Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: --ps-- 28. 10. 2019, 21:57:56
-
Mám vícero účtů u bank v ČR, nicméně pouze u Raifky se děje tato zvláštnost - chodí mi nevyžádané autentizační SMS k přihlášení do mého ůčtu (i několik za sebou, klidně ve 3 ráno).
Problém je v tom, že zatímco u jiných bank nejdříve zadáváte přihlašovací jméno+heslo a potom přijdě autentizační SMS, tak u Raifky je to naopak: nejdřív se zadává klientské číslo, potom přijde SMS, a v dalším kroku se zadává heslo. Tedy stačí, aby se někdo (např. robot) trefil do mého klientského čísla a začnou chodit SMS.
V RB mi řekli, že toto je normální, k narušení bezpečnosti nedošlo. Co si o tom myslíte?
-
Nikdy se mi to u RB nestalo, takže si nemyslím, že by to dělal robot. Možná máte smůlu, že někdo má podobné číslo jako vy a opakovaně ho zadává špatně, možná má dokonce tu špatnou variantu uloženou v prohlížeči.
Varianta, že se nejprve zadává jednorázové heslo, a až po něm statické heslo, je lepší z hlediska bezpečnosti. Díky tomu také může být statické heslo výrazně kratší a můžete si ho pamatovat. Kdybyste zadával statické heslo jako první, může útočník hádat rovnou to heslo. Když ho zadáváte až jako druhé, musí mít nejprve správně jednorázové heslo, a teprve pak může hádat vaše heslo – a to jenom po dobu platnosti toho jednorázového hesla.
-
V RB mi řekli, že toto je normální, k narušení bezpečnosti nedošlo. Co si o tom myslíte?
K narušení bezpečnosti částečně došlo. Někdo zná Vaše přihlašovací ID. Raiffka minimálně v minulosti doporučovala klientům si zadat jako přihlašovací jméno své rodné číslo (aby ho lidé nezapomínali, heh). Pokud tam máte RČ, nebo třeba jiné číslo, které zná širší okruh lidí (kolegové, účetní, ajťák v práci), pak je možné, že se někdo snaží cíleně získat přístup. Dokud se tato možnost nevyloučí, mělo by se k tomu přistupovat jako k narušení bezpečnosti, byť asi s nízkým rizikem.
Riziko se zvyšuje, pokud máte firemní (cizí) SIM kartu a ten, pod koho patří, může zažádat o duplikát (nebo o tzv. twin kartu). Pak už by měl útočník v ruce dva údaje ze tří - přihlašovací jméno a SMS. Zejména ta twin karta je nepříjemná, protože se může snažit jen na chvíli odklonit SMS k sobě a pak zase vrátit provoz k Vám.
Nutno zvážit i rizko malwaru v chytrém telefonu, který může obsah SMS přeposílat dál (útočníkovi).
V tu chvíli už Vás chrání jen 4místný PIN, a to je dost málo.
Raiffku bych za toto přezírání bezpečnosti nakopal, ve Vašem zájmu by bylo zajít si změnit přihlašovací ID do banky - to stejně po telefonu nevyřídí.
SMS je sama o sobě dost málo - právě kvůli rizikům leaknutí SMS (druhá karta, malware). Daleko lepší to bylo v době, kdy ověření prováděl SIM toolkit, který byl víc zabezpečený a nikdo nemohl získat přístup jen výměnou SIM karty. Leč pohodlí zákazníků zvítězilo, nikdo nechtěl běhat do banky aktivovat si SIM toolkit. Takže pokud SMS, tak jedině v kombinaci s ochranou i ostatních údajů - a k jejich kompromitaci u Vás zjevně došlo.
-
Varianta, že se nejprve zadává jednorázové heslo, a až po něm statické heslo, je lepší z hlediska bezpečnosti.
S tim nemohu souhlasit. Jedina spravna cesta je vzdy se nejdrive zeptat na heslo, a pak, bez ohledu na spravnost hesla, se ptat na SMS kod. Z toho utocnik nema sanci poznat, jestli heslo bylo spravne nebo ne. SMS se posila jen kdyz je spravne heslo, ale to utocnik nevi.
