eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPSD2 mBank i pewnie nie tylko...
Ilość wypowiedzi w tym wątku: 295

  • 61. Data: 2019-08-06 13:28:53
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: "J.F." <j...@p...onet.pl>

    Dnia Tue, 6 Aug 2019 12:41:39 +0200, Wojciech Bancer napisał(a):
    > On 2019-08-06, Dominik Ałaszewski <D...@g...pl.invalid> wrote:
    > [...]
    >> A tak BTW to ja wolę, żeby mnie producent OSa (czy to mobilnego,
    >> czy to stacjonarnego) traktował jak dorosłego, świadomego
    >> swoich wyborów i ich konsekwencji, niż jak dziecko, którego
    >> trzeba pilnować, żeby sobie krzywdy nie zrobiło :-)
    >
    > Sam też naprawiasz sobie samochód, telewizor,

    Kiedys chetnie, teraz "sie nie da".

    > kładziesz kafelki?

    Jak to kolega rzekl "krzywo polozyc kafelki to i ja potrafie" :-)

    > Sam też zarządzasz własnym serwerem email?

    A widzisz ... i potem klne, ze poczta nie przychodzi, a ona gdzies w
    spamie ...

    > Banki mają podobną sytuację, bo sądy orzekają, że to banki są
    > winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę
    > by kiedykolwiek upowszechniła się autoryzacja na komputerach.

    W zasadzie to juz sie upowszechnila, teraz moze byc kwestia
    przyszlosci i powrotu :-)

    Swoja droga - na ile rozumiem, to unijna dyrektywa wymusila "silna
    autoryzacje", banki sie dostosuja ... i czy nie bedzie w sadzie
    argumentu, ze autoryzacja zgodna z unijnymi wymogami, wiec bank
    niewinny ?


    J.


  • 62. Data: 2019-08-06 14:31:52
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Dominik Ałaszewski <D...@g...pl.invalid>

    Dnia 06.08.2019 Wojciech Bancer <w...@g...com> napisał/a:

    > Sam też naprawiasz sobie samochód, telewizor, kładziesz kafelki?
    > Sam też zarządzasz własnym serwerem email?

    Ale po co sprowadzać sprawę do absurdu? Nie, telefonu sobie
    nie produkuję, systemu operacyjnego na niego też nie piszę.

    Ale jak już mam takowe, to wolę więcej funkcji (nawet
    potencjalnie niebezpiecznych, ale użytecznych) niż
    wykastrowany, ale super bezpieczny system.

    > Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej
    > po stronie "dev" niż "ops", przez co wybór urządzenia które
    > ode mnie wymaga mniejszej wiedzy jest lepszym wyborem.

    Ależ Android nie wymaga żadnej wiedzy technicznej.
    Wystarczy wiedzieć, co się akceptuje. Ładnie jest to
    opisane w wielu miejscach, np.
    https://plblog.kaspersky.com/android-8-permissions-g
    uide/9820/

    Zatem na przykład wolę mieć funkcję wyświetlania
    przez aplikację treści nad inną, dzięki czemu mam pływającą
    ikonę Yanosika na Google Maps, licząc się z tym, że malware
    może wykorzystać te uprawnienia (które user musi mu jawnie
    nadać), żeby wyświetlić treść nad aplikacją bankową i przejąć
    hasło. Wolę taką funkcję, niż jej brak.

    Co tu jest niezrozumiałe?

    > A jakbyś odpowiadał za cudze urządzenia i cudze wykorzystanie
    > szarych komórek, (np. jako administrator/manager w firmie),
    > to jakie byś wybrał? :P

    Jeden pies. MDMy są też na Androida (np. Airwatch) i można
    telefony tak pozabezpieczać, że user za przeproszeniem nie pierdnie
    bez pozwolenia ;-)

    > Banki mają podobną sytuację, bo sądy orzekają, że to banki są
    > winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę

    Sądy orzekają na podstawie prawa. A prawo stanowi, że to bank
    odpowiada za nieautoryzowaną transakcję, chyba że użytkownik
    dopuścił się _rażącego niedbalstwa_. Rażącego, czyli np.
    z premedytacją dał komuś kartę z pinem, a nie dał się nabrać
    na fiszing. Wystarczy zmienić prawo.


