"A banki rendszerek azért preferálják a Microsoft Windowst, mert

Microsoft Windows

az proprietary, nyilvánosságra nem hozott, encripted kodot tartalmazo API hivasokra tud valaszolni.  A  Linux, a nyilt forráskódja miatt ilyesmire képtelen."

  • 4953 megtekintés

( locsemege v | 2023. 11. 02., cs – 23:32 )

Vonjuk le a logikus következtetést! Ha ő ugyanannyit nyom, mint egy kacsa, akkor fából van. Következésképpen? Boszorkány! :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Tassadar v | 2023. 11. 03., p – 08:02 )

Mi a szösz az “encrypted kódot tartalmazó API hívás”?

( mraacz | 2023. 11. 03., p – 08:12 )

A költő szerintem valamilyen olyan kommunikációra gondol, amit a banki azonosítás használ és indokolja a zárt forráskódot.

( Adamyno | 2023. 11. 03., p – 08:53 )

Szerkesztve: 2023. 11. 03., p – 08:53

Ez tipikusan az a műsor, hogy azért titkos valami, mert nem mondom el, hogy hogyan működik :D

A sült bolondok meg is eszik ezt a szöveget.

A kriptográfia nem véletlenül külön tudományág. Egy pl. md5 is azért szar, mert mindenki tudja hogyan működik. Ja nem.

 

Aki a zárt rendszert írja, abben pedig feltétel nélkül megbízunk. Aha, értem :)

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Egyáltalán nem volt rossz példa. Az Md5-ről tudjuk, hogy kriptográfiailag nem biztonságos hash. Teljesen jó példa. A hash függvények lehetnek nagyon sokfélék, a kriptográfiailag biztonságos hash függvényeknek külön kritériumoknak kell megfelelnie, és ezen típusú hash függvények kutatása az bizony a kriptográfia területére tartozik.

Egyáltalán nem volt rossz példa. Az Md5-ről tudjuk, hogy kriptográfiailag nem biztonságos hash. Teljesen jó példa. A hash függvények lehetnek nagyon sokfélék, a kriptográfiailag biztonságos hash függvényeknek külön kritériumoknak kell megfelelnie, és ezen típusú hash függvények kutatása az bizony a kriptográfia területére tartozik.

( hnsz2002 v | 2023. 11. 03., p – 08:56 )

Nincs ebben semmi meglepő, még most is ott tartunk, hogy van aki szerint az, ha nem publikus hogy működik, akkor biztonságos (nem csak titkosítás).

"Sose a gép a hülye."

Volt már olyan 2006-ban, hogy a kormány mesterségesen szította az inflációt. Akkor valahogy a lakosság ráérzett, hogy merről fúj a szél, mostanság viszont tapsolnak, hogy az Orbán majd megment minket.

Az uniós előírásokat is addig veszik komolyan, amíg a nép partner hozzá. A kúttörvénynél már kiderült, hogy igazából az is csak javaslat volt...

Mert szerinted a topiknak mihez van köze milyen szempontból? :-D

Többszöri kérdésre se derült ki, hogy ezt ki mondta, kinek, mikor és mire.

Még az is lehet, hogy a topik indítója egy olyan beszélgetésből idézett, amit önmagával folytatott le megfelelő mennyiségű varázsgomba elfogyasztása után.

Science for fun...

( dotnetlinux | 2023. 11. 03., p – 10:07 )

"A banki rendszerek azért preferálják a Microsoft Windowst, mert": valaki más (nem baj ha pénzért, mert az van) vállalja a felelősséget a (vállalható) hibátlan/biztonságos működésért.

Az IT vezeto megkerdezi, hogy mi a biztonsag garanciaja. Jobban hiheto a sok 10ezer cég használja, mint az hogy a legjobb tudasom szerint beallitottam. 

Felhos banki kornyezetben (van ilyen is) elsore szolgaltatoi felhore lonek (aws), amikor ott megy akkor hozzak le a foldre, sajat felhobe. 