Pro srovnani s SSH: take vzdy pta na uzivatelske jmeno a pak na heslo, bez ohledu, jestli dany uzivatel existuje.
-
S tim nemohu souhlasit. Jedina spravna cesta je vzdy se nejdrive zeptat na heslo, a pak, bez ohledu na spravnost hesla, se ptat na SMS kod. Z toho utocnik nema sanci poznat, jestli heslo bylo spravne nebo ne. SMS se posila jen kdyz je spravne heslo, ale to utocnik nevi.
Myslím, že v tomto případě to neplatí. Do RB zadáte své klientské číslo a hned se to ptá na heslo i SMS. K žádnému leaknutí informace na jejich straně nedochází - když zadáte špatné klientské číslo, stejně tak to vypíše "Autentizační kód byl zaslán na Váš mobilní telefon" - takže vůbec nezjistíte, jestli jste se trefil do existujícího klientského čísla.
Zneklidňují mě pouze tyto situace:
- SMS přichází opakovaně - může jít o náhodu (jak píše Filip), nebo o cílený útok (tak bych to bral já, dokud se nepotvrdí opak)
- Chabá úroveň zabezpečení SIM (stačí "kamarád" na přepážce operátora, který vystaví duplikát SIM karty)
- Možnost malware v telefonu (přepošle útočníkovi SMS)
Kdyby RB otočila logiku - nejprve heslo, poté SMS, pak byste naopak přišel o varování, že se možná někdo snaží útočit. V tomto ohledu mi nastavení RB přijde správné, jste informován a můžete reagovat (neplatné pokusy o heslo bez SMS byste zjišťoval hůř). Zaráží mě však, že to RB bere na lehkou váhu - když už toto "varování" máte, měli by konat.
-
K narušení bezpečnosti částečně došlo. Někdo zná Vaše přihlašovací ID. Raiffka minimálně v minulosti doporučovala klientům si zadat jako přihlašovací jméno své rodné číslo (aby ho lidé nezapomínali, heh).
Nemam rodne cislo, ale jine, relative kratke cislo. Na druhou stranu, proc se divate na "klientske cislo" jako na neco tajneho? Vzdyt je to obdoba prihlasovaciho jmena. Ty se za tajne nepovazuji.
-
Nemam rodne cislo, ale jine, relative kratke cislo. Na druhou stranu, proc se divate na "klientske cislo" jako na neco tajneho? Vzdyt je to obdoba prihlasovaciho jmena. Ty se za tajne nepovazuji.
Musíte se na to dívat komplexně.
Do banky vyžadujete 2FA.
SMS může být kompromitována - způsoby jsem popsal.
Takže buďto musíte mít 100% jistotu, že nedojde ke kompromitaci SMS, nebo počítat s tím, že k ní dojít může.
Pokud počítáte s tím, že ochrana pomocí SMS není dokonalá, musíte přidat "na jiné frontě". V tu chvíli zbývá jen klientské číslo nebo čtyřmístný pindík.
Znám lidi, co mají na autorizační SMS vyčleněný "hloupý" telefon, který na nic jiného nepoužívají. Pak si můžete škrtnout jedno z rizik.
Naopak kritické je přihlašovat se do banky z prohlížeče v mobilu. Dáváte všanc jedno jediné zařízení, na kterém se sejdou všechny informace.
-
Největší problém je ten, že jako přihlašovací jméno se zadává přihlašovací jméno (často rodné číslo, které lze snadno dohledat). Následně se odesílá SMS kód na tel. číslo uživatele.