    --
    Dominik Ałaszewski (via raspbianowy slrn)
    "W życiu piękne są tylko chwile..." (Ryszard Riedel)
    Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
    Pisząc na priv zmień domenę na gmail.


  • 63. Data: 2019-08-06 15:14:13
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Szymon <...@w...pl> writes:

    >> Absolutnie nie należy tego zakładać.
    >> BTW zgodnie z "powszechną wiedzą", większość ataków jest dokonywanych
    >> z wewnątrz (sieci, instytucji itd).
    >
    > A nie wydaje Ci się, iż ilość ataków może się przełożyć na ich
    > skuteczność? Przy takim założeniu niewątpliwie komputer w Internecie
    > jest bardziej zagrożony niż w LAN.

    Skuteczność ataków z wewnątrz jest znacznie większa, oczywiście.
    Miałem na myśli skuteczne ataki, bo ataki w ogóle jakiekolwiek - na
    dowolny komputer w publicznej sieci - przeprowadzane są cały czas.
    --
    Krzysztof Hałasa


  • 64. Data: 2019-08-06 15:28:25
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Wojciech Bancer <w...@g...com> writes:

    > Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
    > chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
    > z oprogramowaniem.

    Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
    w szkle, tylko ze względu na liczbę powstających błędów.
    Faktem jest, stosunek liczby błędów do wielkości softu jest coraz
    korzystniejszy (co jest zasługą edukacji programistów, oraz m.in.
    automatów testujących), ale wielkość softu rośnie szybciej.

    > A i nie są istotne "wszystkie" błędy, tylko
    > błędy które można wykorzystać przez złośliwy atak. Nie wystarczy
    > "dziura w sprzęcie". Większość błędów sprzętowo-systemowych może
    > być wykorzystana jedynie "lokalnie" i przy bardzo dużej wiedzy
    > o docelowym systemie ofiary, więc są nie do wykorzystania na masową
    > skalę.

    Akurat w realiach telefonicznych, to wiedza o sprzęcie ofiary jest
    bardzo dobra. Kwestia prawdopodobieństwa * liczba użytkowników
    chociażby.

    > Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
    > na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
    > zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
    > to się to nie opłaca.

    Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota), uda mu się przez
    miesiąc okraść 200 kosób średnio na $300 (i to też są realne wartości),
    to nie wiem jak to się może nie opłacać.

    > Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
    > fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
    > bardziej zaawansowane ataki.

    Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

    > Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
    > który ten błąd odkryje (bo raczej na te odkryte to już nic nie
    > wymyślisz),

    Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
    telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

    > Pamiętaj że sam błąd nie wystarczy, musisz jeszcze mieć spełnione
    > warunki do jego wykorzystania (np. dostęp lokalny do konkretnej
    > maszyy i dużo czasu).

    Daj spokój. Dostęp lokalny do maszyny w ogóle dyskwalifikuje taką
    sytuację.
    --
    Krzysztof Hałasa


  • 65. Data: 2019-08-06 15:37:00
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    > To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za
    > problem podgrzac maske ?

    Zwłaszcza biorąc pod uwagę rozdzielczość detektorów IR.
    No bo raczej nie wstawiają tam sprzętu za $$$$ o kosmicznej
    rozdzielczości 640x480? :-)

    Nie żeby to miało pomóc, temperatury m.in. twarzy nie są stałe przecież.
    Liczba możliwości w przypadku twarzy jest, wbrew pozorom, mocno
    ograniczona, brutalne przeszukiwanie da dobre efekty. Tak jak napisałem,
    to jest zabezpieczenie klasy podobnej co PIN.

    > -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski,
    > telefonu, tylko bank bedzie myslal, ze to dobre dane,

    Z takimi scalakami jest większy problem, producenci w końcu się czegoś
    nauczyli (w N-tej interacji). Aczkolwiek ludzie wciąż trawią scalaki
    w kwasie azotowym, dotykają igłami do ścieżek (podobno miało to być
    wykrywane) itd. - ale to nie ta dziedzina.
    --
    Krzysztof Hałasa


  • 66. Data: 2019-08-06 16:29:43
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

    [...]

    >>> Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy.
    >>
    >> Skaner 3d w FaceId widzi głębię obrazu, poza tym skaner FaceId
    >> działa też w podczerwieni, a zdjęcie nie ma ciepłoty ludzkiej
    >> głowy.
    >>
    >> "The Face ID hardware consists of a sensor with three modules; one
    >
    > Ale to jakby osobne urzadzenie, czy mozna wstawic w telefon ?

