s...@g...com writes:

> Niekoniecznie.
> Sms niech przychodzi z informacja za co sie placi.
> kod niech sie wpisuje z tokena.

To samo można zrobić z listą papierową.
Ale SMS może być podrobiony. Taki token tego nie stwierdzi.

> Te tokeny nie sa az tak drogie:
> http://www.tokenguard.com/RSA-SecurID-SID700.asp
>
> Mysle ze bank mogl by spore upusty dostac.

Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
od nich dostać listy seedów nowych tokenów?

Kody papierowe nie mają listy seedów u wielkiego brata.
--
Krzysztof Hałasa

do góry

Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), s...@g...com
napisał(a):
> W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:
>> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
>> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
>> albo np kamerke i czytac kody QR z ekranu,
>> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
>> potwierdza, bez mozliwosci wciecia kogos.
>>
> Niekoniecznie.
> Sms niech przychodzi z informacja za co sie placi.
> kod niech sie wpisuje z tokena.

Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie pomoze.
A jak sie nie boisz, to po co token :-)

> Te tokeny nie sa az tak drogie:
> http://www.tokenguard.com/RSA-SecurID-SID700.asp
> Mysle ze bank mogl by spore upusty dostac.
> A i klient nieco mogl by partycypowac.

Tak calkiem tanio to to nie jest.

Lukas kiedys uzywal, o ile pamietam klient partycypowal, w razie
zgubienia musial doplacic duzo wiecej.

No i to na 3 lata, bo potem tokeny sie wylaczaja.

>Zamowienie listy hasel jednorazowych to chyba bylo ze 20pln ostatnio.

To w mbanku.
Pytanie ile ich tak naprawde kosztuje. 5 czy 10zl z wysylka ?

> A token 120pln.

I niewiele lepiej zabezpiecza.

J.

do góry

W dniu niedziela, 10 lutego 2019 15:46:48 UTC-6 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> > Niekoniecznie.
> > Sms niech przychodzi z informacja za co sie placi.
> > kod niech sie wpisuje z tokena.
>
> To samo można zrobić z listą papierową.
No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
A w sms widzisz za co placisz.

Szansa na to ze ci kompa shackuja/sphisinguja + na telefon wysla sms + zrobia zeby
poprawny sms z banku nie przyszedl jako drugi jest minimalna.

A jak juz tyle by ktos ogarnal to nijak sie nie uchronisz, niezywy w butach.

> Ale SMS może być podrobiony. Taki token tego nie stwierdzi.

Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego numer jak do czego
innego nie uzywamy.

BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.

Jedyny feler to rozmiar i potrzeba ladowania. No, dwa felery. Ale jak ktos chce
bezpiecznie to nie jest to az takie upierdliwe.


>
> > Te tokeny nie sa az tak drogie:
> > http://www.tokenguard.com/RSA-SecurID-SID700.asp
> >
> > Mysle ze bank mogl by spore upusty dostac.
>
> Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
> od nich dostać listy seedów nowych tokenów?
>

Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz. Zawsze cie
przekreca, zrobia dowod kolekcjonerski i pojda do banku wybrac kase z okienka. Gdzies
tam sie uda jakas kasjerke przekonac ze reka byla zlamana i dlatego podpis koslawy
ostatnio...

> Kody papierowe nie mają listy seedów u wielkiego brata.
>

Ale sa w bazie. Zawsze mozna ukrasc baze.
Nie brnijmy az tak daleko w paranoje.

Juz tu kiedys dyskutowalismy i temacie. Jak cos zabezpieczone to i odbezpieczyc
mozna.
Skupmy sie na tym aby byle zlodziej sie do kowalskich i malinowskich masowo dobrac
nie mogl.

do góry

W dniu niedziela, 10 lutego 2019 17:09:01 UTC-6 użytkownik J.F. napisał:
> Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), s...@g...com
> napisał(a):
> > W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:
> >> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
> >> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
> >> albo np kamerke i czytac kody QR z ekranu,
> >> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
> >> potwierdza, bez mozliwosci wciecia kogos.
> >>
> > Niekoniecznie.
> > Sms niech przychodzi z informacja za co sie placi.
> > kod niech sie wpisuje z tokena.
>
> Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie pomoze.
> A jak sie nie boisz, to po co token :-)
>

Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna kontrole nad
sms-ami. Starczy miec staromodnego fona tylko do tokenowania i smsow.
To tez sie da obejsc ale trzeba indywidualnie atakowac. Metody masowe odpadaja.
No, zakladam ze nie da sie zawirusowac starego fona. Mysle ze nie ejst to zbyt
optymistyczne.