Stačilo by zadávat přihlašovací jméno a současně IPIN. A až po jejich správném zadání odesílat SMSku
RB v nevyžádaných SMSkách nevidí problém. Takže jedině změnit banku, která má logiku přihlášení nastavenou jinak
-
Stačilo by zadávat přihlašovací jméno a současně IPIN. A až po jejich správném zadání odesílat SMSku
RB v nevyžádaných SMSkách nevidí problém. Takže jedině změnit banku, která má logiku přihlášení nastavenou jinak
To ovšem nezvýší bezpečnost, jen případný útok bude zprvu probíhat potichu, skrytě.
-
To ovšem nezvýší bezpečnost, jen případný útok bude zprvu probíhat potichu, skrytě.
Od toho je IS banky, aby útoky včas zastavil
-
Od toho je IS banky, aby útoky včas zastavil
Což se očividně nestalo, když klientská linka pouze ujistila, že se ani v případě opakovaného pokusu o nic nejedná.
-
V případě RB nejde o nějak zvlášť promyšlené řešení. Stávající postup je dán historicky. Prostě se jim to tak táhne více než 15 let.
Původně:
- Používali bankovní SMS. Ty jsou šifrované. Na stránce zadáte své klientské číslo, do mobilu přijde bankovní SMS. K jejímu přečtení musíte do mobilu zadat bankovní mpin. Teprve pak vidíte obsah a ten opíšete do přihlašovacího formuláře. Žádne extra heslo nebo ipin tam nebylo.
- Bezpečnější varianta byl autentizační kalkulátor. Kousek HW, pomocí kterého jste generovali přihlašovací údaje i potvrzení platby. Opět, v počítači žádné heslo nebylo. Předpokládalo se, že člověk nemá PC pod kontrolou, natož připojení.
- Ten první formulář, kam se zadává klienstké číslo, je na mnoha místech. Historicky i na nezabezpečených stránkách (http), takže se na heslo nebo ipin ptát nesmí - neuchránil by ho. Proto se jen zeptá na klienstké číslo a po jeho zadání přesměruje na jiný, tentokrát zabezpečený, formulář, kam už se zadává i ipin.
Na jednu stranu se tedy můžeme bavit o tom, jak bezpečné to je nebo jak by to mělo být. Jenže skutečnost je taková, že z historických důvodů to mají takhle. Nehledejte za tím nějakou hlubší logiku nebo analýzu, současný stav je prostě jen důsledek drobné evoluce, která začala u SIM Toolkitu a HW autentizační kalkulačky. Bez hesla v počítači, protože těm se tehdy beztak nedůvěřovalo.
To, že někomu chodí SMS v noci, ukazuje spíše na trolling. Prostě někdo zná vaše ID a přijde mu zábavné vám pár těch SMS poslat. Nebezpečné to není, on posláním té SMS nic nezíská. Ten kód je dlouhý, časová platnost omezená, pokaždé jiný. Takže žádné "hádání hesla" se nekoná. Uhádnout 14 číslic (10 ze SMS*, 4 ipin)? To už má větší šanci vyhrát ve sportce. Každopádně bych si ID nechal změnit na něco, co není tak profláknuté jako rodné číslo. Ta se povalují na internetu všude možně, včetně katastru nemovitostí nebo obchodních rejstříků.
*) Kód má 11 číslic, ale prakticky vždy začíná jedničkou.
-
K narušení bezpečnosti částečně došlo. Někdo zná Vaše přihlašovací ID.
Přihlašovací ID není tajný údaj, stejně jako uživatelské jméno v systému.
Pro srovnani s SSH: take vzdy pta na uzivatelske jmeno a pak na heslo, bez ohledu, jestli dany uzivatel existuje.
Nikoli. SSH se nemůže automaticky ptát na heslo už jenom z toho důvodu, že způsob přihlášení může být pro každého uživatele jiný. Mimochodem, pokud chcete zvýšit bezpečnost SSH, nechtějte, aby se ptal na heslo při zadání libovolného uživatelského jména, ale aby se na heslo neptal nikdy, protože přihlášení heslem bude zakázané.
Stačilo by zadávat přihlašovací jméno a současně IPIN. A až po jejich správném zadání odesílat SMSku
Proč je tohle řešení méně bezpečné jsem vysvětloval v tom komentáři, na který jste reagoval trollením. Příště zkuste méně trollit a více číst.