    Mówimy o module wsadzonym w iPhone X oraz nowszych.

    >> projects a grid of small infrared dots onto a user's face whose
    >> name is dot projector, the other module called the flood illuminator
    >> reads the resulting pattern and generates a 3D facial map, and the
    >> third one is the infrared camera which takes an infrared picture
    >> of the user"
    >
    > To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za
    > problem podgrzac maske ?

    Żaden. Ale maska to nie zdjęcie.
    No i to tylko jeden z elementów zabezpieczeń.

    > Tylko ... skoro to podczerwien, to nawet nie zauwazy jak mu taka fotke
    > zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.

    No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :)

    >> No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne
    >> do faceid / touchid są przechowywane wyłącznie na telefonie,
    >> w specjalnym chipie.
    >
    > i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
    > telefon ?

    To są te dane z twarzy.

    > Ale nadal widze pare mozliwosci ataku:
    > -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski,
    > telefonu, tylko bank bedzie myslal, ze to dobre dane,

    iphone jest dość mocno zabezpieczony. Swego czasu było głosno o tym,
    że Apple aktualizacją zablokowało część telefonów. Okazało się, że
    wszystkie miały wymieniany ekran (a co za tym idzie przycisk touch
    id) w serwisach nieautoryzowanych.

    > -a apka z urzadzeniem jak polaczone ?

    Przez wewnętrzne SDK.

    > Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ...

    Nie masz dostępu do danych, tylko wynik autoryzacji.
    A wirusa jak chcesz zainstalować na iPhone? Bo procesu
    review nie przejdzie. :)

    Wiesz, teoretycznie to wszystko można, ale może się okazać,
    że łatwiej odstrzelić komarowi skrzydkła ze 100 metrów za pomocą
    kuli armatniej niż taką sytuację w praktyce wywołać. :)

    --
    Wojciech Bańcer
    w...@g...com


  • 67. Data: 2019-08-06 16:49:38
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

    [...]

    > Nie żeby to miało pomóc, temperatury m.in. twarzy nie są stałe przecież.
    > Liczba możliwości w przypadku twarzy jest, wbrew pozorom, mocno
    > ograniczona, brutalne przeszukiwanie da dobre efekty. Tak jak napisałem,
    > to jest zabezpieczenie klasy podobnej co PIN.

    Apple twierdzi, że to zabezpieczenie jest trudniejsze do złamania niż
    touch id i jak na razie (2 lata od wypuszczenia tego na rynek) nic
    temu nie przeczy.

    Jeden "słynny" eksperyment z maską za $150 również potwierdza jego
    skuteczność, bo tam złamanie odbyło się w warunkach laboratoryjnych,
    co przyznali sami autorzy.

    Za wiki:
    https://en.wikipedia.org/wiki/Face_ID#Issues

    "Many people have attempted to fool Face ID with sophisticated
    masks, though most have failed.[22] In November 2017, Vietnamese
    security firm Bkav announced in a blog post that it had created
    a $150 mask that successfully unlocked Face ID, but WIRED noted
    that Bkav's technique was more of a "proof-of-concept" rather
    than active exploitation risk, with the technique requiring a detailed
    measurement or digital scan of the iPhone owner's face, putting the
    real risk of danger only to targets of espionage and world leaders"

    --
    Wojciech Bańcer
    w...@g...com


  • 68. Data: 2019-08-06 17:14:05
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

    >> Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
    >> chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
    >> z oprogramowaniem.
    >
    > Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
    > w szkle, tylko ze względu na liczbę powstających błędów.

    Ale mówiłeś o tym że się tego "nie da załatać".
    Oprogramowanie da się załatać i jest łatane.

    >> Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
    >> na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
    >> zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
    >> to się to nie opłaca.
    >
    > Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota),

    Nierealna kwota. Tyle zarabia przeciętny dev na legalu,
    a Ty chcesz specjalistę z wiedzą niskopoziomową o systemie.
    Dodaj zero na końcu.

    > uda mu się przez miesiąc okraść 200 kosób średnio na $300
    > (i to też są realne wartości), to nie wiem jak to się może
    > nie opłacać.

    No to się nie zgadzamy co do kwot.