Károkért nem vállal semmi felelősséget kb semelyik szoftvertársaság sem.

A nagy különbség inkább a tanusitványok, pl. Common Criteria EAL-4 és társai. Sql server 2022-nek pl. most fejeződött be a tanusitása.

Bankokban és nagyvállalatoknál ez pl. követelmény, hogy csak tanusitott szoftvert használhatnak kritikus rendszerekre.

És itt jönnek képbe a biztositók, akik pl. már vállalnak anyagi felelősséget szoftveres károkért, ők szintén megkövetelik pl. CC-t vagy olyan dijat számitanak fel, amit nem akarsz kifizetni.

Rendben van, de itt magánszemélyekről van szó, akiket nem azért kényszerítenek a Windows használatára, mert az nekik biztonságosabb, hanem azért, mert a bank konzorcium és a svéd állam úgy döntöttek, hogy a zárt kódú rendszer biztonságosabb, mint egy más rendszer. Nekem úgy tűnik, hogy máshol másképp látják ugyanezt (Open eID).

A magánszemélynek itt semmiféle kár érvényesítésére nincs nagyobb esélye a Windows kötelező alkalmazása miatt, még akkor se lenne, ha a Microsoftnak létezne bármiféle ilyen vállalása. Nyilván igazad van, az is kérdéses, hogy a Microsoft felelőssége a bankok felé relevánsan nagyobb biztonságot jelent-e mint egy nyílt forráskodú rendszer biztonsága. Itt nem játszik az informatika, itt az erősebb kutya dominál.

Ez nekem off topicnak tűnik. Nyilt forráskodú rendszerek nem tanusíthatók?

A marketing bullshit maradjon a banki vezetők problémája, engem a biztonság technológiai aspektusa érdekel.

Svédországban mindenkinek kötelező a Windows, ha bankolni akar, egészségügyi ellátást akar stb. Van-e ennek technológiai oka?

Az idézett szakértő szerint van.

Dolgoztam CC auditon. Ez úgy néz ki, hogy egy adott terméktípusra (pl. HSM, SAM modul, stb.) van egy un protection profile, ami a CC-ből származtatva testreszabja a követelményeket, és azt kell megmutatni, hogy a rendszer és a környezet azokat hogyan teljesíti az elvárt biztonsági szintnek megfelelően. Nem csak a rendszer, hanem a komplett fejlesztési folyamatra be kell mutatni, hogy amit csinálsz, az biztonságos/lekövethető módon teszed. Ezután jön egy külsős auditor, aki CC auditra specializálódott, aki végignézi az átadott anyagot, végig kell mutogatni a folyamatokat, stb. Ha minden oké, akkor megkapod a tanúsítást, hogy a termék eléri az adott biztonsági szintet. 

Egy nem túl komplex modulra az audit anyag 1000 oldal felett szokott lenni, a költségeket pedig ennek megfelelően el lehet képzelni.

Ha érdekel, akkor a https://www.commoncriteriaportal.org/cc/ oldalon nagyjából meg tudod nézni hogy mi van a CC-ben. 
Itt pedig terméktípusonként találsz protection profile-t: https://www.commoncriteriaportal.org/pps/

Mi? Ez nem csak a Windows-ról szól, hanem minden termékről, ami használatban van azokon a részeken, ahol elvárás a tanúsítás. OS, web szerver, adatbáziskezelő, stb.

Egyébként RHEL, Ubuntu, SLES is tud CC audit megfelelőséget szállítani, de a kérdés az EAL illetve hogy valójában mi is van benne.

Így van. Szerintem ezért nem lehet a tanusítottságot a Windows mellett szóló érvként felhozni. A tanusítás nem csak a zárt kód esetén lehetséges. Valószinűleg nem azért választott Svédország kötelező Windows használatot, mert a BankID nevű program tanusításához ez kellett vagy mert általában egy zárt kódú alkalmazás könnyebben lenne tanusítható.

