Zaba internet bankarstvo dopustilo da im istekne SSL certifikat, budite oprezni!

Zaba internet bankarstvo dopustilo da im istekne SSL certifikat, budite oprezni!

Zaba.hr

Zagrebačkoj banci danas je istekao SSL certifikat njihove web stranice odnosno internet bankarstva koji garantira da zaista “komunicirate” s njihovom web stranicom, a ne napadačem. Čini se da je SSL certifikat Zagrebačke banke istekao jučer tako da ćemo sad vidjeti koliko će im trebati da svoje internetsko bankarstvo ponovno učine potpuno sigurnim. SSL radi i ako ste sigurni da ste na pravoj stranici nema brige, ali…

SSL certifikati entriptiraju komunikaciju vašeg internetskog preglednika s serverom web stranice, u ovom slučaju ZABA.hr. Time vas štite pri unošenju osjetljivih podataka, primjerice korištenju internetskog bankarstva! Ukoliko internetskom bankarstvu Zagrebačke banke pristupite svojim preglednikom, vidjet ćete da ne prepoznaje SSL certifikat, a Chrome će vas čak upozoriti da nije sigurno! Korisnici će svakako primijetiti.

Hvala Matiji Božićeviću koji je otkrio istek i obavijestio nas putem Twittera! Poslali smo upit Zagrebačkoj banci i upozorenje – iako je nedjelja, nadam se da im neće trebati dugo da obnove SSL certifikat. Najbitnije je da ste, ukoliko ste korisnik Zagrebačke banke, svjesni situacije 🙁

Hvala Igoru Pozgaju i Marčecu na ispravci u članku, kao i našim brojnim komentatorima u nastavku… Što bi mi bez vas? 🙂

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

      • Nikola Plejić

        Nikola Plejić

        18. 09. 2011. u 12:39 pm Odgovori

        Site *definitivno* nije siguran, jer ti ništa ne garantira da je server na kojeg se spajaš upravo server ZABA-e (može biti neki XY server koji se samo predstavlja kao ZABA-in). Ja samo napominjem da neovisno o tome enkripcija radi, samo je nejasno kome šalješ enkriptirane podatke. 🙂

        • Tonči Jukić

          Tonči Jukić

          18. 09. 2011. u 12:41 pm Odgovori

          To nije točno. Ako ti browser ima zaštitu od phisinga (a svaki novi ima), onda je sigurno ono što ti piše u URL-u, a tu valjda ne ideš kroz linkove, nego direktno.
          IE9 je tu najbolji.

    • Matija Božičević

      Matija Božičević

      18. 09. 2011. u 12:40 pm Odgovori

      @GoDaddy: “If you allow a certificate to expire, the certificate becomes invalid, and you will no longer be able to run **secure transactions on your website**. The Certification Authority (CA) will prompt you to renew your SSL certificate prior to the expiration date.”

      Nisam totalni stručnjak, ali mislim da ipak ima sve svoje “zašto”?…

      • Tonči Jukić

        Tonči Jukić

        18. 09. 2011. u 12:43 pm Odgovori

        To je netočno i njihov način da te preplaše u kupnju plaćenog certifikata. SSL funkcionira savršeno i s ručno kreiranim certifikatom koji nije verificiran od baš nikoga. SSL kao tehnologija ne ovisi o tome je li tvoj certifikat potpisao Verisign ili tko već.

        • Sasa Jovanovic

          Sasa Jovanovic

          18. 09. 2011. u 12:48 pm Odgovori

          Tacno, ali SSL koji sam kreiras moze kreirati isto tako i npr neka hakerska grupa, zar ne? Kako ces znati da zaista pripada onome kome tvrdi da pripada ako ga nije izdao neki authority?

