已协商解决

yhb7805

网银安全的重点其实不在技术上，关键在于金融业务体系上。
凡是被破获的盗窃案，很多都是小偷去ATM或者柜台取款。
现在的小偷基本都通过淘宝，QQ这些平台洗钱，只要TX和淘宝配合，也可以追查出来，但是这样的成本也非常高。
呵呵，所以很多人都说，安全是一个过程，IT技术很关键，但不是全部。

fmilan

原帖由 yhb7805 于 2008-2-18 12:07 发表
网银安全的重点其实不在技术上，关键在于金融业务体系上。
凡是被破获的盗窃案，很多都是小偷去ATM或者柜台取款。
现在的小偷基本都通过淘宝，QQ这些平台洗钱，只要TX和淘宝配合，也可以追查出来，但是这样的 ...

现在的问题是警察不去查，社会主义，公仆，没办法，据银行说对方提款的录像也有，登陆网银和转帐记录也有，都给警察了，没用，那些爷办案成本太高，基本不会去查
现在向银行要网银的登陆转帐资料，建行打太极拳，就是不给
现在就先帮建行做宣传了，能提醒大家让大家避免损失，也是功德

建行的产品用不得，就像你说的，技术到是其次，关键是建行没有责任心，他们最看重的是他们那张已经一塌糊涂的脸面，当初建行和招行几乎同时发生数字证书失窃案件，招行出了问题及时查找原因，基本堵住了缺口，建行就麻木的很，直到一年多以后还有那种失窃的案例，那些建行客户真的很冤

最近建行又出现客户信用卡被盗刷,建行同样的麻木不仁.
现在我已经全面转向工行和招行,惹不起建行咱们还躲得起,为了资金的安全,还是离这个大垃圾远点的好

feelfox

原帖由 yhb7805 于 2008-2-18 12:07 发表
网银安全的重点其实不在技术上，关键在于金融业务体系上。
凡是被破获的盗窃案，很多都是小偷去ATM或者柜台取款。
现在的小偷基本都通过淘宝，QQ这些平台洗钱，只要TX和淘宝配合，也可以追查出来，但是这样的 ...

想查确实还是可以查的，但是确实涉及的部门比较多，都不愿意摊上这事。

yhb7805

绑定序列号并不一定就安全,你买的是上海华虹的USB Key,他们原来是做芯片设计的(就是USBKey里负责RSA运算的芯片).
前一段时间看到一个网银被盗案宣判了,法院判定银行赔付损失,那个案件的关键点在于,法院要求银行举证用户过失导致失窃,这跟以往那些不同,以往是用户举证银行过失.呵呵,一下子扭转乾坤啊.
网上银行最安全的,现在还是招商.原因很简单,招商比不了四大,网上银行,信用卡这些业务,是他们利润来源,自然用心在做,四大么,呵呵,纯粹就是做秀,他们对网银的重视程度不够.
我现在准备换工作了,从原来的圈子里跳出来,不过还是做安全.前两年积累总结出一条经验——网银安全的实现，最关键的还是银行自己，一个小小的USB Key不能解决任何问题。需要基础的科学理论支撑，需要严谨的设计实现！
希望自己能为这个行业做一点有实际意义的工作。

yhb7805

当年王岐山和周小川在建行的时候，建行的势头还是很猛的，现在不行了。

flyingpp

原帖由 yhb7805 于 2007-9-3 00:14 发表
嘿嘿，先普及一下基本知识。简单讲：数字证书就是你在网上的身份证，真正起安全作用的是数字证书对应的密钥对（一个公钥，一个私钥），证书是公开的。谁拿到这个数字证书的私钥，谁就有了这个数字身份。张三有李四的私钥，张三就可以以李四的名义，用网银消费！如果是因为李四自己保管不善丢失私钥，跟银行没有关系！所谓“不可导出方式安装的证书”，嘿嘿，对不起，您可以理解为这是微软跟您开的玩笑！“不可导出”是说您计算机上的瘟到死不允许您将这个私钥备份到任何地方，只能被windows存在系统盘的某个角落，不要要说导入UKey，您哪天中个病毒，重装个系统，这证书和密钥就算报销了，您只能重新申请了。网银的事情，做PKI这行的都清楚是怎么回事，不敢多说。(再怎么说我老婆也是建行正式员工！不能对不起娘家人。)您找律师没戏，去银行的服务器取证更没戏。虽然这事您占理，但是您没找到点子上。现在的律师，有几个能看懂电子签名法和电子银行支付导引??!!  

有个问题，不知道IE浏览器设置了证书不可导出私钥的情况下，私钥有没有办法被导出？这位DX说“只能被windows存在系统盘的某个角落”，这个角落是否公开？如果公开的话，这个案例就好理解咯.

fmilan

被盗至今快一年了，很感谢yhb7805 兄弟持续热心的跟踪和解答
今年建行网银被盗的势头仍然不减，usb key用户也有被盗的了，建行已经悄悄赔偿，并且想让被盗用户签订保密协议
最近项目忙完了，应该会空闲点了，差不多也该找建行了断了。

utopianet

我最近也买了UKEY,之前一直在用文件证书.购买UKEY过程中,银行工作人员告知我,会注销之前开通的网银,并且一些信息会丢失.回家以后,下载证书的时候,到了选择证书导出的时候,我很不解,因为我觉得银行不应该把证书导出到硬盘的选项也给出来,因为如果这样,那UKEY就完全失去了意义.因为只要取这个UKEY,那就可能危及资金安全.像其它的一些银行,比如说招行,广发银行,如果你签约时买了UKEY,是不会让你导出硬盘上的.这的的确确是建行设计上的不足!!!
每个贴子我都看了,我有N个银行的UKEY,也一直在用,就是觉得建行的最烂!!!很不可靠,虽然我现在是建行的乙方......
不知道事情的最新进展如何?

y2k_connect

分析了一下, 网银的工作环境, 发现问题很大.
1. 硬件.
    x86系统, 已经确认cpu内含安全问题. 目前已经在战场上被美军使用过.
2. 操作系统.
    Windows 9x/2k/xp/2003/visit, 已知的系统漏洞数以千计. 而且, 还有设计了专门的后门程序.
3. ie浏览器.
    本身设计上的问题就有一大堆. 已知的软件漏洞数以百计. 而且, 还有专门针对ie的木马.
4. usb key盘.
    加密软件被固化到硬件中. 但是加密软件的安全性, 很值得推敲.

    用户的密码, 无疑是需要以明文方式传给usb key盘. 然后从usb key盘得到密文.
    首先, 无任是硬件、操作系统还是ie浏览器都有办法通过系统漏洞将明文的密码截获, 并发送到网上的指定位置.
    其次, 密文的密码也可以通过系统漏洞被截获, 并发送到网上的指定位置进行暴力破解.

    因此, 在目前x86 cpu + Windows + ie浏览器的方式下, 我们不应该相信有任何事情是安全的.

diyself

得注意注意