Egyelőre erősen hajlok arra, hogy nem biztonsági szempont okozta a zárt kód preferálását egy nyílt forráskódú cross-platform alkalmazás helyett, ahogyan azt a szakértőnk állította.

A tanúsítás nyílt forráskódú rendszerre is lehetséges, de kizárólag úgy, hogy a mögött egy cég áll, nem is a termékek, hanem a fejlesztési folyamatra vonatkozó követelmények miatt, ezért is csak a fizetős disztribek csináltak CC tanúsítást. 

Ettől függetlenül - mert kicsit szerintem félrement a beszélgetés - a fő probléma az, hogy a protokolljuk zárt. Magyarul senki nem tudja, hogy mit csinál, ez pedig a fő probléma. Lent már linkelték, de beküldöm mégegyszer, ez teljesen jól összefoglalja a problémát:

https://www.monperrus.net/martin/bankid-digital-exclusion

Viszont találtam egy nagyon érdekes cikket ami leírja hogy pontosan hogyan is működik (működött régebben) a BankID:

https://link.springer.com/chapter/10.1007/978-3-540-69485-4_14

https://dl.ifip.org/db/conf/sec/sec2008/EspelidNKH08.pdf

Nem attól számít ez második faktornak, mert ez egy külön eszköz, hanem attól második faktor ez, hogy egy másik, független csatornán kapod meg a hitelesítési adatot, amire egy másik, független csatornára való autentikációval tudsz belépni.

Attól két/többfaktoros az azonosítás, hogy egynél több bizonyítékot kell felmutatnod, hogy valóban te vagy az, és ezen bizonyítékokat az elsőtől független csatornán tudod bebizonyítani.

Például ahhoz, hogy használni tudjam az időalapú tokent egy belépéshez, az authenticator alkalmazás külön jelszót/biometrikus azonosítást kér.

Azaz ha ellopják a telefonomat és emellé ellopják a banki jelszavamat, attól még az időalapú tokenhez nem férnek hozzá, az egy másik csatorna, hiába ugyanazon az eszközön van.

 Az SMS ilyen szempontból nem is jó második faktor (emiatt vezetik ki egyre több helyen), mert azt anélkül el lehet olvasni, hogy meg kelljen adni egy másik, a bankitól eltérő azonosítót. Az SMS csak ott használható, ha valóban külön eszközön bankolsz és külön eszközön azonosítasz.

A mobilos app esetén a push ugyanoda érkezik, de "aktiválnod", azaz az adott tevékenységet jóváhagynod biometriával tudod, ha valóban a biztonság a fontos számodra.
Lehet_ne_ nfc-s idő alapú tokent használni 2. faktorként, de az a mobilbanki felhasználásnál messze több hátránnyal járna, mint előnnyel.

"Már miért lenne alkalmatlan az SMS?"

Ez azért egy picit meglepett.

Valaki, aki ennyire odafigyel a "biztonságára", hogy nem használ semmilyen elterjedt rendszert, mert fél, hogy feltörik vagy megfigyelik, nem hallott róla - az elmúlt 10-15 évben egyszer sem, mióta ez közismert - hogy az sms második faktornak a létező leggyengébb megoldás, könnyedén törhető, klónozható, hamisitható a küldő, stb-stb.

Nehogy elmondd! Egyrészt magyar vagyok, magyar nyelvű találat érdekel, másrészt az a sejtésem, csak akkor biztonságtalan, ha annyira gyengeelméjű valaki, hogy okostelefonon intézi a banki logint és ugyanoda várja az SMS-t is. Sokadjára mondom, nincs okostelefonom.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Le lett már irva több embertől, több példával, egyre több helyen konkrétan kivezetik az sms 2FA-t, mit szeretnél még hallani?

