OTP SmartBank - Nem tetszik a wifi - Mi van?

Közösségi kerekasztal

"Hiba a kommunikációban. A kiválasztott WIFI hálózat a SmartBank használatához nem megfelelő!"

Üzeni az OTP.  😠

Valaki nem normális. Az is lehet, hogy én nem vagyok az.

Vagy valaki nem érti mire való a titkosítás (pl.: TLS 1.2 vagy magasabb).

Vagy?

  • 5119 megtekintés

( kvarga | 2025. 03. 25., k – 13:03 )

Szerkesztve: 2025. 03. 25., k – 13:04

13:01, weboldal
"Tisztelt Ügyfelünk! Technikai hiba miatt jelenleg csak korlátozottan elérhető a vállalkozói Smartbank felület az Androidot használó felhasználók számára. Kollégáink nagy erőkkel dolgoznak azon, hogy a rendszer mielőbb a megszokott módon működjön. Kérjük, hogy az OTPdirekt felületen, tehát böngészőből próbáljon belépni. Türelmét köszönjük."

A bejegyzésed hibaüzenetére keresve találtam korábbról hasonló panaszt, ahol szintén sunnyogás volt. Keress egy normális bankot.

( Tom | 2025. 03. 25., k – 17:09 )

Szerkesztve: 2025. 03. 25., k – 17:10

Nem lehet hogy lekérdezi hogy milyen azonosítással vagy fenn a WIFIn és az az Open vagy WEP miatt nem tetszik neki, ha Telefonról használod?

Azt nem tudom hogy PC-n le tudná-e kérdezni.

ez egy erdekes felvetes. egyik ugyfelunknek a vilag vegen, Marcalitol sok-sok km-re a nagy semmi kozepen lett egy raktara (csak azert ott mert igy/ott kaptak ra eu tamogatast...). kellett nekik halozatot csinaljunk, es mikor a wifit teszteltem talaltam meg vagy 3 idegen wifi halozatot, ott a puszta kellos kozepen. azok se voltak levedve. az egyiken terfigyelo kamerak voltak. a masik talan valami konyvtar nevu ha jol emlexem, de persze a kozelbe se volt semmi.

> Vagy jobbat mondok

en is mondok: szinte barmelyik iskola, szalloda, plaza, rendezvenyhelyszin captive portalos wifije. az mind open, es utana a webes formon irod be a kuponodat vagy amit kernek.

Igen. Alapvetően a wifi hálózatok biztonságához semmi köze nincs annak, hogy hányan laknak körülötted. Ha forgalmazol olyan adatot a wifiden, ami érzékeny lehet - és mi lehet érzékenyebb a banki adataidnál? - akkor igenis védeni kell. Mert odaautózik valaki, vagy lerak egy random eszközt, ami sniffeli a hálózatot, észre sem veszed, mert eg 15x15 cm-es kis kocka, de a forgalmadat már kitovábbította valahova, ahol majd kezdenek vele valamit.

A másik ilyen indok, amiért érdemes védeni, az az, hogy ne boldog-boldogtalan a te neteden csüngjön. A mai mobilok ugyanis olyanok, hogy hacsak nem kapcsolod ezt expliciten ki bennük, boldogan csattannak fel az összes védtelen (értsd: jelszó nélküli) wifire. Aztán majd nézel, hogy mitöl olyan lassú minden, ja hogy még tizen élősködnek a neteden...

Egy WPA-PSK ezekre már bőségesen elég lehet. Annyira mindenképp, hogy a script kiddie-ket elriassza, a többi meg már mérsékelten múlik csak rajtad. És még nem fogják a netedet se szívni.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

> ahol majd kezdenek vele valamit

es megis mit? TLS vajonmi...

> boldogan csattannak fel az összes védtelen (értsd: jelszó nélküli) wifire

dehogy. 10+ eve meg talan, ma mar alig akarnak ra felmenni, ugy sopankodik ha ilyenre szeretnek szandekosan csatlakozni.

eduroam-ra (wpa2+radius) viszont siman felmegy (iskolasok elonyben), a Blahanal lehet latni a wifi forgalmon mikor halad el a villamos az egyetem epulete elott.

