• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    RATTKIN
    RATTKIN --- ---
    KOC256: banka pošle osobní identifikační údaje jen když majitel účtu má android? Nebo to spolu nesouvisí?
    když už mícháme dvě témata do jednoho příspěvku, apple taky měl a má bezpečnostní problémy. řada CVE byla na androidu opravená dřív, než na Apple, je to srovnatelné (pokud nebereš že android = samsung, který aktualizace dělá velice pomalu)
    RATTKIN
    RATTKIN --- ---
    k bezpečnosti androidu a SMS obecně, google na to průběžně reaguje, už nějakou dobu není možné jednoduše instalovat aplikace mimo market, každý program který iniciuje instalaci se musí povolit zvlášť a jsou k tomu pěkné varování, tak to snad většinu BFU odradí.
    Od února nemůžou aplikace cizích stran vůbec číst sms, tak se tím ta díra snad zavře (za 10 let až si všichni aktualizují andorid, zdravíme samsung).

    Problém zůstane GSM síť, která má šifrování na úrovni toaletního papíru a dá se tam podvrhnout kde co a nepůjde to jednoduše vyměnit.
    KOC256
    KOC256 --- ---
    RATTKIN:
    Identita: Udaje o majiteli (jmeno, prijmeni, bydliste, ...)

    No APPLE je mnohem tvrdsi na to nekoho poustet do systemu (je uzavrenejsi), mas jen jeden oficilani market, kde je vsechno kontrolovano. Nestahnes si APK. Da se proste mnohem mene prasit...
    RATTKIN
    RATTKIN --- ---
    KOC256: co myslíš pod pojmem identita? proč to prosím je problém jen na androidu?
    RATTKIN
    RATTKIN --- ---
    teď jsem viděl bankovní "hack" provedený tak, že útočník poslal účetní e-mail z adresy boss@firma.hacker.ru a trochu na ní zatlačil a ona poslala 300 tisíc do zahraničí. Stačilo si z webu firmy zjistit jméno účetní, jméno šéfa a mail účetní. Takže bacha, ale softwarově nelze vyřešit všechno.
    NELDE
    NELDE --- ---
    Dotaz na místní experty na karty - nabízí nějaká banka jako karetní službu povinné ručení do USA? Klidně i jako placené připojištění? Nabízí to případně nějaká pojišťovna v ČR?
    KOC256
    KOC256 --- ---
    PATRIKCHRZ: Tak Android a bankovnictvi ==> katastrofa.

    Identita se da zjistit drobnou lsti, krom ohlaseni na PCR. Staci v bance rict, ze se poslaly penize omylem.
    1. Napisou bance, at da vedet klientovi, at to vrati
    2. Pak to same doporucene
    3. Predaji identitu, aby mohl poskozeny podat trestni oznameni

    Funguje to...
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    STARDAY: vždy záleží na tom, jak je daný systém propracovaný. SMS může být jen jednoduchá "Vaši transkaci potvrďte kódem 12345" nebo "převátíte 5000 na účet 12345/0710", stejně tak i ty kalkulačky, do některých se musí zadávat číslo účtu a částka, takže podvržená stránka nepomůže (nepotvrdí to převod jiné částky nebo na jiný účet). Na druhou stranu je to docela opruz.

    Kalkulačka (jako opravdu externí zařízení) je, myslím si, co se bezpečnosti týče nepřekonaná, pokud je systém nastaven tak, že pro vygenerování kódu se musí zadat důležité parametry platby (částka a cílový účet). Naproti tomu SMS může být napadena už po cestě (odchycena, unesena), případně v telefonu (závadná aplikace skryje, že na telefon nějaká sms došla a přepošle ji na pozadí jinam - tímto způsobem došlo k vykradení účtu třeba u FIO - https://finexpert.e15.cz/fio-banka-a-phishing-v-praxi-aktualni-zkusenost. Majitel účtu si instaloval závadnou aplikaci z podvrženého zdroje, která následně přeposílala autorizační SMSky jinam.
    STARDAY
    STARDAY --- ---
    VLASTIS: A v cem vnimas rozdil proti zadani kodu ze sms nebo kalkulacky? Ze ma uzivatel vetsi prilezitost odhalit, ze je strankapodvrzena?
    VLASTIS
    VLASTIS --- ---
    STARDAY: to je fakt, ale stejne mi to neprijde ok
    STARDAY
    STARDAY --- ---
    VLASTIS: A pak budes delat co? I kdyby si nevsiml podvrzene stranky, tak porad jeste musis autorizovat transakci
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    VLASTIS: Ne. Tvrdim, ze SMS jako 2fa nejsou bezpecne a lze to dolozit radou prikladu.
    VLASTIS
    VLASTIS --- ---
    TYCHOVRAHE: a tvrdis mi, ze prijdu do o2 a dostanu cislo andyho babise?
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    ADM: ale jo, v pripade ztraty sim nebo potreby nove z jineho duvodu ti operator cislo bez problemu prenese na novou
    ADM
    ADM --- ---
    TYCHOVRAHE: ale ten "SIM port"u nas snad operatori neprovadeji, nebo ano?
    zni to dost bizardne, ze by ti operator premapoval cislo na jinou SIM (ktera nejakou historii a cislo ma, muze byt od jineho operatora, apod)
    VLASTIS
    VLASTIS --- ---
    TYCHOVRAHE: ale pro tento utok potrebujes znat ID sim, ne?
    VLASTIS
    VLASTIS --- ---
    HARALD: Staci uzivatele dostat na falesne stranky. a mam temer 100% sanci ze mi potvrdi moje zalogovani.
    TYCHOVRAHE
    TYCHOVRAHE --- ---
    VLASTIS: Na SMS neni fakt nic bezpecnyho - to je snad nejhorsi 2FA co muze byt.
    “The Most Expensive Lesson Of My Life: Details of SIM port hack” by Sean Coonce https://link.medium.com/madEn9YqXW
    HARALD
    HARALD --- ---
    VLASTIS: Nemělo by být. Co jsem koukal na standardy autorizace a autentizace, tak KB klíč zachovává dvoufaktorovou autorizaci, čili je na podobné úrovni jako autorizace certifikátem.

    V čem konkrétně vidíš security fail? Jak bys vedl útok?
    VLASTIS
    VLASTIS --- ---
    overeni funguje Tak, ze na strance mojebanka zadam uzivatelske jmeno a v mobilu tapnu pripojit
    Kliknutím sem můžete změnit nastavení reklam