Vlákno názorů k článku George klíč končí, bankovnictví George Česko už v emulaci nespustíte od Smazaný profil - Asi bych pochopil, že blokují VM aby člověk...
-
Smazaný profil
Asi bych pochopil, že blokují VM aby člověk nepoužíval IB a ověřování na jendom PC. Ale ten nový Geroge je kombinace ověřování i mobilního bankovnictví.
Ale banky tlačí obecně pořád MB a spojují funkcionalitu.
Např. ČSOB má stále oddělené aplikace pro MB a ověřování. Jenže zavedli, že do IB stačí naskenovat QR kód v ověřování aplikaci co máte na mobilu. A nelze to deaktivovat.
Takže se vše zužuje na mobil jenom.Z vlastní zkušenosti mi příjde, že FIO se vymyká a dává možnost volby a každý si může zvolit jak chce používat bankovnictví. Jejich mobilní aplikace má 4 módy fungování a lze zvolit od plného MB až pouze po ověřovací aplikaci.
Dokonce reagují i na podněty a zavedli možnost volby pro ověřování v IB na aplikaci, SMS či oboje. Doufám, že jim tento přístup vydrží. -
Smazaný profil
já bych si tipnul, že problém virtualizace není proto, že to běží na stejném počítači, ale že může jít o nějaké prostředí pod kontrolou útočníka, jde o nějaký soubor, který lze rozkopírovat atd, zatímco aplikace ve fyzickém telefonu je aktivována na konkrétní telefon, takže ho lze považovat za druhý faktor, což se o souboru s virtuálem říct nedá. A mít na jednom telefonu oddělené aplikace reálně nepřináší vůbec nic, to žádný další faktor zabezpečení neni, jen opruz uživatele.
-
Smazaný profil
A mít na jednom telefonu oddělené aplikace reálně nepřináší vůbec nic, to žádný další faktor zabezpečení neni, jen opruz uživatele.
Ale o to přece nejde. Jde o to, aby uživatel mohl mít na telefonu jen ověřovací aplikaci a vůbec tam neměl MB. Někteří uživatelé chtějí IB a na mobilu jen ověření.
Jestli to jsou rozdílné apliakce či jedna jako u FIO s možností volby je jedno.
12. 12. 2023, 08:42 editováno autorem komentáře
-
virtualizace odpadla, protože aplikace vyžaduje vyšší úroveň zabezpečení v Androidu a těm je VM zapovězeno, protože ho nesplňují.
Zajímavé jak se za ty roky druhý faktor překládá jako druhé zařízení, ale tak to přece není. Druhý faktor může být i na jednom zařízení, faktor není o počtu zařízení, ale o způsobech, jak se ty bezpečnostní informace předávají a tvoří (předám statické heslo, předám jednorázové OTP vygenerované z klíče, potvrdím challenge atd.).
-
Jenže to je právě jádro toho omylu. Vícefaktorová autorizace nemá chránit před kompromitovaným zařízením, ale před únikem přihlašovacích údajů při online komunikaci. Pokud je váš počítač kompromitovaný, dvoufaktor vám nepomůže, útočník si počká, až se mu přihlásíte.
Takhle fungují telefonické útoky, kdy vás falešný operátor požádá o dálkový přístup k vašemu počítači a vy mu vyhovíte. Nebo vám pošle malware mailem a vy si ho nevědomky nainstalujete. Vícefaktor proti tomu nijak nechrání, útočník se takto dostane k online službě, kterou chcete chránit.
Když tedy útočník úspěšně kompromituje váš mobil a bude mít plnou kontrolu nad vším, pak mu stačí počkat, dokud se nepřihlásíte do aplikace třeba pomocí osmdesátí různých hesel, otisků a fotek občanky. Pokud v té době přístroj ovládá, dostane do ruky funkční přihlášenou aplikaci se všemi tajemstvími.
-
Nikoli ... vicefaktor prave resi (pokud je spravne pouzivan) kompromitaci jednoho (nebo vice) jednotlivych faktoru. Proto je nesmysl pouzivat jedno zarizeni, protoze tim se vicefaktor defakto rusi (to nemusi platit vzdy, ale pro bankovni aplikace to plati bezezbytku).
Takze pokdu vezmu tu "nebezpecnou" SMS, tak dotycny potrebuje bud heslo nebo pristup k PC, ale zaroven potrebuje pristup k telefonu, coz uz neni tak uplne jednoduche zaridit zaroven.
A ve skutecnosti je mnohem jednodussi napsat "miluju te, posli mi milion".
V pripade telefonu s bankovnictvim mi staci, kdyz ten telefon, klidne i jen docasne, seberu (hospoda idealni misto, byl sem na vikendove akci, tech bezprizornich telefonu se po stolech valely desitky). Vyluxuju pripojeny ucet (otazka 10s max), a nez to dotycny zjisti ... jsou prachy v jizni americe.
