování

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Ivor.Kollar »

Svartholm píše: 23 pro 2019, 12:26 Po novele trestniho zakoniku a paragrafu 7b prichazi dalsi totalni fail a to podpora Ukradene Identity, pardon Bankovni Identity.

Je to prakticky oauth https://www.isss.cz/archiv/2019/downloa ... olejsi.pdf kdy jmenem obcana muze komunikovat, cituji. "Projekt Bankovní identita je otevřen všem českým bankám. Bude záležet jen na nich, zda se připojí či nikoliv. " - seznam clenu https://czech-ba.cz/clenove - Bank of China, BNP Paribas, Moneta, Sberbank a desitky dalsi

To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti? Nebo to bylo zase narizeno z EU ze to musi projit jako 7b? Neznalost nebo umysl?

A ten potencial pro phishing je taky neco - az se na nejakem eshopu objevi moznost prihlaseni bankovni identitu a BFU si rekne jak to ma ten eshop vychytany a samozrejme si nevsimne ze domena je trosinku trochu, zelenej zamecek to ma tak co by resil (preposilat udaje, ktere predal BFU do banky aby prisla overovaci sms, aby se overil token je to nejmensi).
Ahoj,

osobne mam z SONIA zmiesane pocity, ale pozitiva asi zlahka prevladaju.

Mozem sa spytat, ktore konkretne bezpecnostne aspekty sa ti nezdaju? Napr. NIA momentalne umoznuje okrem inych moznosti aj prihlasenie sa menom a heslom + sms. Z tohoto hladiska sa mi riesenie u bank nezda nejak zvlast viac zranitelne.

Ak sa niecoho obavam, tak skor o dostatocne monitorovanie pristupu bank do zakladnych registrov, reps. aby bolo pre klienta lahko dohladatelne, kde vsade sa kedy "prihlasoval" (na druhu stranu, ak sa zoznamy toho k comu chceli banky do zakladnych registrov pristupovat nejak zasadne nezmenili, tak prakticky vsetky tie informacie maju uz teraz, len mozno neaktualne).

Je tu aj riziko zneuzivania identit v pripade kompromitacie niektorej z bank, to by ale mohlo byt pomerne jednoducho riesitelne jej docasnym znedoverihodnenim na urovni SONIA v momente zistenia kompromitacie. (+ teda kompromitacia banky pravdepodobne znamena mozny priamejsi financny zisk pre utocnika, a zneuzivanie identit asi nebude to prve, o co sa bude pokusat). Pokial by sa opakovala cielena kradez identity z prostredia jednej banky, asi nie je problem banku az do vyriesenia jej problemov v systeme zneplatnit.

Otazkou je, nakolko takato zmena spravi banky silnejsimi. Budu mat pristup k aktualnejsim/kvalitnejsim informaciam, a isty potencial aj na pripadne zneuzitie.

Medzi pozitiva by potom mohli patrit:
- vacsie rozsirenie v populacii, napr. ludia s trvalym pobytom v CR nemaju standardne ziadny elektronicky identifikator.
- moznost konkurencneho boja/technologickeho rozvoja. To sa moze na prvy pohlad zdat ako nepatrna vyhoda, ale da sa predpokladat ze viacero bank bude aj vo vlastnom zaujme dalej rozvijat moznost bezpecneho prihlasovania sa a overovania transakcii/opreracii. Aj ked prostredia v bankach su obecne pomerne konzervativne, stale to moze byt lepsie nez statna sprava, kde nie je priama financna motivacia na zlepsovani stavu (a casto ani "mindset").


