Vlákno názorů k článku Postřehy z bezpečnosti: nestraší vám v kabelovém modemu? od jmk - Takže pokud se telefonní operátor chová rozumně tak...

Takže pokud se telefonní operátor chová rozumně tak SMS jako 2FA pořád dobře funguje, ne ? V Čechách by měl být "svět ještě v pořádku". Uvedené případy mi na české operátory moc nesedí. Ale třeba se mýlím?

Já jsem před lety přebíral přeplacenou SIM kartu Vodafonu po zemřelém příbuzném. Neznal jsem heslo pro komunikaci s operátorem a vlastně ani žádnou odpověď na kontrolní otázku. Po několika minutách přemlouvání mi bylo heslo prozrazeno a nad číslem mám od té doby plnou moc.

Takže bych si nedělal iluze, že naši operátoři jsou výrazně odolnější než ti z USA. Snad jen, že SIM swap u českého operátora těžko provede někdo bez dobré znalosti češtiny, čímž se okruh podezřelých výrazně zužuje. ;)

>Na Slovensku musi byt kazda SIM karta registrovana na konkretneho uzivatela.

To je pravda, nariadenie EÚ hovorí, že tak tak byť musí, ak členský štát túto povinnosť nezmierni zákonom. Je to jedna z mála vecí na telekomunikačnom trhu a v konflikte záujmov , kde je použité, že štát môže pravidlo zmierniť a ak to zmeirni tak ten, zákon neplatí a platia pravidlá EÚ aj v tom štáte

Na vystavení duplikátu SIM karty není třeba doklad totožnosti a ani se nic nepodepisuje. Donesl jsem starou kartu a požádal o vystavení nové. Bylo to na počkání. Dělal jsem to proto, že jsem potřeboval do nového mobilu tu nejmenší SIM kartu, zatímco ta 12 let stará tak moc ořezat nešla.

Překvapilo mě, jak snadné a rychlé to je. Nevím o kolik by to bylo složitější, kdybych jim donesl nefunkční SIM a chtěl kopii s tím, že jim telefonní číslo nadiktuji.

Která země, který operátor?

Pokud z te karty nebyl problem precist puvodni data, treba ICCID, tak lze alespon rici ze ten kdo kartu prinesl a odnese si novou k ni ma pristup.
Jestli pristup opravneny nebo ne, to uz je sporne, protoze ji mohl ukrast a argumentem o tom ze potrebuje jinou, at uz z jakehokoliv duvodu (velikost, podporovane technologie, etc.) dostane novou a rovnou s PINem. Takze v jednani toho kdo vam ji vydal shledavam znacne pochybeni.

Ja byl pro SIM u Vodafone z duvodu vymeny za LTE SIM a nedostal jsem ji jen proto, ze vsechna cisla byla prenesena pod firemni tarif rodinneho prislusnika. Pritom v historii u Vdf bylo dohledatelne ze mam to cislo u nich jiz 6 let a jen posledni rok bylo formalne prevedeno na otce, stejne tak mame stejne prijmeni, vyuctovani na toto konkretni telefonni cislo bylo na me jmeno a vedel jsem jak svuj osobni tak i administratorsky PIN do samoobsluhy. Presto jsem tam musel hnat fyzicky otce nebo dotlacit overenou plnou moc.

Utok SIM Swap ovsem nespociva v prenosu k jinemu operatorovi (to je mimo jine zdlouhave i z bezpecnostnich duvodu a obet muze vcas zareagovat), ale ve vydani duplikatu u toho sameho provozovatele. Tam je to opravdu otazka socialniho inzenyrstvi, jestli ji od toho operatora vydrzkuje ala "ukradli mi brasnu, nemam penize, nemam telefon, nemam doklady nemam nic potrebuju... a pak uz je to jen o vymluvnosti, obecnych znalostech o obeti a naivite pohunka na prepazce.

To bylo po telefonu nebo na pobocce? Ukazoval jste umrtni list?

Telefonátem na zákaznickou linku z čísla zesnulého. Nikomu jsem nic neukazoval, beztak by to nic neprokazovalo, šlo o anonymní předplacenku.

Při výměně sim po mně chtěj vždycky doklad totožnosti. Když mi zemřel příbuznej, musel sem donést nějaký to lejstro, umrlčí list, či co, abych mohl zrušit jeho tarif.