> hogy a script kiddie-ket elriassza

es a Kali-kiddiket?

A tls csak azt mutatja, hogy a két pont között aláírt certes módon van-e kapcsolat. Azt nem zárnám ki, hogy a fizikai hálózaton lévő kalóz dhcp szerver segítségével nem lehet-e úgy eltéríteni a forgalmat, hogy egy kamu serverre dobjon át, ami az eredetire hasonlító, de trükkös karaktert tartalmazó hostneves és vele nagyon valid titkosítot kapcsolatod lehet. És a kalóz szerver és a bank közti s nagyon valós titkosított kapcsolat lehet. Csak a közbeékelődő szervernél minden titkostatlanul elérhető.

Persze, ha az appok fel vannak rá készítve, hogy ne lehessen eltéríteni a kérést, ne lehessen más certet használni, az jó. De vajon fel vannak készítve? A böngészős elérésnél pedig csak a user vehetné észre, ha kifejezetten keresné a hibát.

Kalóz DNS szerverrel inkább, de alapvetően nem. Ha beírod a böngészőbe, hogy otpbank.hu a cím, és sikeresen eltérítenek egy olyan szerverre, ami otpbank.hu-nak néz ki, csak épp mondjuk az o nem a latin, hanem egy cirill o (tudtommal eltér, de ugyanúgy néz ki), és a cert CN-je is a cirill o, akkor mivel a két o karakter nem azonos, a böngésző jelezni fogja, hogy te nem ezeket a robotokat keresed ez nem az a szerver.

Szerk: Az már egy másik trükk lehet, ha egy számlalevélnek álcázott html levelet kapsz, ahol a linkben már az említett cirill o van, viszont ekkor nem kell semmiféle DNS trükk sem. Emiatt nem kattintunk linkekre.

Dhcp küldi a dns szerver címét, ha nincs máshogy a kliensnél lefixálva. A kamu betűs rész már sima, mert ahhoz tartozó másik cert elég, hogy a böngésző ne sírjon. Az egyetlen nehéz pont az, hogyan küld át a rossz címre. Ha http-ként elfogadja a böngésző az igazi címen lévő hamis oldalt, az már át tudja irányítani kamu betűs, valid certes oldalra. Csak a mai böngészők alapból próbálnak https-re váltani, akkor is, ha az eredeti oldal maga nem is redirectelnél. 

Ahogy olvasom más szálon azt már kitárgyalták, hogy appnál ezt sokkal könnyebb megakadályozni, mert az app tartalmazgatja az elfogadott certet, nem csak azt nézi, hogy egy címen a hozzá tartozó nem lejárt cert van-e.

Ez így több sebből vérzik. A DHCP lokális hálón van, ahhoz, hogy eltérítse a klienst, valahogy ide be kéne csempésznie egy rogue DHCP servert, ami ráadásul gyorsabb, mint a saját, vagy feltörni a routert. Egy DNS poisoningot vagy más trükköt már egyszerűbb elkövetni, de továbbra is probléma.

A kamu betűs rész már sima, mert ahhoz tartozó másik cert elég, hogy a böngésző ne sírjon.

Ahogy korábban is írtam: ha beírom a böngészőbe, hogy otpbank.hu és bármilyen trükkel az 0tpbank.hu-ra visz el, és ott 0tpbank.hu a cert, akkor a böngésző jelzi, hogy nem ott vagyok, ahova mentem. otpbank.hu != 0tpbank.hu.

Ha forgalmazol olyan adatot a wifiden, ami érzékeny lehet - és mi lehet érzékenyebb a banki adataidnál? - akkor igenis védeni kell.

Miért kellene a wifit védeni? Security by obscurity?

