Poslední příspěvky

1

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od _Tomáš_ kdy Dnes v 10:36:46 »

Mliko po brade?
Nejhorsi projekt ktery KB mela bylo jejich IE only+ActiveX+dve verze Javy peklo. Odstrasujici pripad nemajici u obdoby.
V mboha firmach byly jen dedikovane pocitace na ten jejich dort pejska a kocicky.

Profibanka má pořád závislost na ActiveX . Hodnotíš jen UI, původní moje banka si peklo s activeX udělala hlavně proto, že si usmysleli, že budou cool a bude vše podepisovat certifikáty i v prohlížeči, jen to prohlížeče prostě neuměli, šlo to nahradit HW, který dělal ty podpisy. Kam to dospělo víme, ale backend byl spolehlivý, funkce fungovaly, frontendu se dalo věřit, odezvy rychlé, vše plně distribuované, backupované, vše s strong consistency, nestalo se ti, že po půlnoci stáhneš prázdný výpis včerejších transakcí, protože to tam ještě nedoteklo. Dnes? Celý frontend je eventual consistency, SPoF v podobě airflow a single elastic clusteru, přes který tečou veškerá data v json/avro, rekonciliace dat jsou na denním pořádku, protože nějaká schema evolution pro frontend je v počátku. Vše lepené a hotfixované, o nějakém promyšleném designu si můžeme nechat jen zdát, zatím.

Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem.  To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.

Mnohem jednodussi je trojan v mobilu nebo gumova hadice.

Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.

Pro A5/0-2 to umíš udělat realtime pasivně (A5/2 měla u nás uměle přidaný padding a ponechala 64b klíče), krabička na to stojí miliony a koupíš jí na "trhu" docela běžně. Pro A5/3 kdo ví, nabídky na černém trhu existují, ale víc o tom nevím, Kasumi s 128b klíčem je pořád asi velké sousto. Je to 10 let co se objevili krabičky pro luštění A5/1 v reálném čase s rainbow table, protože utekla sůl, kterou používá. U nás se A5/3 objevila až s UMTS, ještě nedávno se v GSM nepoužívala, vidím masivní používání až s přechodem na open RAN (nemám ale teď v ruce čísla, kdy došlo k přechodu na A5/3 a do jaké míry, útok o kterém jsem mluvil se stal v roce 2018 v síti TMO).

Nebo máš lepší info jak je na tom A5/3 v GSM u našich operátorů? Vím, že to je v open RANu, ten ale není nasazený ještě všude. Ano, v řadě zemí je právě ještě SS7 běžně používaný, tam ty útoky, které jsem popsal jsou dost časté.

Ano, trojan na Adroidu (iOS je proti nim solidně odolný nikoliv ale nepřekonatelný, jen se to asi nevyplácí masivně dělat) je velmi častý způsob jak se obchází zabezpečení, sms nejsou v telefonu nijak rozumně chráněné a až v posledních verzích lze vyžadovat pro aplikace samotné určitou míru ochrany od OS.

2

Studium a uplatnění / Re:Kde ako ajťák žiť?

« Poslední příspěvek od ogdru6jahad kdy Dnes v 10:30:52 »

Mohu jen upozornit na zvážení odlišné mentality obyvatel, kulturní rozdíly, zdravotní systém, školský systém, sociální systém, řešení věcí na úřadech, kriminalita. Ale zhodnotit si to asi budeš muset sám. Každý to bude mít nastavené jinak (i s ohledem na případné děti).

Já mám pracovní zkušenosti z NL, SE, IL a AE. V rámci EU mi změna státu přijde zbytečná. Problémy se najdou všude, i když nejsou zpočátku vidět. Asie je pro mne velké NE (mentalita, zdravotnictví, úřady). Déle než 5 let jsem to nedal. Ale opět - někdo to jako problém nevidí. Je to individuální.

Jako řešení nákladů na bydlení mi přijde změna státu neřku-li kultury zbytečně radikální. Uvažoval bych o tom jen případě hledání řešení vzdělávacího systému (pro děti) s ohledem na zdravotní systém a možná sociální systém, pokud hlavním problémem jsou aktuálně finance. Ale přijde mi divné, že by si IT pracovník s manželkou nemohli dovolit hypotéku na aktuální nemovitosti.

V poslední době se mi nezdá špané nájemní bydlení a zbylé finance investovat. Peníze v nemovitosti mi přijdou zabité. Z nich nemohu financovat vzdělání dětí, cestování atd. Ano, až to zabalím, tak děti dostanou balík, ale to bude v době, kdy už asi budou mít vlastní bydlení vyřešené. Takže co z toho... A to nemluvím o tom, že zatím se mi i konzervativním způsobem daří zhodnocovat finance lépe, než růst cen nemovitostí.