Jesli zalozymy ze skompromitowanie fona bez smart os-u jest mozliwe latwo (sms-em, BT
czy po usb niepostrzezenie) to w sumie nie ma nadziei na pewne zabezpieczenie.

> > Te tokeny nie sa az tak drogie:
> > http://www.tokenguard.com/RSA-SecurID-SID700.asp
> > Mysle ze bank mogl by spore upusty dostac.
> > A i klient nieco mogl by partycypowac.
>
> Tak calkiem tanio to to nie jest.
>
> Lukas kiedys uzywal, o ile pamietam klient partycypowal, w razie
> zgubienia musial doplacic duzo wiecej.
>
> No i to na 3 lata, bo potem tokeny sie wylaczaja.
>
> >Zamowienie listy hasel jednorazowych to chyba bylo ze 20pln ostatnio.
>
> To w mbanku.
> Pytanie ile ich tak naprawde kosztuje. 5 czy 10zl z wysylka ?
>
> > A token 120pln.
>
> I niewiele lepiej zabezpiecza.
>
>

Jak pokazuje doswiadczenie google zabezpiecza wystarczajaco.
Nie moge znalezc linki ale wychodzi ze troj drozna autentykacja jest wystarczajaco
dobra.

Token+pin+cos tam jeszcze (nie pamietam teraz a szukac mi sie nie chce).
Czytalem artykul ze jak wdrozyli ten schemat to liczba naduzyc spadla prawie do zera.

do góry

Użytkownik sczygiel napisał w wiadomości grup
dyskusyjnych:1a571662-cd05-4494-909b-037d5f5e77df@go
oglegroups.com...
W dniu niedziela, 10 lutego 2019 17:09:01 UTC-6 użytkownik J.F.
napisał:
> Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), s...@g...com
> napisał(a):
> > W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F.
> > napisał:
>> >> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
>> >> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
>> >> albo np kamerke i czytac kody QR z ekranu,
>> >> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
>> >> potwierdza, bez mozliwosci wciecia kogos.
> >>
>> > Niekoniecznie.
>> > Sms niech przychodzi z informacja za co sie placi.
>> > kod niech sie wpisuje z tokena.
>
>> Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie
>> pomoze.
>> A jak sie nie boisz, to po co token :-)

>Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna
>kontrole nad sms-ami.
>Starczy miec staromodnego fona tylko do tokenowania i smsow.

A masz takowy ? Wiekszosc nie ma.

A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.

Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.

Zawsze to jakies wieksze bezpieczenstwo, ale trzeba miec smartfona.
No i niech ktos straci telefon za granica ...

>> > A token 120pln.
>> I niewiele lepiej zabezpiecza.

>Jak pokazuje doswiadczenie google zabezpiecza wystarczajaco.
>Nie moge znalezc linki ale wychodzi ze troj drozna autentykacja jest
>wystarczajaco dobra.

>Token+pin+cos tam jeszcze (nie pamietam teraz a szukac mi sie nie
>chce).
>Czytalem artykul ze jak wdrozyli ten schemat to liczba naduzyc spadla
>prawie do zera.

Nie wiem co czytales, ale jak sie hackerzy wlamuja gdzies w srodek
komunikacji, to przydalby sie token, ktory wyswietla co sie naprawde
autoryzuje ...

J.

do góry

W dniu poniedziałek, 11 lutego 2019 04:26:58 UTC-6 użytkownik J.F. napisał:
> Użytkownik sczygiel napisał w wiadomości grup
> dyskusyjnych:1a571662-cd05-4494-909b-037d5f5e77df@go
oglegroups.com...
> W dniu niedziela, 10 lutego 2019 17:09:01 UTC-6 użytkownik J.F.
> napisał:
> > Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), s...@g...com
> > napisał(a):
> > > W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F.
> > > napisał:
> >> >> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
> >> >> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
> >> >> albo np kamerke i czytac kody QR z ekranu,
> >> >> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
> >> >> potwierdza, bez mozliwosci wciecia kogos.
> > >>
> >> > Niekoniecznie.
> >> > Sms niech przychodzi z informacja za co sie placi.
> >> > kod niech sie wpisuje z tokena.
> >
> >> Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie
> >> pomoze.
> >> A jak sie nie boisz, to po co token :-)
>
> >Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna
> >kontrole nad sms-ami.
> >Starczy miec staromodnego fona tylko do tokenowania i smsow.
>
> A masz takowy ? Wiekszosc nie ma.
>
Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby bylo
bezpieczniej.
A nalezy kupic druga karte sim, tylko do sms i danych. I prosty fon. Byle te jave
mial w rom i dawal se apke wgrywac tak aby bylo bezpiecznie (to juz inny temat ale tu
wazny). I zmienic nieco nawyki.
Bedzie bezpiecznie.