Ako pisem na zaciatku, niesom z celeho projektu nijak zvlast nadseny, ale oproti sucasnemu stavu asi predstavuje zlepsenie v oblasti pouzitelnosti, a z hladiska bezpecnosti by mohlo ist o kratkodobe mierne zhorsenie, dlhodobo snad o neutralny vplyv. Ako kriticke miesto vidim hlavne dosledne monitorovanie vsetkych pristupov k datam priamo z bank a potvrdenych identit, a to vratane moznosti prehladu pre klientov.
Uživatelský avatar
Ondrej.Profant
Technický odbor
Příspěvky: 7962
Registrován: 22 dub 2009, 23:55
Profese: Náměstek člena vlády
Bydliště: Praha 8
Dal poděkování: 15004 poděkování
Dostal poděkování: 8366 poděkování
Kontaktovat uživatele:

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Ondrej.Profant »

Zákon již před novelizací předpokládal vstup bank do základních registrů. A to z důvodu evropské směrnici proti praní špinavých peněz (AML). Čili banky a pobočky zahraničních bank mají obecně dokonce povinnost ověřovat klienty proti základním registrům.

SONIA funguje obráceně. Stát vzal extrémně regulované prostředí a u ztotožněných klientů bank dovolil jejich zapojení do NIA. Toto zapojení předpokládá certifikaci popsanou v eu nařízení EIDAS. Nedovolit toto bankám by nejspíš bylo v rozporu s nařízením. Tu certifikaci musí splnit kdokoliv, kdo je v NIA (státní eobčanky, soukromé mojeID apod).

Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.

V rámci procesu byli zapracovány připomínky zpravodajských služeb.

Více: https://www.profant.eu/2019/sonia.html

profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika

Uživatelský avatar
Andrej.Ramaseuski
Republikový výbor
Příspěvky: 3428
Registrován: 28 srp 2016, 20:49
Profese: programátor
Bydliště: Sedlíšťka (Radhošť)
Dal poděkování: 2592 poděkování
Dostal poděkování: 5014 poděkování
Kontaktovat uživatele:

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Andrej.Ramaseuski »

Ondrej.Profant píše: 24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.
myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeID :) jen nas ztotozni a z tim do heliosu

0x8DE5F4739D2A2F0B | Ceterum censeo Facebook esse delendam

Ivor.Kollar
Člen KS Praha
Příspěvky: 965
Registrován: 05 bře 2017, 11:57
Profese: IT konzultant
Dal poděkování: 2204 poděkování
Dostal poděkování: 2515 poděkování

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Ivor.Kollar »

Andrej.Ramaseuski píše: 24 pro 2019, 14:26
Ondrej.Profant píše: 24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.
myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeID :) jen nas ztotozni a z tim do heliosu
Osobne sa domievam, ze (opakovane, umyselne) falosne ztotoznenie je z kategorie pochybeni, ktore by mohli viest az k odobratiu bankovej licencie, a minimalne k okamzitemu zablokovaniu banky v syteme sonia, az do vyriesenia problemov. Mozno sa na to pozeram prilis naivne, ale taketo riesenie by som ocakaval ja. Prevadzkovatel (banka) by mal byt potom motivovany moznou stratou bussinesu, aby k podobnym incidentom nedochadzalo.
Uživatelský avatar
Ondrej.Profant
Technický odbor
Příspěvky: 7962
Registrován: 22 dub 2009, 23:55
Profese: Náměstek člena vlády
Bydliště: Praha 8
Dal poděkování: 15004 poděkování
Dostal poděkování: 8366 poděkování
Kontaktovat uživatele:

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Ondrej.Profant »

Andrej.Ramaseuski píše: 24 pro 2019, 14:26
Ondrej.Profant píše: 24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.
myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeID :) jen nas ztotozni a z tim do heliosu
Nejde o nefunkční systém, jde o to volitelně napojit další systémy. Nikdo občana nenutí mít účet u banky propojené na NIA.

