• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    NELDE
    NELDE --- ---
    1 odpověď
    UNTOY:
    > zejména na straně aplikace, když se ten kanál vytváří. MitM útoky jsou vesměs na klientovi nebo serveru, ne na nějakém routeru.

    >programem, který snímá obrazovku a akce uživatele

    >hackutí té části, která s aplikací komunikuje. SMS se předává operátorovi, to není tak zranitelné, jako jednotlivá přímá připojení.

    >myslím to, že se užívají něčí knihovny, které se tváří jako bezpečné, což je ale záležitost aktuálního stavu. Neprogramují to všechno sami. Standardně samozřejmě ukládáš hashe bezpečnostních dat používaných k ověření. Jenže v okamžiku ověřování máš ty data v aplikaci dostupná. Samozřejmě, že máš ošetřené, aby se to nikam neukládalo v tvé části - jenže ono se to vždy někde ukládá. A stačí aby si něco někam uložilo ten PIN (nebo otisk) na cestě mezi prstem(čtečkou) a tvou aplikací a může to užít znova.
    UNTOY
    UNTOY --- ---
    1 odpověď+5
    > Aplikace se připojí k bance a netuší, že to jde přes prostředníka, takže to není žádný bezpečný kanál.
    pinned ssl certifikat se da obejit jak? navic predpokladam, ze i tak si ta data si neposilaji v plaintextu.

    > Případně v okamžiku připojování aplikace k bance je mobil monitorován, takže není problém to pak emulovat na počítači.
    mobil je monitorovan cim/kde?

    > Nemluvě o možném hacknutí na straně bankovní části.
    ok ale v diskusi sms vs app je to relevantni?

    > Podstatné je spíše to, že ty aplikace bank jsou psané v nějakých nástrojích a ty stejné nástroje jsou použité v různých bankách po světě.
    tohle nerozporuju, ale je tak vagne napsany, ze vubec nevim co si pod tim predstavit. Nastrojem myslis treba Android Studio nebo ... to ze vsichni pouzijou SSL pro sifrovani komunikace nebo neco jinyho?
    NELDE
    NELDE --- ---
    UNTOY: Které tvrzení konkrétně?
    NAVARA
    NAVARA --- ---
    ADAMM: Už dávno probíhá - v dobách, kdy náš trh byl ještě ignorován jsme nabízeli managementu připravit obranu na základě toho, co nasazovaly západní banky.
    Poslali nás někam, pár let poté vypláceli na kompenzacích klientům mnohonásobky toho co jsme potřebovali. Bez ohledu na to, jak dementní chybu klient udělal (včetně SMS).
    Pak se konečně rozjel projekt - ale stejně jako západ, až export, poté co mitigovatelné škody vznikly.

    Jj, Zeus tady jen strašil, ale cílené útoky jsou a byly.
    UNTOY
    UNTOY --- ---
    1 odpověď
    NELDE: muzes tahle tvrzeni nejak ozdrojovat? Pulka z tech veci co pises mi prijde jako absolutni nesmysl.
    ADAMM
    ADAMM --- ---
    1 odpověď
    NAVARA: tak to nepopírám, je možné, že na to jednou dojde - každopádně, bude to podle mě v případě cíleného útoku na appku větší problém pro banku než pro uživatele - zatímco u SMS máš větší problém ty, protože sis stáhl nějaký sajrajt, pokud bude napadených XY lidí přes appku, problém mám primárně banka.

    Zeus jsem řešil ještě v mBank, kdy mi o něm něco málo vykládali v Polsku, ale mám za to, že se v ČR vůbec neobjevil (?) - každopádně koukám, že různé jeho varianty jsou stále aktivní :)

    ZLoader Loads Again: New ZLoader Variant Returns | Proofpoint US
    https://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns

    NELDE: to zrovna mě nemusíš vykládat, ale právě proto je pravděpodobnější, že jdou po velkých trzích.
    NELDE
    NELDE --- ---
    2 odpovědi
    ADAMM: Zase tak malý trh nejsme. Už proběhl phishing na ČS klienty a tuším i na ČSOB.
    Podstatné je spíše to, že ty aplikace bank jsou psané v nějakých nástrojích a ty stejné nástroje jsou použité v různých bankách po světě. Ergo když to proboří, tak se svezou i ty české. A hackerové už dávno nejsou vlasatí šílenci někde v sklepech. Jsou to organizované skupiny v rámci firem, které si tím vydělávají.
    Jak to probořit - zejména pomocí Man in the middle. Aplikace zavolá ověření otisku prstu a netuší, že jí ho poskytnul někdo jiný, protože dostala úpravu volané služby. Aplikace se připojí k bance a netuší, že to jde přes prostředníka, takže to není žádný bezpečný kanál. Nemluvě o možném hacknutí na straně bankovní části. Případně v okamžiku připojování aplikace k bance je mobil monitorován, takže není problém to pak emulovat na počítači. Tohle vše a další věci musí být ošetřeny a jakákoli díra v nástroji, kterým je to ošetřené, je díra do stovek bank.

