Známí mají s ČS ještě autentizační kalkulátor. A říkají, že pokud by jim ho spořka zrušila, půjdou jinam. Spoléhat v dnešním světě na autentizaci nešifrovanejma SMSkama může opravdu jenom naiva. A takový pseudozabezpečení (parodii bezpečnosti) bych taky nepodporoval.
Třeba takový ING konto, to je taky super zabezpečený. Heslo a PIN. Jsme snad v pravěku?
Ste blb, pokud nechodite po ulici bez neprustrelne vesty a jeste vetsi jestli jezdite libovolnym prostredkem. Zbytecne hazardujete se svym zivotem!!! ;-)
Napsal jsem svůj názor. "Zabezpečení" jen heslem není žádný zabezpečení, zabezpečení nešifrovanou SMS je pseudozabezpečení. V době, kdy běžnej uživatel neni v drtivý většině rozhodně schopnej garantovat u svýho PC to, že tam nemá žádnej spyware, keyloggery nebo trojský koně (většinou ani neví, co to je), kdy se mobily kradou jak na běžícím pásu, je to risk. A když existujou alternativy a konkurence, nevim proč bych se měl zabejvat blbečkama z některejch bank, který nějaký klienti a jejich prachy ve skutečnosti vůbec nezajímají, protože jinak by dali na bezpečnostní experty a nedělali jen takováhle primitivní a tím samozřejmě nejlevnější "opatření".
Na svete nevim, ale v CZ urcite. Spete dal, nevedomost je sladka :-) Zrovna pred nejakou dobou byla afera ze bylo vykradeno nekolik desitek uctu, ted nevim jestli v Komercce nebo ve Sporce (nebo to bylo jinde). A co rikali pozkozeni? "Banka si to mela lip zabezpcit!". A predtim taky spali sladce v domneni, ze bezpecnost bankovni aplikace nemusi resit, prece v neprustrelne veste taky nechodi ;-)
Koukam dalsi zfanatizovany verici "standardizovane aplikace": Ze bys kliente chtel aby banka umela tohleto a tamhleto? SKLAPNI! Copak nevis, ze klient je jen obtizny hmyz a nejdulezitejsi je standardizovanost!
Proste az bude aplikace RB umet to co aplikace eB at si ji klidne nahradi. Do te doby at na ni nesahaji. (Nedavno jsem zjistil, jak jsem eBankou zhyckan, kdyz jsem zjistil, ze Fio neumi ani blby inteligentni revolving... :-/ )
U ING můžeš AFAIK posílat peníze jen na předem definované účty, tudíž je to přijatelně bezpečné. Ale u normálního bankovnictví bych nešifrovaným SMSkám taky nevěřil - viz mBank
Doporučuji zkusit chvilku PŘEMÝŠLET o tom, k čemu ty SMS jsou - jedná se o sekundární autorizaci po přihlášení, to za prvné. Za druhé, šifrování by zde bylo zcela zbytečné, jde zde výhradně o to, poslat informaci, kterou jste si vyžádal při používání webového rozhraní, jiným kanálem. I kdyby vám tu SMS někdo odposlechl (haha), tak je mu to k ničemu, protože poslaný kód potřebujete jenom vy ve vaší session prohlížeče.
To je tak, když je někdo chytrák a přitom problematice vůbec nerozumí...
A ma nebo mela ta "in-house bankovni aplikace lepena nekolika nerdy" nejake problemy? Tzn. meli by mit klienti eBanky, za celou tu dobu po kterou u nas banka nabizi a nabizela sve sluzby, nejaky duvod ke znepokojeni?
Nebo je to jen klasicky zacatek flamewaru, vyvolany nekym kdo se na vec kouka z manazerskeho pohledu? Nic proti tomutu pohledu, standardni reseni jsou obvykle z dlouhodobeho hlediska lepsi nez neco "prevratneho" ale neudrzovatelneho. Jen nejak nemuzu uverit tomu, ze by eBanka jela na systemu ktery drzi pohromade jen silou vule.
BTW: sifrovane SMS jsou nejaka nestandardni geekovsko-nerdovska nestandardni zalezitost, ze se na ni divate tak pohrdave?
Ale ja nechci platit lamam prachy o ktere prisly vlastni blbosti ;-) Navic treba tedka se jeste vyplati spis platit skody nez zlepsit zabezpeceni, ale to je dano malou cetnosti utoku. Ono do nich to mnohe banky neresily vubec (jen jmeno / heslo), po nich zavedli alespon nejakou minimalni bezpecnost.
