Názory k článku Postřehy z bezpečnosti: SS7 zranitelnosti zneužity k vykradení bankovních účtů

Tady https://www.lupa.cz/clanky/elysia-howell-n26-banka-nepotrebuje-pobocky-vse-resime-pres-mobilni-aplikaci/nazory/ jsme se o tom SS7 bavili, pak už jsem neměl sílu reagovat na ty nesmysly, že by někomu museli napadnout hloupý mobil kvůli získání potvrzovací sms atd. Netrvalo to dlouho a máme útok přes SS7 v praxi.

Z článku nevyplývá, že napadli hloupý mobil, ale chytrý mobil hloupého uživatele, který si sám musí nainstalovat malware z neznámého zdroje na základě nějakého emailu. Tedy bez aktivní účasti onoho uživatele se útok nekoná.

presne to jsem myslel - nedokazu si predstavit krkolomne nabouravani do dvou nezavislych (a uzavrenych) SS7 siti zaroven - do bankovni a do site operatora
nejjednodussi je: cosi dostat do 'chytreho' mobilu (s povolenim hloupeho uzivatele) ... a pak je to uz neskutecne easy: pockat si, az otevre mobilni bankovnictvi, podhodit dalsi platbu, odchytit smsku, co prijde a dokoncit platbu.
chapu, ze je mozne odchytit smsku, chapu ze je mozne odchytit komunikaci rpes browser, ale oba zaroven na dvou ruznych zarizeni?
mozna jako cileny utok zpravodajske organizace ...

Tady šlo o to, jestli je bezpečnější mobilní bankovnictví jako aplikace nebo browser/SMS. A mobilní app opravdu nepoužívá na potvrzení SMS, ale normálně šifrovaně komunikuje jako třeba Signal. Jestli vám přijde jednoduché podhodit zprávu do Signalu, tak nechápu, co tu ještě děláte, v NSA a jinde vás zaplatí zlatem.

přesně tak to vidím - jako reklamu na směrnici EU co bankám nařídí autentizaci otiskem prstu - a ta už existuje. Nějak těch X desítek milionů otisků získat musí, ne?

Blbost. Otisk prstu je jedna z možností, ale nikdo nenařizuje implementovat zrovna tu.

Však ano, to že by museli napadnou mobil v diskuzi psal někdo jiný a on že má mobil hloupý, takže ten napadnout nejde a tudíž je v bezpečí. Což je nesmysl, protože SMS nikdo nebude tahat z koncového zařízení, takže je úplně jedno, jak je chytré a co se na něj dá podstrčit, SMS si ukradnou po cestě.
A z článku nevyplývá ani že napadli chytrý mobil, mnohem jednodušší a pravděpodobnější je, že napadli desktop (Windows) a to je přesně to, co v diskuzi psali, že sice mají možná napadnutelný desktop a možná by se nějak dala získat SMS, ale nedá se získat obojí, takže jsou v klidu. No už asi nejsou.

Reknemez, se ovladam tvuj stroj, tzn muzu si do banky zadat prikaz. Reknemez, ze umim odchytit sms, takze si ho muzu potvrdit. Jenze v takovym pripade uz neumim zamezit tomu, aby se ti ta sms zobrazila => ty vidis, ze probehla platba na nejakej cizi ucet (pokud delas co mas). A neni nic primitivnejsiho nez tu platbu obratem stornovat.

A apropos, zjevne si naprosto nepochopil k cemu ta sms je, pokud ovladam tvuj telefon s tvoji bankovni aplikaci, tak si muzes sifrovat co chces, ja uz nic jinyho nepotrebuju. Je totiz nasobne jednodussi napadnout tvuj telefon (dokonce mnohem jednodussi nez widle).

Uz jen to, ze guugl naucil pekne svy ovecky odklipat a potvrdit aplikaci vsechny pozadovany opravneni, protoze jinak to nebude fungovat ... takze trebas "youtube appka" vyzaduje pristup k telefonimu seznamu, sms, ...

nestudoval jsem to, ale nebude to spis SS7 over IP?
SS7 a SS7oIP jsou kapanek jine 'veci'

V návrhu SS7 je díra ... jak demonstroval Karsten Nohl (viz např. https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls).

Je otázka, jestli je to díra, nebo jestli prostě při tom návrhu na bezpečnost nemysleli (vzhledem ke stáří návrhu bych se ani nedivil).

On SS7 především byl původně určený pro pevnou síť, kde určitý okruh bezpečnostních problémů z podstaty neexistuje, zatím co v mobilní síti ano.

Ja to rikam porad ... Pro dvoufazove overovani jedine security token. Cokoliv, co jde pres mobil (obzvlaste smartphone), pro security ucely nebrat.

