各銀行のインターネットバンキングって大丈夫?
475 :名無しさん:
|
|
|
476 :名無しさん:04/08/18 03:02
>>457
みずほインフォメーションダイヤルに聞け。
みずほインフォメーションダイヤルに聞け。
477 :名無しさん:04/08/18 15:47
>>475
このシステムで取り扱う物は?
>主に、顧客の預金に関するやりとりです。
てことは、有る程度セキュリティは、考えてますよね?
>当然です。最低限、私たちに非が有るような状況は避けないと。
まぁ、それはそうでしょうけど。
具体的には?
>SSLを用いて、顧客との通信を暗号化する。
ほかには?
>そのほか、何が必要だというのだ?
SQLインジェクションに対するサニタイジングは?
>SQL?インジェクション?何だねそれは。
まぁ、簡単に申しますと、外から他人の口座をハックして、情報を取り出すことです。
この情報には、「預金残高」も含まれてます。
>そんなこと、本気で出来ると思ってるのかね?
>そもそも、そんなことができるなんて話は聞いたことがないぞ。
えっと、念のために確認しますが、この会議ってのは、○○のシステムリプレースですよね?
>そうだが?
現状のシステムでは、その様な事は無かったと言うことでしょうか?
>きみぃ、馬鹿にして貰っては困るよ。今までログを監査していたが、今までその様な事は無かったぞ
はぁ、じゃ、試しにやってみましょうか。
このシステムで取り扱う物は?
>主に、顧客の預金に関するやりとりです。
てことは、有る程度セキュリティは、考えてますよね?
>当然です。最低限、私たちに非が有るような状況は避けないと。
まぁ、それはそうでしょうけど。
具体的には?
>SSLを用いて、顧客との通信を暗号化する。
ほかには?
>そのほか、何が必要だというのだ?
SQLインジェクションに対するサニタイジングは?
>SQL?インジェクション?何だねそれは。
まぁ、簡単に申しますと、外から他人の口座をハックして、情報を取り出すことです。
この情報には、「預金残高」も含まれてます。
>そんなこと、本気で出来ると思ってるのかね?
>そもそも、そんなことができるなんて話は聞いたことがないぞ。
えっと、念のために確認しますが、この会議ってのは、○○のシステムリプレースですよね?
>そうだが?
現状のシステムでは、その様な事は無かったと言うことでしょうか?
>きみぃ、馬鹿にして貰っては困るよ。今までログを監査していたが、今までその様な事は無かったぞ
はぁ、じゃ、試しにやってみましょうか。
478 :名無しさん:04/08/18 15:48
>>477 つづき
ここで、現行システムの実験環境をプロジェクタで大写しにしてもらう
まずですね、ソースを見ましょうか
ここにですね、xxxxxがありますよね、これをxxxxxxxxに変えてローカルに保存します
次に、このローカルに保存したファイルを開きまして・・・・
ここで、このように・・・・・・
実作業については、以下略
と、この様にしますと、他人の口座を見ることが出来ました。
この状況に至までのログを追いかけてもらえますか?
ログには何も残ってない・・・・
この様に、ログに残さないように他人の口座から預金を引き出すことも、
振り込むことも出来る訳ですが、、、これでもこの様な対策をする必要はないと?
>きみねぇ、、こんな事が出来るという、実験は解った。
>しかし、これが現実に起きているという確証はない。
>君のような事をする者が他に居るとでも言うのか?
少なくとも、数年前には無かった事例ではありますが、情報の改ざん、情報漏洩などの問題の1要素にはなっているとおもいますが。
>君の言い分はよくわかった、しかしながら、入られるかもしれないと言った、アバウトな状況だけでシステムを作り変える必要は無いんじゃないか?
では、今後この様な状況に陥らないと?
>陥るも何も、今までこの様な事は無かったし、ログにも記録されていない。
ですから、先ほど私の行った実験でも、ログを残さずに他人の口座を見ることが出来ました。
それでも、過去に発生していないと?
>そらまぁ、原理的には可能なんだろうけど、ねぇ・・・・
では、今後この対策は行われないと?
>ま、そうなるかね?
ここで、現行システムの実験環境をプロジェクタで大写しにしてもらう
まずですね、ソースを見ましょうか
ここにですね、xxxxxがありますよね、これをxxxxxxxxに変えてローカルに保存します
次に、このローカルに保存したファイルを開きまして・・・・
ここで、このように・・・・・・
実作業については、以下略
と、この様にしますと、他人の口座を見ることが出来ました。
この状況に至までのログを追いかけてもらえますか?
ログには何も残ってない・・・・
この様に、ログに残さないように他人の口座から預金を引き出すことも、
振り込むことも出来る訳ですが、、、これでもこの様な対策をする必要はないと?
>きみねぇ、、こんな事が出来るという、実験は解った。
>しかし、これが現実に起きているという確証はない。
>君のような事をする者が他に居るとでも言うのか?
少なくとも、数年前には無かった事例ではありますが、情報の改ざん、情報漏洩などの問題の1要素にはなっているとおもいますが。
>君の言い分はよくわかった、しかしながら、入られるかもしれないと言った、アバウトな状況だけでシステムを作り変える必要は無いんじゃないか?
では、今後この様な状況に陥らないと?
>陥るも何も、今までこの様な事は無かったし、ログにも記録されていない。
ですから、先ほど私の行った実験でも、ログを残さずに他人の口座を見ることが出来ました。
それでも、過去に発生していないと?
>そらまぁ、原理的には可能なんだろうけど、ねぇ・・・・
では、今後この対策は行われないと?
>ま、そうなるかね?
479 :名無しさん:04/08/18 15:52
恐ろしい! ネットバンキング開発打ち合わせの様子
http://news16.2ch.net/test/read.cgi/dqnplus/1092809915/
やり方 手口の詳細
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01_main.html
2004/08/18付やじうまWatch
http://internet.watch.impress.co.jp/static/yajiuma/index.htm
「TOTOROの自堕落 日記」に、あるネットバンキングサービスについての
とても気になる内容が掲載されていた。システム更新の開発を外部に発注するための、
ごく初期の会議のひとコマなんだけれど、発注側はセキュリティに関してほとんど無知
なのに加えて、現行システムのセキュリティの大穴を実験で指摘されても、記録には
残ってないから対策をしない、というとんでもない態度を取っていた。もっとも、
この日記公開の直後に、新聞社から取材が行ったり、当の担当者は急に地方に転勤に
なったりしたようで、何となく落ち着くところに落ち着いた感もある。筆者の場合は、
残高がほとんどないので安心しているけれどね。
http://news16.2ch.net/test/read.cgi/dqnplus/1092809915/
やり方 手口の詳細
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01_main.html
2004/08/18付やじうまWatch
http://internet.watch.impress.co.jp/static/yajiuma/index.htm
「TOTOROの自堕落 日記」に、あるネットバンキングサービスについての
とても気になる内容が掲載されていた。システム更新の開発を外部に発注するための、
ごく初期の会議のひとコマなんだけれど、発注側はセキュリティに関してほとんど無知
なのに加えて、現行システムのセキュリティの大穴を実験で指摘されても、記録には
残ってないから対策をしない、というとんでもない態度を取っていた。もっとも、
この日記公開の直後に、新聞社から取材が行ったり、当の担当者は急に地方に転勤に
なったりしたようで、何となく落ち着くところに落ち着いた感もある。筆者の場合は、
残高がほとんどないので安心しているけれどね。
480 :名無しさん:04/08/18 15:57