> A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.
>

Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to jest szansa ze
tokena z fona nie wyjmie.

> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
>

Co moim zdaniem jest tak durne ze az nie do uwierzenia.
Bo z zalozenia smartfon jest niezaufany.

> Zawsze to jakies wieksze bezpieczenstwo, ale trzeba miec smartfona.
> No i niech ktos straci telefon za granica ...
>

Ano.

> >> > A token 120pln.
> >> I niewiele lepiej zabezpiecza.
>
> >Jak pokazuje doswiadczenie google zabezpiecza wystarczajaco.
> >Nie moge znalezc linki ale wychodzi ze troj drozna autentykacja jest
> >wystarczajaco dobra.
>
> >Token+pin+cos tam jeszcze (nie pamietam teraz a szukac mi sie nie
> >chce).
> >Czytalem artykul ze jak wdrozyli ten schemat to liczba naduzyc spadla
> >prawie do zera.
>
> Nie wiem co czytales, ale jak sie hackerzy wlamuja gdzies w srodek
> komunikacji, to przydalby sie token, ktory wyswietla co sie naprawde
> autoryzuje ...
>
> J.

Tak, mozliwosci jest pare innych ale skupilem sie na tych ktore sa relatywnie proste
i skuteczne.

do góry

Użytkownik sczygiel napisał w wiadomości grup
dyskusyjnych:8578030a-8e9a-4f82-a981-16321b7ae2dc@go
oglegroups.com...
W dniu poniedziałek, 11 lutego 2019 04:26:58 UTC-6 użytkownik J.F.
napisał:
>> >Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna
>> >kontrole nad sms-ami.
>> >Starczy miec staromodnego fona tylko do tokenowania i smsow.
>
>> A masz takowy ? Wiekszosc nie ma.
>
>Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
>bylo bezpieczniej.
>A nalezy kupic druga karte sim, tylko do sms i danych. I prosty fon.
>Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
>bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
>nawyki.
>Bedzie bezpiecznie.

Ale czy bank znajdzie jeszcze speca, co w starej Javie apke napisze
:-)

I ile go to bedzie kosztowalo, bo Oracle cos zmienia w licencjach Javy
:-)

>> A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.
>Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
>jest szansa ze tokena z fona nie wyjmie.

A jak jest spec i sie zna ? :-)

>> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.

>Co moim zdaniem jest tak durne ze az nie do uwierzenia.
>Bo z zalozenia smartfon jest niezaufany.

Smartfon nie, ale apka bankowa ... byc moze tak.

>> Zawsze to jakies wieksze bezpieczenstwo, ale trzeba miec smartfona.
>> No i niech ktos straci telefon za granica ...
>Ano.

To i tokena nie zainstaluje na zastepczym fonie, nie mowiac o
znalezieniu odpowiedniego modelu - takich juz nie robia :)

J.

do góry

W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J.F. napisał:
> Użytkownik sczygiel napisał w wiadomości grup
> dyskusyjnych:8578030a-8e9a-4f82-a981-16321b7ae2dc@go
oglegroups.com...
> W dniu poniedziałek, 11 lutego 2019 04:26:58 UTC-6 użytkownik J.F.
> napisał:
> >> >Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna
> >> >kontrole nad sms-ami.
> >> >Starczy miec staromodnego fona tylko do tokenowania i smsow.
> >
> >> A masz takowy ? Wiekszosc nie ma.
> >
> >Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
> >bylo bezpieczniej.
> >A nalezy kupic druga karte sim, tylko do sms i danych. I prosty fon.
> >Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
> >bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
> >nawyki.
> >Bedzie bezpiecznie.
>
> Ale czy bank znajdzie jeszcze speca, co w starej Javie apke napisze
> :-)
>

Znajdzie. Bo tamta java to nie taka jak cobol...

> I ile go to bedzie kosztowalo, bo Oracle cos zmienia w licencjach Javy
> :-)
>

Nadal mozna uzywac openjdk. Z tym oraklem to taki nieco FUD.
Jak ktos kumaty to spoko na darmowej javie pojedzie.