Jak to RB/eB s TS zaridi je mi jedno, protoze to je jeji problem ;-) Jiste je, ze pokud TS nahradi nejakym "standardizovanym" nedochudcetem, pujdu jinam.
No, az na to, ze ty ucty byly vykradeny v dobe tesne pred zavedenim autorizacnich sms.
Tuhle paranoiu mam nejradsi ... nejvic se tim ohani ti, kteri maji na ucte 20 tisic a mysli si, ze nekdo kvuli nim bude prekonavat zrovna jejich zabezpeceni pocitace a krast prave jejich mobil, aby si prave jejich infomace dal dokupy a preved tech par jejich svestek :) Cela ta organizace a planovani zrovna kvuli nim ... no jo, dyt oni jsou pupek sveta :)
"No, a k nahrazeni TS, jen at ho eB necha a da uzivatelum pocitit vyhody uzasneho IS naprogramovaneho lidmi od kterych se RB nedala vydirat a proto odesli a ktery ted uz nikdo nelepi dohromady."
Po absolutním fiasku se snahou jedné nejmenované firmy o rozšíření standardizovaného bankovního systému tak, aby uměl alespoň to, co TS, je TS opět vážným kandidátem na systém pro sjednocenou banku. A když se jím nestane? Žádná tragédie, je to volba RB.
Nesifrovane SMSky - jak to myslite? Over the air jsou samozrejme sifrovane jako kterakoliv jina signalizace po navazani spojeni. Na vasem mobilu se zobrazi nesifrovane, to mate pravdu:)
Mne se zda naopak zabezpeceni SMSkami vic nez dostatecne. V pripade kradeze mobilu(SIM karty) musi zlodej znat i podrobnosti o vasem bankovnim uctu + heslo k nemu - hmmm, velmi nepravdepodobne. Krome toho si stejne okamzite zmenite cislo, na ktere bezpecnostni SMS chodi, jinak nemuzete sluzbu pouzivat ani vy.
Nerikam, ze uspesny utok na sifrovany prenos GSM/UMTS je nemozny, ale stoji zatracene hodne penez. Krome toho by slo o cileny utok na konkretni obet. Neni to jako hacknout server s cislama kreditnich karet a mit najednou tisice obeti. Mozna nekdo, kdo ma na ucte sta miliony by byl dustojnym cilem pro takovy utok.
Útok na GSM může být až překvapivě levný. Stačí si uvědomit, jak jsou data šifrována za první BTSkou....
Pochopitelně to pořád není cesta, jak se dostat k účtům spousty lidí, jenom varuji před přílišnou důvěru v GSM.
Kdyby Vám někdo před pár lety řekl, že budou "zloději" montovat na bankomaty montovat vlastní čtečky karet a snímače PINů, tak byste ho měl za blázna. A dnes...
…ale i přesto je odposlech SMS asi netriviální? Google je na téma „sms sniffing“ celkem lakomý. Stejně by to ale znamenalo dostat se k přihlašovacím údajům na webové rozhraní a pak se dostat do rozumné blízkosti oběti, čili cílený útok. Většina z nás má na kontě částky, které za cílený útok a z toho plynoucí riziko nestojí.
Samozřejmě. Když si vzpomenu, že mobil mi za devět let neukradli nikdy, netrpím paranoiou, že zrovna za čtrnáct dní mi ho ukradnou spolu s loginem do mBanky a to tak rychle, že si to nestačím ani zablokovat. Jen jsem chtěl uvést na pravou míru tvrzení, že SMS létají éterem šifrované. Ty normální rozhodně ne.
Nejste naiva, jste pragmatik a kopete za RB, řekl bych.
Služby eB/RB se kvalitou dost zhoršily. Na e-maily se už neodpovídá (až po urgencích), stávajících klientů se už neváží, zůstává tupá fascinace pravidly a předpisy a neschopnost překročit vlastní stín. Smutný konec druhdy skvělé banky. Mrzí mě to, TS je z pohledu mě jako zákazníka to nejlepší, co jsem kdy u které banky viděl.
Ta vaše standardnost spadá do kolonky "tupá fascinace pravidly". Tak si to standardizovaně užijte a nazdar.
Haha :) A to je takovy problem, abych jako zlodej sedl k PC, zadal klientske cislo obeti, odeslal autentizacni sms, odposlech ji a zadal do prohlizece? Tzn. do sve session?
To je tak, když je někdo chytrák a přitom problematice vůbec nerozumí...