Én bizony azt várnám el a banktól, hogy építsen fel egy olyan titkosított kapcsolatot a böngészőm és az ő szervere között, hogy akkor se legyenek az adataim veszélyben, ha valaki látja a kommunikációmat.

Pl. én néha szeretnék banki dolgokat csinálni egy szállodából, egy étteremből, vagy a vonaton ülve. Nem bízom meg ezekben a hálózatokban. De nem is kell, mert a wifin csak a már titkosított adatokat küldöm át.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Az, hogy melyik bankkal "beszélget" az eszközöd, a tcp kapcsolatból látszik. Hogy _mit_ beszélget, az akkor nem látható/csomagolható át, ha van valamilyen certificate pinning a kliens oldalon, _vagy_ a kliensen tárolt kulcs szükséges a tls-ben küldött/fogadott érzékeny tartalom (jellemzően valamilyen xml content, vagy annak adott mezője/mezői) titkosításához/kicsomagolásához. 

Eleje igen, a második fele nem. Így kezdtem "A támadó bejuttat egy fake ca-t a megtámadott eszközre" - azaz csinál egy saját CA-t, azt valamilyen módon bejuttatja a megtámadott eszközre hiteles CA-ként, és máris mehet az átcsomagolás.
Egy munkahelyen például ilyen lehet a céges web proxy is akár: az azon lévó https proxy saját CA-jának a certje ott kell, hogy figyeljen valamennyi gépen - és onnantól kezdve a céges proxy belelát a forgalomba akkor is, ha az "sima" https.  (Amikot gyakorlatilag L4-ben vagyunk, ha a TLS teljes működését vesszük, akkor az L4 és L7, ha L7-ben is van a végpontoknál szűrés, akkor egy ilyen mitm proxy-n el fog hasalni a kapcsolat. Ezt elkerülendő olyan esetekben, amikor mindenképp mennie kell a forgalomnak, _és_ a tartalom bizalmasságát is meg kell tartani kerül előtérbe az L7-en belüli plusz titkosítás, amihez a kulcsot maga a sw tárolja/kezeli.

Ja értem. Akkor erre gondolsz cert pinning alatt? https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
De ugye céges környezetben az hogy nézegetik a forgalmat MITM proxyval az általában tudott dolog, hiszen nem is titkolják, ugyanazzal a certtel szokott menni minden a proxyig.
De amúgy értem a koncepciót, nagyon erősen célzott támadás kell hozzá, nem hiszem hogy a "köznépnek" ilyen támadásokkal kell foglalkoznia, mass phishing szerintem jobban kifizetődik a rosszfiúknak.
 

( persicsb | 2025. 03. 25., k – 19:04 )

Szerkesztve: 2025. 03. 25., k – 19:05

Belenyúlsz te a hálózatba valamilyen proxyval? Esetleg lecseréled a tanúsítványt? Ha van cert/key pinning, akkor azt az app észreveszi. Normális banki appban van cert/key pinning, én is implementáltam ilyet jó 10 éve már, igaz, az nem magyar bank volt. A bankok nem szeretik az MITM-et, és szeretnék megelőzni, mert biztonsági kockázat az,ha bárki belehallgat a csatornába.
 

Hát, vagy kulti bele van írva a kliensbe, hogy ilyenkor toljon valami értelmes textet, vagy simán csak kibassza valami errorba az openssl ember számára értelmezhetetlen hisztijét. (Ami ugye jó, mert legalább nem tudják leszopatni a usert. Error oldalt kiszolgálni és online megjeleníteni ilyenkor ugye nem jó, mert olyat tudhat csinálni mallory is. A push notik még így is csücskösek).

Esetleg van a páncélban eldugva egy backup cert, amit ilyenkor elő lehet venni, és szintén trusted.

Ettől függetlenül az appstore az jó, mert független channel, kimegy a frissítés, a legtöbb usernek automatán lemegy. Addig meg nem működ, a telefonos üf. szolgálaton meg bemondja a robot néni a többieknek, hogy frissítsél.