Nikoli, ty v článku uváděné příklady ukazují jenom to, jak lehké je často kontrolu nad cizím číslem získat. I pokud by tyhle snadné útoky v ČR možné nebyly, pořád existují o něco obtížnější útoky, které jsou založené např. na nedostatečném zabezpečení protokolů mobilních sítí jako takových.

A upřímně řečeno, netuším, jak jste přišel na to, že by se v tomhle čeští operátoři chovali rozumně z pohledu bezpečnosti a ne rozumně z pohledu jejich byznysu. Na pobočce operátora budete komunikovat s někým, kdo je školený v tom, aby vám toho co nejvíc prodal a vyhověl vám, určitě ne v bezpečnosti.

Obvykle je to čistě na jeho rozhodnutí, není tam žádná pojistka, že dokud do systému nezadá nějaký údaj, který můžete znát jen vy, nemůže změnu provést. Takže ten obtížnější typ útoku také může spočívat jenom v tom, že nebude přesvědčovat nějakého zaměstnance operátora, ale prostě si uděláte brigádu a tím zaměstnancem operátora se stanete.

Ano operator na pobocce je ten nejslabsi clanek. Jestli premluvite jeho ze ten papir co mu ukazujete je skutecne umrtni list pak mate vyhrano.

Nemůžete spoléhat na to, že se operátor chová rozumně a už vůbec nemůžete spoléhat na to, že v rámci "ujednodušení / zlepšení zákaznické zkušenosti / racionalizace" se podmínky v budoucnu nezmění. Operátorovi jde především o to, aby předcházel škodám z minut provolaných na drahé linky / zahraničí. Vaše bankovní bezpečnost (nebo i jiné 2FA) opravdu není pro operátora zas až tak důležité. V prohlášeních samozřejmě budou tvrdit opak, ale moc dobře vědí, že za škodu způsobenou unesením 2FA neodpovídají.

Za zmínku stojí i SIM karty od zaměstnavatele, v rodině, ... Tam může u operátora požádat o výměnu SIM karty "oprávněně" kde kdo. Zejména v zaměstnání je pak velké riziko, že někdo odposlechne / okouká přihlašovací údaje + k tomu navíc dokáže unést i 2FA SMS. K podobně riskantnímu souběhu všech informací dochází i při používání banky v tom samém mobilním telefonu, na který chodí i SMS.

"používání banky v tom samém mobilním telefonu, na který chodí i SMS"
to je fail

Tohle je obecně problematické. Například spárování přes Bluetooth kvůli přenosu vyfocených obrázků nebo audia dost často zpřístupní bez dalšího potvrzování i modem, kde se dají pomocí AT příkazů ty SMSky číst. Připojení přes USB dtto. Takže aby měl člověk mobil jenom na to. A to ne starou cihlu nebo ultralevný současný, protože ty budou podporovat pouze šifru A5/1, kde jdou SMSky snadno odposlechnout a vycrackovat. Potřebujete něco s podporou A5/3 nebo ještě lépe s 3G/4G, kde je bezpečnost lepší. A taky by to neměl být Android od výrobce, protože víme jak je to tam se spyware.

14. 1. 2020, 00:39 editováno autorem komentáře

operátorovi jde především o to, aby předcházel škodám z minut provolaných na drahé linky / zahraničí. Vaše bankovní bezpečnost (nebo i jiné 2FA) opravdu není pro operátora zas až tak důležité.
Operátorovi jde o to, aby zákazník fungoval a utrácel u něj. Když přehodí telefonní číslo na novou SIM někomu jinému, tak zákazníka dost naštve (přestane mu fungovat telefon). Navíc, pokud tím vznikne škoda, může z toho mít i problémy nebo přinejmenším negativní publicitu.
Za zmínku stojí i SIM karty od zaměstnavatele, v rodině, ...
Zkoušel jste to? Výměnu SIM musí provést oprávněná osoba. V rodině to vůbec není problém - když vás bude chtít takhle podvést někdo z rodiny, vyčká na okamžik, kdy se dostane k vašemu telefonu - pokud tedy v rodině máte takové vztahy, že vám hrozí podobné nebezpečí. Ve firmách se to dost hlídá, u nás třeba s operátorem vůbec nemůžeme komunikovat a všechno, včetně eventuelní výměny SIM, jde přes pověřené lidi.
používání banky v tom samém mobilním telefonu, na který chodí i SMS
To je snad úplně blbě, na to mají banky aplikace, kde to ověření probíhá jinak, žádné SMS. V mobilní aplikaci se používají jiné přihlašovací údaje (alespoň jiné heslo), zařízení musí být registrováno v IB atd.
Ostatně třeba Air Bank místo SMS jako druhý faktor doporučuje aplikaci - a není sama.
Ať je to jakkoliv, když je SMS skutečně jen druhý faktor, po podvodné výměně SIM musí rychle následovat zneužití, protože pravděpodobně na to nebude moc času.
Ono totiž jde o to, že v článku vytýkali především to, že SMS se leckdy používá jako JEDINÝ faktor, ne jako druhý. A jako jediný faktor je to opravdu mnohem větší problém.