A zrovna to heslo a PIN je u ING. vcelku dostatecnew - nikdo vam i plne znalosti hesla a pin nemuze ukrast penize. Jedine, co tim muze udelat je :
1. Zjistit, kolik tam mate penez
2. Presunout ty penize na Vas bezny ucet.
Dobry den,
mozna jsem zmasirovany nerd, ale obavam se, ze pokud eBanka svuj system zmeni smerem k mensimu zabezpeceni komunikace s uzivatelem a/nebo zmensi uzivatelsky komfort, asi nebudu prilis vahat s prechodem k jinemu ustavu.
Ja vim, tech par korun obratu je nevytrhne ...
Kalkulator nosim, sim toolkit ve sve E70 s tarifem nemam a RSA privesek nevlastnim.
Mimochodem, diskuse o bezpecnosti je VZDY nudna. Nudna prestava byt az s nejakym bezpecnostnim problemem a to je vec, kteremu se vsichni snazi predejit - a proto nudne diskutuji.
Autorizační SMS je platná pouze v session prohlížeče klienta a lze s ní potvrdit pouze tu jedinou transakci v tom přesném znění, v jakém jí klient zadal. https požadavek nelze podvrhnout, protože bez příslušných klíčů nerozšifrujete a nezašifrujete jeho obsah.
K tomu, aby to šlo zneužít, musel byste znát heslo klientského účtu, a navíc umět odposlechnout SMS.
Ale ani to by vám nebylo moc platné, protože by autorizační SMS došla i na telefon klienta, a 99% lidí by v takovém případě okamžitě kontaktovalo banku a zablokovalo účet.
Zeptam se jinak, jake je podle Vas bezpecne zabezpeceni. Podle me je to spis o mire zabezpeceni, ktera bude odpovidat zpusobene ztrate. Ad absurdum prevedeno. Pokud bych hledal ucet na ktery ulozit treba castku velikosti statniho rozpoctu, budu asi hledat velmi osobni pristup, budu chtit znat OSOBNE cloveka, ktery je ma v trezoru apod. Druhy extrem muze byt treba ucet na platby na internetu, nevim jak kdo, ale pokud na internetu utratim mesicne par tisic, tak me bude zajimat spis rychlost a cena nez to jestli je to naprosto neprustrelny ucet. Takze asi tak :)
Mezi bezpečným https a man-in-the-middle útokem totiž stojí jen jeden dialog s vysvíceným tlačítkem OK.
Takže stačí míň než si myslíte. BFU se pak diví následovně:
- co je to za blbý okno? ježiš to je dlouhý, to nebudu číst, stejnak tomu nerozumim. ták, zmáčknu OK a už sem tam.
- píp píp, proč mi ta banka posílá smsku, dyť sem eště nic nezadal, šup smazat, a je to, to jsou volové, dneska jim to ňák blbne
- ták.. teď se kouknu kolik mám peněz.. ku*a, kde jsou?
Proti tomuto typu útoku (respektive blbosti uživatele) Vás neochrání ani šiforvané SMS, ani "kalkulačka" ani nic jiného. Pokud přemějete uživatele, aby do podvržené aplikace zadal svoje heslo, milerád tam zadá i rozřifrovanou SMS nebo OTP.
SMS, OTP apod. brání proti odposlechu postranními kanály (třeba HW snímání klávesnice) ale rozhodně nezabnání man-in-the-middle sociálnímu inženýrství. Zde je řešení pouze osvěta.
Zasadni problem s SMS je v podani ceskych bank jiny... vyzaduji mobil :-) a ceske banky zpravidla neakceptuji zahranicni cisla... pro nehonzu za peci tedy eliminujici pravidla...
Tu mu ten ubohý BFU rád přeťukal do phishingového formuláře. Prohlédněte si pořádně autorizační SMS třeba z ČSOB. Ona neobsahuje 100% identifikačních znaků platby. Například pro hromadný převod obsahuje jen celkovou částku!
SMS kanál sám o sobě proti MitM nechrání. Chrání proti němu pouze v případě, že jím teče dostatek dat, aby klient mohl ověřit, že potvrzuje přesně to, co zadal.
- píp píp, proč mi ta banka posílá smsku, dyť sem eště nic nezadal, šup smazat, a je to, to jsou volové, dneska jim to ňák blbne
kde ze ji zadaval do to nejakeho phs formulare? :)))
Na to uz odpovedeli ti nerdi lepici TS. Vydirali, nedostali, sebrali se a sli. To neni duvod ke znepokojeni ?
Ja bych svuj pohled nenazval manazerskym ale pragmatickym. A ze TS muze havarovat se ukazalo nekdy v 90. letech kdy Expandia nejela asi tyden a vzhledem k poctu lidi co v Evrope rozumeji OpenVMS a v Cechach TS nebylo boha ktery by ten jejich problem vcas nasel.