Ez a része szerintem nem annyira borzalmas tákolás, az appba némi tisztességes hibakezelés kell kb. Inkább arról van szó, hogy:

  • nem univerzális, a sima PCs / webes világban nem működik, mert nincs side channeled
  • A szopkovics része a másik oldalon van, az ilyesmi kutya rosszul muzsikál mindenféle scalinggel meg cdn-nel, meg ilyesmivel (vagy hát minimum vastag szopás), de már csak a bankon belüli security cuccok integrálásval is vet fel kérdéseket
  • általában véve a sima CA alapú trust modell elég jó (még ha egyébként nem is, mert eleve mindenféle baja van technikailag is, meg processz szinten is legkésőbb azóta tudni lehet, hogy CA probléma esetén nem csináljuk meg a fájdalmasat, mióta a letsencrypt baszott visszahívni 3 millió certet), in practice a legtöbb dolog elvan így.

Tudom, hogy worksfortrey, de nekem ez az alkalmazásboltos automata frissítés dolog nagyon nem mutat konzisztens és jó eredményeket. 4 azonos telefonból vontam le a messzemenő következtetéseket (meg a korábbiakból): van ahol meg se röccen a frissítés (azért amikor ránézek X hónap után a 98%-ban működő Wifis internyettel rendelkező telefonra, és kézzel kell 50 fölötti szoftver frissítését elindítani, azt én nem nevezném megbízhatónak). Máshol meg egészen tűrhető gyakoriság látszik.

De amennyiben egy certcsere miatti appfrissítést lekezelnek oly módon, hogy az alkalmazás a felhasználó által beállított nyelven kultúráltan azt mondja, hogy "az ön telefonos alkalmazáson keresztüli banki elérése 3-2-1 hónap / hét / nap múlva nem fog működni | már nem működik amennyiben addig az időpontig nem frissíti fel az alkalmazást. Megtegyük most?" - szóval ez még so-so.

De félek, nem így működik.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem kell a certet beéégetni, elég a publikus kulcsot tudni. A cert amúgy sem más, mint annak a tanúsítása, hogy az X kulcspár kié, és ezt úgy teszi meg, hogy aláírja a tanúsító az X kulcspár publikus tagját, ezzel hitelesítve azt. Semmi másról nem szól egy cert igazából.

És ahhoz, hogy tudd, hogy akivel kommunikálsz, az kicsoda, elég, ha beégeted a publikus kulcsot.

Akkor van gond, ha maga a kulcs kompromittálódik, de erre meg kevés az esély.

Nem nagyon van különbség aközött, hogy a certet égeted be, vagy a publikus kulcsot. A múltkor nagyjából kitárgyaltuk, hogy a legtöbb esetben a cert csere kulcscserét is jelent, mert új kulcspár generálódik alapesetben, tehát a kulcs beégetése esetén is cserélni kell, amikor a cert változik.

Ideális esetben a privát kulcs nem másoható, nem többszörözhető. Persze megoldható, hogy a kulcspár generálásakor elteszed a publikus kulcsot, és mindig arra kérsz megújítást (vagy akár kiszeded a meglévő certből), de folyamatában egyszerűbb új kulcspárat generálni a CSR készítésekor.

( gigalomania v | 2025. 03. 26., sze – 10:54 )

Hibát javították.

Egyébként mobilnetről sem ment, nem a wifivel volt gondja.

( babo v | 2025. 04. 02., sze – 00:09 )

Szerkesztve: 2025. 04. 02., sze – 00:10

Most, pár perce, ismét ez az állapot állt elő. 

Döbb...

( trey | 2025. 04. 10., cs – 13:26 )

Szerkesztve: 2025. 04. 10., cs – 13:26

Mobil app: lerohadt, csak áll a login logónál, vagy éppen "nem megfelelő a hálózatod" hibára áll ki ...

trey @ gépház

Én azt nem értem, hogyha ilyen copások vannak, akkor miért marad valaki adott szolgáltatónál... Nálam a gyagyagyuris bank esetében rezeg a léc, de nagyon - bár az utóbbi időkben (lekopogom: kop-kop-kop) egészen elfogadhatóan működik - bár amekkora nagy böhönc az apk...