Navíc, pokud tím vznikne škoda, může z toho mít i problémy nebo přinejmenším negativní publicitu.

Ano, reputační rizika jsou ta jediná. Vzhledem k tomu, že všichni operátoři jsou na tom stejně, tak se jich moc nebojí. A také považují, jestli je riziko zneužití 2FA reputačně horší, než zvěsti o tom, že na infolince / přepážce jen buzerují a odmítají (mi) vyhovět. Proto operátoři raději umetají cestičku snadnému používání, než reálné bezpečnosti.

Zkoušel jste to? Výměnu SIM musí provést oprávněná osoba. V rodině to vůbec není problém - když vás bude chtít takhle podvést někdo z rodiny, vyčká na okamžik, kdy se dostane k vašemu telefonu - pokud tedy v rodině máte takové vztahy, že vám hrozí podobné nebezpečí. Ve firmách se to dost hlídá, u nás třeba s operátorem vůbec nemůžeme komunikovat a všechno, včetně eventuelní výměny SIM, jde přes pověřené lidi.

Ano. U operátora má asistentka autorizované své telefonní číslo a může z něj převést číslo na jinou SIM kartu. Ona svoje telefonní číslo má stále u sebe, ale jsou firmy, kde si ho předává víc lidí. V minulosti dokonce šlo převést číslo na novou SIM kartu a hned poté zase zpět na tu původní - takže si toho majitel ani nevšimne (rozhodně ne zavčas).

V rodině? Stačí rozvod.

V mobilní aplikaci se používají jiné přihlašovací údaje (alespoň jiné heslo), zařízení musí být registrováno v IB atd.

Vězte, že spousta bank nemá ve smartbankingu podepisování příkazů, které vytvořil méně oprávněný uživatel (maker-checker proces). Pak nezbude, než přejít do IB.

Vězte, že spousta bank nemá ve smartbankingu podepisování příkazů, které vytvořil méně oprávněný uživatel (maker-checker proces). Pak nezbude, než přejít do IB.
To už jsme snad někde jinde, tady šlo (i v článku) o více méně osobní záležitosti.
Firemní bankovnictví je (mělo by být) zabezpečeno trochu jinak - certifikát na čipové kartě atd.
To je snad základní bezpečnostní opatření, že z mobilu se na IB přes web nechodí, na to je aplikace.
A opět, leckteré banky se snaží klienty přimět, aby druhý faktor nebyla SMS, ale aplikace (a ta v této roli funguje jen z jediného registrovaného zařízení).

13. 1. 2020, 16:03 editováno autorem komentáře

Operátorovi jde o to, aby zákazník fungoval a utrácel u něj. Když přehodí telefonní číslo na novou SIM někomu jinému, tak zákazníka dost naštve (přestane mu fungovat telefon). Navíc, pokud tím vznikne škoda, může z toho mít i problémy nebo přinejmenším negativní publicitu.
Ovšem když číslo nepřehodí na novou SIM oprávněnému držiteli toho čísla, také ho dost naštve (obvykle to také znamená, že mu nebude fungovat telefon). A teď je otázka – jaký je poměr žádostí oprávněných uživatelů a útočníků?

