Poštanska Štedionica i sigurnost Homebanking-a
Poštanska štedionica bila je jedna od prvih banaka kod nas koja je uvela neke osnove Homebankinga. Bez mesečne pretplate i nekih dodatnih zavrzlama moguće je pratiti sve promene na računu i vršiti plaćanja nekih usluga (uz proviziju, naravno). Dugo je sve funkcionisalo bez problema uz neke sitne nedostatke, i delovalo je koliko-toliko profesionalno. Od pre mesec – dva situacija se drastično promenila.
Otišao sam na sajt Homeb@ankinga kao i ko zna koliko puta do tada i dočekalo me obaveštenje o tome da konekcija nije dovoljno bezbedna. Promenljen je sertifikat za bezbednost, a sertifikat koji je u opotrebi je “domaća proizvodnja” i nije odobren od strane nadležnih institucija.
Ok, sve radi i dalje ali isti ovakav “samopotpisan” sertifikat mogu i ja da napravim, i pravio sam i koristio za neke moje potrebe. Ali ovo je BANKA! Postoji hiljadu načina da se ovakav način samopotpisivanja zloupotrebi. Nisu bez razloga izmišljeni sistemi potpisa, kontrole i svega ostalog što ide uz to. Mislim da nema mesta za filozofiju “verujujem vam na reč” u internet komunikacijama i bezbednosti, a ovo je upravo to – kao da sami napravite svoju ličnu kartu i da očekujete da vam neko veruje.
Poštanska štedionica je upravo to i uradila – izdala sama sebi ličnu kartu. Mogućnosti za zloupotrebu ovog načina potpisivanja su velike, npr “pecanje” (phishing). Ovakav sertifikat može lepo da završi posao ali…. deluje totalno početnički, amaterski i neozbiljno! U svakom slučaju bolje je nego da zaštita uopšte ne postoji… Naravno, ni pravilno potpisani sertifikati nisu 100% ganarcija sigurnosti, ali su u mogućnosti za zloupotrebu višestruko manjenego u ovom slučaju.
Loading ...
Mišljenja iznešena u komentarima su privatno mišljenje autora komentara
i ne odražavaju stavove urednika sajta Svet nauke.
Imas typo u naslovu
Expert za lov na greške ponovo u akciji
Ispravljeno, hvala.
Sad nemaš b u naslovu
Piše homeanking… 
Hehehe, to "b" malo zeza… već sam ga ispravljao
Ja se nadam da postoji jedna banka u srbiji koja ne koristi self-signed sertivikat
?
hehehe kod njih se do skora nije bunio browser. Možda više neće da se izdvajaju iz društva
hej… da se javim i ja
ne bih ja generalno prihvatao tezu "bolje i ovakva zastita nego nikakva"
osecaj lazne sigurnosti moze biti mnogo opasan 
kad znas da nemas zastitu, jos se nekako i pazis ali ako spavas na to uvo da si siguran i lepo se ususkas u filozofiju "nece to mene".. huh..
p.s. ne kazem da je to primenljivo u ovom slucaju ali.. kao sto rece.. ovakve sertifikate moze svako da napise
a i sajt im je tako tesko iskopirati 
Cini mi se da Komercijalna banka ima sasvim solidan sistem e-bankinga. Od njih se kupi USB sa "elektronskim potpisom" i dobije se PIN kod koji mora da se ukucava svaki put. E sad, mislim da browser nije nikad pravio probleme sa sertifikatom, ali nisam siguran.
To je drugi tip zaštite. Elektronski potpis i PIN služe za identifikaciju korisnika, sprečavaju zloupotrebu računa od strane nekoga ko nije ovlašćen.
Potpis banke radi drugo – on štiti korisnika od "banke". Pomenuti sertifikat garantuje korisniku da sajt (na koji treba da unese šifru, potpis, PIN itd) pripada banci, a ne nekom drugom, ko pokušava da prevari korisnika.
Nedostatak autorizovanog sertifikata omogućava nekom trećem da bukvalno klonira sajt, napravi skoro identičan sertifikat i preko različitih metoda dovede korisnike banke na svoj sajt i tako pokupi sve nijihove podatke.
Moja greska… Dobro, svakog dana naucimo po nesto novo. Hvala.
Samo ću da kažem "njaaaaaaaaah"…mrzim banke i njihove ideje o bezbednosti…i da s nadovežem, mrzim IE i tako to…u vezi sa bankama…
Poštanska štedionica radila je iz Linuxa
O "samo za IE" filozofiji banaka neću da trošim reči…
@mmilan ma da, to je prica za sebe
komercialna banka koristi halcomov sistem koji radi na linuxu iz firefoxa i (gore spomenuti) USB flash sa serfitikatom se moze (tj samo sertifikat) uvesti u ff i sve radi kao sat!
(ako se neko ne snadje, nek ostavi komentar napisacu kako)
dodushe ima tu i druga stana medalje, oni su pre nekog vremena "menjali sistem" pa neko vreme tu nishta nije radilo, a onda je neshto proradilo a neshto nije i tako u krug… da bi neshto posle nove godine dolazeci u banku da zavrshim neke transakcije saznao da mi je racun u minusu (debitni racun), jer je neko ponovo pustio "fajl sa transakcijama" za kartice iz decembra. Poshto je sluzbenik bio prvo vrlo grlat pokushavajuci da me ubedi da sam na bankovmatu skinuo pare koje su me odvele u minus (ne izvodljivo svi to znaju), onda kad sam mu pokazao duplu transakciju on je prvo gledao u ekran, pa zvao kolegu.. E u pola razgovora je poceo tako tiho da prica da se vishe nije culo kroz shalter shta se domundjavaju..
