W dniu wtorek, 12 lutego 2019 13:45:00 UTC-6 użytkownik J.F. napisał:
> Użytkownik sczygiel napisał w wiadomości grup
> dyskusyjnych:f91fef5a-6a56-4f89-a844-67421eb26de4@go
oglegroups.com...
> W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J.F.
> napisał:
> > Użytkownik sczygiel napisał w wiadomości grup
> > >Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
> > >bylo bezpieczniej.
> > >A nalezy kupic druga karte sim, tylko do sms i danych. I prosty
> > >fon.
> > >Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
> > >bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
> > >nawyki.
> > >Bedzie bezpiecznie.
> >
> >> >> A jesli masz ... po co token, skoro sms sa calkowicie
> >> >> bezpieczne.
> >> >Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
> >> >jest szansa ze tokena z fona nie wyjmie.
> >
> >> A jak jest spec i sie zna ? :-)
> >>
>
> >Ale mala. Masowo klientow mbanku nie skroi na kase.
> >A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki
> >wezma jak ofiara po pigulce gwaltu lezy obok, a fona odblokuja jej
> >palcem i sms przepisza.
>
> Ale token powinen byc odblokowywany pinem, a nie palcem.
>
No toc napisalem ze podpatrza pina.
A palec to do odblokowania fona. A jak fon sie odblokowuje twarza to delikwent jest
na miejscu. Tylko spi. A jak odblokowac trzeba z otwartymi oczami to wydrukuja i
wytna takie z papieru.

Takie te zabezpieczenia sa dobre...

> >Albo nawet nie tyle musza. Starczy robic to co cocomo.
> >My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.
>
> mbank idzie do przodu - teraz zamierza wykorzystac ... nie wiadomo co
>
> https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
>
> Ciekawe, czy wystarczyloby na cocomo :-)
>

Mysle ze nie. Kiedys mi zablokowali konto i nie powiedzieli czemu. Stwierdzili ze mam
wirusa. Nie mialem. Taka standardowa gadka helplinii. Od tego czasu ten sam komputer
dzialal dobrze i nic z konta nie zniklo.

Ale cos tam pewnie maja bo zanim mi zablokowalo mialem problemy z siecia i chyba
odswierzalem strone. Moze ichni system zakwalifikowal to jako nienormalne
zachowanie...

> >> >> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
> >> >Co moim zdaniem jest tak durne ze az nie do uwierzenia.
> >> >Bo z zalozenia smartfon jest niezaufany.
> >> Smartfon nie, ale apka bankowa ... byc moze tak.
> >
>
> >Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny
> >(nie zrootowany, nie mam kontroli co gdzie sie laczy, jakie pliki
> >otwiera itp.) to calosc jest niewarta zaufania.
>
> Ale to apka ma sprawdzic, czy sie z wlasciwym serwerem laczy.
>

Ale jak apka jest shackowana to niech se sprawdza co chce. Hacker uzytkownikowi
pokaze obrazek z symulowana apka a pod spodem "obklika" prawdziwa. User widzi przelew
do zony a apka wykona do zlodzieja...

> >I tak na koniec:
> >Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych
> >czasow".
> >Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo
> >wsliznieciu sie do domu jak nikt nie patrzyl bo sianokosy robili.
> >Zreszta to wcale nie musial byc obcy.
> >Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.
>
> Ale kiedys wystarczyly kraty w oknie i solidne zamki.
> Dzis nie masz sie jak zabezpieczyc :-)
>

No nie. Nawet bank slaski mial basen pod skarbcem. A slaskie zloto i tak gdzies
wcielo.
Az tak fajnie to nie bylo.

Ale byla wersja lepsza od krat. Jeden sasiad kiedys kupowal slupy energetyczne i te
betonowe plyty drogowe.
Inna sasiadka kupowala rowery i trzymala na sianie.
Jakies zabezpieczenie to bylo...

> >I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych
> >finansow od lokacyjnych.
>
> No ba - bank moglby rozdawac tablety do obslugi konta, czy tokeny w
> formie telefonow.
> Tylko musialyby byc zabezpieczone i oczywiscie - zadnej instalacji
> dodatkowych programow.
>

No moglby. Tylko wiesz. Im prostsze urzadzenie tym lepiej. A skoro iosowy
tablet/telefon mozna bylo sms-em uszkodzic/zmanipulowac to i lepsze akcje sie
ustruga.

Caly meltdown/spectre zaczelo sie od sandsiftera i ataku na ten komputerek
zarzadzajacy w pececie. Jest video o tym jak malo mozliwosci mieli:

https://www.youtube.com/watch?v=lR0nh-TdpVg

A mimo to sie udalo wejsc tam gleboko.

Dlatego to urzadzenie powinno byc prymitywne. Zadnego ios-a/androida/bada/windowsa
czy co tam jeszcze jest. Starczy zwykly dedykowany minisystem i tyle. Wspomnialem o
starym fonie bo po prostu sa tanie i malo popularne i jest wiele rodzajow. Wiec
trudno zbudowac jeden hack ktory da sie na slepo zastosowac skutecznie na wielu
ofiarach.

> >Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie
> >ukradnie latwo.
> >A taka codzienna jak ukradna to tragedii nie ma...
> >Ale to juz inna historia.
>
> Czyli po prostu nie miec kasy, a miec dlugi, wtedy nie ukradna :-)
>
>

No troche tak :)