已協(xié)商解決

yhb7805

網(wǎng)銀安全的重點(diǎn)其實(shí)不在技術(shù)上，關(guān)鍵在于金融業(yè)務(wù)體系上。
凡是被破獲的盜竊案，很多都是小偷去ATM或者柜臺(tái)取款。
現(xiàn)在的小偷基本都通過淘寶，QQ這些平臺(tái)洗錢，只要TX和淘寶配合，也可以追查出來(lái)，但是這樣的成本也非常高。
呵呵，所以很多人都說，安全是一個(gè)過程，IT技術(shù)很關(guān)鍵，但不是全部。

fmilan

原帖由 yhb7805 于 2008-2-18 12:07 發(fā)表
網(wǎng)銀安全的重點(diǎn)其實(shí)不在技術(shù)上，關(guān)鍵在于金融業(yè)務(wù)體系上。
凡是被破獲的盜竊案，很多都是小偷去ATM或者柜臺(tái)取款。
現(xiàn)在的小偷基本都通過淘寶，QQ這些平臺(tái)洗錢，只要TX和淘寶配合，也可以追查出來(lái)，但是這樣的 ...

現(xiàn)在的問題是警察不去查，社會(huì)主義，公仆，沒辦法，據(jù)銀行說對(duì)方提款的錄像也有，登陸網(wǎng)銀和轉(zhuǎn)帳記錄也有，都給警察了，沒用，那些爺辦案成本太高，基本不會(huì)去查
現(xiàn)在向銀行要網(wǎng)銀的登陸轉(zhuǎn)帳資料，建行打太極拳，就是不給
現(xiàn)在就先幫建行做宣傳了，能提醒大家讓大家避免損失，也是功德

建行的產(chǎn)品用不得，就像你說的，技術(shù)到是其次，關(guān)鍵是建行沒有責(zé)任心，他們最看重的是他們那張已經(jīng)一塌糊涂的臉面，當(dāng)初建行和招行幾乎同時(shí)發(fā)生數(shù)字證書失竊案件，招行出了問題及時(shí)查找原因，基本堵住了缺口，建行就麻木的很，直到一年多以后還有那種失竊的案例，那些建行客戶真的很冤

最近建行又出現(xiàn)客戶信用卡被盜刷,建行同樣的麻木不仁.
現(xiàn)在我已經(jīng)全面轉(zhuǎn)向工行和招行,惹不起建行咱們還躲得起,為了資金的安全,還是離這個(gè)大垃圾遠(yuǎn)點(diǎn)的好

feelfox

原帖由 yhb7805 于 2008-2-18 12:07 發(fā)表
網(wǎng)銀安全的重點(diǎn)其實(shí)不在技術(shù)上，關(guān)鍵在于金融業(yè)務(wù)體系上。
凡是被破獲的盜竊案，很多都是小偷去ATM或者柜臺(tái)取款。
現(xiàn)在的小偷基本都通過淘寶，QQ這些平臺(tái)洗錢，只要TX和淘寶配合，也可以追查出來(lái)，但是這樣的 ...

想查確實(shí)還是可以查的，但是確實(shí)涉及的部門比較多，都不愿意攤上這事。

yhb7805

綁定序列號(hào)并不一定就安全,你買的是上海華虹的USB Key,他們?cè)瓉?lái)是做芯片設(shè)計(jì)的(就是USBKey里負(fù)責(zé)RSA運(yùn)算的芯片).
前一段時(shí)間看到一個(gè)網(wǎng)銀被盜案宣判了,法院判定銀行賠付損失,那個(gè)案件的關(guān)鍵點(diǎn)在于,法院要求銀行舉證用戶過失導(dǎo)致失竊,這跟以往那些不同,以往是用戶舉證銀行過失.呵呵,一下子扭轉(zhuǎn)乾坤啊.
網(wǎng)上銀行最安全的,現(xiàn)在還是招商.原因很簡(jiǎn)單,招商比不了四大,網(wǎng)上銀行,信用卡這些業(yè)務(wù),是他們利潤(rùn)來(lái)源,自然用心在做,四大么,呵呵,純粹就是做秀,他們對(duì)網(wǎng)銀的重視程度不夠.
我現(xiàn)在準(zhǔn)備換工作了,從原來(lái)的圈子里跳出來(lái),不過還是做安全.前兩年積累總結(jié)出一條經(jīng)驗(yàn)——網(wǎng)銀安全的實(shí)現(xiàn)，最關(guān)鍵的還是銀行自己，一個(gè)小小的USB Key不能解決任何問題。需要基礎(chǔ)的科學(xué)理論支撐，需要嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)實(shí)現(xiàn)！
希望自己能為這個(gè)行業(yè)做一點(diǎn)有實(shí)際意義的工作。