Práce na dálku je asi v daném případě nejzajímavější varianta, zvlášť když je vyvážena reálným(!) častým sociálním kontaktem mimo IT bublinu. Ale i to má svá negativa (jako vše :-)). Hodně štěstí.

ve v4 bych mohl zit asi kdekoliv, ale do nemecka a na zapad bych nechtel presidlovat, ta islamizace se mi tam nelibi.
ale pracovat pro ne remote to zas jo :-)

3

Studium a uplatnění / Re:Kde ako ajťák žiť?

« Poslední příspěvek od XXX_Sam_XXX kdy Dnes v 10:19:46 »

Remote do Singapuru. (plat jako v SF vicemene) na moji firmu mimo CZ, s vyhodnou danovou politikou. (nechci tu odvadet vic nez je nutno)
Zit v CZ. (vyhody: zbranova politika, velmi nizka kriminalita)
Pro me je to win, win.

4

Server / Re:VPS s najlepším pomerom cena/výkon

« Poslední příspěvek od AmorCZ kdy Dnes v 09:58:30 »

Za mě jednoznačně https://www.netcup.com/en od Contabo jsem utekl, servery mají přetížené.

5

Studium a uplatnění / Re:Kde ako ajťák žiť?

« Poslední příspěvek od Tom5 kdy Dnes v 09:44:50 »

Mohu jen upozornit na zvážení odlišné mentality obyvatel, kulturní rozdíly, zdravotní systém, školský systém, sociální systém, řešení věcí na úřadech, kriminalita. Ale zhodnotit si to asi budeš muset sám. Každý to bude mít nastavené jinak (i s ohledem na případné děti).

Já mám pracovní zkušenosti z NL, SE, IL a AE. V rámci EU mi změna státu přijde zbytečná. Problémy se najdou všude, i když nejsou zpočátku vidět. Asie je pro mne velké NE (mentalita, zdravotnictví, úřady). Déle než 5 let jsem to nedal. Ale opět - někdo to jako problém nevidí. Je to individuální.

Jako řešení nákladů na bydlení mi přijde změna státu neřku-li kultury zbytečně radikální. Uvažoval bych o tom jen případě hledání řešení vzdělávacího systému (pro děti) s ohledem na zdravotní systém a možná sociální systém, pokud hlavním problémem jsou aktuálně finance. Ale přijde mi divné, že by si IT pracovník s manželkou nemohli dovolit hypotéku na aktuální nemovitosti.

V poslední době se mi nezdá špané nájemní bydlení a zbylé finance investovat. Peníze v nemovitosti mi přijdou zabité. Z nich nemohu financovat vzdělání dětí, cestování atd. Ano, až to zabalím, tak děti dostanou balík, ale to bude v době, kdy už asi budou mít vlastní bydlení vyřešené. Takže co z toho... A to nemluvím o tom, že zatím se mi i konzervativním způsobem daří zhodnocovat finance lépe, než růst cen nemovitostí.

Práce na dálku je asi v daném případě nejzajímavější varianta, zvlášť když je vyvážena reálným(!) častým sociálním kontaktem mimo IT bublinu. Ale i to má svá negativa (jako vše :-)). Hodně štěstí.

6

Server / Re:Registrace .cz domény přes Monero (XMR)

« Poslední příspěvek od alobalova_ciapocka kdy Dnes v 08:43:12 »

Myslím že někteří "překupníci" nabídnou to, že budou držitelem za někoho anonymního a dovolí mu doménu používat.

A potom dostanu pokutu za prevadzku hazardneho webu a zacnu vyplakavat.
https://www.websupport.sk/blog/2016/09/nezmyselna-pokuta-vydieranie-boj-so-statom/

7

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Ctrl+P kdy Dnes v 08:36:24 »

ano odlišuju se od BFU, jak jsem psal

BFU píše, že není BFU - LOL 
Nejerudovanější příspěvek napsal _Tomáš_ takže je zjevné, že on se v problematice tady z vás nejvíce orientuje. A vzhledem k tomu, že Anonymní Anonym píše pravý opak, tak si člověk snadno udělá obrázek, kdo se tady opravdu ztrapňuje.

8

Odkladiště / Re:Jednotné platební odkazy pro celou EU

« Poslední příspěvek od Trident Vasco kdy Dnes v 08:28:51 »

Tak ono uz je vypovidajici, kdyz nektere CZ banky zadaly vyvoj svych bankovnich appek nejakym matlakum a ti tam pouzivaji pro cteni QR kodu obskurni knihovny, ktere maji problem s ctenim nekterych QR kodu.
Napr.: Raifka.