( AMDFan | 2025. 04. 10., cs – 15:12 )

curl: (28) Failed to connect to internetbank.otpbank.hu port 443 after 75018 ms: Couldn't connect to server

Kíváncsi lennék, hogy a mai technológiák mellett hogy tud ennyire elszállni valami, hogy már a tcp kapcsolat sem alakul ki.

Persze. Én csak arra gondolok amit írtam is. Ha már a TCP connection sem tud kialakulni akkor mar a core infrastrukturaval gondok vannak.
Georedundancia esetén egy prefixet A helyett B helyre routeolni szerintem alapvető lenne.
Ebből kiindulva lehet, hogy invitechnél volt a gond: https://bgp.he.net/AS211595#_graph4

Bár nem nekem szólt a kérdés, és nem vagyok hálózati szakember, de azért van ötletem.
Pl.:
A szerverterem az Y. kerületben
B szerverterem a Z. kerületben

Mindkét szerverteremben lévő edge router hirdeti 84.2.54.38/32 prefixet az ISP felé (aki ebben az esetben az invitech). "A szerverterem" a preferált.
Amennyiben A szerverteremnél átvágják a kábelt, leszakad a BGP peer, és invitech a továbbiakban "B szerverterem" felé routeol.

igen, ez lehet egy megoldás. Bonyolítsuk a helyzetet: Egy szolgáltató nem szolgáltató, szóval két szerverterem, két külön szolgáltató, ezen a szinten pedig már nagyon nem szeretik a hosszú prefixeket BGP-n hirdetni. Utána már csak az a kérdés, hogy egy kiesés esetén mennyi idő alatt jut el távolabbra, hogy más úton kell eljutni a csomagnak. A BGP konvergenciának van némi ideje, az alatt pedig előfordulhat, hogy a TCP session sem épül fel.

Hát hirdethetik a /24-et is, a /32 csak példa volt :)
Mondjuk nem tudom mennyire gyakori, hogy BFD-t használnak, de az azért jelentősen gyorsítja a BGP konvergenciát.
Amúgy egy ilyen kábelátvágós esetnél szerintem megbocsátható egy rövid kiesés, 100%-os service amúgy sem létezik.

Én arra gondoltam, hogy amikor mondjuk nem megy a mobil app, megpróbálom még 3-4x, megpróbálom mobilnetről is, még mindig nem megy, jó akkor megnézzük curl-el is hogy miújság, és még mindig nem megy a TCP connection, az már valami nagyobb bajt jelez.
Persze ha tényleg ekkora DDOS volt, akkor mit lehet tenni...

Normális adatközpontba nem egy irányból jön be az optikai szál, hanem minimum az épület két külön oldaláról külön nyomvonalon jönnek a külön uplinkek, pont az ilyen esetet elkerülve.

Lásd például: https://www.invitech.hu/adatkozpont-es-kollokacio-infrastruktura-szolga…

  • Két független ponton történő optikai betáplálás, szeparált optikai nyomvonalak

Onnan indultunk ki, hogy hogyan fordulhat elő, hogy már a TCP kapcsolat sem épül fel. Az alapvető cél kiküszöbölni minden lehetséges problémát. A központi szerverterem melletti kábelkupac egy olyan probléma, amely elvileg nem okozhat ilyet, mert van egy másik központi szerverterem is. Tehát ez a legkisebb gond.

de akkor most mit részletezzünk? azt mondtad, részletezzem, hogy mi a megoldás arra, hogy elvágják a kábelkupacot, mert abba bele lehet kötni. most meg mondod, hogy ja, hát ez a legkisebb probléma, és van rá megoldás.

ezt írtad: "Tudnád részletezni? Kíváncsi vagyok, mennyire lenne könnyű belekötni :) Igazából mindenre van megoldás, más kérdés természetesen a megoldás ára."

ezek szerint akkor mégsem annyira könnyű belekötni, és mégsem annyira drága, ha ez a legkisebb probléma szerinted is.