-
Ano, kompromitaci faktorů vícefaktor řeší. Ale já jsem měl na mysli kompromitaci toho aktivního zařízení, před ním vícefaktor nechrání.
Mimochodem z tohoto hlediska není mezi aplikacemi Klíč a Česko rozdíl. Obě umožňují plnohodnotné přihlášení k účtu. Všechny faktory (otisk, PIN a tajemství v aplikaci) se totiž setkávají už v telefonu.
-
Nektery vicefaktor resi i kompromitaci aktivniho zarizeni. Ne kazdy.
Uz treba SMS u jedne banky ~15 let zpet byla ve forme "Prevod z uctu X na ucet Y, suma Z Kc, VS 1234, overovaci kod 9876". Jina banka ma stale SMS jako "Banka XY, kod na prevod 9876", takze se to stale nebere za samozrejmost.
V push notifikaci s potvrzenim MFA bezne vidim, o co zadam, z jake IP, hostname. Kdyz jsou tam vsechny potrebne info, tak to funguje i proti aktivni manipulaci. Utocnik treba vidi muj monitor, muze mi ho menit, ale ja mam dalsi faktor.
12. 12. 2023, 19:37 editováno autorem komentáře
-
důvod vzniku vícefaktoru je obrana proti dívající se třetí straně (odposlech na cestě nebo třeba pohled na displey/monitor). Tak to vzniklo a tak se to i používá.
Jak se nám to ukazuje v praxi, pokud je v domácí síti nějaké zařízení kompromitované a pod kontrolou útočníka, netrvá dlouho a je pod kontrolou celá domácí síť, v takových vícefaktor bezpečnost nezvyšuje, jen její pocit. Na účet potřebuješ přistupovat i na cestách, běžně budeš nosit obě zařízení s sebou, to proti krádeži také moc nechrání, že.
Obrana proti krádeže a zneužití zařízení je právě v biometrickém ověření osoby, zadávání pinu (s zamčením zařízení nebo přímo jeho smazáním).
-
Jan HrachStříbrný podporovatel> odposlech na cestě
Což v dnešní době (TLS) v podstatě vyžaduje kompromitovaný koncový bod.
> nebo třeba pohled na displey/monitor
Tam se heslo neukazuje, myslíte pohled na klávesnici, a jako jo, ale to řeší password manager nebo přihlašování certifikátem.
> důvod vzniku vícefaktoru je obrana proti dívající se třetí straně
Podle mě byl důvod vzniku vícefaktoru ochrana před zavirovanými klientskými windows. A i dneska to tak chápu - osobně kompromitaci svého počítače (příp. mobilu) považuju za největší riziko.
> Jak se nám to ukazuje v praxi, pokud je v domácí síti nějaké zařízení kompromitované a pod kontrolou útočníka, netrvá dlouho a je pod kontrolou celá domácí síť, v takových vícefaktor bezpečnost nezvyšuje, jen její pocit.
Jak tohle funguje? Co znamená „pod kontrolou celá domácí síť“ - jako že to infikuje počítače a mobily? Proč to jde z lokální sítě (=v práci, veřejné wifi…) a ne přes internet?
-
může jít o MitM (podvržení serveru, únos spojení), stejně tak může dojít k úniku po či před terminaci TLS spojení (na straně serveru od brány k aplikaci, na straně klienta třeba přes plugin v prohlížeči).
U dotekových obrazovek vidíš stisknuté písmeno, ale ano je to myšleno i na klávesnice.
Už je to pár desítek let, o důvodu se hádat nebudu. To co říkám, říkám ze své paměti a mohu se plést. Každopádně kompromitace Windows je pořád vlastně poslouchání na cestě.
Ano, často*, když najdeš v domácí síti (či obecně v lokální síti) jedno infikované zařízení, málokdy je tam jediné (dokud vir vyhodil velkou obrazovku a pochlubil se, že jsi hacked, šlo to detekovat snadno, dnes mohu vyvozovat pouze z vzorku od zaměstnanců, který se zkoumá a ty nikdy nedokážeš jednoznačně říct, že zařízení nemáš napadené). Dnešní záškodnický SW se rád rozšiřuje a skenuje okolí. Ve firemním prostředí se na to snáz nasazuje mitigace (FW, kontrola provozu, omezený uživatel atd.), doma naopak tahle hygiena zpravidla neexistuje, všechna zařízení jsou na všech portech přímo přístupná jako jedna velká mesh síť bez jediného prvku, který by vnitřní provoz kontroloval (vždyť i Turris, který slibuje bezpečnost jí vlastně řeší pouze na perimetru a už ne uvnitř).
*Vyvozuji to ze statistik firemních SIEM, kde se monitoruje provoz na klientských stanicích, zajímavá jsou právě data, když jsou zaměstnanci na homeoffice. Jen pro upřesnění, nemonitoruje se obsah, ale metadata.
