Snad jednorázový kód na transakci, ne? Zneužití je sice omezený (spárování kódu jen na příslušnou transakci v bance, registrovaný kód v systému banky...), ale ono i čtení kdo co kam posílá (součást takové SMS, logicky), do toho nikomu nic není...
Některý banky umožňují zasílat i tento kód šifrovanou formou alias SIM Toolkit.
Kdyby to hromadně uživatelé vyžadovali, zavedou to banky všechny, jenže uživatelé, ti nejhloupější, ještě řvali, když se rušila možnost jen loginu a hesla, takže to má tak ebanka (rb), pak dlouho nic, pak některý jiný banky, a pak už nikdo.
Chudák uživatel, musel by zadat BPIN, ručičky by mu za ty 2s upadly...
a) máte uživatelské jméno
b) máte uživatelský certifikát (některé banky ho nevyžadují)
c) máte heslo
d) znáte telefonní číslo
e) jste napojený na stejnou BTS jako oběť
f) podaří-li se vám zjistit nebo si tipnout kanál
g) SMS přijde i oběti, takže ještě musíte zařídit aby na to nereagovala a nezkontaktovala banku, která by pak následně buď transakci zastavila nebo vyžádala okamžitý zpětný převod prostředků...
Takže pokud splníte všech 7 podmínek, tak ano, peníze si převedete. Pak je ovšem oběť úplný kretén, protože bez její součinnosti by to nešlo!
Každopádně pokud se někdo cítí ohrožený, není nic snažšího jak banku požádat o vydání certifikátu v čipové kartě nebo alespoň zasílání autorizačních SMS šifrovaně přes GSM Banking - pak pro jejich přečtení potřebujete konkrétní SIM a BPIN, což už útočník nezíská ani omylem :-))
---
Jinak pracoval jsem také v bance přímo na oddělení, které se zabývalo bezpečností v elektronickém bankovnictví a maximální bezpečnost se nepoužívá jenom proto, že ji klienti nechtějí!!
Vzpomínám si jak lidi řvali, psali stížnosti řediteli banky, bankovnímu arbitrovi atd. jenom když jsme zaváděli ověřování klientů pomocí bezpečnostních certifikátů + obyčejné autorizační SMS, když už nestačilo jenom heslo a jméno jak do xchatu :-DDD
Hroznej problém! Pro uživatele je každý kliknutí hroznej problém...
Takže ani nechci vidět, co by se stalo kdyby si nedej bože, museli před čtením autorizační SMS ještě zadat BPIN - to by se asi už úplně vysílili :-DDD
A nebo poviná certifikační čipová karta - jaký problém zapojit čtečku do USB a vložit kartu!! Už slyším těch tisíc keců...
Takže jestli chcete opravdovou bezpečnost, stačí si o ni říct a banky Vám mile rády vyhoví - slabá je jen kvůli dementům lidem :-) A bohužel se jim musíme přizpůsobovat, protože k čemu bude naprosto super extra skvěle zabezpečený eBanking, když nebudou uživatelé, kteří by jej používali a banka nakonec zkrachuje, protože ji položí konkurence, která nedodržuje bezpečnost žádnou.
Četl jsem kdysi jeden interní průzkum a prý 70% klientům vadilo, že se musí na pobočkách identifikovat občankou a podpisovým vzorem a že 30% klientů by chtělo provádět výběr jenom na jméno :-DDDD "Já jsem Josef Novák, chtěl bych dva miliony..." "Ale jistě, tady jsou..." Takže asi tak si to lidi představují, ale chtějí 100% bezpečnost :-DDD
Naprosty souhlas. Naruseni bezpecnosti GSM je zasadni problem pro internetbanking a dalsi systemy pouzivajici SMS autentizaci. Jakmile bude tento kanal neduveryhodny a nechraneny, dostavame se do stavu, ze se tady bavime o tom, zdali pouzivat SSL na internetu. Taky tady muzu psat, ze musim byt pripojeni mezi uzivatele a cilovy server a musim odposlechnout komunikaci. A taky musim splnit spoustu bodu, ale snad dneska kazdy uzna, ze nesifrovana http komunikace je naprosta amaterstina a extremni bezpecnostni riziko. Totez plati pak pro GSM, ze ve chvili, kdy je naruseny tento kanal, dostavame se do obdobne situace jako v pripade http a internetu a jen prave naprosty bezpecnostni hlupak muze napsat, ze to problem neni. Stejne, jako jsem cetl podobne zduvodneni pro to, ze https protokol neni vubec potreba (nekdy asi pred 15 lety a ze je to jen straseni uzivatelu, kteri chteji nakupovat online), tak podobne je to i s tim predchozim prispevkem, ktery tohle bagatelizuje u GSM.