-
Přihlašovací ID není tajný údaj, stejně jako uživatelské jméno v systému.
Opakujete mantru bez kontextu. Ano, přihlašovací jméno není tajný údaj.
SMS ověření v současné podobě není bezpečné.
Takže zbývá 4místný PIN - a ten těžko obstojí v měřítku bezpečnosti.
Takže musíte o situaci uvažovat jako o (možné) kompromitaci dvou ze tří údajů, a třetí veleslabý.
-
Opakujete mantru bez kontextu. Ano, přihlašovací jméno není tajný údaj.
SMS ověření v současné podobě není bezpečné.
Takže zbývá 4místný PIN - a ten těžko obstojí v měřítku bezpečnosti.
Takže musíte o situaci uvažovat jako o (možné) kompromitaci dvou ze tří údajů, a třetí veleslabý.
Ne, tajné údaje jsou dva, nešifrovaná SMS a I-PIN. Bezpečnost není hodnota ano/ne, je to celá škála. Nešifrované SMS nejsou z hlediska bezpečnosti neprůstřelné, určitou bezpečnost ale zajišťují. U SMS a I-PINu je podstatné to, že jsou to různé kanály, které by útočník musel kompromitovat. Banka zřejmě vyhodnotila, že riziko toho, že by útočník dokázal napadnout oba dva kanály, je nízké. Ostatně pro platby kartou zabezpečenými 3D Secure se používá jenom ta nešifrovaná SMS nebo ani to ne, a všichni to vesele používají.
Ostatně podívejte se na postupný vývoj zabezpečení zrovna v té RB (původně Expandia Baka a pak eBanka) – začínali s hardwarovým generátorem OTP, pak přidali šifrované SMS a dnes mají nešifrované SMS a I-PIN. Technické požadavky na bezpečnost u klienta se neustále snižují, protože lidé už se toho tolik nebojí a útoky jsou nepravděpodobné. Nakonec nejslabším článkem je obvykle uživatel, takže nemá moc smysl na jeho straně nějak extra posilovat technickou bezpečnost – pokud chcete skutečně posílit bezpečnost (ne mít jen alibi, že za to může uživatel), potřebujete bezpečnost posilovat spíš na straně banky, v detekci anomálií a podezřelých transakcí.
-
...
Já se s Vámi vůbec nepřu o tom, jestli je kombinace klientské číslo / nešifrovaná SMS / PIN dostatečná. V obecném případě ano.
Co říkám je, že bezpečnost devalvovala (z tokenu na sim toolkit, ze sim toolkitu na planou SMS).
To je potřeba vzít v potaz ve chvíli, kdy dojde k opakovanému pokusu (dorazí SMS bez vyžádání oprávněným).
Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.
Bohužel, banka přenáší odpovědnost za ochranu SIM / SMS na zákazníka. Když se zákazník nakazí malwarem a někdo se mu do účtu dostane, banka od toho dává ruce pryč (pochopitelně). Nepochopitelně však ignorují nahlášené incidenty. Na místě by bylo, aby v tomto zmíněném případě banka konala. Běžný zákazník si vůbec neuvědomuje, že SMS může přeposlat malware, vůbec si neuvědomuje, že telefonní číslo se dá přenést na jinou SIM kartu atd. Banka je však odborně na výši a měla by na tyto situace umět reagovat. Minimem by bylo prověřit, kdo zadává požadavek na odeslání SMS a postavit na jisto, že se jedná jen o překlep v klientském čísle, nikoliv o útok. A zde nastupuje právní alibismus: bance je jednodušší popírat byť i jen potenciální narušení bezpečnosti, než ho řešit. Řešením by připustila svoji odpovědnost - minimálně od okamžiku nahlášení. To se jim nehodí.
-
Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.
Proč?
Bohužel, banka přenáší odpovědnost za ochranu SIM / SMS na zákazníka. Když se zákazník nakazí malwarem a někdo se mu do účtu dostane, banka od toho dává ruce pryč (pochopitelně). Nepochopitelně však ignorují nahlášené incidenty. Na místě by bylo, aby v tomto zmíněném případě banka konala. Běžný zákazník si vůbec neuvědomuje, že SMS může přeposlat malware, vůbec si neuvědomuje, že telefonní číslo se dá přenést na jinou SIM kartu atd. Banka je však odborně na výši a měla by na tyto situace umět reagovat. Minimem by bylo prověřit, kdo zadává požadavek na odeslání SMS a postavit na jisto, že se jedná jen o překlep v klientském čísle, nikoliv o útok. A zde nastupuje právní alibismus: bance je jednodušší popírat byť i jen potenciální narušení bezpečnosti, než ho řešit. Řešením by připustila svoji odpovědnost - minimálně od okamžiku nahlášení. To se jim nehodí.
Že to banka nijak neřeší je jen vaše ničím nepodložená spekulace.
-
Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.
Proč?
Protože tazatel může mít malware v telefonu, nebo si třeba mohl někdo na něj vystavit twin kartu a v jiných případech SMS odchytit.
Že to banka nijak neřeší je jen vaše ničím nepodložená spekulace.
Ano, to je klasický postup při řešení bezpečnosti. Dokud nemám doložený (prokázaný) opak, považuji chybu či narušení bezpečnosti raději za nejvážnější předpokladatelné. Tedy zcela logicky počítám s tím, že útoků mohlo být víc, než mi píplo na telefonu, a i to, že se mohl útočník s SMS dostat. Jediný, kdo k tomu má informace je RB a měla by informace poskytnout - např. kolik pokusů bylo, jestli se s "útočníkem" spojila, jestli zná jeho totožnost (aniž by ji prozradila) atd.
Chovat se obezřetně není spekulace. Naopak spekulace by byla spoléhat se na neověřenou a právně ztěžka závaznou radu.
U raketoplánů také NASA věděla o tom, že při startu docházívá k poškozování termoizolace. Nikdy to však nepředstavovalo problém. Pak shořela Columbia. Byly to taky spekulace, že by se mohlo něco stát, jak někteří zaměstnanci oficiální cestou varovali? Kdepak, byl to klasický příběh povyšování chyby na standard.
-
Protože tazatel může mít malware v telefonu, nebo si třeba mohl někdo na něj vystavit twin kartu a v jiných případech SMS odchytit.
Proto je tam ten druhý faktor – I-PIN.
Ano, to je klasický postup při řešení bezpečnosti. Dokud nemám doložený (prokázaný) opak, považuji chybu či narušení bezpečnosti raději za nejvážnější předpokladatelné. Tedy zcela logicky počítám s tím, že útoků mohlo být víc, než mi píplo na telefonu, a i to, že se mohl útočník s SMS dostat. Jediný, kdo k tomu má informace je RB a měla by informace poskytnout - např. kolik pokusů bylo, jestli se s "útočníkem" spojila, jestli zná jeho totožnost (aniž by ji prozradila) atd.
Když vám banka ty informace poskytne, co s nimi budete dělat? A co člověk, který ty SMS bude ignorovat a banky se nezeptá. Ten má být ohrožen? Není správný postup spíš ten, že to bude řešit banka, bez ohledu na ot jestli se někdo zeptá nebo nezeptá?
Chovat se obezřetně není spekulace. Naopak spekulace by byla spoléhat se na neověřenou a právně ztěžka závaznou radu.
Z vašeho textu ovšem plynulo, že to banka nijak neřeší, a to je spekulace. Ano, banka by mohla odpovědět o něco lépe – „nebojte, chyba není na vaší straně, o takovýchto případech víme a řešíme je; pokud vám zase taková SMS přijde, nemusíte se ničeho bát, bezpečnost účtu to nijak neohrožuje“. Jenže my vlastně nevíme, zda ta odpověď je přímo citace banky, nebo volný překlad od tazatele.