Nem, nem csak akkor veszélyes, ha mobilon bankolsz, ez is le lett irva, ráadásul olvastad is, mert letudtad a dolgot azzal, hogy majd ha nem lesz térerőd, akkor majd észreveszed hogy baj van. Legyen igy.

Azért nyugtass meg, a butatelefonod is olyan, mint a legtöbb, hogy zárfeldoldás nélkül is elolvashatóak a bejövő sms-ek, már az überbiztonság jegyében.

Az meg gondolom nyilvánvaló számodra, hogy az sms cleartextben utazik a szolgáltató hálózatán, hátmég szolgáltatók között, igy amikor attól félsz, hogy a gonosz nsa backdoort épitett az oprendszerekbe és nehogy lehallgassanak, akkor a létező legprimitivebb technológiát használod, amiről 20 éve tudni, hogy lyukas, azokon a hálózatokon ahol a prism meg még az ufók is letették a mindent lehallgató kütyüjüket, ahol még titkositást se kell megfejtsenek.

Olyan eszközt fog megkövetelni, ami az elvárt biztonságot tudja úgy a folyamat, mint a végberendezés/eszköz szintjén hozni. Egyébként mire ez bekövetkezik, addigra remélhetőleg a "készpénzben a fizetést" alakokra ráverhető lesz a készpénzkezelés _valós_ költsége...

Lehet, segítene, ha elmondanátok. Egyrészt ha valaki számhordoz másik SIM-re, akkor az felveti a szolgáltató felelősségét, hogy még a személyit sem kérte el. Másrészt, ha sikerül a számhordozás, észre fogom venni, hogy nincs térerőm. Harmadrészt az ellenség nem tudja a banki oldalhoz a jelszavamat, de szerintem még a felhasználónevemet sem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Vagy nem érted, vagy nem akarod érteni, amiket leirtam és mások is leirtak neked, az sim klónozásról, hogy cleartext utazik az sms egy rakás hálózaton stb-stb. Elolvasod, majd lököd tovább a süket dumát, mintha mi sem történne.

Folytathatnánk évtizedek óta ismert 2G GSM lyukakról amit nem tudnak foltozni, hogy lehallgatható stb-stb. de nem látom értelmét.

De nem is önmagában érdekes az, hogy sms 2fa-t használsz, egy rakás szenilis nagypapa is megtanulta használni - ráadásul ők is pont úgyanúgy nem értik, hogy miért kell, mint te - azért érdekes, mert közben nyomod a prism-nsa hülyeséget, meg a mindent lehallgatnak, minden backdoor-os, szar az okostelefon mantrát, neked hiperbiztonságra van szükséged, majd jössz az SMS-sel.

Hozzáteszem, kicsit sem tartalak hülyének, elektronikában pl. iszom szavaid, ha csak tizedét tudnám már boldog lennék, de IT-ben, biztonság témakörében messze kerüllek :)

Ott tévedsz, hogy én két külön dologról beszélek, amelyeket valamiért összemosol.

1) Nem használok okostelefont, mert nekem ne legyen GPS/GLONASS a telefonomban, ne legyen internet elérhetősége a telefonomnak!

2) Egy másik probléma a tufa banki műveleteknél. Nekem elég lenne a felhasználónév, jelszó páros is, de ha annyira akarják, üsse kő, legyen SMS. Mivel elég lenne tufa nélkül is, pont nem érdekel, hogy a tufa mennyire lyukas, ha az történetesen SMS.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Fentebb már elmagyaráztam miért baj, ha nincs (biztonságos) 2FA a bankodhoz (ill. egyébként bármelyik fontos netes szolgáltatáshoz amit használsz), de isten bizony bele nem kezdek ennek is az elmagyarázásába vasárnap délután, már annak is örülök, hogy addig sikerült eljussunk, hogy az SMS nem biztonságos.