Sifrovani GSM je zasadni, je dulezite nejen kvuli soukromi, ale i proto, ze na nej spolehaji dalsi aplikace a dalsi systemy. Krome toho ten canc od toho manika z Google je pekna ptakovina, protoze prave Google je naprosto paranoidni a zkuste se jich zeptat jen treba na nejake statisticky a cisla. Jsou tak paranoidni, ze tyhle udaje schovavaji i pred zamestnanci a je velmi slozity autorizacni proces, jak se k nim dostat. Nemluve o paranoie, kdyz uvadi nejakou novou sluzbu, jak interne se snazi to hlidat a jak vse sifruji a jen to, ze uvolni nejake nove API. Tak ti at pak neco kecaji o tom, ze ochrana GSM neni potreba :))))) Od nich to fakt sedi ;)
A proč tak složitě. Kdekoliv na světě se přihlásím přes internetu k webu tvé banky, tam zadám přihlašovací údaje (jméno a heslo, ty se nemění, takže buď brute force nebo je někde získám přes keyloger),kontrola na stejnou IP se většinou neprovádí, zadám příkaz k převodu na svůj účet. A teď už mi stačí jen odposlechnout komunikaci tvého mobilu-obsah autorizační sms. Během několika sekund zapíšu, a než ti dojde co ti vlastně přišlo, už jsou prachy fuč...
Omyl. SMS obsahuje cílový účet a částku, v případě více příkazů jejich počet a sumu. Ale je pravda, že je jen jedna na session - řeším to tak, že si všechny příkazy syslím, autorizuji je najednou a okamžitě se odhlásím.
To je sranda, jak ten jeden příspěvek invaliduje celou diskuzi před ním :)
Používám přávě zmíněné eKonto (mám ho ještě z dob, kdy to bylo jediné funkční ebankovnictví u nás) a zajímalo by mě, jak silné šiforvání na těch toolkitových SMSkách je?
Já ne. ono je totiž pokaždé jiné a slouží pouze k provedení jedné předvolené operace. (Alespoň u mne). A v zemi, kde se povinně loguje veškerý telekomunikační provoz, dokonce i pouhé prozvonění, je absolutně jedno, jestli je přenos hovoru šifrovaný, nebo ne.
No to je :-)
Já se GSM technologií nezabývám, vím o ní to co laik, ale měl jsem za to, že SMS šifrované jsou. A koukám, že SMS šifrování proudovou šifrou A5/1 je "optional". No fakt zábava :-)
Jenže jméno a heslo jsou nejčastější cíly poshingoých útoků, a sama o sobe jsou nedostatečná. Právě proto aby se dodalo dostatečné zabezpečení se doplňuje jednorázový autorizační kód z SMS. Čili, pokud máš jméno a heslo, pak si můžeš otevřít cizí účet přes web, a pak "stačí" si odposlechnout dle zveřejněného návodu GSM komunikaci. Pokud nic z toho nemáš, tak to asi nebudeš pořádnej hacker..
No je fakt že na lidi co na běžným účtu nic nemaj, si ani hackeři nic nevezmou....
Prdlajs. SMS jdou na Um v SDCCH nebo SACCH kanálech a ty si při alokaci ciphering zapnou ještě než se SMS začne přenášet. SMS jsou chráněny stejně dobře/špatně jako samotný hovor.
Jméno a heslo si do paměti počítače uloží jen opravdu velký osel, zejména, když používá něco tak děravého, jako Windows. Já to uložené nikde nemám a prohlížeč je nastaven tak, že po ukončení relace se v něm veškeré uložené údaje (hesla, cookies a další) ihned smažou, takže i kdyby se mi někdo do počítadla dostal, což v Linuxu moc nehrozí, bude mu to houby platné ,protože v něm nic nenajde.
