Wojciech Bancer <w...@g...com> writes:

> O właśnie. To wytłumacz jak dla kogoś kto legalnie może zarobić
> bez większych trudów, w miesiąc 40-70 tys. zł (w przeliczeniu)
> miałoby się opłacać przejmowanie urządzeń u gości którzy mają
> po 2-3, może 5k pln na koncie.

Doniesienia "portalowe" mówiły chyba o setkach tysięcy zł?

Chętnie poznałbym też kalkulację owych 40-70 tys. zł. Zwłaszcza taką,
która dotyczy *wszystkich* ludzi zdolnych do prowadzenia takich działań.
--
Krzysztof Hałasa

do góry

On Wednesday, December 16, 2020 at 5:56:15 PM UTC+1, Imka wrote:
> Dnia Wed, 16 Dec 2020 03:49:08 -0800 (PST), witrak() napisał(a):
>
> >>> Jestem NORMALNY i zauważyłem wygodę użytkownika.
> >>>
> >>> Nie interesują mnie "fokusy" propagandowe.
> >>> Ćwierć wieku używam komputerów.
> >> Aż się człowiekowi łezka w oku zakręciła jak się zacząłem zastanawiać od
> >> kiedy używam komputerów (pisanie czegoś na Odrę nie nazywam używaniem bo
> >> nie brałem jej do domu).
> >
> > W zasadzie tak, ale niektórzy spędzali całe dnie a często i nocki przy Odrze...
> Admina Odry raz obudziłam przychodząc do pracy na siódmą. Pościelił
> sobie śpiwór koło maszyny...

Odra (1304) chodziła 24/7. Jeden z operatorów (już dawno śp) znany był z tego, że na
sali rozkładał sobie pudełka z kartami i przykrywał się gazetami, przedtem
zapuszczając jakiś program fizyków (oni zwykle mieli czasy wykonania rzędu tygodni,
więc i tak zawsze to szło z dumpu na taśmie na kolejny dump na taśmę).

> >
> >> [...]
> >> Wychodzi mi 85.
> >> To wcale nie tak dużo więcej, a myślałem, że to prawie 'od zawsze' :)
> >
> > I dobrze myślałeś, bo to jest prawie od zawsze - jak policzysz, że to prawie dwa
pokolenia...
> To ja też dołączę do grona 'weteranów' ;-P
> Jak za którymś razem trafiłam do medycyny pracy, to usłyszałam że to
> niemożliwe żebym przy kompach pracowała od 1984, bo w specjalnej tabelce
> z wytycznymi od kiedy można liczyć pracownikowi pracę "z komputerem"
> pani doktor miała jakiś późniejszy rok (89? 90? już nie pamiętam).
>
> Odra już tu lata, a Seechecka ktoś pamięta? :D

Seechecka nie widziałem, ale widziałem ICL-owską alternatywę - nie mogę sobie
przypomnieć jak się to nazywało Key-cośtam chyba - w Zjednoczeniu Przemysłu
Okrętowego w Trójmieście (specjalnie delegację wzięlismy :-) ).
A potem PDP-11, pierwszy monitor ekranowy, na którym sam oprogramowałem edytor TECO
do pracy w trybie WYSIWYG...
Jakim skokiem było przejście na dyskietki i stację PSPD-90 a potem MK-45 z KFAP!
A potem już PC-ty i lawina możliwości...

Czy ktoś pamięta jak DECnet był wykorzystywany do komunikacji w stanie wojennym? W
Warszawie poznałem takich, którzy to robili, wspaniali ludzie.

witrak()

do góry

On Wednesday, December 16, 2020 at 7:18:49 PM UTC+1, Krzysztof Halasa wrote:
...
> Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
> żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
> obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
> bezbronna.
>
> Widziałem sporo ataków, których przeprowadzenie było dość trudne
> i wymagało wiedzy. A jednak one miały miejsce.

A w ogóle to ciekawy jest przebieg ewolucji metod zabezpieczania internetowych
transakcji bankowych.
~2000 - token sprzętowy (VASCO - z klawiaturą)
2003-5 - zdrapki, tokeny sprzętowe (bez klawiatury - "zegarki")
A potem już z górki - tokeny na telefon (pamiętam, jak Eurobank nie mógł sobie
poradzić ze swoim bo mu na część telefonów nie chodził - mnie dali w zamian darmowy
"zegarek"); wreszcie aplikacje.
I rzeczywiście, wygląda na to, że głównym czynnikiem napędzającym była wygoda banków,
a na pewno nie bezpieczeństwo jako takie (banków czy klientów).
Natomiast nie jestem przekonany, czy zasadniczy wpływ miała tu wygoda klientów.
Owszem, to mogło mieć znaczenie, ale raczej jako chwyt marketingowy; dopiero ostatnie
lata (dyrektywy unijne, w tym ograniczenia hermetyczności systemów bankowych)
zmieniły sytuację.