Nem is az SMS elkapása miatt aggódnék, hanem a következő támadás miatt (ez a leggyakoribb támadás)

Csinálnak egy kamu weboldalt, például xxx-bank.hu, ami pont ugyanúgy néz ki mint a bank amit használsz.

Teletolják a google-t reklámmal, hogy az jöjjön fel elsőnek.

Te bankolni akarsz, beírod a google-ba hogy xxxbank és bejön a hirdetés

Ráböksz

Bejön a weboldal, ahol megadod a felhasználóneved és jelszavad. Ezt már ellopták.

Kapsz egy SMS-t, amit beírsz a támadó oldalra. 

Ezt is ellopták.

Innentől a támadó már bent is van a rendszerben és elkezdhet garázdálkodni.

Ehhez a támadáshoz nincs szükség arra hogy ellopjam a hálózatról a neked küldött SMS-t vagy klónozzam a SIM kártyádat, és sajnos ez a próbléma az összes SMS mint második faktort használó rendszer esetén. A TOTP-nél egyébként ugyanez a probléma.

Ennél durvábbat is láttam:

Valaki megnyitotta a böngészőjét. Bejött egy oldal, mondjuk az volt odaírva, hogy Üdvözli a Firefox. Volt az oldalon egy Google kereső sáv. Az illető a kereső sávra rábökött, beleírta, hogy Google. Enter. A találatok között elsőként megjelent a google.com. Rákattintott. Bejött a Google. Rákattintott a kereső sávra, és utána beírta a weboldal nevét, ahová menni akart. Mittudomén, HSBC. Megjelent a találatok között a HSBC, ráklikkelt, aztán ment bankolni.

Ne kérdezzétek, miért. Azóta sem értem. Rákérdeztem, nem tudta megmagyarázni, csak azt, hogy hát így szokta.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Az usernév+jelszó lóf...sz, nem biztonság. Kapsz egy fake netbanki oldalt a "pimpelt" böngésződben. user, jelszó, jön az sms, beírod, rendben van. a túloldal beléptet a netbankodba, megmutatja, mit ad vissza, majd feléd dob egy login képernyőt, a bank felé meg egy SCA-s telefonszám cserét. Ez utóbbiről jön egy sms, te beírod a fake oldalon, a túloldal az SCA-s telefonszám cserét ezzel validálja - majd csinál egy jelszócserét, és ki vagy zárva a netbankból.

Ennél persze "picit" bonyolultabb a dolog, de a mobilod megtámadása nélkül (TE írod be az SMS-ben kapott kódot!) ki vagy hajítva a saját netbanki fiókodból.

Látom nem érted, okostelefonon kell, hogy bankolj, és a 2FA-hoz szükséges dolgokat ugyanazon az eszközön csináld, mint amelyiken bankolsz, mert a google szuperbiztonságos Androidja garancia arra, hogy ez megtörhetetlen.

Ha pedig olyat szeretnél, hogy az azonnali átutalás mégse legyen teljesen azonnali, hanem pl. bizonyos értékhatár felett várakozzon már fél órát, hátha rájössz addig, hogy átvertek, na az olyan feature, ami felforgatná az egész bank IT-ját, így lehetetlen megcsinálni.

Sokadszor... NEm csak rólad van szó. Egyébként egy rosszindulatú böngésző add-on sokmindenre képes, maradjunk ennyiben. De elég, hogyha a böngésző által használt trusted CA-k közé belapátol valamit, és utána proxyzza a forgalmadat - te a böngészőben azt látod, hogy "biztonságos", hogy jó a cert...

Ennek a problémának a megoldására nyílt forráskódú megoldás is van, ami semmivel sem kevésbé biztonságos, mint a BankID esetében alkalmazott zárt kód. Nekem még mindig az a sejtésnél valamivel erősebb benyomásom, hogy a zárt kód semmiben nem ad jobb megoldást a hitelesítési problémákra.