Zadáš příkaz k převodu a SMS přijde na můj mobil, aniž bych své připojení do banky aktivoval, takže okamžitě vím, že jde o krádež a bleskovým zavoláním na příslušné číslo transakci buď úspěšně bloknu, nebo banka zjistí, kam peníze odešly a zablokuje příchozí účet. Takže jediné, co se ti povede bude to, že na sebe poštveš policii. Mě banka škodu nahradí, protože nebude souhlasit IP ani MAC adresa a ty budeš mít potíže, nehledě k tomu, že přihlašovací jméno a heslo nemám v počítači nikde uložené, takže nemáš šanci ho získat. Jedu pod Linuxem a prohlížeč je nastaven tak, že okamžitě po ukončení relace smaže veškerou historii včetně zadaných hesel a cookies.
Líbí se mi argumentace "jedu pod Linuxem, nemůže se mi nic stát". Je mi líto, pokud se vás dotknu, ale s ohledem na tržní podíl PC s Linuxem jste na úrovni statistické chyby. Máte štěstí, že je MS Windows stále majoritním OS a proto se drtivá většina útoků zaměřuje na ně a vy můžete klidně spát.
Snažím se tím říci, že je skutečně pravda, že útok na váš účet by byl opravdu těžký, stejně jako útok na můj. Na(ne)štěstí jsou tu statisíce (možná miliony?) dalších, u kterých to zdaleka takový problém není, protože nemají Linux, nemažou hesla ani cookies, nevyžádanou SMS mažou místo aby burcovali policii, telefonní číslo na zablokování svého účtu z paměti neznají a jejich reakce po probuzení nejsou zrovna bleskové.
Jestli ony ty prachy nepůjdou náhodou přes clearingové centrum ČNB (nebude si to doufám posílat na účet v ČR, že?). Během pár sekund se dají peníze převést do jiného státu maximálně v amerických akčních filmech, v reálu to funguje trošinku jinak... Vhodnější je vybrat to kartou...
Každý je svého osudu a štěstí strůjcem. Je to o tom samém, jako o tom, že mám v peněžence kartu a druhé přihrádce na papírku napsaný PIN. Takovíto ignoranti o vybílení účtu přímo koledují a tudíž by byl hřích jim nevyhovět. A s tím, že Linux je stejně děravý, jako Windows, jen o jeho díry není zájem jste absolutně vedle! Linux je o něčem úplně jiném a hacknout počítač, který v něm pracuje, pokud uživatel není absolutní pako, je v natolik obtížné, že 90% hackerů si na něm vyláme zuby. Pro 90% uživatelů je nákup O. S. Windows naprosto zbytečná investice, bohužel je to o tom, že těch 90% vůbec netuší, co to Linux, nebo Windows jsou a nabídka počítačů bez předinstalovaného O. S. je víc než ubohá.
Nechci být příliš paranoidní, ale přes mobil se řeší hodně obchodních věcí (třeba jen předjednává). Nemyslím teď majitele stavební firmy s pěti zedníky, ale takový mobilní provoz šéfa ČEZu by pro obchodníky s akciemi byl hodně zajímavým a drahým zbožím...
Keyloggery v Linuxu moc nefungují. Potvrzovací SMS přijde jako odpověď na konkrétní operaci, kterou musím iniciovat, internetové připojení mi přes mobil rovněž nejede. Takže bys musel mít přihlašovací jméno a heslo, což je v případě, že v počítači není Windows a internetové připojení nejde přes GSM síť prakticky nemožné získat. Navíc účet, který lze takto obsluhovat mám trvale skoro vybílený a než z něj něco zaplatím, musím si napřed převést peníze ze spořicího účtu, což je další transakce, další heslo a další SMS. Trochu komplikované, pravda, ale určitě bezpečné. Platební kartu mám také trvale bloklou a odblokovávám ji jen před použitím a na dobu nezbytně nutnou.
Já prostě jenom říkám, že pro vykonání praktického útoku je síla šifra A5/1 jenom jedním ze sedmi kritérií a rozhodně nebylo a není tím nejsilnějším.
Kdyby zabezpečení Internet Bankingu záviselo pouze na mém osobním názoru, tak by se uživatelé připojovali jenom pomocí speciálního USB tokenu, na kterém by byl boot partition (bez možnosti zápisu nebo přepisu dat) Bankovního Operačního Systému (BOS) + čipové karty ve čtečce + jména a hesla.
