On 2020-12-13, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Wtedy aplikacja stanowi dodatkową warstwę zabezpieczenia,
>> a SMS nie.
>
> Owszem, ale w przypadku SMS w dalszym ciągu mamy 2 różne kanały
> (urządzenia), które trzeba oddzielnie przejąć.
>
> W przypadku aplikacji wystarczy przejąć jedno urządzenie.

Wg mnie o wiele łatwiej jest przejąć (nawet dwa) urządzenia zdalnie,
niż jedno fizyczne.

Bo co do przejęcia apki zdalnie np. na iOS, to uważam że to jest
o wiele mniej prawdopodobne niż opcja sklonowania karty.
/sprawdzić czy nie pegasus

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 14.12.2020 o 13:30, Alf/red/ pisze:
> W dniu 14.12.2020 o 11:01, _Master_ pisze:
>> Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do
>> transakcji i potwierdzania.
>
> Teoretycznie masz rację, ale powiedz mi proszę... czemu takie przypadki
> https://zaufanatrzeciastrona.pl/post/jak-zone-naszeg
o-czytelnika-wredni-zlodzieje-na-550701-pln-okradli/
> (data: 10.12.2020)
> trafiają się na pęczki, a analogicznych doniesień dla apki jakoś nie widać?
>

Bo 99% klientów banku używa sms?

Przecież w opisanej sytuacji pani została podpuszczona, żeby autoryzować
podpięcie karty do paypalowego konta złodzieja. 100% socjotechniki,
żadne łamanie technicznych zabezpieczeń. Gdyby miała zatwierdzanie apką,
to też by zatwierdziła pod dyktando złodzieja. Znowu nie widzę różnicy.

MJ
PS. Aktywowałem sobie w apce citka "token pin", czy jak oni to nazywają.
Trzy kolejne transakcje kartą od tego momentu poprosiły o
1. kod sms
2. ten pin
3. kod sms
Obłęd jakiś.

do góry

W dniu 2020-12-14 o 14:02, Michal Jankowski pisze:
>
> Bo 99% klientów banku używa sms?
>
> Przecież w opisanej sytuacji pani została podpuszczona, żeby autoryzować
> podpięcie karty do paypalowego konta złodzieja. 100% socjotechniki,
> żadne łamanie technicznych zabezpieczeń. Gdyby miała zatwierdzanie apką,
> to też by zatwierdziła pod dyktando złodzieja. Znowu nie widzę różnicy.

Dokładnie

Zejdźmy na ziemię nie. Teoria teorią.

A jak się apki spopularyzują ;-) to dopiero będzie lamentów że "sobie
kliknęłam coś, się pobrało i ni mam pinindzy... ;-)

do góry

W dniu 2020-12-14 o 13:44, Wojciech Bancer pisze:
> No ale w takich sytuacjach apka JEST oddzielnym kanałem.

Apka leży w jednym KANALE ŚCIEKOWYM nazywającym się ANDROID którego
obsługuje GIMBAZJALISTA.

To nie może się udać ;-)

do góry

On Monday, December 14, 2020 at 10:56:22 AM UTC+1, _Master_ wrote:
> Jestem NORMALNY i zauważyłem wygodę użytkownika.
>
> Nie interesują mnie "fokusy" propagandowe.
> Ćwierć wieku używam komputerów.

No, to dorównujesz mojej córce, która wkrotce osiągnie trzdziestkę.
Nic dziwnego, że zdarza Ci się napisać coś, jak noob :-P

witrak()

do góry

On Monday, December 14, 2020 at 1:30:49 PM UTC+1, Alf/red/ wrote:
> W dniu 14.12.2020 o 11:01, _Master_ pisze:
> > Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do
> > transakcji i potwierdzania.
> Teoretycznie masz rację, ale powiedz mi proszę... czemu takie przypadki
> https://zaufanatrzeciastrona.pl/post/jak-zone-naszeg
o-czytelnika-wredni-zlodzieje-na-550701-pln-okradli/
> (data: 10.12.2020)
> trafiają się na pęczki, a analogicznych doniesień dla apki jakoś nie widać?