A co do ataków - trudnych lub nie - w dobie przemysłowej produkcji malware'u,
botnetów do wynajęcia i usług hakerskich na zlecenie, to nie wydaje się, aby
umiejętności pojedynczych osób miały tu zasadnicze znaczenie. Zawsze da się kogoś
wynająć, kto zrobi to, czego nie umie "mózg".

witrak()

do góry

On 2020-12-16, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> O właśnie. To wytłumacz jak dla kogoś kto legalnie może zarobić
>> bez większych trudów, w miesiąc 40-70 tys. zł (w przeliczeniu)
>> miałoby się opłacać przejmowanie urządzeń u gości którzy mają
>> po 2-3, może 5k pln na koncie.
>
> Doniesienia "portalowe" mówiły chyba o setkach tysięcy zł?

Nie kojarzę żadnych doniesień medialnych o przejętych telefonach.
Podrzucisz?

> Chętnie poznałbym też kalkulację owych 40-70 tys. zł. Zwłaszcza taką,
> która dotyczy *wszystkich* ludzi zdolnych do prowadzenia takich działań.

Jasne. Tyle (miesięcznie) zarabia specjaliza z wiedzą, który byłby w stanie
coś takiego ogarnąć.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-16, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> 1. Aplikacja wymaga odrębnego kodu.
> To bez znaczenia w obliczu przejęcia kontroli nad systemem.

Oczywiście że ma to znaczenie.
To że przejmiesz dostęp do systemu, to jeszcze nie oznacza że
jesteś w stanie wywołać wszystko magicznie.

>> 2. Wiedza potrzebna do takiego przejęcia wyklucza większość (jakieś 99%)
>> z naszego społeczeństwa jako "target" takiego ataku.
>
> Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
> oczywiście tak.

Na takiej, że to się nie opłaca.

>> No więc wektor ataku "przejmujemy telefon" się nie zdarza, a
>> przynajmniej nie istnieje w statystykach. To naprawdę nie jest takie
>> proste.
>
> Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
> żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
> obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
> bezbronna.
>
> Widziałem sporo ataków, których przeprowadzenie było dość trudne
> i wymagało wiedzy. A jednak one miały miejsce.

No ale idea polega na tym, żeby uczynić to mało opłacalnym
lub nieopłacalnym. Socjotechnikę i podmianki www opłaca się stosować
bo "a może ktoś się złapie". Włam na telefon już niespecjalnie, trzeba
starannie profilować ofiarę i dużo więcej o niej wiedzieć.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-16, witrak() <w...@h...com> wrote:

[...]

> A co do ataków - trudnych lub nie - w dobie przemysłowej produkcji
> malware'u, botnetów do wynajęcia i usług hakerskich na zlecenie, to
> nie wydaje się, aby umiejętności pojedynczych osób miały tu zasadnicze
> znaczenie. Zawsze da się kogoś wynająć, kto zrobi to, czego nie umie
> "mózg".

Można zapłącić komuś 100k USD i "w nagrodę" wyciągnąć komuś z konta
np. 2 tys zł. ALbo i 20 tys. Można? Można. Opłaca się? No nie. O tym
cały czas piszę. Socjotechnikę się opłaca stosować masowo bo jest
tania i nie wymaga aż tak indywidualnego podejscia.

Włamów na telefon w ten sposób nie zorganizujesz.

Skąd wyobrażenie, że usługi hackerskie są takie tanie, skoro cały
szereg specjalistów na rynku zarabia krocie *legalnie*? Przecież
takiego włamu nie przeprowadzi misiek klepiący wordpressy za 5k/m-c.

--
Wojciech Bańcer
w...@g...com

do góry

A jak to się ma do bezpieczeństwa pieniędzy w banku i sum które można
ukraść?

Piaskownica Cię WZYWA ;-)

do góry

W dniu 2020-12-16 o 12:43, witrak() pisze:
> Jeżeli jedna osoba mówi ci, żeś pijany....:-P

Miliony much nie mogą się mylić ;-)

do góry

Dobrowolnie zrobi przelew ale nie przyjdzie do potwierdzenia SMS i coś
go zastanowi DLACZEGO ;-)

do góry

On 2020-12-16, _Master_ <M...@...pl> wrote:
> A jak to się ma do bezpieczeństwa pieniędzy w banku i sum które można
> ukraść?

No statystycznie ma dużo. Skupiasz się na tym co ma ogół, zamiast
skupić się na tym co ma ta część społeczeństwa która ma realnie
hajs.

--
Wojciech Bańcer
w...@g...com

do góry