Tím by byla zaručena 100% čistota uživatelova PC, protože by se připojoval vždy ze systému nabootovaného z BOS a viry a bordel z HDD by se ani neaktivoval.
Na bankovní operace by v BOS sloužily speciální aplikace a protokoly - nikoliv obyčejný webový prohlížeč, navíc i úroveň Firewallu by mohla být nastavená v BOS na maximum a útok virem by byl nemožný, protože na USB token by nešlo zapisovat.
K autentizaci by složily certifikáty uložené na tokenu + certifikát vytvořený čipovou kartou - data přenášená z BOS v PC uživatele do banky by byla šifrovaná pomocí 4096 bitové šifry a maximální pohoda!
BOS nejde nakazit žádným virem, nelze jej napadnout útokem z Internetu, čipovou kartu nelze zkopírovat přes Internet.
Takže opravdu absolutní bezpečí - ovšem s tím, že by do IB musel klient "přebootovávat" a že by musel používat čipovku, to asi nepožvýká víc jak 1% uživatelů a proto se to nepoužívá...
Takže za slabou bezpečnost si můžou lidi sami!
--
Jinak kdo chce, tak stačí v bance požádat o čipovku a máte po problému - protože útočník by Vám ji musel fyzicky sebrat.
--
A ano, všechno je napadnutelné - žádné zabezpečení Vás neochrání proti tomu, aby Vám někdo nenamířil 12mm MAGNUM (a nemyslím tím ten nanuk :-)) doprostřed čela a nepřikázal "Teď mi převedeš na účet milion, jinak vodpravím tadyhle mladou slečinku..."
A já jsem vám jenom říkal, že bezpečnost některých bankovnictví stojí na tom, že k dokončení transkace je nutná komunikace po dvou nezávislých kanálech a pokud je bezpečnost toho jednoho prolomena (a o druhém je dlouhodobě známo, že sám o sobě bezpečný není), tak máte prostě problém a můžete si to klidně rozdělit ne do sedmi, ale do sedmdesáti podúkonů.
Jsem rád, že už nepíšete, že o žádnou zranitelnost nejde a byl bych ještě raději, kdybyste si nevymýšlel neexistující ráže :-)
Hezký den.
I takový BOS si může uživatel nabůtovat do VM, a pak už závisí jen na implementaci VM, nakolik je napadnutelný.
Když už, tak by měla banka na IB dávat jednoúčelovou krabičku s procesorem, ethernetem, WiFi a VIP uživatelům třeba i s SIMkou a paušálem u mobilního operátora. Dneska se to vejde do krabičky velikosti mobilu a s cenou do dvou tisíc.
A i proti tomu MAGNUMu se dá bránit - to už používali špióni ve druhé světové válce. Prostě se musí na začátku spojení uvést domluvený signál (třeba ve formě dalšího jednoznakého hesla v přihlášení). A pokud je špatně, tak se IB chová, jako by vše bylo OK, ale už alarmuje policii. Samozřejmě, otázkou je počet planých poplachů.
Pokud na tom uctu je tolik, ze se mi to vyplati, tak co se budu parat s odposlechem SMS {kterou dostane i obet a bude online vedet ze byl okraden}, kdyz:
1. Z IB vim adresu {bydliste, kontaktni adresa} vyhlednute obeti
2. Si mohu najmout "ukrajince", ktery ve vhodny okamzik ukradne zadany mobil a dost mozna i tak, ze to po urcitou dobu obet ani nezaregistruje {zpusobu asi bude vice, ne?}
3. Provedu prevod, SMS obeti neprijde, protoze jiz nedrzi mobil, stale nic nevi.
- vysledek: Transakce probehne a je velka pravdepodobnost, ze nez na to obet prijde, jsou penize davno nekde v akvarku.
A k čemu by někomu bylo, ty joudo? Líbí se mi lidi, kteří nerozumí ani topinkovači, jak ze všeho dělají obrovský bezpečnostní problém, který konkrétně je strašně ohrožuje :-))
--
Mimochodem kód z autorizační SMS má omezenou platnost (většinou maximálně 10 minut), platí jenom pro konkrétní transakci a pro kontrétní relaci připojení.
Takže, pokud Ti někdo "odposlechne" autorizační SMS, tak mu to bude stejně k HOUNU!