Ve firmách se to dost hlídá, u nás třeba s operátorem vůbec nemůžeme komunikovat a všechno, včetně eventuelní výměny SIM, jde přes pověřené lidi.
Jinde ten PIN zná půlka zaměstnanců firmy plus zaměstnanci nejbližší pobočky operátora…

Ovšem když číslo nepřehodí na novou SIM oprávněnému držiteli toho čísla, také ho dost naštve (obvykle to také znamená, že mu nebude fungovat telefon). A teď je otázka – jaký je poměr žádostí oprávněných uživatelů a útočníků?
Rozlišujte výměnu SIM (kus za kus), na to u TM stačilo opravdu to heslo, od vydání náhradní SIM za ztracenou - to je obvykle za poplatek a to tak snadno nepůjde. TM na to měl jiné číslo a řešil to správce fakturační skupiny.
Teď u VF i ty náhradní SIM má firma, já si ji vyžádám a oni oznámí VF změnu SIM k danému číslu - ale je pravda, že je to větší firma a značně geograficky centralizovaná.
Ale opakuju, jádrem té části článku bylo, že SMS je v některých případech jediným faktorem, pak to závisí jen na zabezpečení procesů operátora a to je opravdu příliš nejisté.
Je-li to skutečně druhý faktor, musí útočník cíleně hacknout přihlašovací údaje, zjistit číslo pro ověřování a ještě se dostat k té SIM a útok provést dřív, než oběť zjistí, že jí nefunguje telefon.
Jinými slovy, i takovýto druhý kanál je značnou komplikací pro útočníka.
Vždycky jde o kompromis - nejsem ochoten se přihlašovat k mailu (ani do banky) certifikátem uloženém na kvalifikovaném nosiči, to je příliš nepohodlné. Aplikace v mobilu se spokojí s otiskem prstu, to je dokonce pohodlnější, než opisovat kód ze SMS.

Ovšem když číslo nepřehodí na novou SIM oprávněnému držiteli toho čísla, také ho dost naštve (obvykle to také znamená, že mu nebude fungovat telefon). A teď je otázka – jaký je poměr žádostí oprávněných uživatelů a útočníků?

Samozřejmě je potřeba umět vyhovět oprávněným žádostem. Útoků tímto způsobem bude zanedbatelné množství, nicméně to riziko existuje a jednoho dne může někoho připravit o moc peněz.

SMS považuji za docela dobrý způsob 2FA, jen nevím, jestli si lidé uvědomují, že rizika stále existují a že jsou mnohem komplikovanější než to, že Vám někdo okouká SMS přes rameno.

Autentikátory, stejně jako kdysi SIM Toolkit bankovnictví považuji za mnohem lepší variantu a jednoznačně se vyplatí na ně přecházet. Zde je ovšem potřeba si uvědomit, že jakmile jednoho dne dokážeme SMS přestat používat, bude na čase i autentikátory vylepšit - např. nyní jsou obvykle závislé na párování s bankingem, do kterého je uživatel přihlášený pomocí SMS.

Ohledne registrovanych/au­torizovanych bankovnich appek, protoze se muze snadno stat, ze o zarizeni clovek prijde a je sice bezpecne, ovsem ne uz pohodlne a prakticke, pak muset chodit do banky, tak je otazka, jak banka resi (de)aktivaci takoveho zarizeni. Ja mam mBanku a tam je autorizace pomoci zaregistrovane appky v tomto ohledu faktor zjevne jen pohodlnostni (nemuset nic opisovat), protoze do IB z webu se prihlasim na login/heslo a v nastaveni vyberu deaktivaci zarizeni. Potvrzeni pres SMS kod, stejne tak registrace noveho zarizeni jako druhy faktor pouziva SMS kod. Takze ve finale pouzivam "bezpecnejsi" autorizaci cinnosti a transakci provazanou a autorizovanou appkou (pinem/otiskem prstu), ale da se to rychle a snadno obejit a vyuzit SIM Swapu a jsme kde jsme byli. :-/
Celkem by mne zajimalo jak to maji jine banky napriklad.

14. 1. 2020, 19:44 editováno autorem komentáře

Komerční banka, Česká Spořitelna a ČSOB to mají trochu lepší, tam když člověk ztratí přístup k autentizačnímu zařízení, musí pro aktivaci nového autentizačního zařízení získat nový aktivační kód, který získá buď na pobočce, nebo v bankomatu. To mi připadá docela bezpečné, i když pro někoho, kdo často přeinstalovává telefon, dost nepohodlné ;)