Re: PSD2 mBank i pewnie nie tylko... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › PSD2 mBank i pewnie nie tylko... › Re: PSD2 mBank i pewnie nie tylko...

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!goblin1!goblin.
stu.neva.ru!newsfeed.neostrada.pl!unt-exc-01.news.neostrada.pl!unt-spo-b-01.new
s.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
Newsgroups: pl.biznes.banki
From: Wojciech Bancer <w...@g...com>
Subject: Re: PSD2 mBank i pewnie nie tylko...
References: <5d3ef4e4$0$500$65785112@news.neostrada.pl>
<1i0qecnezy9fs$.11c22ha63epml$.dlg@40tude.net>
<s...@p...org>
<1imnhcquzcrbm$.1h35x2abrxg2e.dlg@40tude.net>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
Organization: None
Date: Tue, 6 Aug 2019 17:14:05 +0200
User-Agent: slrn/1.0.3 (Darwin)
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
Message-ID: <s...@p...org>
Lines: 59
NNTP-Posting-Host: 46.227.242.29
X-Trace: 1565104445 unt-rea-a-02.news.neostrada.pl 543 46.227.242.29:58442
X-Complaints-To: a...@n...neostrada.pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:644722
[ ukryj nagłówki ]
On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

>> Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
>> chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
>> z oprogramowaniem.
>
> Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
> w szkle, tylko ze względu na liczbę powstających błędów.

Ale mówiłeś o tym że się tego "nie da załatać".
Oprogramowanie da się załatać i jest łatane.

>> Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
>> na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
>> zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
>> to się to nie opłaca.
>
> Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota),

Nierealna kwota. Tyle zarabia przeciętny dev na legalu,
a Ty chcesz specjalistę z wiedzą niskopoziomową o systemie.
Dodaj zero na końcu.

> uda mu się przez miesiąc okraść 200 kosób średnio na $300
> (i to też są realne wartości), to nie wiem jak to się może
> nie opłacać.

No to się nie zgadzamy co do kwot.

>> Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
>> fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
>> bardziej zaawansowane ataki.
>
> Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

Jasne. Tylko oni moga legalnie zarobić więcej niż podałeś wyżej.

Jak pisałem: o ile nie są to służby wywiadowcze, szpiegostwo lub
atak personalizowany na jakiegoś milionera, to takie eksploity
pozostają poza zasięgiem cenowym przeciętnych grup przestępczych.

>> Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
>> który ten błąd odkryje (bo raczej na te odkryte to już nic nie
>> wymyślisz),
>
> Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
> telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

Na Androidzie na pewno. Na iPhone iOS12 był w lutym na ponad 80% urządzeniach.
https://www.cultofmac.com/608798/ios-12-adoption-80-
percent/

A iOS 10 (ostatnia wersja 10.3.4 wyszła 22.07.2019) i 11 też jest aktualizowany
w zakresie security. Tego rodzaju małe poprawki się instalują najczęściej same,
jak podłączasz telefon do ładownia (często nie wymagają nawet
restartu).

--
Wojciech Bańcer
w...@g...com