Musel by dolízt k Tobě domů a transakci udělat ze stejné IP a dokonce i ze stejné relace - tj. ještě dokud jsi do IB přihlášený, takže bys ho asi musel pustit i k PC a tím kódem by Ti mohl potvrdit jenom tu jednu konkrétní operaci, kterou sis tam zadal sám... :-))
je celkem fajn, ze takova sifra dovedla odolavat celych 22let, ale pokud si to vezmete i z te druhe strany, tak dnes na odposlouchavani nepotrebujete zadnou sifru a staci soudni prikaz. neni divu, ze se v tomhle state takto odposlouchavaji tisice lidi rocne, takze pokud mate cerne svedomi, tak si nemuzete byt mobilnim telefonem nikdy jisti a tak to holt delejte jako ti ostatni, reste si vse osobne na jachtach v zamori. slusny clovek tohle nema za potrebi. a obchodni tajemstvi a prisne tajne dokumenty se i tak snad nikdy po telefonu neresily. nikdy totiz zadne absolutni soukromi neexistovalo a i doba bez technologii nekde na vesnici byla dle meho nazoru na soukromi daleko horsi. takze jediny, co se budou bat budou paranoici.
To, co píšete, je nesmysl. Pro úspěšný útok mi stačí uskutečnit MITM útok po IP a odposlechnout zmíněnou SMS. To je zcela reálná kombinace. Ano, jde jen o jednu transakci, ale její výši a cílový účet určuje útočník!
Váš příspěvek nechápu.
Jsem útočník. Přihlašuji se do internetového bankovnictví oběti. Musím překonat různé překážky. Jednou z nich je (v některých bankovnictvích) i znalost nešifrované autorizační SMSky.
Ze svého počítače, ze své IP adresy (pokud ji hlídají, ale to je úplně fuk) vytvořím svou relaci, kterou se přihlásím do bankovnictví a tam udělám jakoukoliv transkaci. Pokud v kterémkoliv kroku budu muset zadat SMS odeslanou na telefon oběti, tak ji v principu mohu odposlechnout a zadat a svou transkaci tak dokončím.
Pointa je ta, že potvrzovací SMS se do internetových bankovnictví nezaváděla jenom tak pro srandu králíkům. Ale jako potvrzení transakce jiným kanálem. A v případě, že se tento kanál ukáže jako nebezpečený, tak to prostě implikuje bezpečnostní problém.
a),b) a c) lze získat ovládnutím počítače oběti, což pro útočníka nemusí znamenat velký problém.
d) ovládnutí počítače oběti bude ve velké části případů současně znamenat prozrazení jeho tel. čísla.
e) být v dosahu BTS oběti se opět dá zařídit - prostě se v době, kdy očekávám, že oběť bude doma přesunu co nejblíž jejímu bydlišti (které po ovládnutí jejího počítače téměř jistě znám).
f) to už je technický detail. S určitým vybavením to může být snadné, s určitým vybavením to může být prakticky nemožné. Jak je psáno v článku - současný stav prolomení GSM šifrování není nijak zvlášť levný. Ale to je otázka, co přinesou další měsíce.
g) jistě - oběť bude mít informaci, že k útoku došlo. To je pro útočníka jistě značná komplikace v únikovém plánu (který by nemohl být jednoduchý ani kdyby měl delší náskok, než jednu noc). Nicméně útok je v principu proveditelný.
Žádná součinnost oběti potřeba není - nezabezpečené domácí PC rozhodně není součinnost a útočníkem.
GSM kanál se dá obejít i jinak (např. tím, že zajdu na operátora a přesvědčím ho, že jsem oběť, co ztratila svůj mobil a nechám si vydat novou SIMku), ale možnost odposlechu GSM komunikace prostě zvyšuje riziko útoku na internetová bankovnictví.
Tento váš příspěvek (jakkoliv k němu mám pořád výhrady), už je ale o něčem jiném, než váš předchozí, kde vůbec neoperujete se situací, že se potvrzovací SMS nemusí týkat jenom transkace, kterou iniciovala oběť.
Riziko to je. O půlnoci se pomocí loginu odchyceného keylogrem v počítači okrádaného připojíte k bankovnímu účtu okrádaného, zadáte (vy) transakci k převodu jinam a zachytíte autorizační smsku na cestě. Rozespalý skutečný vlastník bude pouze hloupě koukat, proč mu banka posílá autorizační smsku, kterou si přeci nevyžádal. Toto už je docecela realistický příklad ne ?