        • Nikola Plejić

          Nikola Plejić

          18. 09. 2011. u 12:50 pm Odgovori

          To je svakako, kao što Tonči kaže, netočno. No, to znači da ja mogu napraviti SSL certifikat, samostalno ga potpisati, zakačiti na svoj site i “glumiti” da sam tko-god-želim. Potpisivanje certifikata ima svoju ulogu u cijeloj priči i nije zanemariva komponenta.

          SSL savršeno dobro i sigurno funkcionira i sa samostalno potpisanim certifikatima, samo je poanta da ti u tom slučaju nitko ne garantira da pričaš sa serverom s kojim bi trebao pričati. Stvar *ne* znači da SSL ne radi, ovo *nije* ogromna tragedija, ali ja svejedno volim vidjeti da je za vrlo osjetljive operacije (a netbanking jest jedna od njih) certifikat pravilno potpisan od neke organizacije koja se time bavi.

        • Matija Božičević

          Matija Božičević

          18. 09. 2011. u 12:52 pm Odgovori

          I na to sam pomislio u prvom trenu, ali to znamo ti, ja i ostali ljudi ovdje. Ali u svakom slučaju, veliki FAIL što se tiče samih korisnika!! Korisnik dođe na ezabu i na mjestu gdje obavlja NOVČANE TRANSAKCIJE dočeka ga poruka “Ova veza nije sigurna. Čak i ako vjerujete ovoj stranici, ova greška može značiti da netko zadire u vašu vezu.”!! I šta da ja sad kao OBIČAN korisnik napravim? Kome da vjerujem? Korisnik ne zna šta je HTTP a kamoli HTTPS ili SSL…

          Ne vjerujem da je neki sigurnosni propust, samo nezgodna situacija vezana uz sigurnost! 🙂

        • Tonči Jukić

          Tonči Jukić

          18. 09. 2011. u 12:55 pm Odgovori

          Ali, da, u ovom slučaju činjenica JEST da je ovo veliki promašaj banke. Većina njihovih korisnika ne zna ništa o webu, SSL-u i zaštiti, a svaki će preglednik vrlo agresivno reagirati na nepotpisani SSL certifikat.

          Dakle, nikako ne želim umanjiti katastrofu nesposobnosti banke da na vrijeme obnovi certifikat.

    • Tonči Jukić

      Tonči Jukić

      18. 09. 2011. u 12:53 pm Odgovori

      Gore ti ne mogu odgovoriti (valjda postoji ograničenje na dubinu):
      Nažalost, certifikacijske kompanije su nužne zbog phisinga na koji su ranjivi stariji preglednici i općenito računalno nepismenih korisnika koji klikaju sve što se kliknuti da.
      Realno i tehnički, ako korisnik pretpostavi da nije žrtva phisinga, odnosno očajnog preglednika i vlastite gluposti, sama prisutnost SSL-a je dovoljna jer je to pitanje izvedbe tehnologije.
      Radi se isključivo o URI-u u koji jesmo ili nismo sigurni.

      Ne znam je li uopće postoji moderan preglednik koji je ranjiv na phising URL-a u adresnoj traci.

  1. Valentino Međimorec

    Valentino Međimorec

    18. 09. 2011. u 12:43 pm Odgovori

    još uvijek postoji SSL veza, ali certifikat nije potpisan, e sada treba objasniti ljudima da to još radi što je nemoguće, Zaba će biti zatrpana mailovima i pozivima npr. da im Chrome javlja da je nesigurno

    oko produženja, imao sam sličan slučaj, i kod Thawte procedura je potrajala do 3-4 dana,
    ne vjerujem da Verisign brže radi provjeru, jer nije riječ samo da se plati certifikat pa ga dobiješ odmah

  2. Mihaela Grguric

    Mihaela Grguric

    18. 09. 2011. u 4:25 pm Odgovori

    Nije od jucer, ja sam jos 15.09. imala problema sa spajanjem, Google Chrome me obavijestio o nesigurnoj adresi, nije uopce reagiralo na pokusaj spajanja, i tako satima .. Upitom na broj za pomoc pri internet bankarstvu ljubazno mi je pojasnjeno da nije do mene, jer sam i to vec pomislila, i da oni danas (15.9.) imaju problem. Ne znam sto se dogadjalo, jer sam unesla naloge, i tada opet nije reagiralo na moj zahtjev za placanjem, isteklo mi vrijeme .. i tada iznova .. Oko dva sata posla jer sam na taj dan morala izvrsiti uplatu, pa nisam obracala posebnu paznju na to sto im se jos dogadja.

