Wojciech Bancer <w...@g...com> writes:

> Jasne. Ale prawda jest też taka, że na bieżąco aktualizowane urządzenia
> na których mamy zainstalowane zweryfikowane aplikacje są podatne
> praktycznie jedynie na ataki specjalistów zarabiających miliony monet.

Lepiej jest używać urządzenia aktualizowanego na bieżąco, to prawda.
Nie daje to 100% gwarancji, ale jest lepsze niż używanie starego
systemu, do którego skończyły się aktualizacje.
Natomiast raz na jakiś czas wykrywane są dziury, które (aż zostaną
załatane) mogą być zdalnie wykorzystane przez osoby z bardziej
powszechnymi umiejętnościami. Ale nie to jest głównym problemem.

Problem leży w starszych urządzeniach (ze starszymi systemami). Te są
często podatne na znane od dawna ataki. Nie wiem jak to wygląda
w przypadku iphonów, bo trzymam się od tej firmy z daleka, ale starsze
androidowe telefony i tablety oraz np. pecety z Windows 7 to jest
powszechne zjawisko. I receptą nie jest wywalenie ich wszystkich.

Oczywiście głównym problemem dla włamywacza jest uzyskanie dostępu do
urządzenia, jeśli już ten dostęp uzyska, to uzyskanie praw roota jest
łatwiejsze.

> Złodziejom pozostaje więc socjotechnika i takie przymilenie się do
> użytkownika, żeby sam sobie pobrał i zainstalował złośliwe
> oprogramowanie.

To jest trudne. Łatwiej np. dodać jakąś dziurę do (niby) zwykłego softu,
albo np. podmienić pakiet instalacyjny jakiegoś istniejącego
oprogramowania (Windows).

>> Receptą na ten problem jest redundancja (np. zabezpieczeń), a nie zmiana
>> urządzenia.
>
> Przy socjotechnice? Absolutnie nie.

Owszem także tak. Są różne poziomy działań, na które można namówić
usera.

Aczkolwiek dla ludzi, którzy mają konto na np. gmailu, i gdy tylko widzą
- gdziekolwiek - napis "zaloguj się", to natychmiast podają tam swój
gmailowy login i hasło, to ja nie widzę łatwego rozwiązania.

> Tu pomoże jedynie wiedza nt. użytkowania urządzenia, mózg, ostrożność,
> a w ostateczności ew. jakieś algorytmy sztucznej inteligencji (po
> stronie banku) wykrywające nietypowe zachowanie po stronie
> użytkownika.

Sztucznej inteligencji albo inne, to oczywiście może czasem pomóc.
Faktem jest, że każde urządzenie i w ogóle każde rozwiązanie wymaga
jakichś umiejętności i myślenia. O komputerach i Internecie ludzie
często mają odmienne zdanie.

Druga sprawa - nigdy nie ma gwarancji, nawet specjaliści od takich
zagadnień mogą mieć np. gorszy dzień i popełnić tego typu błąd.
Redundancja bardzo mocno zmniejsza szanse na taki scenariusz.
--
Krzysztof Hałasa