• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    SHINIGAMIAndroid - otevřená mobilní platforma
    SKAUT
    SKAUT --- ---
    1 odpověď
    QWWERTY: To byla ironická poznámka... Nebot některé banky ( z toho mála co vím ) mají aplikaci nebo SMS a nic jiného. A zavedeno pár let zpátky , nebo to tak začali vynucovat.

    Smutné je to že ti každá banka nenabidne alternativně něco dalšího ( HW klíč ). Moje banka to nenabízí . Takže souhlas.
    SPM
    SPM --- ---
    1 odpověď
    CUKI: a čteš si v těch SMS úplně do podrobna co potrvzuješ? Nebo když posíláš někam peníze, pípne ti SMSka, tak opíšeš ten kód a odbouchneš to, protože víš, že ti má přijít SMSka? Já třeba znám někoho, kdo o ty prachy reálně přišel, protože potvrdil napárování mobilní aplikace, která nebyla jeho. Přišel ten request přesně ve chvíli, kdy pároval svůj nový telefon, takže to prostě odbouchl a detaily nezkoumal.

    Pak jinak taky záleží jaká banka... FIO třeba při prvním loginu chce to potvrzení mobilní apiikací, ale taky je tam zaškrtávátko "důvěřovat tomuhle prohlížeči" což způsobí, že ze stejného prohlížeče se jde víckrát tím loginem přihlašovat už bez potvrzení mobilem a stejně tak jde i odesílat nějaké nižší částky pryč. Znovu podotýkám že na počítači, který nemáš pod svojí kontrolou, se nemůžeš spolehnout na to, že se tohle nestane, ikdyž to nezaškrtneš
    QWWERTY
    QWWERTY --- ---
    4 odpovědi
    SKAUT:
    a) lepsi banky afaik vzdycky nabizely navic certifikaty, hardware klice, etc... (a osobne bych i dneska ocenil genericky TOTP podstatne vic, nez zavislost na proprietarni aplikaci)
    b) ackoliv se to nezda, tak to neni tak davno, co jsi mel na trhu spoustu uzivatelu, kteri nevlastnili smartphone
    c) SS7 vulnerability tady byly vzdycky. nicmene hijacking pro 2FA SMS rerouting je domenou prevazne poslednich cca 10 let a rekl bych, ze vsichni usilovne pracuji na tom, aby tuhle 2FA metodu opustili

    nicmene to uz vyzaduje cileny utok. hijack session + SS7 hijack telefoniho cisla + SMS interception ve chvili potvrzovani platby
    puvodni tvrzeni SPM bylo, ze uzivatel prijde o penize pouhym prihlasenim na cizim zarizeni
    SKAUT
    SKAUT --- ---
    1 odpověď-3
    QWWERTY: Jojo, a proto to taky pred lety zavedly na SMS 😃
    QWWERTY
    QWWERTY --- ---
    1 odpověď
    SKAUT: proto vetsina bank travi nekolik poslednich let migraci na non-SMS 2FA
    SKAUT
    SKAUT --- ---
    1 odpověď
    SMS neni úplně bezpečná. "Ukrást" číslo není úplně složité dneska...
    CUKI
    CUKI --- ---
    1 odpověď
    SPM: Tomu nerozumím, ale budu moc rád když to tu rozvedeš nebo kdokoli jiný.
    Ano ve chvíli přihlášení by se mohl k té session dostat. Ale nic s tím nezmůže. Dokonce i kdybych mu ten NTB nechal s otevřeným bankovnictvím abych mu to nedělal tak těžké, tak prostě na jakoukoli změnu potřebuje ten ověřovací telefon. U každého potvrzení máš zadané co potvrzuješ. K tomu se prostě nedostane, protože to jde už od počátku úplně jinou cestou. A nevím koho jiného. Bankovnictví je propojedné s jedním konkrétním telefonem. Na žádném jiném telefonu to nikomu jinému neověříš. Tohle je velmi elegantní a velmi bezpečné řešení. Oproti tomu když máš smartbanking v jakémkoliv sebebezpečnějším mobilu. Pořád se vystavuješ riziku jakékoliv chyby. Protože pokud tam něco co se dostane do toho bankovnictví bude, tak odchytnout na tom samém zařízení tu smsku není tak složité. Navíc jen toho mobilu se může zmocnit. Dostat se do zavřeného mobilu není tak složité.
    SPM
    SPM --- ---
    1 odpověď
    CUKI: může odchytit login, může ti pak unést celou tu přihlášenou session, takže ji má v rukou někdo jiný. Nebo už na začátku je ten provoz narušenej a ten ověřovací kód co zadáváš nebo potrvzuješ zadáváš pro přihlášení někoho úplně jinýho. A nemusí to vůbec být o tom, že by ti to chtěl udělat ten člověk, jehož počítač si půjčuješ, úplně stačí, že ho má něčím zablešený a tohle se stane na pozadí samo. Možná že z nějakého toho privacy pohledu je půjčovat si cizí zařízení o trochu lepší, ale já osobně bych se do žádného systému co používám z cizího počítače nepřihlásil.
    CUKI
    CUKI --- ---
    1 odpověď
    SPM: A co s tím reálně může? Fakt mě to zajímá. Vypadá to možná nebezpečně, ale pořád jsi na zřízení nepřipraveného člověka, který nemá jak vypátrat ověřovací zařízení. Kdyby byl připraven, tak jediné co může je odchytit login. Co dál s tím může?
    SPM
    SPM --- ---
    2 odpovědi+2
    CUKI: Logovat se do bankovnictvi z ciziho zarizeni je podle me zrovna ten nejlepsi pristup, jak o ty penize prijit...
    SPM
    SPM --- ---
    1 odpověď
    ERGOSUM: A co ze v tech cookies mas za data? :-)
    SKAUT
    SKAUT --- ---
    QWWERTY: Tohle ja vim. Vsak píšu níže že muj prohlížeč blokuje všechno tak že mi některé weby nefungují ( a zbytek si myslí že mám addblocker i když je vypnutý).
    QWWERTY
    QWWERTY --- ---
    1 odpověď+1
    SKAUT: ono staci udelat test na browser fingerprinting, https://coveryourtracks.eff.org/
    v mem pripade desktop i mobil - "Your browser has a unique fingerprint"
    ...a je uplne jedno, komu jsem kde dobrovolne zadal jaka data. reklamni firma vi, ze ten navstevnik co si prave poslal request pro banner na webu A je ten stejny profil co pred 10 min poslal request z webu B
    a casem se ten shadow profil dokompletuje s jistou mirou pravdepodobnosti sam
    SKAUT
    SKAUT --- ---
    1 odpověď+3
    DRAGON: To jak se kde chovas, jak pouzivas mys, na cem tu mys zastavis, na co kliknes, jak dlouho kde stravis cas, jake zarizeni se nachazeji v okoli "tveho" zarizeni ...
    Proste shadow profil. Zadny konkretni jmeno s kterym se to da spojit ( alespon ze zacatku ) ale proste hromada dat kterou nekdo umi pouzit nebo bude umet. A na ziskani dat staci to ze je na strance "to se mi libi" od Mety, nebo nejaky prvek na sdileni, frame s nejakym obsahem. Viz jak funguje captcha kde zaskrtnu jen policko "jsem clovek".