K tomu převodu a 2FA. Lze využít nepozornost, při zadávání příkazu změníš číslo účtu, kam peníze míří, necháš VS i částku. Takovéhle útoky se objevují a jsou nulovou úspěšnost rozhodně nemají. Ukradení peněz je jedna věc, druhá je, že mají kompletní přístup k tvému účtu, z těch dat mohou sestavit cílený útok přímo na tebe, což je něco, kde očekáváme výrazný růst v následujících letech, zatím se to objevuje vyjímečně.
-
Jan HrachStříbrný podporovatel
> Pokud je váš počítač kompromitovaný, dvoufaktor vám nepomůže, útočník si počká, až se mu přihlásíte.
Já dvoufaktor chápu tak, že na nezávislém zařízení potvrdím "převod částky 1024 Kč na účet 304452700/0300". Alespoň tak to bylo celou dobu co si pamatuju (~15 let). Většinou tato informace přišla SMS, některé banky ti daly přímo nějaký typ donglu s displejem kde se tohle ukazovalo.
-
L.Stříbrný podporovatel
> některé banky ti daly přímo nějaký typ donglu s displejem kde se tohle ukazovalo.
To by mě zajímalo, o tom jsem nikdy neslyšel. Sběrbaňk dávala RSA token, ale to byl offline OTP.
-
Jan HrachStříbrný podporovatel
Hmm, od známých jsem slyšel že ebanka, ale nedokážu nic na internetu najít.
-
V Českém prostředí se tomu říkalo autorizační kalkulátor, nabízela to třeba ING, ČS, HVB, Ebanka (Rajfka už nikoliv, ta po odkoupení Ebanky zavedla svůj internetový elektronický klíč, což byl SW založený na PKI).
Primárně to bylo určeno pro firemní zákazníky, zařízení bylo vyloženě offline a bylo potřeba údaje o transakci do něho přepsat. Výhoda byla, že to nebylo vázáno na osobu, takže účetní a majitel dostali svůj kalkulátor a ty mohli potvrzovat transakce, práce s tím ale byla úmorná. Postupně banky přešli na dávkové zpracování a potvrzení transakcí přes elektronický podpis, což šlo snadněji napojit na účetní SW.
Ebanka byla v tomhle dost pokroková, implementovali jsme tam kdysi právě jako jedni z prvních i SIM Toolkit pro posílání šifrovaných potvrzovacích kódů.
-
Úvodní obrázek na české wiki https://cs.wikipedia.org/wiki/Internetov%C3%A9_bankovnictv%C3%AD ukazuje jak takové zařízení vypadalo.
-
Jan HrachStříbrný podporovatel
Zajímavé, proč jim to zakázali? Dneska se podobná věc (načtení QR kódu) používá pro bezpečné párování běžně.
-
párování možná, ale ověřování je problém (všimni si třeba u KB, pro přihlášení použiji svůj QR kód bez problémů, ale ověření transakce již je bez kódu a pouze přes komunikaci s je. Cokoliv je totiž zobrazeno na monitoru a zejména v obsahu internetové stránky může být jiným programem pozměněno, uživatel pak nemá jak ověřit, že se údaje přenesly shodně a úplně. Řešili se i takové věci jako použití více zařízení v jedné místnosti a vzájemné ovlivňování. Bavíme se tady o době, kdy většina měla stolní počítač bez bluetooth a wifi, usb nemělo tolik generic ovladačů v systému a prohlížeče se na usb mohli dostat pouze omezeně nebo vůbec.
Ano, neschopnost najít široce použitelný bezpečný přenos údajů do kalkulátoru ve spojení s náklady na vývoj a certifikace to celé nejspíš zabil.
-
Jan HrachStříbrný podporovatel
> Cokoliv je totiž zobrazeno na monitoru a zejména v obsahu internetové stránky může být jiným programem pozměněno, uživatel pak nemá jak ověřit, že se údaje přenesly shodně a úplně.
Ale to je přece doslova pointa toho, proč se to řešení s kalkulátorem používá…
-
a když ti někdo podhodí jiný QR kód (či blikající čtvereček), abys mu podepsal jinou transakci, kterou na pozadí vytvořil? Ty na to řešení spoléháš a pokud se ti tam přenesou podvržené informace, je to velký problém.
Problém je, že ten přenos prostě není dostatečně bezpečný. Ano, sice obsah v QR kódu můžeš podepsat (checksumovat), ale problém byla distribuce klíčů do offline kalkulačky, zajistit jejich aktualizaci byl pak docela problém.
-
Jan HrachStříbrný podporovatel
> a když ti někdo podhodí jiný QR kód (či blikající čtvereček), abys mu podepsal jinou transakci, kterou na pozadí vytvořil?
To zařízení zobrazuje informace o transakci, kterou potvrzuješ, a potvrzuješ to na tom zařízení (na té kalkulačce).
Možná našemu nedorozumění přispívá, že jsem nepochopil větu s překlepem/chybějící závorkou: "(všimni si třeba u KB, pro přihlášení použiji svůj QR kód bez problémů, ale ověření transakce již je bez kódu a pouze přes komunikaci s je"