> >> A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.
> >Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
> >jest szansa ze tokena z fona nie wyjmie.
>
> A jak jest spec i sie zna ? :-)
>

Ale mala. Masowo klientow mbanku nie skroi na kase.
A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki wezma jak ofiara
po pigulce gwaltu lezy obok, a fona odblokuja jej palcem i sms przepisza.

Albo nawet nie tyle musza. Starczy robic to co cocomo.

My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.

> >> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
>
> >Co moim zdaniem jest tak durne ze az nie do uwierzenia.
> >Bo z zalozenia smartfon jest niezaufany.
>
> Smartfon nie, ale apka bankowa ... byc moze tak.
>

Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny (nie zrootowany,
nie mam kontroli co gdzie sie laczy, jakie pliki otwiera itp.) to calosc jest
niewarta zaufania.

I tak na koniec:
Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych czasow".
Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo wsliznieciu sie do
domu jak nikt nie patrzyl bo sianokosy robili.
Zreszta to wcale nie musial byc obcy.

Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.

I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych finansow od
lokacyjnych.
Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie ukradnie latwo.
A taka codzienna jak ukradna to tragedii nie ma...

Ale to juz inna historia.

do góry

Użytkownik sczygiel napisał w wiadomości grup
dyskusyjnych:f91fef5a-6a56-4f89-a844-67421eb26de4@go
oglegroups.com...
W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J.F.
napisał:
> Użytkownik sczygiel napisał w wiadomości grup
> >Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
> >bylo bezpieczniej.
> >A nalezy kupic druga karte sim, tylko do sms i danych. I prosty
> >fon.
> >Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
> >bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
> >nawyki.
> >Bedzie bezpiecznie.
>
>> >> A jesli masz ... po co token, skoro sms sa calkowicie
>> >> bezpieczne.
>> >Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
>> >jest szansa ze tokena z fona nie wyjmie.
>
>> A jak jest spec i sie zna ? :-)
>>

>Ale mala. Masowo klientow mbanku nie skroi na kase.
>A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki
>wezma jak ofiara po pigulce gwaltu lezy obok, a fona odblokuja jej
>palcem i sms przepisza.

Ale token powinen byc odblokowywany pinem, a nie palcem.

>Albo nawet nie tyle musza. Starczy robic to co cocomo.
>My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.

mbank idzie do przodu - teraz zamierza wykorzystac ... nie wiadomo co

https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/

Ciekawe, czy wystarczyloby na cocomo :-)

>> >> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
>> >Co moim zdaniem jest tak durne ze az nie do uwierzenia.
>> >Bo z zalozenia smartfon jest niezaufany.
>> Smartfon nie, ale apka bankowa ... byc moze tak.
>

>Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny
>(nie zrootowany, nie mam kontroli co gdzie sie laczy, jakie pliki
>otwiera itp.) to calosc jest niewarta zaufania.

Ale to apka ma sprawdzic, czy sie z wlasciwym serwerem laczy.

>I tak na koniec:
>Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych
>czasow".
>Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo
>wsliznieciu sie do domu jak nikt nie patrzyl bo sianokosy robili.
>Zreszta to wcale nie musial byc obcy.
>Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.

Ale kiedys wystarczyly kraty w oknie i solidne zamki.
Dzis nie masz sie jak zabezpieczyc :-)

>I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych
>finansow od lokacyjnych.

No ba - bank moglby rozdawac tablety do obslugi konta, czy tokeny w
formie telefonow.
Tylko musialyby byc zabezpieczone i oczywiscie - zadnej instalacji
dodatkowych programow.

>Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie
>ukradnie latwo.
>A taka codzienna jak ukradna to tragedii nie ma...
>Ale to juz inna historia.

Czyli po prostu nie miec kasy, a miec dlugi, wtedy nie ukradna :-)

J.

do góry

W dniu wtorek, 12 lutego 2019 13:45:00 UTC-6 użytkownik J.F. napisał:
> Użytkownik sczygiel napisał w wiadomości grup
> dyskusyjnych:f91fef5a-6a56-4f89-a844-67421eb26de4@go
oglegroups.com...
> W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J.F.
> napisał:
> > Użytkownik sczygiel napisał w wiadomości grup
> > >Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
> > >bylo bezpieczniej.
> > >A nalezy kupic druga karte sim, tylko do sms i danych. I prosty
> > >fon.
> > >Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
> > >bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
> > >nawyki.
> > >Bedzie bezpiecznie.
> >
> >> >> A jesli masz ... po co token, skoro sms sa calkowicie
> >> >> bezpieczne.
> >> >Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
> >> >jest szansa ze tokena z fona nie wyjmie.
> >
> >> A jak jest spec i sie zna ? :-)
> >>
>
> >Ale mala. Masowo klientow mbanku nie skroi na kase.
> >A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki
> >wezma jak ofiara po pigulce gwaltu lezy obok, a fona odblokuja jej
> >palcem i sms przepisza.
>
> Ale token powinen byc odblokowywany pinem, a nie palcem.
>
No toc napisalem ze podpatrza pina.
A palec to do odblokowania fona. A jak fon sie odblokowuje twarza to delikwent jest
na miejscu. Tylko spi. A jak odblokowac trzeba z otwartymi oczami to wydrukuja i
wytna takie z papieru.

