STARTUP! Číslo v cloudu klick starter zabiják roamingu!

Diskuze o telefonování a telefonních službách, rady, návody, připomínky, ...
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: STARTUP! Číslo v cloudu klick starter zabiják roamingu!

Příspěvek od xsouku04 »

Pitomec píše: Následně se v mobilu sama spustí aplikace ČSOB Klíč a musím zadat 5-ti místné heslo (to je identické s heslem v PC a je neměnné)
Tedy pokud Vám někdo hacke chytrý telefon, a chvíli bude odposlouchávat, co jste kdy zadal, dozví se i heslo na PC? Tedy poté, co si zkopíruje onu aplikaci s klíčem, může si dělat s vašimi penězi, co chce?
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: STARTUP! Číslo v cloudu klick starter zabiják roamingu!

Příspěvek od Pitomec »

U mé Lumie 550 asi hacknutí nebude zrovna aktuální, ale ano, u jiného telefonu by se to heslo někdo dozvědět mohl. Bude mít ale problém s tím, že nezná 8 místné přihlašovací jméno, které je v PC nutné k přihlášení (a po 3 neúspěšném pokusu se vše zablokuje a musí proběhnout návštěva banky). Leda když má někdo v PC trvale uložené přihlašovací údaje (což mám i já), ale tam je zase problém, aby se k PC někdo fyzicky dostal. Jedině hacknout ještě ten PC, ale to už se dostáváme do čistě teoretické roviny.
Obrázek
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: STARTUP! Číslo v cloudu klick starter zabiják roamingu!

Příspěvek od xsouku04 »

Pitomec píše:U mé Lumie 550 asi hacknutí nebude zrovna aktuální, ale ano, u jiného telefonu by se to heslo někdo dozvědět mohl. Bude mít ale problém s tím, že nezná 8 místné přihlašovací jméno, které je v PC nutné k přihlášení (a po 3 neúspěšném pokusu se vše zablokuje a musí proběhnout návštěva banky). Leda když má někdo v PC trvale uložené přihlašovací údaje (což mám i já), ale tam je zase problém, aby se k PC někdo fyzicky dostal. Jedině hacknout ještě ten PC, ale to už se dostáváme do čistě teoretické roviny.
OK, nicméně fakt, že bezpečnost staví na tom, že útočník asi nebude znát přihlašovací jméno, nic dobrého o "bezpečnostních expertech" oné banky nevěstí. Že to není úplně snadné, vypadá spíše na štěstí, než že si to někdo dobře rozmyslel. Přece lepší by bylo ono heslo nezadávat vůbec, nebo zadávat úplně jiné heslo. Pak by to bylo celkem OK, i když stále o něco málo horší než autentizace pomocí SMS.

Má Raifeisen banka se mě snaží nyní přesvědčit o tom, že bych měl platby provádět aplikací v mobilu. Že pak zjevně může platby provádět kdokoli, kdo mi hackne mobil, je zjevně netrápí.
Ještě se chlubí tím, ,jak to mají dobře zabezpečené.
Staví na tom:
1) Mobil mám vždy u sebe a nepoužívám cizí mobil, jak je to možné občas s počítačem. Tedy nikdo se mi do něj nedostane :) ( dostat na google play zákeřnou aplikaci a přimět statisííe lidí, aby si ji nainstalovali, není vůbec nic složitého, horší je to s tím dostat celý android pod plnou kontrolu, k tomu se musí využít nějaká díra, tedy tento krok půjde provést jen u některých telefonů, případně u některých uživatelů, kteří skočí na nějakou fintu a budou s útočníkem pod nějakou záminkou spolupracovat)
2) A zadávám přeci heslo!(heslo lze obvykle odposlechnout nainstalováním a vybráním alternativní klávesnice, která vše zadané loguje a někam posílá - tohle je ale možné ošetřit použitím vlastní klávesnice. Pro prolomení této vlastní klávesnice je třeba mít hacknutý celý android a logovat jednotlivé dotyky.)

Je to tedy podle nich dvoufaktorová autentizace :)

Zdá se, že dnešním odborníkům chybí trochu selského rozumu, podobné aplikace by vždy měly mít nějaké rozumně nastavené limity, protože to prostě bezpečné moc není.

U Raifeisen Bbnky ale není možné nastavit jiné limity pro onu nebezpečnou aplikaci, než limity při zadávání na webu s ověřením pomocí SMS. To jsem si nyní potvrdil na jejich infolince.

