Re: PSD2 mBank i pewnie nie tylko... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › PSD2 mBank i pewnie nie tylko... › Re: PSD2 mBank i pewnie nie tylko...

Data: 2019-08-06 17:14:05
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Wojciech Bancer <w...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

>> Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
>> chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
>> z oprogramowaniem.
>
> Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
> w szkle, tylko ze względu na liczbę powstających błędów.

Ale mówiłeś o tym że się tego "nie da załatać".
Oprogramowanie da się załatać i jest łatane.

>> Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
>> na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
>> zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
>> to się to nie opłaca.
>
> Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota),

Nierealna kwota. Tyle zarabia przeciętny dev na legalu,
a Ty chcesz specjalistę z wiedzą niskopoziomową o systemie.
Dodaj zero na końcu.

> uda mu się przez miesiąc okraść 200 kosób średnio na $300
> (i to też są realne wartości), to nie wiem jak to się może
> nie opłacać.

No to się nie zgadzamy co do kwot.

>> Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
>> fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
>> bardziej zaawansowane ataki.
>
> Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

Jasne. Tylko oni moga legalnie zarobić więcej niż podałeś wyżej.

Jak pisałem: o ile nie są to służby wywiadowcze, szpiegostwo lub
atak personalizowany na jakiegoś milionera, to takie eksploity
pozostają poza zasięgiem cenowym przeciętnych grup przestępczych.

>> Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
>> który ten błąd odkryje (bo raczej na te odkryte to już nic nie
>> wymyślisz),
>
> Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
> telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

Na Androidzie na pewno. Na iPhone iOS12 był w lutym na ponad 80% urządzeniach.
https://www.cultofmac.com/608798/ios-12-adoption-80-
percent/

A iOS 10 (ostatnia wersja 10.3.4 wyszła 22.07.2019) i 11 też jest aktualizowany
w zakresie security. Tego rodzaju małe poprawki się instalują najczęściej same,
jak podłączasz telefon do ładownia (często nie wymagają nawet
restartu).

--
Wojciech Bańcer
w...@g...com