Takie te zabezpieczenia sa dobre...

> >Albo nawet nie tyle musza. Starczy robic to co cocomo.
> >My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.
>
> mbank idzie do przodu - teraz zamierza wykorzystac ... nie wiadomo co
>
> https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
>
> Ciekawe, czy wystarczyloby na cocomo :-)
>

Mysle ze nie. Kiedys mi zablokowali konto i nie powiedzieli czemu. Stwierdzili ze mam
wirusa. Nie mialem. Taka standardowa gadka helplinii. Od tego czasu ten sam komputer
dzialal dobrze i nic z konta nie zniklo.

Ale cos tam pewnie maja bo zanim mi zablokowalo mialem problemy z siecia i chyba
odswierzalem strone. Moze ichni system zakwalifikowal to jako nienormalne
zachowanie...

> >> >> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
> >> >Co moim zdaniem jest tak durne ze az nie do uwierzenia.
> >> >Bo z zalozenia smartfon jest niezaufany.
> >> Smartfon nie, ale apka bankowa ... byc moze tak.
> >
>
> >Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny
> >(nie zrootowany, nie mam kontroli co gdzie sie laczy, jakie pliki
> >otwiera itp.) to calosc jest niewarta zaufania.
>
> Ale to apka ma sprawdzic, czy sie z wlasciwym serwerem laczy.
>

Ale jak apka jest shackowana to niech se sprawdza co chce. Hacker uzytkownikowi
pokaze obrazek z symulowana apka a pod spodem "obklika" prawdziwa. User widzi przelew
do zony a apka wykona do zlodzieja...

> >I tak na koniec:
> >Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych
> >czasow".
> >Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo
> >wsliznieciu sie do domu jak nikt nie patrzyl bo sianokosy robili.
> >Zreszta to wcale nie musial byc obcy.
> >Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.
>
> Ale kiedys wystarczyly kraty w oknie i solidne zamki.
> Dzis nie masz sie jak zabezpieczyc :-)
>

No nie. Nawet bank slaski mial basen pod skarbcem. A slaskie zloto i tak gdzies
wcielo.
Az tak fajnie to nie bylo.

Ale byla wersja lepsza od krat. Jeden sasiad kiedys kupowal slupy energetyczne i te
betonowe plyty drogowe.
Inna sasiadka kupowala rowery i trzymala na sianie.
Jakies zabezpieczenie to bylo...

> >I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych
> >finansow od lokacyjnych.
>
> No ba - bank moglby rozdawac tablety do obslugi konta, czy tokeny w
> formie telefonow.
> Tylko musialyby byc zabezpieczone i oczywiscie - zadnej instalacji
> dodatkowych programow.
>

No moglby. Tylko wiesz. Im prostsze urzadzenie tym lepiej. A skoro iosowy
tablet/telefon mozna bylo sms-em uszkodzic/zmanipulowac to i lepsze akcje sie
ustruga.

Caly meltdown/spectre zaczelo sie od sandsiftera i ataku na ten komputerek
zarzadzajacy w pececie. Jest video o tym jak malo mozliwosci mieli:

https://www.youtube.com/watch?v=lR0nh-TdpVg

A mimo to sie udalo wejsc tam gleboko.

Dlatego to urzadzenie powinno byc prymitywne. Zadnego ios-a/androida/bada/windowsa
czy co tam jeszcze jest. Starczy zwykly dedykowany minisystem i tyle. Wspomnialem o
starym fonie bo po prostu sa tanie i malo popularne i jest wiele rodzajow. Wiec
trudno zbudowac jeden hack ktory da sie na slepo zastosowac skutecznie na wielu
ofiarach.

> >Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie
> >ukradnie latwo.
> >A taka codzienna jak ukradna to tragedii nie ma...
> >Ale to juz inna historia.
>
> Czyli po prostu nie miec kasy, a miec dlugi, wtedy nie ukradna :-)
>
>

No troche tak :)

do góry