Elmaradott vagyok, nem ismerek olyan bankot, amelyik Android apphoz SMS-t küldene. SMS-t a webes felületen a desktop felületre történő bejelentkezéshez látok.De van olyan bank, amelyik a desktopon egy QR kódot mutat, amit a telefonommal beszkennelve tudok belépni. Az általam ismert Androidos bankolós appok dupla jelszóval vagy ujjlenyomattal dolgoznak, nem SMS-sel. Olyant, hogy mindehhez egy Windowsos alkalmazás kelljen a desktopra, Svédországba kellene költöznöm. Vagy Norvégiába, azt hiszem oda is kiterjed ez a bankkonzorcium.

Ha be akarsz lépni a bankba akkor meg kell adnod a Personnummer-t (kb. személyi szám) majd kapsz egy QR kódot, amit csodák csodája, be kell fotózni a BankID-s mobil appal. Utána ott még megadsz egy pin kódot és egy ujjlenyomatot, és utána a webes felület szépen beléptet, pont ahogy elvárjuk.

https://www.youtube.com/watch?v=_IFRhba1DD0

A leírás alapján nem csak így működik. Authenticate on another device részt nézd meg, ha jól értem ez azt az ágat mutatja be, amikor egy QR kódot generálsz. Itt az én értelmezésem szerint nincs szükség arra, hogy a BankID telepítve legyen a böngésző gépre, mert az azonosítás egy külön eszközön történik meg.

https://www.bankid.com/utvecklare/guider/teknisk-integrationsguide/rp-a…

 

Én ezt tökre úgy értelmezem hogy van egy use case amikor a windows-ra telepítesz egy plusz programot és akkor nem kell mobil app, mert a program beregisztrál egy egyedi címre, és az fog elindulni amikor kiválasztod hogy BankID-val akarsz belépni. Ettől teljesen függetlenül van egy QR kód alapú belépés, ahol értelmezésem szerint nincs szükség semmilyen plusz alkalmazás telepítésére a gépen, mert az authentikáció a másik eszközön (jelen esetben mobil) fog megtörténni.

NEM kötelező az okostelefon. A Mobilbanki/netbanki szolgáltatás mellett ugyanazokat a funkciókat elérheted bankfiókban is. Mondjuk a Revolut és hasonlók esetében nem, úgyhogy ilyen alapon náluk tessék reklamálni,hogy miért csak mobilos app van...

A hard tokennel több probléma is van: drága, kényelmetlen, és rengeteg adminisztrációt/manualitást igényel, plusz mindenképp személyesen kell intézni - hogy csak a lényegesebbeket említsem...

Szóval ami már kb. 20 éve is működött (netbank okostelefon nélkül), az ma már elavult, és menj be a bankfiókba, ha nem akarsz okostelefont. Ez ám a fejlődés. Nem is használok Revolutot amúgy, és nem is tervezem. Hard token kényelmetlen - a banknak, magamnak meg hagy döntsem már el, hogy mi a kényelmes és mi nem.

30 éve anonftp-t használtunk ezerrel, meg olyan vendégkönyvet a weboldalon, ami direktben fájlba rakta le a form-ban beírt bármit is, és a megjelenítés annyiból állt, hogy a fájlokat szépen felolvasta, és betolta a html-oldalba...

Ha annyira felkészült és kifinomult/célzott támadások lennének most is, mint húsz éve, akkor sem biztos, hogy a user/pass(+SMS) megfelelő biztonságot nyújtana - de a támadások, az adathalászat az olyan mértékű, hogy ami 20 éve (vagy ami 5-10 éve is akár) jó/kellően biztonságos volt, az manapság már alkalmatlan normális biztonság nyújtására. Anno az SSL 2.0 is elég volt, manapság meg a TLS1.2-nek is rezeg a léc...
 