Myslím, že v dnešní době se různí experti mýlí podstatně více než obyčejný člověk se selským rozumem.
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: STARTUP! Číslo v cloudu klick starter zabiják roamingu!

Příspěvek od Pitomec »

Řekl bych, že smyslem nějakých ochran typu 3D Secure asi primárně není řešit to, když si nějaký user zaviruje mobil nebo PC. Stejně jako třeba výrobce zabezpečovacích systémů domů nepočítá s tím, že majitel odejde a nechá v přízemí otevřené okno, kterým mu tam zloděj v pohodě vleze a sebere co se dá. Každý člověk si musí bezpečnost v první řadě ohlídat sám, což u těch mobilů znamená neinstalovat neověřené aplikace atd., všichni víme o co se jedná :)
Obrázek
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: STARTUP! Číslo v cloudu klick starter zabiják roamingu!

Příspěvek od xsouku04 »

Pitomec píše:Řekl bych, že smyslem nějakých ochran typu 3D Secure asi primárně není řešit to, když si nějaký user zaviruje mobil nebo PC. Stejně jako třeba výrobce zabezpečovacích systémů domů nepočítá s tím, že majitel odejde a nechá v přízemí otevřené okno, kterým mu tam zloděj v pohodě vleze a sebere co se dá. Každý člověk si musí bezpečnost v první řadě ohlídat sám, což u těch mobilů znamená neinstalovat neověřené aplikace atd., všichni víme o co se jedná :)
Zrovna u 3D secure by právě tohle mělo řešit, protože kromě možnosti platit kartou na internetu na cizím počítači (kde někdo úmyslně odposlouchává klávesnici) je zavirovaný počítač druhý nejčastější způsob, jak se podsvětí dostane k číslům platebních karet. Další možnost je si nainstalovat minikamery někde, kde se kartami platí, nebo k bankomatu. Jedno platné číslo karty se prodává na černém trhu za cca 1 USD. Dříve (rok 2004) bylo možné čísla platných platebních karet jednoduše vygooglit. Stačilo zadat typické předčíslí platební karty. Znal jsem člověka, který si prostě vygooglil platné číslo platební karty a koupil si licenci na software. Konkrétně VMware. Tehdy licence nebyly online, tedy nešla zpětně zneplatnit, i kdyby majitel karty platu úspěšně reklamoval. Dnes Google záměrně odmítá takové věci hledat, ne že by nebyly vystaveny na internetu. Ale pokud vymyslíte nějaký méně obvyklý způsob, je možné, že číslo něčí karty vygooglíte i nyní. Hlavně samozřejmě v USA, kde je stále běžné si čísla karet zapisovat třeba do Wordu, který omylem vystaví na internetu.

Je třeba počítat s tím, že každý třetí počítač s Windows nebo mobil s androidem je "zavirován". Samozřejmě častěji jsou zavirována zařízení uživatelů, co se chovají nezodpovědně hlavně tím, že instalují kde co a někdy nemají ani antivir. A také naletí na kdejaký zjevný nesmysl. Chovat se ale rozumně a být obezřetný a inteligentní není ale ochrana na 100%.
Ona zákeřná aplikace lze ovládat na dálku a používá se třeba pro řízené DOS útoky. Podobně by mohla jít "pronajmout" za účelem vybílení bankovního účtu.

Náš brigádník se choval rozumně. Neinstaloval žádné podivné aplikace a vše instaloval jen z Google play. Přesto jednoho krásného dne jeho android odeslal premium SMS za cca 10 tisíc korun.
http://forum.odorik.cz/viewtopic.php?f=14&t=3131 Z toho vyplývá, že na Google play jako bezpečnostní prvek se nedá moc spolehnout. Oni schválí v podstatě cokoli.

Zde je popsán podvod s voláním na premium linky.
http://mobil.idnes.cz/malware-android-e ... likace_LHR
Samozřejmě chtít po uživatelích, aby zkoumali nesmyslně dlouhý a nepřehledný seznam oprávnění pro každou aplikaci (s tím, že většinou stejně nemohou něco aplikaci odepřít - mohou aplikaci jen nenainstalovat), je nereálný alibizmus.

Jediný důvod, proč nejsou bankovní podvody tohoto typu častější, je ten, že je obtížné peníze převést na hotovost tak, aby podvodník zůstal nevypátratelný. Ne že by to nešlo, ale je to složité a lidi, co by to dobře zvládli, raději dávají zatím přednost jinému typu výdělku. To je ale slabá a zjevně dočasná útěcha.
Odpovědět