Pokud myslíte ten klasický kde jen opisujete číslo co ukazuje, tak ten je dost nanic, protože není zajištěno že opravdu potvrzujete co si myslíte, že potvrzujete. To, co se vám zobrazuje na obrazovce počítače nemusí být pravda, pokud je napadený. Takže vy si myslíte, že podepisujete převod 2000,- manželce na nový kožich ale ve skutečnosti podepíšete převod kompletního zůstatku do Zimbabwe.

Ohledně té záležitosti AMT jsem dost zmatený. Týká se zranitelnost jen serveru nebo i osobních počítačů?

Ve výpisu lspci jsem našel MEI a tím končím. Chtěl bych AMT vypnout (či se ujistit o jeho vypnutém stavu), ale v biosu o této funkci nenajdu ani zmínku a ctrl + P při bootování systému mě nikam nedostane.

Děkuju za vysvětlení a taky za ten tip. Mám notebook od Lenova - tak se mám asi zítra na co těšit.

A jak to je pod linuxem?
Musi bezet nejakej daemon nebo neco na nejakem portu aby ten intel bug sel zneuzit?

Jo, český banky to je samej poplatek, ale nabízejí akorát klasické SMSky.
Už před cca 10ti roky jsem používal kalkulačku u spořky pro potvrzování plateb. Pak to spořka zařízla, že to prý používá málo lidí a že mám používat SMSky a že je to údajně bezpečný.

Asi dobrou vyjímkou je rajfka, kde používájí sifrované SMSky (zdarma) a nabízej i kalkulačku, ale ta je za měsíční poplatek. Jinak bída.

ČSOB má "SmartKlíč"

AirBank taky.

Máte pravdu. Smart klíč považuji za dobrou věc. Líbí se mi možnost online i offline módu.
Akorát to běží na chytrým telefonu. Někomu to nevadí, ale na neaktualizovaných telefonech s Androidem se mi to moc nelíbí. Uživatelé iPhonu a WP na tom budou asi trochu lépe, aspoň co do aktualizací.

Rád bych kdyby banky obecně zavedly tokeny.

Pokud v telefonu není chyba která umožńuje root přístup, tak je to pořád celkem v pohodě.

A jaký druh tokenu myslíš?

- Tokeny co jen mění číslo jsou dost nanic, protože nevidíš, co podepisuješ
- Tokeny kam musíš ručně přecvakat detaily transakce jsou hrozný pruda
- Tokeny kam se detaily přenesou přes net mají problém s aktualizacemi taky

Pokud se bojíš o bezpečnost, tak si můžeš pořídit nějaký levný chytrý telefon klidně bez tarifu a mít na něm jen tu bankovní aplikaci.

Ja myslel kalkulacku,kam zadavam udaje o platbe a to potom podepisuju. Osobne mi to nevadi,protoze tech par trv. prokazu si podepisi a pak toho moc neposilam. A je to uplne offline.
Treba Vasco dela tokeny/kalkulacky propojitelne pres modry zub s telefonem nebo token se cteckou QR kodu. Na webu maj popis i videa. Celkem pekny.

Ale zalezi jak to banka naimplementuje. Co sem vycet tak RB pouziva Vasco digipass 270 a je treba zadat parametry platby. Ale bacha na UCB ktera ma ten stejny token, ale jenom generuje kod.
Takze se nepodepisuje platba a to je pruser.

A Raifka prý SMS toolkit zařízla k 1.4.2017.

Nezarizla, zarizli to opove, asi tak pred mesicem sem se o tom snima bavil, a bylo mi receno, ze to bude fungovat dokud to budou umet opove, pricemz minimalne jeden to zariz 100% ... (hadat muzes 3x ... )

samozřejmě VF ;).

RB nabízí "kalkulačku", kde jde vidět i potvrzovaná částka, za mě ideální řešení.

Nabízí něco podobného i jiná banka ? RB za to chce 89Kč měsíčně, a to i u toho slavného ekonto komplet...

Jestli VF je Vodafone, tak tam to ještě poslední týden v dubnu fungovalo. Ze SIM Toolkit na normální SMS jsem si to nechal předělat 26.4. Nový mobil to totiž neuměl a starý se náhodně vypínal.

Taky v RB zrusili moznost zamykani platebni karty - slo to jak z internetoveho baknovnictvi, tak z mobilu pres SIM toolkit. Uz od doby co eBanku prevzala RB to jde stale jen k horsimu. Holt pokrok nezastavis :-(

To je easy, po ty co mi rekli ze kdyz budu platit 150 mesicne, ze vlastne budu mit uz vsechno zadarmo, sem ucet obratem zrusil. Mel sem ho tam od dob ebanky.

Jako bankovnicvi zkurvili uz taky, takze smejdsky muzu mit i jinde a zadara zejo ... a taky me prestalo bavit kazdej 1/4 rok zkoumat novy podminky a na 200 strankach zjistovat, co kde zase zdrazili ...

Sifrovany sms vyzadujou simku co to umi, a takovou uz novou prakticky nemas sanci dostat. Navic nemala cast patlafounu s tim stejne neumi fungovat.