    >> Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
    >> fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
    >> bardziej zaawansowane ataki.
    >
    > Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

    Jasne. Tylko oni moga legalnie zarobić więcej niż podałeś wyżej.

    Jak pisałem: o ile nie są to służby wywiadowcze, szpiegostwo lub
    atak personalizowany na jakiegoś milionera, to takie eksploity
    pozostają poza zasięgiem cenowym przeciętnych grup przestępczych.

    >> Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
    >> który ten błąd odkryje (bo raczej na te odkryte to już nic nie
    >> wymyślisz),
    >
    > Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
    > telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

    Na Androidzie na pewno. Na iPhone iOS12 był w lutym na ponad 80% urządzeniach.
    https://www.cultofmac.com/608798/ios-12-adoption-80-
    percent/

    A iOS 10 (ostatnia wersja 10.3.4 wyszła 22.07.2019) i 11 też jest aktualizowany
    w zakresie security. Tego rodzaju małe poprawki się instalują najczęściej same,
    jak podłączasz telefon do ładownia (często nie wymagają nawet
    restartu).

    --
    Wojciech Bańcer
    w...@g...com


  • 69. Data: 2019-08-06 17:22:26
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-06, Dominik Ałaszewski <D...@g...pl.invalid> wrote:

    [...]

    > Ale jak już mam takowe, to wolę więcej funkcji (nawet
    > potencjalnie niebezpiecznych, ale użytecznych) niż
    > wykastrowany, ale super bezpieczny system.

    Tuż gdzieś obok było podane info, że tylko 5% użytkowników
    wie co robi. :)

    >> Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej
    >> po stronie "dev" niż "ops", przez co wybór urządzenia które
    >> ode mnie wymaga mniejszej wiedzy jest lepszym wyborem.
    >
    > Ależ Android nie wymaga żadnej wiedzy technicznej.
    > Wystarczy wiedzieć, co się akceptuje. Ładnie jest to
    > opisane w wielu miejscach, np.
    > https://plblog.kaspersky.com/android-8-permissions-g
    uide/9820/

    To nie jest wiedza z gatunku "wystarczy".
    Telefon to nie jest urzędzenia dla specjalistów, którzy
    sobie będą szukać po necie sposobów na jego zabezpieczenie.

    > Zatem na przykład wolę mieć funkcję wyświetlania
    > przez aplikację treści nad inną, dzięki czemu mam pływającą
    > ikonę Yanosika na Google Maps, licząc się z tym, że malware
    > może wykorzystać te uprawnienia (które user musi mu jawnie
    > nadać), żeby wyświetlić treść nad aplikacją bankową i przejąć
    > hasło. Wolę taką funkcję, niż jej brak.
    >
    > Co tu jest niezrozumiałe?

    Nic, ale po co to mówisz? Dorosły jesteś, masz zdolność do czynności
    prawnyc i używaj czego chcesz. Tylko zauważam, że takich "myślących
    że wiedzą" jest więcej niż realnie coś wiedzących.

    >> Banki mają podobną sytuację, bo sądy orzekają, że to banki są
    >> winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę
    >
    > Sądy orzekają na podstawie prawa. A prawo stanowi, że to bank
    > odpowiada za nieautoryzowaną transakcję, chyba że użytkownik
    > dopuścił się _rażącego niedbalstwa_. Rażącego, czyli np.
    > z premedytacją dał komuś kartę z pinem, a nie dał się nabrać
    > na fiszing. Wystarczy zmienić prawo.

    Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy
    najlepiej zmienić prawo tak by użytkownik był wszystko-wiedzącą,
    za-wszystko-odpowiedzialną istotą? No jakaś myśl to jest. :-)

    --
    Wojciech Bańcer
    w...@g...com


  • 70. Data: 2019-08-06 17:23:46
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Wojciech Bancer <w...@g...com>

    On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

    [...]

    > Swoja droga - na ile rozumiem, to unijna dyrektywa wymusila "silna
    > autoryzacje", banki sie dostosuja ... i czy nie bedzie w sadzie
    > argumentu, ze autoryzacja zgodna z unijnymi wymogami, wiec bank
    > niewinny ?

    No w sumie ciekawe. Zobaczymy pierwsze rozstrzygnięcia. :)

    --
    Wojciech Bańcer
    w...@g...com

strony : 1 ... 6 . [ 7 ] . 8 ... 20 ... 30


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1