• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

djthyrax

UK Banking Law Blames Customers For Insecure OS

17 mensagens neste tópico

twitter writes:

"If you use an insecure OS in the UK and someone drains your bank account, the banks say it's your fault. The Register reports: 'The Banking Code produced by the British Bankers' Association (BBA), and followed by most banks, makes it clear that banks will not be responsible for losses on online bank accounts if consumers do not have up to date anti-virus, anti-spyware, and firewall software installed on their machines.'"

twitter went on to note that the majority of consumer PCs use an operating system with a history of security issues. Should end users be ultimately responsible for the state of their systems?

in http://it.slashdot.org/article.pl?sid=08/04/06/1641201&from=rss

Concordam com a afirmação a negrito? Porquê?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Em parte, pois deviam ter a consciência de não usar o IE6 (se bem que muitas pessoas nem fazem ideia do queijo suiço que é aquilo). Aposto em como algumas (não todas, nem a maioria) das glitches dos sites de homebanking se devem a alguns ajustes que têm que ser feitos para por o site a funcionar como deve ser no IE.

Isto falando dos browsers.

Quanto aos spywares e coisas do género, isso deveria estar 100% ao cuidado dos clientes, visto o banco não conseguir controlar se existe algum software a espiar o computador dos clientes.

BTW, o que é que essa BBA entende como "insecure OS"?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não é a BBA, foi alguém no Twitter. Suponho que seja o Ruindows Windows. ::(

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Concordar? Claro que sim, não pode ser responsabilidade da entidade bacária o estado do PC do cliente no entanto há que ter em conta uma questão, quem é que decide se o PC está seguro?

Sempre fui da opinião que a segurança começa no utilizador, uma firewall, um antivirus, um sistema de protecção contra spyware são coisas que ajudam na manutenção da segurança mas só por si não garantem segurança. É preciso educar os utilizadores, não mudá-los todos para outro browser ou outro antivirus ou até outro SO, isso seria trocar um queijo suíço por outro :(, mas ajudá-los a perceber como devem usar correctamente o sistema, quais os perigos reais e quais os imaginários e como se protegerem.

Não penso que faça qualquer sentido responsabilizar o banco porque o utilizador tem um key logger no PC que lhe roubou a password, não estamos a falar de equipamento do banco nem de equipamento controlado pelo banco mas sim de máquinas controladas por utilizadores, computadores pessoais.

Se o problema detectado na parte controlada pela instituição bancária, então é ela a responsável, se não, é o utilizador.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Concordam com a afirmação a negrito? Porquê?

A frase destacada a negrito, não é uma afirmação... É uma interrogação...

Agora supondo que transformamos a frase numa afirmação:

End users should be ultimately responsible for the state of their systems.

Se lerem o artigo do The Register, vão ver que não é bem isso que os bancos afirmam.

"If you act without reasonable care, and this causes losses, you may be responsible for them," says the code."

Qualquer pessoa que fale de segurança a sério sabe que utilizar o um anti-virus, firewall, e outras medidas típicas não garantem segurança. Estas medidas comuns, reduzem a ameaça, mas não a eliminam. Aliás não há forma de eliminar, só há forma de a reduzir muito. Principalmente se recorrermos a medidas que visam combater ameaças de dia 0.

Sim é verdade que a responsabilidade pode eventualmente ser do utilizador, mas também pode não ser. Pode ser de quem desenhou o sistema, de quem implementou o sistema, de quem suporta o sistema, de quem mantém o sistema, de quem fez o deployment do sistema, de quem administra o sistema, etc... Qualquer falha em qualquer destes aspectos pode comprometer o sistema, não há nenhum culpado de todos os problemas, mas sim diversos culpados dependendo do problema.

Sempre fui da opinião que a segurança começa no utilizador,

Eu não concordo! Eu acho que a segurança começa em que arquitecta o software que o utilizador, o utilizador é um dos ultimos elos da corrente de segurança.

É preciso educar os utilizadores, não mudá-los todos para outro browser ou outro antivirus ou até outro SO, isso seria trocar um queijo suíço por outro

Claro que é preciso educar os utilizadores. Mas é verdade que há softwares que são técnicamente mais seguros que outros, por isso modar para um que seja mais seguro, tem definitivamente um impacto francamente positivo na segurança.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

(...) Mas é verdade que há softwares que são técnicamente mais seguros que outros, por isso modar para um que seja mais seguro, tem definitivamente um impacto francamente positivo na segurança.

Sim, é claro que o sistema de defesa usado influência a segurança mas se o utilizador não souber o que está a fazer então não ajudará muito.

Se considerarmos o utilizador como o último ponto então vamos continuar a não dar a devida importância ao peso. A escolha do sistema seguro é mais simples e fácil do que a educação dos utilizadores, por isso considero que o utilizador é a parte mais importante.

Posso dizer que durante vários anos não usei anti-vírus ou anti-spyware e durante esse tempo apanhei apenas um vírus.

