Re: PSD2 mBank i pewnie nie tylko... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › PSD2 mBank i pewnie nie tylko... › Re: PSD2 mBank i pewnie nie tylko...

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!feeder.erje.net
!2.eu.feeder.erje.net!news.uzoreto.com!newsreader4.netcologne.de!news.netcologn
e.de!peer03.ams1!peer.ams1.xlned.com!news.xlned.com!peer02.fr7!futter-mich.high
winds-media.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-02.news.
neostrada.pl!unt-spo-a-02.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-ma
il
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: PSD2 mBank i pewnie nie tylko...
References: <5d3ef4e4$0$500$65785112@news.neostrada.pl>
<1i0qecnezy9fs$.11c22ha63epml$.dlg@40tude.net>
<s...@p...org>
<1imnhcquzcrbm$.1h35x2abrxg2e.dlg@40tude.net>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org>
Date: Tue, 06 Aug 2019 15:28:25 +0200
Message-ID: <m...@p...waw.pl>
Cancel-Lock: sha1:QYIYqlxASfnnlWpo7tL68O7WR2g=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 53
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 195.187.100.13
X-Trace: 1565098107 unt-rea-a-02.news.neostrada.pl 536 195.187.100.13:5160
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 3794
X-Received-Body-CRC: 461316620
Xref: news-archive.icm.edu.pl pl.biznes.banki:644714
[ ukryj nagłówki ]
Wojciech Bancer <w...@g...com> writes:

> Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
> chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
> z oprogramowaniem.

Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
w szkle, tylko ze względu na liczbę powstających błędów.
Faktem jest, stosunek liczby błędów do wielkości softu jest coraz
korzystniejszy (co jest zasługą edukacji programistów, oraz m.in.
automatów testujących), ale wielkość softu rośnie szybciej.

> A i nie są istotne "wszystkie" błędy, tylko
> błędy które można wykorzystać przez złośliwy atak. Nie wystarczy
> "dziura w sprzęcie". Większość błędów sprzętowo-systemowych może
> być wykorzystana jedynie "lokalnie" i przy bardzo dużej wiedzy
> o docelowym systemie ofiary, więc są nie do wykorzystania na masową
> skalę.

Akurat w realiach telefonicznych, to wiedza o sprzęcie ofiary jest
bardzo dobra. Kwestia prawdopodobieństwa * liczba użytkowników
chociażby.

> Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
> na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
> zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
> to się to nie opłaca.

Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota), uda mu się przez
miesiąc okraść 200 kosób średnio na $300 (i to też są realne wartości),
to nie wiem jak to się może nie opłacać.

> Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
> fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
> bardziej zaawansowane ataki.

Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

> Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
> który ten błąd odkryje (bo raczej na te odkryte to już nic nie
> wymyślisz),

Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

> Pamiętaj że sam błąd nie wystarczy, musisz jeszcze mieć spełnione
> warunki do jego wykorzystania (np. dostęp lokalny do konkretnej
> maszyy i dużo czasu).

Daj spokój. Dostęp lokalny do maszyny w ogóle dyskwalifikuje taką
sytuację.
--
Krzysztof Hałasa