Předávání dat bankám je problém. Zvláště pak nemám příliš velkou důvěru v národní banku, že to dostatečně kontroluje. Nicméně tento problém vznikl u bankovních regulací a AML směrnice, nikoliv teď.

profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika

Uživatelský avatar
Petr.Vileta
Člen KS Plzeňský kraj
Příspěvky: 34601
Registrován: 22 črc 2009, 18:12
Profese: Celkem Spokojený Důchodce
Bydliště: Plzeň 2
Dal poděkování: 31560 poděkování
Dostal poděkování: 25689 poděkování
Kontaktovat uživatele:

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Petr.Vileta »

Andrej.Ramaseuski píše: 24 pro 2019, 14:26 hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeID :) jen nas ztotozni a z tim do heliosu
Co máš proti MojeID? Já osobně ho pokládám za mnohem přijatelnější, než zaručený elektronický podpis, nebo dokonce datovou schránku pro fyzickou osobu-nepodnikatele. Myslím, že to je něco téměř jako čipová občanka.

Řadový člen, stínový ministr švihlých nápadů a fórista

Fide, sed cui fidas, vide.
Věř, ale komu věříš měř.

(Perchta z Pernštejna - Bílá paní)

Svartholm
Návštěvník – nepatří k Pirátům

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Svartholm »

Ondrej.Profant píše: 24 pro 2019, 14:39
Andrej.Ramaseuski píše: 24 pro 2019, 14:26
Ondrej.Profant píše: 24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.
myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeID :) jen nas ztotozni a z tim do heliosu
Nejde o nefunkční systém, jde o to volitelně napojit další systémy. Nikdo občana nenutí mít účet u banky propojené na NIA.

Předávání dat bankám je problém. Zvláště pak nemám příliš velkou důvěru v národní banku, že to dostatečně kontroluje. Nicméně tento problém vznikl u bankovních regulací a AML směrnice, nikoliv teď.
Jenze ta banka (resp kdokoliv kdo ma pristup do jejich systemu, a zneuzivani techto pristupu se deje jiz ted) te muze falesne ztotoznit i kdyz tam zadny ucet nemas! To je snad jasne.

Fakt to chce nastudovat zaklady bezpecnosti (a premyslet o tom) nez umoznite odcizeni identity 10 milionu lidi - fakt pecka, az na to bude nepojeny katastr a zamestnanec banky ti zalozi fake ucet aby ti ukradl barak. Kterekoliv z 39 bank.

Vymluva ze vam to tlaci EU je trapna. Minimalne je potreba legislativne zajistit moznost opt-out aby si obcan mohl na "portale obcana" kliknout "zakazat Bankovni Identitu" a zakazal tak tem 39 bankam aby se za neho vydavali. Je to pruser.
Svartholm
Návštěvník – nepatří k Pirátům

Re: Bankovni Identita - obrovsky bezpecnostni pruser

Příspěvek od Svartholm »

Osobne sa domievam, ze (opakovane, umyselne) falosne ztotoznenie je z kategorie pochybeni, ktore by mohli viest az k odobratiu bankovej licencie, a minimalne k okamzitemu zablokovaniu banky v syteme sonia, az do vyriesenia problemov.
To je silene naivni pristup. Par desitkam/stovkam obcanum zniceme zivot a potom si treba nekdo vsimne (spis ne!) ze identity nekdo zneuziva. Pak se to hodi na jednoho zamestnance/hackera a jede se dal. Nemluve o utocich na koncove uzivatele (a phishing na internetove bankovictvi je i v cr rozsireny) kdy s pristupem k bankovictvi dostavas moznost se za toho obcana vydavat i vuci statu (a obcan s tim nic nenadela).

Dovolit 39 bankam aby mohli vystupovat vuci statu ve jmenu jakehokoliv obcane ja silenost (druha vec je pristup ve jmenu banky k informaci o obcanovi - o tom se tady nebavime). Je potreba, minimalne, legislativne zajistit aby mel obcan moznost Bankovni Identitu kompletne zakazat, pripadne omezit na urcite banky.

Obcan u konkretni banky nemusi mit vubec ucet aby se za nej mohla vydavat.
Odpovědět

Zpět na „Pirátské kauzy“