Quando comecei a usar anti-vírus, comecei pelo Norton System Works e estava a usar Firefox, apanhei a pior infecção de vírus que alguma vez vi, posso garantir que o problema foi meu ;).

Os sistemas ajudam, a correcta escolha também, mas o utilizador tem de estar informado para poder escolher o sistema mais adaptado à sua utilização. Claro que temos de considerar que, quando estão a ser desenvolvidos, os sistemas têm de ser pensados com segurança em mente, mas voltamos ao mesmo, os sistemas são escolhidos, desenvolvidos e usados por utilizadores, ou neste caso por programadores, que é o mesmo, e muitos não têm qualquer conhecimento sobre sistemas de segurança.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Sim, é claro que o sistema de defesa usado influência a segurança mas se o utilizador não souber o que está a fazer então não ajudará muito.

Enganas-te!

É possível impedir o utilizador de fazer asneiras sem o educar. Não de fazer todas as asneiras, mas de muitas. E também é possível controlar asneiras que o utilizador faz.

A escolha do sistema seguro é mais simples e fácil do que a educação dos utilizadores,

Em que te baseias para dizer isso?

Eu não acho que seja possível de comparar as duas coisas por serem actividades tão diferentes e com naturezas tão diferentes, quanto mais dizer que uma é mais simples que a outra.

por isso considero que o utilizador é a parte mais importante.

Como o que disseste anteirormente não está fundamentado, esta conclusão não tem fundamento. Tens que explicar melhor porque é que achas que o que disseste anteirormente é como tu dizes.

Posso dizer que durante vários anos não usei anti-vírus ou anti-spyware e durante esse tempo apanhei apenas um vírus.

Eu uso computadores à mais de 20 anos, ou seja, utilizo computadores à mais tempo do que a maior parte das pessoas podem aceder à Internet. Não utilizo anti-virus à perto de 8 anos, e nunca utilizei um anti-spyware, mas também não preciso. Mas antes deste periodo cheguei a apanhar virus ainda antes da Internet existir. Os virus e outro malware não se propagam apenas por comportamentos de risco, dos utilizadores, há malware que exploram falhas que não requerem nem intervenção humana, nem comportamento que normalmente é considerado de risco, apenas requer uma utilização normal do software.

Quando comecei a usar anti-vírus, comecei pelo Norton System Works e estava a usar Firefox,

Onde querias que eu chegasse ao dizeres que usas esse software?

Como já disse eu acho que a segurança depende de muita coisa, cada uma delas diminui cada vez mais o risco. e se tudo o que tiver por baixo do utilizador for feito de forma a pensar em segurança é obvio que é muito mais resistente a falhas causadas pelo utilizador, não é imune a tudo o que o utilizador pode fazer, mas a imunidade é provavelmente directamente proporcional ao esforço em tudo o que está por baixo.

O firefox é uma aplicação, que embora seja mais segura que outras, não é imune.

Já o Norton para mim é lixo.

Mesmo utilizar ferramentas como anti-virus e outros, não garante muita segurança se o sistema operativo não tiver sido pensado e implementado com a segurança em vista. O window$ não foi pensado para ser seguro, a própria m$ já admitiu isso e só muito recentemente houve um esforço ténue de re-pensar o window$ em termos de segurança, no entanto, está pelo menos uma década atrasado em relação aos outros em muitos aspectos e mesmo a qualidade de algumas das melhorias é duvidosa. Por isso por muito que se trabalhe por cima deste nível, os fundamentos estão podres, e por isso tudo o que explore em profundidade esta fraqueza vai comprometer quase tudo o que está por cima.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Enganas-te!

É possível impedir o utilizador de fazer asneiras sem o educar. Não de fazer todas as asneiras, mas de muitas. E também é possível controlar asneiras que o utilizador faz.

Em que te baseias para dizer isso?

Da experiência que tenho a tentar educar os utilizadores, não é muita é verdade, mas a conclusão é que é mais simples eu limitar o que o utilizador pode fazer, tal como tu disseste, do que ajudar o utilizador compreender correctamente o que é perigo e o que não é.

Eu não acho que seja possível de comparar as duas coisas por serem actividades tão diferentes e com naturezas tão diferentes, quanto mais dizer que uma é mais simples que a outra.

São realmente actividades diferentes mas acho que entendeste mal o que queria dizer. Se te encontrares na qualidade de administrador de sistema, o que é que é mais simples, escolher e configurar um sistema seguro, no melhor das tuas capacidades e sabendo que todos cometemos erros, ou educares os teus utilizadores.

Claro que as duas situações devem ser executadas mas na prática é mais simples restringir o que os utilzadores podem fazer.

Como já disse eu acho que a segurança depende de muita coisa, cada uma delas diminui cada vez mais o risco. e se tudo o que tiver por baixo do utilizador for feito de forma a pensar em segurança é obvio que é muito mais resistente a falhas causadas pelo utilizador, não é imune a tudo o que o utilizador pode fazer, mas a imunidade é provavelmente directamente proporcional ao esforço em tudo o que está por baixo.

