Poslední příspěvky

1

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od _Tomáš_ kdy Dnes v 13:32:05 »

Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji  jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.

K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.

Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.

p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Používání počítačů opadá, spousta lidí má už jen ten telefon. Realita je taková, že spoustě lidem zůstává pouze ten telefon. Fyzická bezpečnost a donucení útočníka, abys mu potvrdil transakci trvá, ale je asi jedno, jestli tě bude vydírat a donutí jít do banky nebo ti vezme ruku a potvrdí otiskem. Báze je pořád stejná, to se tímhle nemění, je potřeba fyzická přítomnost a k něčemu tě donutit, jestli to je podepsání směnky, zdělení hesla k účtu či potvrzení na tom nic nemění.

To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.

Bohužel, počítač rád všechny ty loginy ponechává v paměti (než se zadané heslo smaže z operační paměti, může to trvat dost dlouho). Jak píšu výše, když máš napadené jedno zařízení, není zase taková výjimka, kdy máš napadené i druhé, poznat to nemusí jít snadno.

Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.

U sms je také zásadní problém v tom, že musíš sám kontrolovat, že obsah transakce, kterou potvrzuješ odpovídá tomu, co jsi zadal na webu. Opět jsou tady zdokumentované útoky, kdy plugin v prohlížeči měnil obsah příkazu, který jsi z prohlížeče poslal, ty jsi to potvrdil přes sms, ale peníze v jiné výši šly na jiné číslo účtu. Opět se dělo i u nás. Aplikace ti potřebné údaje k ověření poskytne přehledněji než spousty čísel v sms, které přirozeně přehlížíme. Krom toho u mobilní aplikace nelze tak snadno manipulovat s obsahem a tím co se posílá, tomu aktivně mobilní OS brání, což desktopový OS nedělá naprosto vůbec a neexistuje tam žádný chráněný režim.

2

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od bnone kdy Dnes v 13:20:40 »

Shodou okolností podobné téma mobilního bankovnictví a jeho bezpečnosti je ve filmu Udělali byste to taky https://www.csfd.cz/film/1350176-udelali-byste-to-taky/prehled/.
3 lupiči unesou bokem autobus, posbírají všem mobily, majitelé ochotně řeknou piny, účty celého autobusu během chvilky vyluxovány. Proč to dělat v malém, když lze být efektivnější. Jsem zvědav, kdy to někdo vezme jako inspiraci.
Jinak nejsem nepřítelem mobilního bankovnictví, popravdě používám hlavně to.

3

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od bmn kdy Dnes v 13:19:42 »

Více zařízení výrazně zlepšuje bezpečnost, ale spousta lidí už má jen telefon. Myslím, že to je to, co se banky snaží hlavně řešit, kromě ceny posílání SMS. V případě, že se uživatel přihlašuje z prohlížeče a na tom samém mobilu taky přijímá SMS s potvrzovacím kódem, tak můžeme přechod na mobilní aplikaci jako zlepšení. Ty možnosti bych  setřídil podle bezpečnosti takto:

- prohlížeč na mobilu a SMS přijatá na stejném mobilu
- mobilní aplikace, která zadává i potvrzuje platbu
- prohlížeč na počítači a SMS přijatá na mobilu
- prohlížeč na počítači a potvrzení v mobilní aplikaci

4

Software / Re:Změny v datových zprávách (zfo soubory)

« Poslední příspěvek od _Tomáš_ kdy Dnes v 13:12:02 »

Tak zmenil se rok, treba soudruhum neco nekde preteklo, vubec bych se nedivil.

nech si tyhle nesmysly.

Testoval jsem to i na zprávách z prosince 2024, takže to si úplně nemyslím. Zpráva, která nám prochází je z 10/2024.

V rámci nějakých náhodných zoufalých pokusů jsem také zkoušel měnit lokální čas, ale také bez úspěchu.

Od nového roku přešli z RSA-PKCS#1 na RSA-PSS (RFC 8017). Openssl smime neumí RSA-PSS a nejspíš to ani nebude nikdy umět, použíj na to openssl cms.

5

Server / Re:VPS s najlepším pomerom cena/výkon

« Poslední příspěvek od hknmtt kdy Dnes v 12:45:17 »

Contabo je strasne hejtovane, ale mam tam na skusku druhy mesiac 11 serverov a bez problemov. Lepsi pomer clovek nenajde absolutne nikde.

6

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od XXX_Sam_XXX kdy Dnes v 12:44:56 »

IRL, nikdo se nebude patlat s hackováním mobilů, když celý chain exploitů stojí kolik? $2mil. minimálně.
A když alternativa je najmout pár idiotů do callcentra a pomocí phishingu donutit lidi kupovat crypto, kupóny atd.
Koukněte se na youtube, kde hackují indický scam callcentra a ukazují kolik si vydělají.
Kolikrát tam mají řádově stovky tisíc USD TÝDNĚ.

Minimálně do té doby, dokud nebude nasycení uživatelské základny bank. appek, dostatečně velké.
Ale i potom mě to přijde, že jsou profitabilnější cíle.

7

Server / Re:VPS s najlepším pomerom cena/výkon

« Poslední příspěvek od Criterion kdy Dnes v 12:26:19 »

Zkus itglobe.cz . Kluci dělají i nabídky na míru. Podpora bez problemu. Stabilita služby také

8

Software / Re:Změny v datových zprávách (zfo soubory)

« Poslední příspěvek od skrivy kdy Dnes v 11:57:54 »

Testoval jsem to i na zprávách z prosince 2024, takže to si úplně nemyslím. Zpráva, která nám prochází je z 10/2024.

V rámci nějakých náhodných zoufalých pokusů jsem také zkoušel měnit lokální čas, ale také bez úspěchu.

9

Server / Re:VPS s najlepším pomerom cena/výkon

« Poslední příspěvek od McFly kdy Dnes v 11:49:03 »

A? Tak si plať Hetzner nebo si vyber cokoliv z https://www.vpsbenchmarks.com jako každý normální člověk a WEDOS vůbec neřeš... nějak nechápu, co dalšího chceš řešit.

Přišla mi odpověď z Hetzneru na můj dotaz a jednoznačně mi nedoporučují u nich jeden můj projekt hostovat. Ač nehostuju nic nelegálního, čas od času je ten web někým zneužit. Víc k tomu netřeba dodávat - Hetzner je prostě ze hry. Ať žije Wedos.

10

Hardware / Re:Server pro Linux

« Poslední příspěvek od redustin kdy Dnes v 11:47:30 »

Opravdu to ten klíč pošle :-) Ale to je interní, který má, když je licence již aktivovaná. Jsou ty klíče nějak kontrolované, že se nepoužívají na více strojích současně? Díky.