    CUKI: Viz vyse. Ty to nemusis pouzivat. Staci na to nejaky nesmysl na webu tak vlezes. Pouzitelny udaj je i to jak se chovas na dane webove strance. Na jake stranky lezes. To co delas pomuze data roztristit (nemas jednoznacny fingerprint od prohlizece ) ale taky verim ze nejaky chytry algoritmus s dostatkem vykonu nakonec najde neco co to spoji. Ne treba dneska, v budoucnu urcite.


    ERGOSUM: Tak o tom zadna, moje puvodni myslenka nebyla o utocich ale o informacich ktere si tobe shromazduji firmy (/firma ) ktere to pouziji byt zatim na reklamu. Casem treba na socialni profil ( ci socialni kredit jak to uz nekdo ma ted ).


    Jo ja vim, moc si ctu Sci-Fi a jsem paranoidni :D .
    QWWERTY
    QWWERTY --- ---
    +3
    CUKI: je roztomile si myslet, ze je to neco, co ti dneska pomuze proti utokum jako napr. tenhle:
    Can Your Typing Style Be a Privacy Risk?
    https://www.howtogeek.com/901707/can-your-typing-style-be-a-privacy-risk/
    CUKI
    CUKI --- ---
    2 odpovědi
    SKAUT: meta, apple nebo Palantir o mě nic nemá. Pokud používám něco takového, tak zásadně nesděluji žádné použitelné údaje a nebo naopak zavádějící. Navíc pokaždé s novou session.
    ERGOSUM
    ERGOSUM --- ---
    1 odpověď+2
    SKAUT: Většinou se neubráníš tomu, aby někdo prásknul alespoň křestní.
    S informacema se útok dělá líp.
    BTW v dobách, kdy většina zpráv chodila dopisem jsem někdy úmyslně deformoval svou adresu. Napadlo mě to poté co kamarád adresu zkomolil. Pošťák to doručil správně, protože město znal.
    Mé drobné odchylky si pošta možná ani nevšimla. Ale když přišla nabídka se stejnou adresou, byl výběr kdo za ní stojí (pustil adresu) jen krátký. hodně se pak divila a koktala.

    S datama se vede čilej obchod. Jasně že velký balíky. útoky jsou také ve velkým. Ale jeden z mnoha se chytne.
    DRAGON
    DRAGON --- ---
    1 odpověď
    a čo vy si tak představujete pod tým profilom, vojín Kefalín?
    SKAUT
    SKAUT --- ---
    2 odpovědi
    CUKI: Ja miril na sběr metadat kdy si o tobě dotyčná firma ( google, meta, apple?, nebo Palantir?) udělá tvuj profil . Samozřejmě neví třeba jmeno a mají tě pod číslem ale mají mraky dat.

    O nějaký útok mi vubec nejde, vetsina je stejně jen pres social engineering ( asi vetsina ) nebo podvrženou stránku.
    CUKI
    CUKI --- ---
    2 odpovědi-3
    SKAUT: Doma jsem samo za natem. Na cestách mám data jinde než telefon.
    Když mám jen mobil a potřebuju něco platit, tak to dělám tak, že nemám problém si vzít cizí zařízení na kterém se loguju a potvrzení mi přijde na mé zařízení. Prostě nikdy to není přes jedno zařízení. Ve veřejné síti by jsi asi dokázal párovat mac přes nějakou díru. Ale i kdyby jsi uměl odchytnout správnou na BTS (zpravidla máš 3+ operátory a i tak máš málokde tutovej bod od jediné BTS) tak synchronizace packetu je dost nepravděpodobná (někdy ti nedorazí ani v časovim intervalu. Natož, že by jsi s tím něco dokázal dělat.
    Jo cílenej útok maybe, ale to by muselo bejt hodně štěstí velká hromada plateb a velmi profesionální akce v kombinaci s nějakou tou dírou. Pokud přijdeš o jedno zařízení, tak si prostě moc nepomůže. To už je dost velká paranoia.

    No a pak proč by to někdo dělal, když má každej druhej v telefonu smartbanking a většina těch problémů tedy odpadá?
    Kliknutím sem můžete změnit nastavení reklam