Nie widać, bo normalni złodzieje myślą logicznie i szukają najmniej kłopotliwych i
najpewniejszych - dla siebie - technik. Dopóki operatorzy nie uzgodnią procedur
weryfikacji użytkownika przy wymianie karty SIM (teraz żaden nie wprowadzi bardziej
restrykcyjnej, bo to się źle przekłada na liczbę klientów - paradoks, ale podobno tak
jest), to zawsze będzie łatwiej dobrać się do konta z potwierdzaniem SMS. Zatem
działają prawa statystyki.
A co do bezpieczeństwa samej apki, to w ogóle nie warto tego dyskutować, bo liczy się
łączny poziom zabezpieczeń.
Zatem na przykład w N26, które wymusza logowanie w ST i jednocześnie logowanie do
apki TYM SAMYM hasłem (aby potwierdzić dostęp do ST w apce!), jest mniej bezpiecznie,
niż gdyby do apki było inne hasło (czy PIN), jak to jest w większości banków.
Więc wszelkie uogólnianie można o kant d4 rozbić.

>
> PS komputerów używam od 35 lat, i co teraz?

witrak()
PS. Komputerów używam od 48 lat i co z tego?

do góry

W dniu 14.12.2020 o 15:22, witrak() pisze:
> A co do bezpieczeństwa samej apki, to w ogóle nie warto tego dyskutować, bo liczy
się łączny poziom zabezpieczeń.
> Zatem na przykład w N26, które wymusza logowanie w ST i jednocześnie logowanie do
apki TYM SAMYM hasłem (aby potwierdzić dostęp do ST w apce!), jest mniej bezpiecznie,
niż gdyby do apki było inne hasło (czy PIN), jak to jest w większości banków.
> Więc wszelkie uogólnianie można o kant d4 rozbić.

O, o, w rzeczonym citku też jest to samo hasło do apki i do www. No,
teraz jeszcze ten 'token pin', ale też się na pewno da nadać nowy...

MJ

do góry

W dniu 2020-12-14 o 13:48, Wojciech Bancer pisze:
> Bo co do przejęcia apki zdalnie np. na iOS

I znowu zejdźmy na ziemię

do góry

W dniu 2020-12-14 o 15:01, witrak() pisze:
No, to dorównujesz mojej córce, która wkrotce osiągnie trzdziestkę.
> Nic dziwnego, że zdarza Ci się napisać coś, jak noob :-P

Tylko że ja wcześniej zostałem wychowany bez tego BADZIEWIA i potrafię
spojrzeć TRZEŹWO i dostrzegam niebezpieczeństwa których wyprane mózgi
nie dostrzegą.

do góry

Wojciech Bancer <w...@g...com> writes:

> Wg mnie o wiele łatwiej jest przejąć (nawet dwa) urządzenia zdalnie,
> niż jedno fizyczne.

Nie pisałem, rzecz jasna, o przejmowaniu (tylko) fizycznym.
Przecież wystarczy zdalnie przejąć telefon. Kwestia roota to mniejszy
problem, kiedyś praktycznie wszystkie telefony rootowało się w taki
sposób (i w dalszym ciągu tak się postępuje z różnymi innymi
urządzeniami).

> Bo co do przejęcia apki zdalnie np. na iOS, to uważam że to jest
> o wiele mniej prawdopodobne niż opcja sklonowania karty.

Obawiam się że słowami kluczowymi są tu "uważam że".
Oba ataki mają swoją specyfikę, poza tym nikt nie powiedział że przejąć
trzeba apkę bankową. No chyba że wierzysz w niełamalne systemy, ja
z wiarą - w szczególności tego typu - nie dyskutuję.

Pamiętaj, że samo sklonowanie karty nie wystarczy. Ale samo przejęcie
telefonu - owszem.

> /sprawdzić czy nie pegasus

Pegasus tu dokładnie nic nie zmienia - przecież to, co może zrobić
Pegasus, może zrobić wiele osób w różnych celach. Pegasus to tylko
automatyzuje.
--
Krzysztof Hałasa

do góry