yhb7805

當(dāng)年王岐山和周小川在建行的時(shí)候，建行的勢(shì)頭還是很猛的，現(xiàn)在不行了。

flyingpp

原帖由 yhb7805 于 2007-9-3 00:14 發(fā)表
嘿嘿，先普及一下基本知識(shí)。簡(jiǎn)單講：數(shù)字證書就是你在網(wǎng)上的身份證，真正起安全作用的是數(shù)字證書對(duì)應(yīng)的密鑰對(duì)（一個(gè)公鑰，一個(gè)私鑰），證書是公開的。誰(shuí)拿到這個(gè)數(shù)字證書的私鑰，誰(shuí)就有了這個(gè)數(shù)字身份。張三有李四的私鑰，張三就可以以李四的名義，用網(wǎng)銀消費(fèi)！如果是因?yàn)槔钏淖约罕９懿簧苼G失私鑰，跟銀行沒有關(guān)系！所謂“不可導(dǎo)出方式安裝的證書”，嘿嘿，對(duì)不起，您可以理解為這是微軟跟您開的玩笑！“不可導(dǎo)出”是說您計(jì)算機(jī)上的瘟到死不允許您將這個(gè)私鑰備份到任何地方，只能被windows存在系統(tǒng)盤的某個(gè)角落，不要要說導(dǎo)入U(xiǎn)Key，您哪天中個(gè)病毒，重裝個(gè)系統(tǒng)，這證書和密鑰就算報(bào)銷了，您只能重新申請(qǐng)了。網(wǎng)銀的事情，做PKI這行的都清楚是怎么回事，不敢多說。(再怎么說我老婆也是建行正式員工！不能對(duì)不起娘家人。)您找律師沒戲，去銀行的服務(wù)器取證更沒戲。雖然這事您占理，但是您沒找到點(diǎn)子上�，F(xiàn)在的律師，有幾個(gè)能看懂電子簽名法和電子銀行支付導(dǎo)引??!!  

有個(gè)問題，不知道IE瀏覽器設(shè)置了證書不可導(dǎo)出私鑰的情況下，私鑰有沒有辦法被導(dǎo)出？這位DX說“只能被windows存在系統(tǒng)盤的某個(gè)角落”，這個(gè)角落是否公開？如果公開的話，這個(gè)案例就好理解咯.

fmilan

被盜至今快一年了，很感謝yhb7805 兄弟持續(xù)熱心的跟蹤和解答
今年建行網(wǎng)銀被盜的勢(shì)頭仍然不減，usb key用戶也有被盜的了，建行已經(jīng)悄悄賠償，并且想讓被盜用戶簽訂保密協(xié)議
最近項(xiàng)目忙完了，應(yīng)該會(huì)空閑點(diǎn)了，差不多也該找建行了斷了。

utopianet

我最近也買了UKEY,之前一直在用文件證書.購(gòu)買UKEY過程中,銀行工作人員告知我,會(huì)注銷之前開通的網(wǎng)銀,并且一些信息會(huì)丟失.回家以后,下載證書的時(shí)候,到了選擇證書導(dǎo)出的時(shí)候,我很不解,因?yàn)槲矣X得銀行不應(yīng)該把證書導(dǎo)出到硬盤的選項(xiàng)也給出來(lái),因?yàn)槿绻�這樣,那UKEY就完全失去了意義.因?yàn)橹灰�取這個(gè)UKEY,那就可能危及資金安全.像其它的一些銀行,比如說招行,廣發(fā)銀行,如果你簽約時(shí)買了UKEY,是不會(huì)讓你導(dǎo)出硬盤上的.這的的確確是建行設(shè)計(jì)上的不足!!!
每個(gè)貼子我都看了,我有N個(gè)銀行的UKEY,也一直在用,就是覺得建行的最爛!!!很不可靠,雖然我現(xiàn)在是建行的乙方......
不知道事情的最新進(jìn)展如何?

y2k_connect

分析了一下, 網(wǎng)銀的工作環(huán)境, 發(fā)現(xiàn)問題很大.
1. 硬件.
    x86系統(tǒng), 已經(jīng)確認(rèn)cpu內(nèi)含安全問題. 目前已經(jīng)在戰(zhàn)場(chǎng)上被美軍使用過.
2. 操作系統(tǒng).
    Windows 9x/2k/xp/2003/visit, 已知的系統(tǒng)漏洞數(shù)以千計(jì). 而且, 還有設(shè)計(jì)了專門的后門程序.
3. ie瀏覽器.
    本身設(shè)計(jì)上的問題就有一大堆. 已知的軟件漏洞數(shù)以百計(jì). 而且, 還有專門針對(duì)ie的木馬.
4. usb key盤.
    加密軟件被固化到硬件中. 但是加密軟件的安全性, 很值得推敲.

    用戶的密碼, 無(wú)疑是需要以明文方式傳給usb key盤. 然后從usb key盤得到密文.
    首先, 無(wú)任是硬件、操作系統(tǒng)還是ie瀏覽器都有辦法通過系統(tǒng)漏洞將明文的密碼截獲, 并發(fā)送到網(wǎng)上的指定位置.
    其次, 密文的密碼也可以通過系統(tǒng)漏洞被截獲, 并發(fā)送到網(wǎng)上的指定位置進(jìn)行暴力破解.

    因此, 在目前x86 cpu + Windows + ie瀏覽器的方式下, 我們不應(yīng)該相信有任何事情是安全的.

diyself

得注意注意