  3. Domagoj

    Domagoj

    18. 09. 2011. u 5:06 pm Odgovori

    Https ce i dalje raditi uz upozorenje, ali snifanje prometa i dalje nece biti moguce. No zato je trenutno vrlo lakse izvesti DNS spoof uz uporabu vlastitog certa (korisnik nece obracat pozornost na neispravnost certifikata) i spoofane zabe u svrhu presretanja appl1 broja za ulaz u zabu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi

Osnivač Njuškala uz Hanza Mediju pokreće novi digitalni oglasnik – Dealio

Dealio u tržišnom okršaju za korisnike u Hrvatskoj i šire ima stratešku podršku medijske grupacije Hanza, ali čini se kako se neće zaustaviti na tome.

Startupi

4 milijuna dolara za domaći startup koji je napravio “prvog pravog AI developera”

U otprilike godinu dana ekipa iza Pythagore prošla je program prestižnog Y Combinatora, skupila 30.000 aktivnih korisnika i prikupila investiciju. Među investitorima je i Damir Sabol.

Umjetna inteligencija

Kako osposobiti AI agenta za potrebe svoje tvrtke? Saznajemo od inženjera iz Infobipa i Sofascorea

Hrvatski jednorog pokrenuo je svoje meetupe, a sudeći po prvom izdanju, inženjerska zajednica dobila je događaj na kojem će imati što čuti - i naučiti.

Što ste propustili

Tvrtke i poslovanje

Osnivači Sofascorea, Rentlija i Productiva otkrili svoje najveće marketinške greške!

Koja je cijena uspjeha, kada postaviti odjel marketinga i koje su najveće marketinške boljke otkrivaju nam Sofascore, Rentlio i Productive za 15. rođendan Netokracije! 🎂

Prikaz

Za praksu u Infobipu prošle se godine prijavilo 2000 osoba! Evo koga traže ove…

Ususret prijavama za ljetni program praksi u Infobipu, razgovarali smo s pripravnicima i mentorima iz područja produktnog marketinga, softverskog i QA inženjerstva te developerskog sadržaja.

Umjetna inteligencija

Europsko vijeće odobrilo AI akt! Za oko mjesec dana stupa na snagu

Finalno usvojen zakon kojeg je digitalna industrija Europe čekala godinama uskoro će stupiti na snagu, evo koje obveze donosi za sve koji razvijaju sustave uz pomoć umjetne inteligencije.

Tvrtke i poslovanje

Najpoznatija svjetska IT regulatorica: U EU ne gušimo inovacije, nego reguliramo primjenu!

Hoće li se Europa prilagoditi digitalnom dobu i postati konkurentna sa svojim inovacijama ili nam je sudbina biti regulator koji izdaje kazne?

Veliki intervjui

Upoznajte Hrvata koji je napravio nastavak Tetrisa (i dobio blagoslov originalnog tvorca)!

Nevjerojatne priče ne susrećemo svaki dan, a upravo vam donosimo jednu takvu koja se kuhala 12 godina na dva kontinenta, u čijem se središtu nalazi nastavak jedne od najpoznatijih igara ikada napravljenih.

Novost

AI developeri, AI glasovni asistenti, AI dejtanje…

U tjednu koji su obilježile pomalo distopijske AI vijesti u podcastu smo ugostili suosnivača hrvatskog startupa koji svoj proizvod zove - AI developerom.