Raifka? To jsou ti matlaci co delaji dvojtou konverzi meny pri zahranicnim prevodu?
Dekuji nechci. A z toho duvodu nepouzivam Airbank ktera je pouziva jako korespondencni banku.

9

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Trident Vasco kdy Dnes v 08:25:49 »

Banky mají povinnosti dané legislativou ohledně zabezpečení transakcí. Pokud jsou vaše požadavky v rozporu s touto legislativou, máte smůlu. Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky. Proto tammusí být další faktor, kterým operace zadané na počítači potvrdíte. Nejlepším řešením jsou aplikace pro mobilní telefony, protože mohou být dostatečně bezpečné, zároveň snadno použitelné pro uživatele a drtivá většina uživatelů má chytrý mobil.

HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol). Takže byste musel mít speciální HW klíč s klávesnicí a displejem, kam byste tyhle údaje mohl zadat. S tím kdysi dávno začínala v ČR eBanka. Jenže něco takového dnes nedává žádný smysl – uživatelsky by to bylo daleko horší, než použití mobilu, a bylo by to podstatně dražší, než nejlevnější mobily.

SMS už dávno nejsou považované ze bezpečné. Některé banky je možná stále nabízejí, ale je to pro banku náklad a riziko navíc, takže takovou službu pravděpodobně bude poskytovat pár bank, které obslouží těch pár podivínů, ale nevyplatí se to provozovat každé bance.

Banky nemají předepsané, jak přesně musí transakce zabezpečit. Posuzuje se celkové riziko, které banka významně sníží tím, když platbu autorizujete v mobilní aplikaci. Takže autorizaci SMS může banka také povolit, ale pak musí to snížení rizika dohnat někde jinde. Mimochodem, proto také některé platby nemusí vyžadovat potvrzení, případně některé platby stačí v mobilu potvrdit otiskem prstu a jiné musíte potvrdit PINem. Záleží to na tom, jak moc je ta platba bankou vyhodnocena jako riziková a o kolik tedy potřebuje snížit riziko potvrzením v mobilní aplikaci.

Pokud se bojíte, že přijdete o mobil a tím i o přístup k bankovnictví, spárujte si s bankovnictví víc zařízení. Třeba mobil a tablet. Pokud to KB neumožňuje a je to pro vás důležité, nezbyde než změnit banku.

V cesku bych SMS

Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji  jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.

K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.

Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.

p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Používání počítačů opadá, spousta lidí má už jen ten telefon. Realita je taková, že spoustě lidem zůstává pouze ten telefon. Fyzická bezpečnost a donucení útočníka, abys mu potvrdil transakci trvá, ale je asi jedno, jestli tě bude vydírat a donutí jít do banky nebo ti vezme ruku a potvrdí otiskem. Báze je pořád stejná, to se tímhle nemění, je potřeba fyzická přítomnost a k něčemu tě donutit, jestli to je podepsání směnky, zdělení hesla k účtu či potvrzení na tom nic nemění.

To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.

Bohužel, počítač rád všechny ty loginy ponechává v paměti (než se zadané heslo smaže z operační paměti, může to trvat dost dlouho). Jak píšu výše, když máš napadené jedno zařízení, není zase taková výjimka, kdy máš napadené i druhé, poznat to nemusí jít snadno.

Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.

U sms je také zásadní problém v tom, že musíš sám kontrolovat, že obsah transakce, kterou potvrzuješ odpovídá tomu, co jsi zadal na webu. Opět jsou tady zdokumentované útoky, kdy plugin v prohlížeči měnil obsah příkazu, který jsi z prohlížeče poslal, ty jsi to potvrdil přes sms, ale peníze v jiné výši šly na jiné číslo účtu. Opět se dělo i u nás. Aplikace ti potřebné údaje k ověření poskytne přehledněji než spousty čísel v sms, které přirozeně přehlížíme. Krom toho u mobilní aplikace nelze tak snadno manipulovat s obsahem a tím co se posílá, tomu aktivně mobilní OS brání, což desktopový OS nedělá naprosto vůbec a neexistuje tam žádný chráněný režim.

Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem.  To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.

Mnohem jednodussi je trojan v mobilu nebo gumova hadice.

Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.

10

Hardware / Re:Server pro Linux

« Poslední příspěvek od LivingLegend kdy Dnes v 08:23:32 »

Tenhle jich prodal 200ks a má 100% hodnocení https://www.ebay.com/itm/116307885055

Koukam, ja zadaval neco podobneho. A seradil podle ceny a vracelo mi to 1K5...

Tak pak se omlouvam...