Sifrovane SMS jsou odzhora dolu zbytecne, tot vse.
Takovy fraud udela jenom nekdo, kdo chce ukazat, ze to schema je spatne. Ekonomicky je to utok, ktery se nevyplati, protoze je v nem moc manualni zlodejske prace a online kriminalita je vymazlena "large scale automatizovanymi utoky".
Mno, a jaky mam jako zlodejicek business case na tom, ze prepisu za usera tu autorizacni smsku do browseru? Nebo si myslite ze ty bankovni systemy jsou tak tupe, ze neasociuji autorizacni smsku s konkretni transakci? Jiste ze ano. Pokud mi ukradete (odposlechnete) autorizacni smsku, nemate sanci s ni autorizovat jinou trx (zmenit cislo uctu, castku ...), nez tu, kterou jsem ja zadal do elektronickeho bankovnictvi.
Vzhledem k tomu, ze NEVIME jaky bude mit nova banka system, je mozne, ze se na trhu objevi desitky bank, ktere budou mit system lepsi, nez je ten "standardizovany".
V kazdem pripade otazka: Kam chcete jit neni na poradu dne. Na poradu dne bude v okamziku, kdy Reiffeisen zmeni system.
Hm vzhledem k tomu, ze alespon u CSOB se pise cilso uctu a velikost castky, tak jen vul by se nedivil. A pokud to bez vahani smaze, je to jeho chyba a nikdo mu nepomuze
Jistě, ale pokud banka posílá jednorázový autentizační kód, tak to může klidně posílat po otevřeném kanálu, protože to by útočník musel ten kód použít hned, aby ho stihnul zadat před vámi. Jestliže je pak takový kód šifrován i čtyřmístným pinem ve vašem mobilu, pak to je zabezpečení dostatečné. A je-li navíc ta SMS šifrována 3DES, jako tomu aspoň u jedné banky o které mluvím a kterou nebudu jmenovat, je, tak potom je dešifrování pro účely přístupu k účtu naprosto nesmyslné, protože po úspěšném dešifrování nebude výsledek použitelný.
A můžete mě prozradit, jak odposlechnete tu sms posílanou oprávněnému majiteli, který je třeba 100 km daleko a ta sms vůbec nepůjd přes BTS, v jejímž dosahu jste?
ING je superbezpecne, pretoze umoznuje posielat len na definovane ucty, ktore sa musia definovat papierovo. Takze aj ked by to niekto nabural akurat vam dokaze poslat peniaze z konta na Vas bezny ucet. Autorizacia SMS je omnoho lepsia ako standard GridKarty, pretoze sa jedna o OTP (one time password) autorizaciu, kod je vzdy novy a neopakuje sa. Povedal by som ze je este lepsia ako spominana autentizacna kalkulacka. Ta obsahuje dopredu vygenerovane OTP kody, ktore po zadani PIN spristupnuje, jej velkou nevyhodou je moznost rozsynchronizovania, ked generujete kody bez nasledneho pouzitia. Grid Kartu Vam keylogery dokazu odchytat policko po policku. Bezpecnejsie od SMS autentizacie je uz len digitalne podpisovanie, najlepsie pomocou cipovej karty/tokenu.
Ja jsem taky naiva. Ale nekolik hysterickych nerdu zmasirovanych propagandou eB o tom jak je nejzabezpecenejsi na svete jsem uz take potkal, nekteri z nich jsou (ex) zamestnanci.
Dalsim jejich bohem krome nejvyssiho zabezpeceni na svete je take vira ve svrchovanou technickou vyspelost TS, transakcniho systemu, in-house bankovni aplikace lepene nekolika nerdy, takto exprogramatory eB, a vrcholne rozhorceni nad tim, ze se ho RB chysta nahradit standardni bankovni aplikaci s pro bankovni aplikaci normalni technickou podporou.
Tihle lidi jsou neskodni, ale diskuse s nimi je nudna, je to furt dokola. At si dal nosi autentizacni kalkulator, SIM toolkit v trikrat zaheslovane Nokii5110 s goukartou a mohli by treba pridat jeste RSA privesek...
To je samozřejmě pravda. Ale na druhé straně, jen hlupák neprovede základní ekonomickou úvahu. Z pohledu "obránce" to je: Původní riziko, původní možná ztráta, náklad na opatření, nové riziko, nová možná ztráta. Z pohledu "útočníka" to je: Náklad na úspěšný útok, náklad na neúspěšný útok, riziko neúspěšnosti, možný výnos.