Elnézésedet kérem. Visszaolvastam, és valóban a te állításod csak arra vonatkozott, hogy a kábelkupac elvágása ellen hogy lehet védekezni. Ebben igazad volt/van, arra jó megoldást írtál. Bennem dolgozott a korábbi kérdés is, ami egy kissé messzebbre ment, ráadásul nekem alapvető volt, hogy egy nagybanknak nem egy gépterme van, és azok vannak annyira távol egymástól, hogy nincs akkora markoló, amely egyszerre minkét gépterem bejövő kábelét át tudja vágni :)

Neked a te részedben teljességgel igazad van.

Nyilván a CAP tétel megmondja, hogy MINDENRE nincs egyszerre jó megoldás. Mert azért a tranzakciós konzisztenciát tartani kéne, a számlaegyenlegnek mindenhol szinkronban kéne lennie, és közben redundánsnak is stb. Nyilván tudjuk már elméletileg is, hogy egyszerre minden nem oldható meg. Vannak viszont bizonyos esetek, amik megoldhatók.

Ha a szolgáltatást CDN mögé teszed, és a CDN és közted van két biztonságos útvonal két külön gépterem felé (itt már lehet eltérő IP, lényeg, hogy a primary kiesése után viszonylag gyorsan át tudjon váltani a secondaryra, akkor már egész jó eredményt el lehet érni. Ennek hiányában lehet játszani GSLB-vel (https://wtit.com/f5/dns/), ezzel már elég rövid kieséseket lehet elérni nagyobb gond esetén is (akár másik régióban is lehet a backup), persze egy kiesés esetén az épp fennálló sessionöknek annyi, de ez már alkalmazási szint, hogy a le nem zárt session rollbackje meglegyen, ha szükséges, stb.

De ez nem oldja meg a partiocionálási problémát. Általában azt szokás mondani, hogy oké, eventual consistency van, majd valamikor helyreáll és minden node ugyanazt tudja a világ állapotáról.

Ugyanis itt nem nagyon elég az eventual consistency, a pénzügyi művelet az vagy végrehajtható, vagy nem. Nem igazán van utólagos elszámolás, főleg nem az AFR-ben, ahol van 5 másodperced végrehajtani a tranzakciót (vagy elutasítani azt).

( guszti | 2025. 04. 10., cs – 15:33 )

Ez a jelenség nálam is beütött. Elmennek a véreres................., oda.

El nem tudom képzelni, hogy mi a bajuk lehet egy osztrák fiber szolgáltató rendszerével. Eddig működött.
Most nézem ezt a szép képernyőt. Amit ti is láttatok.

Sőt a Yettel roamingban sem jó nekik.

Sőt az sógorok saját belföldi mobil szolgáltói netje sem jó neki.

Olyan szépen tudnék káromkodni, de inkább nem.

Nem nyitok, de rohadt szarul érintett. Gyorsan kellene intézkednem. De mentségükre mondva, egy kis pacsit is megérdemelnek. Mivel a régi-régi otpdirekt oldalon be tudtam menni azonosító-számlaszám-jelszó trióval. Egy nagyon apró betűs részben kicsit kiemelve a QR kód alatt. Sms azonosítóval sikerült.

De, csak azért, mert amíg lehetett csak így bankoltam. Fejemben vannak az adatok.

Gondolj bele egy olyan userre, aki csak tapicskol, nyomja ész nélkül. QR kód nélkül rengeteg ember meg sem tud mozdulni.

 

Begőzöltem, rohadt ideges lettem.

( AMDFan | 2025. 04. 14., h – 10:23 )

Megint szar... Azert ez nagyon gaz...