    Jasně, že je to neklientské, ale věřím tomu, že to mají spočítané. Klienti bez smartphonu nejsou pro ně zajímavou skupinou. A ti paranoidní také nejsou.
    NAVARA
    NAVARA --- ---
    1 odpověď
    Zeus byl celkem populární kolem roku 2010, posniffoval SMS…

    ADAMM: To je populární omyl - to že jsme menší trh má vliv pouze na to, že nejsme prvním cílem. Ve chvíli, kdy se západní svět naučí bránit a zvedne obtížnost útoku, přejde to k nám.
    ADAMM
    ADAMM --- ---
    2 odpovědi+2
    NELDE: podle mě pravděpodobnost útoku úplně velká není, protože jsme malej trh, co nikomu nestojí za pozornost. stejně tak ale není nijak extra nebezpečná SMSka, protože to sice není dvakrát bezpečná technologie, ale zase - že by zrovna můj účet stál někomu za námahu, je krajně nepravděpodobné. respektive, varianta, kdy si stáhnu malware, co mi ovládne telefon, nepovažuju za úplně pravděpodobnou.

    spíš mi to od Air Bank přijde jako a priori neklientská pruda, když je zcela očividné, že to jde řešit i jinak.
    NAVARA
    NAVARA --- ---
    NINE_OF_NINE: byl jsem se tam podívat a budiž, není to CSV kód ze zadu karty :)
    NINE_OF_NINE
    NINE_OF_NINE --- ---
    1 odpověď+1
    NAVARA: Maji epin, zmineno nize v diskuzi.
    NAVARA
    NAVARA --- ---
    1 odpověď+1
    NINE_OF_NINE: i FIO bude muset mít non-SMS 2FA
    NINE_OF_NINE
    NINE_OF_NINE --- ---
    1 odpověď
    MUXX: Ano, vzdyt jsem to napsal jiz ve svem puvodnim prispevku. Realne pokud by to neslo obejit, stahnu se asi k FIO.
    MUXX
    MUXX --- ---
    1 odpověď
    NINE_OF_NINE: Kdyz jsi dost sikovnej na provozovani rootnutyho telefonu, tak bys mel byt schopnej nastavit ho tak, aby apky nic nepoznaly ne?

    Jinak EU/PSD2 povazuje sms za nedostatecne a muzeme se tu dohadovat jak chceme, ale takovy je narizeni/budoucnost.

    Banky chtějí donutit lidi skoncovat s esemeskami - Seznam Zprávy
    https://www.seznamzpravy.cz/clanek/banky-chteji-donutit-lidi-skoncovat-s-esemeskami-81032

    Utoky pres sms uz u nas probehly. Napr https://www.idnes.cz/...nt-air-bank-prisel-o-70-tisic-skoncily-v-belgii.A140919_092433_ekonomika_fih
    HARALD
    HARALD --- ---
    NINE_OF_NINE: já tě nepřesvědčuju. Já vysvětluju, proč je trend takovej, jakej je. Z toho, co na trhu pozoruju, tak se spíš bude přitvrzovat, než aby se míra bezpečnostních požadavků snižovala.
    NAVARA
    NAVARA --- ---
    NINE_OF_NINE: Však na to se už MS připravuje :)
    NELDE
    NELDE --- ---
    1 odpověď+4
    RATTKIN: Zatímco appka byla prasácky napsaná za použití sw třetích stran, kde je spousta skrytých bugů. Až nějaký bude využitelný pro útok, tak to bude sranda. Takže pravděpodobnost útoku mnohem větší a větší zranitelnost.
    Z hlediska MFA nedává smysl mít vše v jedné aplikaci - ta SMS má chodit jiným kanálem, než kde mám to užití karty.
    Navíc co jsem viděl ty apky, byl paskvil z hlediska uživatele.
    Navíc se zřejmě blíží doba, kdy třeba do služebního mobilu takovou aplikaci nenainstaluješ bez admina (jako je to na počítačích).
    Když ztratím mobil, tak nová SIM do jakéhokoli jiného mobilu a mohu normálně fungovat. Když ztratím apku, tak průšvih, protože potřebuji kódy k aktivaci, které mám někde doma ve skříni.
    Některé banky užívají kombinaci SMS a hesla. Dále, což české banky asi nedělají, se dá užít zpětné volání pro potvrzení.
    DYNK
    DYNK --- ---
    RATTKIN: tady podle me hraje velkou roli to, ze appky jsou pomerne novy (cti nebezpecny) a sms jsou tady uz dlouho (cti bezpecny). Lidi si potrebujou zvyknout, ziskat duveru.
    RATTKIN
    RATTKIN --- ---
    2 odpovědi+1
    NELLAS: appka je mnohem víc bezpečná - sms je nešifrovaná, ale apka má tls + hsts + cert pinnig a cizí aplikace se k tomu nedostane.

    pokud má nějaká apka přístup na sms, může cucat všechny. Google se to snaží omezovat, ale je to mnohem víc dostupné.

    celý gsm baseband je děravý jak řešeto.. sms bych používal pouze na blbém mobilu který nemůže mít aplikace a jen v nouzi
    NINE_OF_NINE
    NINE_OF_NINE --- ---
    3 odpovědi-1
    HARALD: Pořád to jde naštěstí obejít, nevidím důvod proč bych kvůli bankám provozoval extra nerootnute zařízení. S podobnou logikou by na mém domácí PC měla admin práva jen certifikovaná servisní firma.
    Kliknutím sem můžete změnit nastavení reklam