To jsem tusil ze se nekdo ozve. No jasne, teh TS r0x0rZ a ja jsem pwned lol.
Vykradli par deistek uctu lamam a ackoliv si za to ty lamy muzou samy (chytli se na phishing) tak jim prachy vratili, protoze od toho je to banka aby prachy zabezpecila - ze ;-) ?
Ano, jsem "fanatik" standardizovanych aplikaci, zejmena pokud jde o banku. A ve vsech ostatnich bankach nez je ukonceny experiment jmenem eB jsou take takovi fanatici. Podivejte, to ze je neco standardni a hlavne _udrzovatelne_, neznamena, ze se do uzivatelskeho rozhrani neda doprogramovat nejaka ta featurka pro geeky, tedy pokud jich bude dost. TS trpel tim, ze se featurka pro jednotky geeku programovala bez ohledu na to kolik to bude stat naprogramovat a kolik udrzovat.
No, a k nahrazeni TS, jen at ho eB necha a da uzivatelum pocitit vyhody uzasneho IS naprogramovaneho lidmi od kterych se RB nedala vydirat a proto odesli a ktery ted uz nikdo nelepi dohromady.
Takze : spim dal, protoze ty prachy jsou v _bance_ a zabezpeceni je jeji problem, ona se musi postarat aby ji moje prachy nedo neukrad protoze ja je budu chtit jednoho dne vybrat :-)
"Všechna zveřejněná napadení v ČR v posledních letech se vedla pomocí sociálního inženýrství. A tam vám žádný kalkulátor nepomůže."
Jakýkoliv jednorázový kódy v druhotnjech kanálech jsou i vůči sociálnímu inženýrství právě dost imunní. Ale proč podporovat banky, který si nevážej svýho klienta ani tak, aby ani za náklady 0,00 prd posílali SMSky jako bankovní?! Jestli si vy chcete nechat sr.. na hlavu od ignorantů s kravatama, je to opět, vaše věc :)
zabezpeceni heslem a loginem je dostatecne ve chvili kdy informace chranene timto zabezpecenim nemohou zpusobit primou ztratu nektere ze stran.
take se mi to nijak zvlast nelibi, ale budiz.
zminovane keylogery a jiny malware? zde placate nesmysly. je dostatek OS, ktere garantuji urcitou uroven bezpecnosti a jsou i u nas bezne na trhu, kolikrat neni treba nejak vysoka fin. castka (urcite se najde i mene nez date za OEM MS Windows ALE jiste - jakmile pouzijete OEM Windows jste presne v situaci kterou popisujete).
pravdepodobnost souhry odposlechu dvou paralelnich informacnich kanalu v casove omezenem intervalu? delate si legraci? jiste pokud po vas pujde CIA tak snad ale jinak?!
Navic se mi zda ze je tam prilis mnoho neznamych, nez aby se vyplatilo na to MASOVE a cilene utocit. to uz snadneji najdou chybu v reseni na strane banky.
Ale to je problem banky a jejiho interniho autidu, nikoli moje, coby klienta, ktery pouziva bezpecny komunikacni kanal... ano parodie na bezpecnost v podobe CS nebo mBanky mne nijak neoslovuje...
Nejraději mám lidi, co mluví o bezpečnosti a nakonec do nedávna obhajovali FAT a ještě dnes kopírují klasifikované soubory nevalidovanými berličkami nazývanými commander staženými z internetu. Myslím, že lidi vůbec nemají o bezečnosti ponětí, věří babským kecům z televize.
Zabezpečení přihlášením a heslem není stoprocentní. Ale možnost přijímání autorizačních SMS i když nešifrovaných snižuje pravděpodobnost zneužití mnohonásobně. Nic není dokonalé, kdo se bude chtít dostat do účtu tohoto dotyčného, tak se tam dostane. Jenže vzhledem k jeho komentářům bych asi nepředpokládal, že tam najdu nějaké bohatství a určitě bych s jeho účtem neztrácel čas.
Heslo a mobil se dají vždy vyměnit. Pokud dojde k prozrazení algoritmu kalkulátoru, tak je přístup jednoduchý, dokud si to majitel účtu neuvědomí. Heslo se dá změnit do minuty. Dá se ale změnit tak rychle kalkulátor? Myslím, že otázka bezpečnosti je úplný nesmysl z tohoto hlediska. Jestli se chce dotyčný cítit bezpečně, měl by si nejdřívě nechat zkontrolovat elektroinstalaci a plyn doma. Možná i brzdy a pneumatiky u auta. Nikoliv se montovat do něčeho, čemu vůbec nerozumí.