Não disseste nada que fosse contra o que disse, acho que estamos a falar do mesmo, a única coisa que escolho é dar mais ênfase ao utilizador, talvez por considerar que é o ponto mais fraco de toda a cadeia e achar que deve ser fortificado.

Quanto às aplicações é era apenas um exemplo do que realmente estava a utilizar, não quis dizer nada além do que escrevi.

Concordo com tudo o que disseste, apenas acrescento que considero o utilizador como sendo o elo mais fraco e que devo reforçar esse elo.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Da experiência que tenho a tentar educar os utilizadores, não é muita é verdade, mas a conclusão é que é mais simples eu limitar o que o utilizador pode fazer, tal como tu disseste, do que ajudar o utilizador compreender correctamente o que é perigo e o que não é.

Limitar o que os utilizadores, podem, ou deixam de poder fazer não é a mesma coisa que escolher um sistema e tinha sido disso que falaste antiriormente.

Toda a análise inerente à preparação de uma ambiente controlado é extremamente complexa e ainda mais é a sua implementação.

Continuo é a não entender como é que chegaste a essa conclusão.

São realmente actividades diferentes mas acho que entendeste mal o que queria dizer. Se te encontrares na qualidade de administrador de sistema, o que é que é mais simples, escolher e configurar um sistema seguro, no melhor das tuas capacidades e sabendo que todos cometemos erros, ou educares os teus utilizadores.

Não é uma questão que se coloque a um administrador de sistemas, mas sim a um gestor de TI. E não são alternativas, não se pode fazer uma e deixar de fazer a outra. São complementares!

São duas tarefas complexas e que não acho que possam ser comparadas dessa forma, porque têm naturezas diferentes. O que pode ser avaliado é o seu custo. Mas isso não significa que seja mais fácil, ou mais difícil.

Claro que as duas situações devem ser executadas mas na prática é mais simples restringir o que os utilzadores podem fazer.

Voltaste a não dizer em que te baseias para dizer isso.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Quando falo em mais simples não estou a falar da componente técnica. Estou a falar de simplicidade em relação ao trabalho com pessoas, não é mais simples por exigir menos conhecimentos e menos capacidades técnicas, é mais simples porque ao estar a fazer essa análise não se está a lidar cara a cara com os utilizadores do sistema e com todas as restrições e problemas inerentes. Talvez não me esteja a conseguir explicar.

Acho que estamos a ter um problema de comunicação, eu escrevo uma coisa, tu quando lês interpretas o que escreve em vez de leres sem interpretações ;). Quando falei em escolher não estava a falar em "ir à loja e escolher o melhor da prateleira", estava a falar em todo o processo de selecção/decisão e implementação, tudo o que envolve criar um sistema mais seguro.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Estou a falar de simplicidade em relação ao trabalho com pessoas, não é mais simples por exigir menos conhecimentos e menos capacidades técnicas, é mais simples porque ao estar a fazer essa análise não se está a lidar cara a cara com os utilizadores do sistema e com todas as restrições e problemas inerentes. Talvez não me esteja a conseguir explicar.

Talvez não tenhas é consciência da complexidade e do tempo que demora a formar pessoas e mudar hábitos (sendo que algumas simplesmente não mudam). Eu como já dei formação e já lidei com migrações tenho alguma.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim tenho, e por isso é que considero mais simples a componente técnica que a humana, daí o "mais simples" na escolha do sistema.

Por ter noção dessas dificuldades, as da componente humana, é que considero ser essa o ponto mais fraco da cadeia e ser essa que necessita de mais investimento e reforço.

Mas repara, novamente, não sou contra o que disseste, sou bastante a favor, sei perfeitamente as dificuldades e complexidades técnicas envolvidas tanto no desenvolvimento de um sistema de software seguro como na implementação de uma rede, tal como tenho por experiência os problemas que um erro na implementação do sistema tem. E tudo o que disseste está correcto, eu apenas me preocupo em esforçar mais na parte humana.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não acho que trabalhar a parte humana seja mais simples, porque as pessoas têm resistência à mudança e porque as pessoas são bem mais complexas e subjectivas que máquinas.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Em todo o lado disse que a parte mais simples é a técnica! Depois desta tua resposta só me apetece perguntar o que é que estiveste a ler?

Confirma-se, problema de comunicação :(

Eu disse que a mais simples, apesar das complexidades, é a técnica, por isso, porque a técnica é mais simples é que dou mais ênfase à humana.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu não acho que a parte técnica seja mais simples. Eu acho que são ambas complicadas, embora sejam complicadas de maneiras diferentes. Não acho que uma seja mais complicada que a outra, são ambas complicadas e ambas diferentes.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Realmente não estás a ler o que escrevi e estás a interpretar à tua maneira, enfim, a discussão já deu o que tinha a dar :(

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora