Příspěvky

1

Hardware / Re:GSM domovní zvonek – klasické zvonění + volání na telefon

« kdy: 05. 05. 2025, 12:55:08 »

Pokud to tam má vydržet třeba 10 let, určitě bych se vyhnul GSM-only řešením. GSM nemá budoucnost, jak už tu napsal skopda.

Přesně tak.  2G se bude během několik let vypínat. Takže by to muselo být zařízení co volá přes VoLTE, nebo přes LTE + SIP.   Pokud to má dosah wifi, nebo tam lze zavést ethernet, je to lepší řešit přes něj. A tedy SIP. Protože to bude fungovat i za 10 let.

2G tu s nami bude este dost dlhu dobu a to pre niekolko dovodov:

- Stale je este velke mnozstvo telefonov, ktore pre rozne dovody nevedia VoLTE, alebo im to nie je dovolene. Ja sam mam Android telefon, ktory nechce Orange SK pustit do VoLTE. Takze data mam cez LTE a hovor / SMS je spajany cez 2G.

- 2G je vo vseobecnosti prevadzkovane na nizsich frekvenciach. Tie sa lepsie siria. Cize je stale viac nez dost miest (lesty, kopce), kde LTE nehrozi, ale cez 2G sa da normalne telefonovat a dokonca aj datovat ... mobilny operatori maju povinnost zabezpecovat nudzove volania a takto vedia jednou BTS pokryt nepomerne vacsiu oblast

- z 2G sa postupne stava IoT siet. Spolocnosti ako Secar zabespecuju monitoring vozidiel a priestorov, kde signalizacia (alarm), je rieseny cez 2G ... ide o desiatky tisic SIM kariet, ktore budu pre operatorov urcite lukrativny biznis.

- cez 2G sa casto prensaju rozne telemetricke data, napr namerane udaje z elektromeru a podobne. U nas v bytovke ma niekolko susedov tento typ elektromeru a v priestore rozvodne nie je LTE (ani 3G tam nebolo). Cez 2G to funguje bez velkych problemov ... toto iste, ked je taky elektromer niekde na chate / dedine. Tych bude tiez obrovske mnozstvo.

Pisete jak kdybyste 10 let byl v hibernaci. I u vas ve ficolandu se bude GSM brzy vypinat. Terminy jsou vicemene uz pevne dane. Resi se posloupnost vypinani kvuli poslednim technologiim v mistech. Natahovalo se to prave kvuli pozvolnemu prechodu ruznych M2M/IoT technologii a CoVIDu.

- 2G jako IOT sit se uz opousti. Mistni vodarny pro rizeni technologii presli. Pomalu po autobusech prechazi i dopravni podnik aj.
 
- 2G alarmy maji smulu.Jde k tizi Secaru nabidnout novou technologii pri dalsi revizi zabezpecovaciho zarizeni /obnove zarizeni. Prave proto zakaznik plati nejaky poplatek ze ktereho je pomerna cast i obnova technologie.

- Nemate pravdu s vylucnosti 2G a nizkymi frekvencemi. 4G i 5G je navrzeno tak ze muze pracovat na tech samych frekvencich jako fungovalo GSM. Ten design pocita s phase-outem GSM. V nekterych lokacich uz tyto frekvence operatori pouzivaji nyni. Vubec nerozumite problematice recyklace pasem.

- Mam tu pomerne stary elektromer od neprazacke distribuce a uz ten ma zakladni podporu LTE. Dalsi elektromer ma vymenny komunikacni modul. Oba dva typy se pouzivali i u vas ve ficolandu. Mam chatu v horach a distribuce instalovala novejsi elektromer tentokrat s NB-IoT/LTE Cat M

Vyrabite problem tam kde ve skutecnosti neni a k vasi tizi nejde.

2

Studium a uplatnění / Re:Jak se zbavit problémového kolegy?

« kdy: 25. 04. 2025, 10:36:06 »

No ono ty náklady jsou jiné třeba s rodinou - já mám 2 děti a náklady máme tak 50k/měsíc, a to máme vlastní bydlení bez hypo. Ono se to nezdá, ale třeba školka (nebo dětská skupina), jídlo, nějaký kroužek... 50 litrů padne a člověk s tím nic neudělá - no a pak je socka, zdravko...

Je to tak. Ja si nedokazu predstavit mit plat pod 50kkc (a to je lokalne naproste minimum v IT). Maji-li mit deti kvalitni vzdelani a nejaky osobni rozvoj. A ne byt otroky skolskeho systemu z dob marie terezie.
Vychovat vsestranne zdatnou,vyrovnanou a vzdelanou osobnost stoji nemale usili a penize. Je to vlastne i investice do budoucna.

3

Odkladiště / Re:Android smaže složky místo symlinku

« kdy: 11. 04. 2025, 12:29:00 »

Proč  v klasickém průzkumník souborů Androidu dojde n a vzdáleném úložišti se smbd ke smazání podsložek s obsahem místo smazání symlinku na složku v případě sdílené složky SMB  !!!?
Pokud je vytvořený symlink na soubor (opravdu ln -s), tak se tohle neděje . Originální soubor zůstane

příklad: ln -s /share/slozka /media/root # složka root obsahuje podsložky a soubory

je to brutálně nebezpečné, třeba se takhle dá smazat celý root v domění že mažu jen symlinkovaný adresář /share/kopie-root-adresare

Podporuje klient "SMB unix nebo posix extensions?" Podporuje to server?
Je dobrym zvykem tyhle speciality typu symlink/hardlink/snapshot/stream zkrz platformy neuzivat a vyrobit strukturu shares ku fs na serveru adekvatne k jejim omezenim. Protoze ti klienti vetsinou zvladaji jen zakladni funkce.

4

Hardware / Re:Výběr videotelefonu do rodinného domu

« kdy: 09. 04. 2025, 10:36:24 »

Jojo. Ono to chce premyslet. Treba o scenarich, kdy "z okna nic nehodim, protoze jsou do vnitrobloku". To je jen priklad. Samozrejme kdo nema jak se intelektualne vybit, at dal ostatnim mluvi do zivota, aniz by resil technicke jadro dotazu.

Jakože dřív okna do vnitrobloků nebyla? Nebo co tím chcete říci? My, mimochodem, zvonek nikdy neměli žádný, resp. pokud ano, pak neoznačený a rozhodně bez kamery a nemáme ho ani teď. Je to obecně celkem irelevantní diskuze, nemá cenu pátrat proč ho chce a je to jeho věc, potřebuje radu, snad ji dostane. Ale vaše úvaha moc smysluplná taky není.

V CR je to problem pokud jste doma s neschopenkou/osetrovackou a pripadny opresivni kontrolor vas jde zkontrolovat.

5

Server / Re:Zvažuji přechod z Linuxu na FreeBSD

« kdy: 07. 04. 2025, 10:37:50 »

Pokud udělám zfs send přes ssh musím hodně  výrazně uměle omezit rychlost na méně jak 100 Mbit i když je k dispozici 1 GBbit. , aby to výrazně nedegradovalo výkon ostatních aplikací.  A přitom běžný síťový provoz je cca jen 30 Mbit.

A co to způsobuje? Zahlcené disky čtením, slabé CPU s málo jádry, které už nestíhá komprimaci+šifrování SSH?

Disky jsou SSD a i kdyby nestíhaly, jádro by si mělo pohlídat, že tím přehnaně netrpí ostatní aplikace.  Jader procesoru bylo hodně. Opět by to mělo hlídat jádro. Zkoušeli jsme snížit priority tomu procesu, omezit io operace a nic nepomáhala až umělé snížení přenášení rychlosti na zhruba desetinu toho co by mělo jít přenést.
Část problémů je určitě hardware. Měnil jsem jednu desku a budu muset nepoužívat jednu integrovanou síťovku a místo ní přidám další. (i tohle ale může být problém ovladače) V ostatních případech to bylo mohlo být  Linuxem. Paměti ECC mám. Ono když se to stane u jednoho serveru třeba jednou za rok a příště něco jiného. Nečekaně. Tak je obtížné získat nějaké důkazy. Mám ipmi, takže občas vidím divné hlášky, jako že jádro občas zabije nějaký náhodný proces protože něco v jiném containeru zjevně vyžralo paměť, nebo nějaké nesmysly vypisuje systemd. Nebo selhal ovladač síťovky. (možná je to Intel bug, protože ten dodal ovladač) Nebo kernel panic, což by mohlo a zjevně i bylo hardwarem.

Já jsem asi moc rozmlsanej a i problém v průměru jednou za rok (nucený restart) na jeden server je u mne moc. Protože jak píši 5 let jsem se s tím vůbec nesetkával.

U tech bugu inte lsitovek - je treba obcas nahrat novy firmware. A vubec jednou za cas poupdatovat firmwary vsude mozne po serveru. Neni taky ke skode nechat sjet integrovane diagnostiky a podivat se na jejich logy.

6

Bazar / Re:Darujem rôzne SCSI a HBA radiče

« kdy: 02. 04. 2025, 09:25:39 »

hmmmm.... měl jsem svého času jako domácí počítač 486DX2/50 se serverovým motherboardem a EISA. Byly v tom asi 3 EISA karty vč. SCSI řadiče od Adaptecu. Dneska by to byl jednoznačně muzeální exponát... ale kdo to má skladovat. Šel do šrotu asi před 20 lety.

Ten Mylex DAC960 je podle mého košer HW RAID.

Jestli se mi po něčem nestejská, tak je to paralelní SCSI a jeho vakly v konektorech a kabelech, které se v průběhu let stárnutím materiálu postupně množily.

Zidy do toho prosim netahejte.  Koser hw raid ani existovat nemuze. To byste si ho musel dat k jidlu.

7

Sítě / Re:Optické války Poda vs. T-Mobile

« kdy: 01. 04. 2025, 14:41:30 »

Hezká diskuze, ale střet s realitou byl, že jsem náhodou potkal pět chlápků skákající do dodávky cetin, doufal jsem, že se do našeho kraje byl přiveden optický- optický- optický internet. Ale Prý ze žádný není. Ale prý v budoucnu by mohl být.

Chlapkove v dodavce nemaji na starosti planovani site. Kontaktujte oddeleni planovani siti - viz cetin a vyjadrovacky. Cetin je korporat. Ne franta wifinar o peti lidech.

Tyhle lidi kteri ziji v deziluzi o tom jak svet funguje mne neprestavaji udivovat.

8

Sítě / Re:Připojení PoE switch pro venkovní síť ke společnému DC napájení

« kdy: 01. 04. 2025, 14:36:50 »

Já to vlastně nechápu....

Co na tom nechapes? Existujou nejaky normy, ty se prubezne menej a starsi instalace logicky splnujou starsi normy. Kdyz se neco meni, tak se pak typicky vykazuje "oprava" = zachovani stavu.

Dneska kdyz mas trebas zelezobetonmovej zaklad, nepotrebujes zadny zemnici pasy. Spojis svody s tim zakladem.

Jajakoli ochrana proti blesku NECHRANI (naprosto nijak) elektroniku nebo elektricka zarizeni. Chrani budovu pripadne lidi v ni. Ty sice muzes aplikovat ruzna pridatna opatreni, ale ve finale, kdyz dostanes primej zasah, bude ti to platprtny. Jednoduse proto, ze ... ohmuv zakon = jakejkoli proud se vzdy rozdeli. Ty sice mozna vetsinu ty energie prevedes tim svodem, ale nikdy ne vsechnu. A cim vic te energie je, tim vic ti ji probubla mimo ty svody.

V pripadne primyho zasahu budovy(bleskosvodu na ni) ti typicky pomre vse elektronicke v blizkem okoli. A velice casto to budou i motory/civky traf/...

Ostatne, kdy sis naposled zkousel u libovolnyho kramu izolacni odpor? Ani revizaci se neodvazujou to delat tak jak se to delat ma, protoze vedi ze ten test spousta veci neprezije.

Mimochodem, lepsi nez nic to rozhodne neni. Pokud ten svod nemas udelanej poradne, tak je naopak lepsi zadnej nemit. Protoze ten svod samotnej je ve skutecnosti "lakadlo" na blesky. A pokud ho mas udelanej blbe, tak ti to ten barak zapali. Pricemz mezi zasadne blbe patri treba prave nedostatecny kotveni.

Lepe bych to nenapsal.

Snad jen bych dodal ze rada elektromanasu a elektrotataru zemni bez rozmyslu na obou koncich vzdy a vsude. Dokonce to byva i v projektovych dokumentacich. Zemni se na obou koncich nebo na jednom ci vubec "dle situace na miste" take na zaklade zhodnoceni rizik.
Muze se stat ze takto propojim dve mista s rozdilnym potencialem a to se pak deji veci nebezpecne a nemusi byt bourka. Pri bource je to jeste horsi protoze staci kdyz uderi blesk v okoli a pri rozdilu potencialu muze dojit i k zahoreni.

9

Sítě / Re:Připojení PoE switch pro venkovní síť ke společnému DC napájení

« kdy: 01. 04. 2025, 14:29:06 »

Já to vlastně nechápu, "bez bleskosvodu" 

Chápu, že to s tou povinností mít hromosvod je složitější, ale zrovna ten blesk umí na střeše nadělat pořádnou paseku, jednak přerovná tašky a jednak to může i zapálit střechu.

https://youtu.be/NhfTjA3dwL8?t=21

Zděná dvoupatrová chata, přijel tatar, na jedné straně chaty zarazil do země zemnící tyč, na druhé straně chaty zarazil zemnící tyč, obě proměřil...
https://www.kvelektro.cz/zemnici-tyc-z-t-profilu-zt-1-5-t-tremis-v465-p1214495
Ke komínu nahodil jedinou jímací tyč (malá střecha):
https://www.kvelektro.cz/jimaci-tyc-s-kovanym-hrotem-jv-1-5-tremis-v420-p1214434
Hodil drát na obě strany chaty, vrtačkou přidělal asi pět spojů na každé straně...
Za čtyři hodiny natáhl ruku, řekl si o 8000 Kč a odjížděl 

Jasně, asi to není optimální způsob, ale v případě úderu blesku určitě lepší než nic. 

Pokud na to udelal i revizi je cena zcela adekvatni.

10

Sítě / Re:Jak funguje síť Cetinu?

« kdy: 24. 03. 2025, 18:02:57 »

V závislosti na síti co by se stalo kdybych na optice cetinu kde mám realizovanou přípojku přes T-M, který mě nutí mít optiku píchlou do jejich routeru (huawei) v bridge modu tu krabičku vypnul a optiku vrazil rovnou do mého mikrotiku? Fungovalo by to?

Nepůjde. Sice existuje ONT SFP co by šlo do toho Mikrotika strčit, ale čím větší síť, tím menší šance, že se podaří toho operátora přesvědčit, aby službu spároval proti tomuto modulu.

Ta optika od CETIN je pasivní, na jedné větvi visí 128 zákazníků, díký tomu i to nejzákladnější ONT už je o moc chytřejší mediakonvertor, než jak bylo zvykem. ONT je spárované proti sériovému číšlu, tím se identifikuje konkrétní uživatel, nahrává se do něj konfigurace, případně třeba dělá šifrování na L1 vrstvě a nakonec toho všeho, je v tom nějaký firmware, ve kterém jsou bugy a firmwary v ONT a OLT se udržují ve verzích, které spolu prošly testováním - což je nakonec ten nejpádnější důvod, proč nikdo nechce různorodá zařízení co si přinese zákazník.

"Nechce" neznamena ze by vam to mel zakazat ci ma pravo zakazat vzhledem k legislative o svobodne volbe koncoveho zarizeni. Muze ale musi k tomu mit opravdu padny duvod.
 Treba u T-Fiberu ma T-Mobile specifikaci koncovych zarizeni a samozrejme upozorneni ze za veskere vase prusery si pak muzete sami. Treba ze vam to po upgrade OLT/sw/rekonfiguraci prestane fungovat.
Nicmene u spotreby do 5W nechapu proc to resit pokud to neni nejaky nestabilni extrakrumpl.

11

Sítě / Re:Jak funguje síť Cetinu?

« kdy: 18. 03. 2025, 09:57:02 »

Doplnim Alese, ktery dobre popsal operatorskou cast.

CETIN ma technickou specifikaci na webu, https://www.cetin.cz/produkty-a-sluzby/mmo dole Navrh smlouvy - stahnout - a jedna z priloh popisuje technicke reseni.

Operatori nemaji linky do DSLAMu, ale jen centralni predavaci rozhrani s CETINem pro celou republiku (IPv4/v6, BGP, redundantni nebo neredundantni), autentizacni rozhrani (RADIUS) a rozhrani pro objednavky/zjistovani dostupnosti (API resp. pristup pres web).

Identifikace zakaznika u vetsiny operatoru funguje na zaklade identifikatoru pripojky, proto uzivatelske jmeno a heslo v PPPoE neni dulezite (ale nejake tam musi byt zadane). Ale treba Metronet vyzadoval registraci MAC adresy routeru, takze je to hodne o tom, jak to u sebe operator vyresi. CETIN na sve strane bezesporu ma identifikaci zakaznika na konkretni port, ale protoze dokaze delat migraci mezi DSLAMy a dokonce i mezi technologiemi (DSL/optika), identifikace portu koncovemu ISP k nicemu neni. CETIN na sve strane nicmene vzdycky zajisti namapovani identifikace portu na konkretniho zakaznika. Ani na optice neni treba resit uzivatelske jmeno. (T-Mobile na sve optice to ma jinak, tam jmeno/heslo pro PPPoE potrebujete), CETIN zakaznika idenifikuje pripojkou. ONU ma nejspis registrovane SN na OLT, variantu "vlastniho ONU" jsem zatim neresil - to od CETINu je zdarma/v cene pripojky a dvougigabit na tom beha slusne.

QinQ se u CETINu pouziva, stejne tak VLAN remapping. PPPoE sessions jsou svedeny z celeho regionu (velka cast kraje) do koncentracni lokality (napr. krajska mesta), kde jsou terminovany na koncentratorech od Nokie. Koncentratory by zvladly i IPoE ("DHCP"), ale CETIN to tak neprovozuje. Operator si nemuze vybrat DHCP/PPPoE, na to ma vliv jen CETIN. Z koncentracni lokality pak provoz odchazi MPLS siti CETINu k PE routeru, kde je NNI s operatorem.

Tohle reseni ma primy dopad na latenci, pakety si obcas delaji vylet po republice. U me doma konkretne (optika cetinu) nedavno optimalizaci routingu srazil CETIN latenci o 2.5 ms (z cca. 8 na 5.5 ms).

Shaping se IMHO (vypozorovano) resi na dvou urovnich, na koncove pripojce (ta je typicky naprovisionovana o 5-10 % vys nez kolik je obchodni rychlost) a na strane PPPoE koncentratoru. Zazil jsem upgrade sluzby, kdy DSL bylo slinkovane 100 Mbps, ale internet bezel jen 50 Mbps - az ve chvili, kdy dobehl na strane CETINu provisioning, se internet rozbehl plnou rychlosti. To vse na sestavene PPPoE relaci behem stahovani jednoho ISO souboru Ubuntu, takze ten narust rychlosti tam byl najednou videt.

Sdileni s T-Mobilem je imho postaveno na dvou castech: sdileni posledni mile, tam to nejspis bude sdileni pasivni infrastruktury (kazdy operator ma vlastni splittery a OLT) a sdileni backbone z OLT dal (T-Mobile si bude od CETINu objednavat kapacitu pro OLT v mistech, kde vlastni/alternativni optiku nema dostupnou). Teoreticky by si tak zakaznik mohl na fyzicke infrastrukture T-Mobilu objednat sluzbu od CETINu, realizovanou koncovym operatorem T-Mobile - a dostal by CETIN ONT a od T-Mobilu funkcni IPv6 (protoze tu T-Mobile na sluzbach CETINu umi, zatimco na svych sluzbach ne).

Cimz se dostavame k rozdilu optika T-M na infra T-M vs. na infra CETIN:
- infra TM: T-M ONT, OLT, backbone/routing k T-M PPPoE koncentratoru a dal do core site (T-M MPLS), T-M provisioning a autentizace vyzadujici konkretni PPPoE username/heslo
- infra CETIN: CETIN ONT, OLT, CETIN koncentrator a backbone, NNI CETIN/T-M, T-M/CETIN provisioning a neni potreba username/heslo

Mimochodem T-M ma jeste treti "optiku" (viaHome/viaGia FTTB) a to je na dalsi samostatny pribeh.

Technicka specifikace CETINu taky nabizi zajimavosti, vedeli jste treba, ze veskery provoz od vas nejdriv dojde pres NNI ke koncovemu operatorovi, a pak se pripadne podle potreby otaci zpatky do site CETINu? Kdyz si chcete pingnout souseda, vase pakety nejdriv proleti celou siti CETINu az k vasemu operatorovi a pak zpet.

U sdileni pasivni infrastruktury si v pripade metaliky aka LLU pamatuji na jeden sporny bod. Byl zde technicky resp. standardizacni problem pri vektoringu kdy jednotlive dslamy nemely jednotne rozhrani aby mohl fungovat v ramci jednoho kabelu s DSLAMy jineho operatora. Ocekavalo se tedy zruseni LLU sluzeb vlastnim zelezem a prechod ciste na bitstream od cetinu pripadne limitace na kabely o danych technickych parametrech (hlavne delka). Pak jsem ztratil s trhem v CR kontakt a tak netusim jak to dopadlo.

12

Hardware / Re:Může se LTE modem chovat jako mobil?

« kdy: 20. 01. 2025, 13:04:56 »

Jen pro zajímavost, v čem to odlišné chování operátorů spočívá?

Tak například blokují některé služby - třeba VoIP. Vypadá to, že na simku v modemu/routeru blokují příchozí hlasové pakety.

Jste si stoprocentne jist ze to neni koncovym zarizenim? Protoze mi to nedava smysl. Cemu rikate "hlasove pakety"? Co je to za protokol? Zkousel jste jinou simkartu jineho operatora?

Pokud jste podal reklamaci tak pak muzete podat stiznost na CTU z duvodu poruseni sitove neutrality.

13

Odkladiště / Re:Jednotné platební odkazy pro celou EU

« kdy: 09. 01. 2025, 08:28:51 »

Tak ono uz je vypovidajici, kdyz nektere CZ banky zadaly vyvoj svych bankovnich appek nejakym matlakum a ti tam pouzivaji pro cteni QR kodu obskurni knihovny, ktere maji problem s ctenim nekterych QR kodu.
Napr.: Raifka.

Raifka? To jsou ti matlaci co delaji dvojtou konverzi meny pri zahranicnim prevodu?
Dekuji nechci. A z toho duvodu nepouzivam Airbank ktera je pouziva jako korespondencni banku.

14

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 09. 01. 2025, 08:25:49 »

Banky mají povinnosti dané legislativou ohledně zabezpečení transakcí. Pokud jsou vaše požadavky v rozporu s touto legislativou, máte smůlu. Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky. Proto tammusí být další faktor, kterým operace zadané na počítači potvrdíte. Nejlepším řešením jsou aplikace pro mobilní telefony, protože mohou být dostatečně bezpečné, zároveň snadno použitelné pro uživatele a drtivá většina uživatelů má chytrý mobil.

HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol). Takže byste musel mít speciální HW klíč s klávesnicí a displejem, kam byste tyhle údaje mohl zadat. S tím kdysi dávno začínala v ČR eBanka. Jenže něco takového dnes nedává žádný smysl – uživatelsky by to bylo daleko horší, než použití mobilu, a bylo by to podstatně dražší, než nejlevnější mobily.

SMS už dávno nejsou považované ze bezpečné. Některé banky je možná stále nabízejí, ale je to pro banku náklad a riziko navíc, takže takovou službu pravděpodobně bude poskytovat pár bank, které obslouží těch pár podivínů, ale nevyplatí se to provozovat každé bance.

Banky nemají předepsané, jak přesně musí transakce zabezpečit. Posuzuje se celkové riziko, které banka významně sníží tím, když platbu autorizujete v mobilní aplikaci. Takže autorizaci SMS může banka také povolit, ale pak musí to snížení rizika dohnat někde jinde. Mimochodem, proto také některé platby nemusí vyžadovat potvrzení, případně některé platby stačí v mobilu potvrdit otiskem prstu a jiné musíte potvrdit PINem. Záleží to na tom, jak moc je ta platba bankou vyhodnocena jako riziková a o kolik tedy potřebuje snížit riziko potvrzením v mobilní aplikaci.

Pokud se bojíte, že přijdete o mobil a tím i o přístup k bankovnictví, spárujte si s bankovnictví víc zařízení. Třeba mobil a tablet. Pokud to KB neumožňuje a je to pro vás důležité, nezbyde než změnit banku.

V cesku bych SMS

Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji  jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.

K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.

Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.

p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Používání počítačů opadá, spousta lidí má už jen ten telefon. Realita je taková, že spoustě lidem zůstává pouze ten telefon. Fyzická bezpečnost a donucení útočníka, abys mu potvrdil transakci trvá, ale je asi jedno, jestli tě bude vydírat a donutí jít do banky nebo ti vezme ruku a potvrdí otiskem. Báze je pořád stejná, to se tímhle nemění, je potřeba fyzická přítomnost a k něčemu tě donutit, jestli to je podepsání směnky, zdělení hesla k účtu či potvrzení na tom nic nemění.

To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.

Bohužel, počítač rád všechny ty loginy ponechává v paměti (než se zadané heslo smaže z operační paměti, může to trvat dost dlouho). Jak píšu výše, když máš napadené jedno zařízení, není zase taková výjimka, kdy máš napadené i druhé, poznat to nemusí jít snadno.

Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.

U sms je také zásadní problém v tom, že musíš sám kontrolovat, že obsah transakce, kterou potvrzuješ odpovídá tomu, co jsi zadal na webu. Opět jsou tady zdokumentované útoky, kdy plugin v prohlížeči měnil obsah příkazu, který jsi z prohlížeče poslal, ty jsi to potvrdil přes sms, ale peníze v jiné výši šly na jiné číslo účtu. Opět se dělo i u nás. Aplikace ti potřebné údaje k ověření poskytne přehledněji než spousty čísel v sms, které přirozeně přehlížíme. Krom toho u mobilní aplikace nelze tak snadno manipulovat s obsahem a tím co se posílá, tomu aktivně mobilní OS brání, což desktopový OS nedělá naprosto vůbec a neexistuje tam žádný chráněný režim.

Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem.  To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.

Mnohem jednodussi je trojan v mobilu nebo gumova hadice.

Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.

15

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« kdy: 09. 01. 2025, 07:29:35 »

KB jsou experti na slovo vzatí, horší projekt než KB+ jsem dlouho v bankovním světě nezažil, to znám i ČSOB.

Dříve nebo později budou muset veškeré banky přejít na bezpenější způsob přihlašování, tj. aplikaci nasadí postupně všechny, ty lepší budou mít k dispozici alternativu v podobě nějakého HW token (připravuje Air, RB a GM).

Zkus se podívat na Airbanku nebo Rajfku, umí vše, co jsi sem napsal. Pravděpodobně to ale umí i ostatní menší banky.

Budeš ale bojovat s tím oznámením o pohybu na email/sms, tohle postupně banky ruší.

Mliko po brade?
Nejhorsi projekt ktery KB mela bylo jejich IE only+ActiveX+dve verze Javy peklo. Odstrasujici pripad nemajici u obdoby.
V mboha firmach byly jen dedikovane pocitace na ten jejich dort pejska a kocicky.