Proc Odorik nedostava od GTS/TMO bankovni SIM karty? Je to obecny problem s virtualnimi operatory?
Bankovni SIM maji tyto vyhody:
- zajisteni pristupu k sim toolkitu, odesilani a cteni bankovnich zprav pres dalsi bezpecnostni PIN (BPIN)
- system ani aplikace telefonu nemaji pristup k bankovnim SMS tak, jako u beznych SMS (mobilni malware...)
- sim toolkit je sice velmi oldschool platforma, nicmene funkcni i na modernich smartphonech (soucast GSM standardu) – a na mistech s spatnym signalem je to nejjednodussi cesta, jak treba poslat penize, nebo zkontrolovat zustatek pres system v menu
- domnivam se, ze napr. RB nahrava do SIM sifrovaci klic a bankovni SMS tedy nemuze jednoduse cist ani operator, ani nikdo po ceste (odposlech)
Bankovni SIM karty (bankovni SIM toolkit)
-
xsouku04
- Administrátor
- Příspěvky: 8157
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Bankovni SIM karty (bankovni SIM toolkit)
Pokud bankovní aplikaci používáte k zjišťování stavu účtu nebo přímo k platbám, asi to smysl má.
Někdo si ale může udělat aplikaci na Váš smartphone, která bude odposlouchávat klávesnici a obraz a vše posílat útočníkovi. Útočník se tak dozví v podstatě všechna Vaše hesla včetně BPIN. A pokud dovede ovládat Váš mobil, tedy i bankovní SIM aplikaci na dálku, nijak to nepomůže.
Pokud používáte sms s kódem jako další zabezpečení přístupu k internetovému bankovnictví, ale na web se přihlašujete z telefonu, na který dostáváte potvrzovací sms, jste na tom podobně, jen to má útočník možná jednodušší se čtením obdržených sms v reálném čase, takže přihlašování na web banky může dělat klidně z jiného hacknutého mobilu/počítače. Pokud má odposlechnutá všechny hesla, nemusí mobil ovládat na dálku, stačí mu jen na dálku číst a mazat příchozí SMS. Jediný problém bude sehnat bílé koně a to nejlépe někde v zahraničí, na jejich účet peníze přepošle, a neprozradit při tom identitu pachatele, což může být dost těžké.
V každém případě je dobré to rozdělit. SMS s kódem přijímat na mobilu (pokud možno hloupém), ale k účtu se přihlašovat a samotnou transakci zadávat přes počítač nebo tablet, nebo prostě s jiným telefonem. Útočník by pak musel mít pod kontrolou obojí, což je při použití různých zařízení u anonymního útočníka z internetu vysoce nepravděpodobné. SMS kód je totiž platný jen dočasně a to s konkrétní šifrovanou relací právě na tom druhém zařízení.
Pokud by ale někdo měl takto plnou kontrolu nad Vašim telefonem, bude pravděpodobně volat na čísla, která stojí 70 Kč/min někdy v noci a nějakými bankovními účty se nebude zabývat. Vy pak budete jen velmi těžko dokazovat, že jste v noci nevolal Vy, ale volal nějaký vir, který tam podstrčila osoba spojená s člověkem, kterému se vyplácí provize za příchozí hovory na toto číslo. Číslo navíc bude v zahraniční, kde nikdo s vyšetřovatelem nekomunikuje, tedy veškerá škoda nevymahatelná. Tedy divím se, že to ještě nikdo moc nedělá.
A co se týče tohoto typu zabezpečení, tak na tom je naprostá většina SIM karet se smlouvou, pokud si to tedy uživatel speciálně nevyžádá, docela bídně.
Šifrování komunikace s bankou Vám sama o sobě nepomůže, protože útočník bude odposlouchávat to, co zadáváte přímo do mobilu, a poté mobil ovládat na dálku.
Tedy SIM toolkit aplikace vznikla v době, kdy nebyly dnešní možnosti, tedy tehdy byla bezpečná. Dnes je nejen nepraktická (musím do banky po každé výměně SIM karty i když číslo mi zůstává), ale myslím, že trpí i co se bezpečnosti týče. Tedy tyto aplikace nemají budoucnost a nemá smysl, aby se jimi zabývali nově vznikající operátoři.
http://www.novinky.cz/internet-a-pc/307 ... dalku.html
http://arstechnica.com/security/2013/07 ... s-on-rise/
Někdo si ale může udělat aplikaci na Váš smartphone, která bude odposlouchávat klávesnici a obraz a vše posílat útočníkovi. Útočník se tak dozví v podstatě všechna Vaše hesla včetně BPIN. A pokud dovede ovládat Váš mobil, tedy i bankovní SIM aplikaci na dálku, nijak to nepomůže.
Pokud používáte sms s kódem jako další zabezpečení přístupu k internetovému bankovnictví, ale na web se přihlašujete z telefonu, na který dostáváte potvrzovací sms, jste na tom podobně, jen to má útočník možná jednodušší se čtením obdržených sms v reálném čase, takže přihlašování na web banky může dělat klidně z jiného hacknutého mobilu/počítače. Pokud má odposlechnutá všechny hesla, nemusí mobil ovládat na dálku, stačí mu jen na dálku číst a mazat příchozí SMS. Jediný problém bude sehnat bílé koně a to nejlépe někde v zahraničí, na jejich účet peníze přepošle, a neprozradit při tom identitu pachatele, což může být dost těžké.