BTW, od cetvrtka meridian banci "ne radi sistem" pa platni promet kod njih ne funkcionishe.
Nije mesto za pitanje, ali imam utisak da domace banke zapadaju u probleme, i da ovi "ispadi sistema" nemaju veze sa tehnikom nego da oni jednostavno krpace-kraj-sa-krajem pa tako otkacinju mushterija, zadrzavaju njihova sredstva i slicno i tako prolaze kroz kratkotrajnu nelikvidnost. Nisam strucnjak za bankarstvo ni finansije, ali ozbljno sumnjam da se tu neshto sumljivo deshava i da ce pre ili kasnije to da pupuca… Ako nishta drugo banke gube tek steknuto poverenje u zadnju 5-6 godina.
Nisam korisnik Komercijalne banke, ali bilo mi je zanimljivo da proverim tvoju tvrdnju da su svuda self-signed sertifikati i neprijatno sam se iznenadio.
Kada sam trazio Komercijalnu, naleteo sam na sajt banke iz Skoplja i sertifikat je bio Ok, ali video sam da sa jezikom nesto nije u redu
Dalje pretrazivanje dalo je ili rezultat "instalirajte Windows" ili self-signed. Probao sam nekoliko banaka, jedini izuzetak je Société Générale).
Ovo sto si napisao za Komercijalnu banku je lepa vest, znaci moze da radi i Linux – samo kad neko hoce (i zna) to da omoguci.
Koristim Meridian banku i ne secam se koliko puta sam tamo usao a da se ne iznerviram. Pocev od komentara "idi u nase drugo predstavnistvo", preko cekanja duzeg od tri nedelje da poniste neuspesna placanja (iz nekog razloga jedino njihove kartice ne rade na Skype), pa do slanja brojeva kartice e-mailom. Bezbednost i zastita podataka o licnosti zagarantovana
Poslednji paragraf zvuci tako istinito, dodao bih jedino to da je jedan deo tehnickih problema prouzrokovan (ne)znanjem tehnickog osoblja (banke ipak nisu mesto gde neko treba da uci o mrezama, bezbednosti i ostalim tehnickim stvarima)
Koristim već više godina RSA token kod PŠ za elektronsko plaćanje i to radi lepo (iz linuxa). Što se tiče samopotpisanog sertifikata, zar nisu oni (Pošte Srbije) dobili licencu od države za izdavanje digitalnih potpisa? (nije isto, al je na tu foru
Dobro si primetio, a problem je nastao upravo tih dana kada su najviše pričali o digitalnom potpisu.
Pogreshan URL gore… ovo je url sa sajta za sertifikacte…
trebao je da bude: https://hb.posted.co.yu/posted/index.html
Provereno: http://sertifikati.ca.posta.rs/crl/PostaCARoot.cr…
ne koristi sertifikat izdat od strane Poste (tj zvanicnog issuera za nashu malu drzavu).
A onda ne treba ništa da nas brine, samo da PŠ budu validovane i od strane međunarodnih izdavalaca sertifikata pa će postati „ovlašćeni“. A znaš da se kod nas sve sporo integriše u međunarodni sistem
Onda je to sa poštanskom štedionicom druga priča… no svestan si i sam kako je sa većinom banaka…stoga se ni ne odlučujem na sve to jer me izluđuje…
Cao svima! Treba mi jedna mala pomoć. Upravo radim diplomski rad na temu "e-usluge Poštanske štedionice", pa ako neko ima nešto o samoj banci, nešto opširnije (jer na njihovom sajtu nema baš puunoooo)ili možda neki dr.sajt, bilo bi lepo da to podeli sa mnom.:) Hvala unapred!!!
@zsteva
Ne znam koja je veza između PŠ i Pošte ali nisu mi baš jasni. Pošta je počela da izdaje sertifikate, a PŠ koristi sertifikat koji je izdala PŠ (vidi se na linku koji si postavio i na screenshoot-u u tekstu). "Malo" su haotični
@Aleksandar
Ima li neko pojma o tome šta se dešava sa "evro-atlantskim" integracijama digitalnog potpisa?
@Punky
Sam si kriv. Koristi Windows & IE
Sajtovi banaka možda i prorade, a ostalo… pa ne treba.
@Jaca
Ja pojma nemam, možda može da pomogne neko drugi
@mmilan e tu ulazimo u neke druge i komplikovane stvari
)
banka postanska shtedionica a.d. je nezavisna banka kao svaka druga, kako je postala i skandali oko toga, kao i to ko su akcionari i slicno, duge price (ja znam samo deo) i trebalo bi vremena i truda da se izadje na kraj sa tim
) I direktne veze oni i JP Poste nemaju.
BTW: shto dugne 'Posalji komentar' nebi bilo belo ? svaki put se tripujem da nema dugmeta za slanje kommentara
I to što kažeš…Verovaću Billu uz dupli backup i moći ću da koristim usluge banaka…ostalo je nevažno…Hvala na prosvetljenju!
@zsteva
Volim komplikovane stvari, ali to je previše. Dovoljno mi je da znam da su to dve različite firme
Predlog za dugme prihvaćen, sad ću da sredim.
@Punky
Nema na čemu, i drugi put