V každém případě je dobré to rozdělit. SMS s kódem přijímat na mobilu (pokud možno hloupém), ale k účtu se přihlašovat a samotnou transakci zadávat přes počítač nebo tablet, nebo prostě s jiným telefonem. Útočník by pak musel mít pod kontrolou obojí, což je při použití různých zařízení u anonymního útočníka z internetu vysoce nepravděpodobné. SMS kód je totiž platný jen dočasně a to s konkrétní šifrovanou relací právě na tom druhém zařízení.
Pokud by ale někdo měl takto plnou kontrolu nad Vašim telefonem, bude pravděpodobně volat na čísla, která stojí 70 Kč/min někdy v noci a nějakými bankovními účty se nebude zabývat. Vy pak budete jen velmi těžko dokazovat, že jste v noci nevolal Vy, ale volal nějaký vir, který tam podstrčila osoba spojená s člověkem, kterému se vyplácí provize za příchozí hovory na toto číslo. Číslo navíc bude v zahraniční, kde nikdo s vyšetřovatelem nekomunikuje, tedy veškerá škoda nevymahatelná. Tedy divím se, že to ještě nikdo moc nedělá.
A co se týče tohoto typu zabezpečení, tak na tom je naprostá většina SIM karet se smlouvou, pokud si to tedy uživatel speciálně nevyžádá, docela bídně.
Šifrování komunikace s bankou Vám sama o sobě nepomůže, protože útočník bude odposlouchávat to, co zadáváte přímo do mobilu, a poté mobil ovládat na dálku.
Tedy SIM toolkit aplikace vznikla v době, kdy nebyly dnešní možnosti, tedy tehdy byla bezpečná. Dnes je nejen nepraktická (musím do banky po každé výměně SIM karty i když číslo mi zůstává), ale myslím, že trpí i co se bezpečnosti týče. Tedy tyto aplikace nemají budoucnost a nemá smysl, aby se jimi zabývali nově vznikající operátoři.
http://www.novinky.cz/internet-a-pc/307 ... dalku.html
http://arstechnica.com/security/2013/07 ... s-on-rise/
Re: Bankovni SIM karty (bankovni SIM toolkit)
Ano, v 1. generaci SIM Toolkit, což byla záležitost pouze T-Mobile (nebo možná v té době ještě Paegas), aplikaci vyvíjela přímo banka a komunikace byla end to end šifrována, čili se k ní nedostal ani operátor. Nevýhodou byla nutnost dojít na pobočku se SIM kartou vždy v případě výměny karty nebo změny banky a nemožnost mít tam více bank. Pak přišla 2. generace, kde již byli zapojeni všichni operátoři, aplikace byla generická a bylo možné mít více bank na jedné kartě. Nevím jistě zda se zde již mohl operátor dostat k obsahu zprávy a zda byla možnost to aktivovat OTA nebo se stále muselo na pobočku.
Každopádně vývoj je jasný, v době smartphonů je pro práci s účtem SIM Toolkit nepohodlný a omezující a jen pro zvýšení zabezpečení SMS je to zbytečný luxus, přináší to zvýšenou složitost a náklady na straně banky i na straně klienta (nutnost chodit na pobočku, další PIN). Většina lidí, kdyby dostala na výběr toolkit a obyš SMS, tak si vybere SMS, protože to pro ně bude jednodušší a pro ten zbytek se nevyplatí to provozovat. Internet se stává masovou záležitostí a používají ho masově čím dál tím hloupější lidi, je to vidět i z trendu ve vývoji webdesignu, takže se vše dělá co nejjednodušší a bezpečnostní prvky jsou navrhovány tak, aby byly co nejjednodušší a pro banku co nejlevnější, i když plní svou roli řekněme tak tak s odřenýma ušima. Takže nové banky SIM Toolkit vůbec nedělají, virtuálové dávají SIM co STK nepodporují, neumí to ani první a poměrně hodně rozšířený Bleskmobil.
Zkrátka bezpečnostní standard se ustálí někde mezi ultimátním řešením eBanky a prostým jménem a heslem, které měly dříve některé velké banky a byly s tím průšvihy.
Každopádně vývoj je jasný, v době smartphonů je pro práci s účtem SIM Toolkit nepohodlný a omezující a jen pro zvýšení zabezpečení SMS je to zbytečný luxus, přináší to zvýšenou složitost a náklady na straně banky i na straně klienta (nutnost chodit na pobočku, další PIN). Většina lidí, kdyby dostala na výběr toolkit a obyš SMS, tak si vybere SMS, protože to pro ně bude jednodušší a pro ten zbytek se nevyplatí to provozovat. Internet se stává masovou záležitostí a používají ho masově čím dál tím hloupější lidi, je to vidět i z trendu ve vývoji webdesignu, takže se vše dělá co nejjednodušší a bezpečnostní prvky jsou navrhovány tak, aby byly co nejjednodušší a pro banku co nejlevnější, i když plní svou roli řekněme tak tak s odřenýma ušima. Takže nové banky SIM Toolkit vůbec nedělají, virtuálové dávají SIM co STK nepodporují, neumí to ani první a poměrně hodně rozšířený Bleskmobil.
Zkrátka bezpečnostní standard se ustálí někde mezi ultimátním řešením eBanky a prostým jménem a heslem, které měly dříve některé velké banky a byly s tím průšvihy.