"Hard token kényelmetlen - a banknak, magamnak meg hagy döntsem már el, hogy mi a kényelmes és mi nem." - A banknak _is_ és az ügyfélnek _is_. A banki, szolgáltatói folyamatokat nem egyedi igényekre, hanem az ügyfélkörre kell szabni, az elvárt biztonság és kényelem között egyensúlyozva. Én pl. rühellem, hogy a VPN-hez usb-tokent kell használni - emiatt például mobilról, még kritikus helyzetben sem tudok távolról dolgozni - de megértem, hogy a 2FA engem _is_ véd attól, hogy harmadik fél elvigye az identitásomat.

Eldöntheted, hogy neked mi a kényelmes és mi nem, ahogy az étteremben is eldöntheted, hogy mit eszel: megnézed az étlapot, és kiválasztod. A banknál/szolgáltatóknál is így van: kapsz egy "étlapot", amin a választható szolgáltatások szerepelnek, és abból a számodra legkevésbé kényelmetlent választod.

A banknak _is_ és az ügyfélnek _is_

De most tényleg, hagy döntsem már el én, hogy nekem mi a jó.

A banknál/szolgáltatóknál is így van: kapsz egy "étlapot", amin a választható szolgáltatások szerepelnek, és abból a számodra legkevésbé kényelmetlent választod.

Ha minden étteremben csak tojásrántotta van, akkor abból tényleg nagyon lehet válogatni.

 

Egyébként mi van ezzel a fúj, le a zárt rendszerekkel, meg legyen minden nyílt, Linux előre mozgalommal? Régen választhattál Windowst, most meg iOS-t vagy Androidot.

De most tényleg, hagy döntsem már el én, hogy nekem mi a jó.

Kérhetsz egyedi ajánlatot a banktól, valószínűleg a számlavezetési díja nem lesz olcsó. Vagy épp nem lesz benne betétbiztosítás, meg sok minden egyéb, amit amúgy elvárnál a banktól.

Ilyen embereknek kellene azt mondania a banknak, hogy ok, ne használj biztonságos 2fa-t, cserébe levisszük a bent lévő pénzed biztositását 0, azaz nulla forintra. Ha ellopják, akkor mehetsz ahova akarsz, banktól ne kérjél kárpótlást.

És akkor az "okosok" is boldogok lehetnek, hogy nem terhelik ilyen "butaságokkal" őket és a bank is megnyugodhat, amikor lerabolják őket.

Ja persze, mert a szuperbiztonságos 2FA-s okostelefon használóktól még nem loptak el egy forintot sem. Meg itt is volt cikk, amiben nem igazán az volt, hogy kártérést kapnak, hanem inkább az, hogy még a bank indít pert a user ellen...

Amikor hetente jönnek a hírek, hogy százasával szedik le a malwaret az "ellenőrzött" app storeokból, akkor hagy ne egyem már meg ezt az okostelefon a biztonság záloga szöveget. De csak ha végignézed egy random keresésre adott találatokat a google playen, az eredmény siralmasabb, mint a Windowsra telepíthető mindenféle szir-szar a 2000-es években.

De ha tényleg valóban biztonságosra akarnák csinálni - adnának hard tokent. Vagy van több nyílt szabványú OTP-s megvalósítás (nem a bank), aminek algoritmusát akár kenyérpirítón is futtathatod, nem kéne egyedi, okostelefonhoz köthető 2FA-t feltatálnia egyiknek sem.

"még a bank indít pert a user ellen" - Ott egyértelműen a makkos asztali gépen összekötött 2FA SMS volt a gáz: az almás identitását "vitték el", onnantól az éjjel kapott sms, ami beszinkronizálódott a fertőzött gépére reggelre el is tűnt, ahogy a hiteligényléshez kapcsolódó további üzenetek is. És igen, ha az user ilyen módon (user+pas+2FA) azonosította magát, akkor a banki automata hitelbírálat végigmegy, és ha pozitív az eredmény, akkor a kiutalás is megtörténik - és bizony az adott hitel visszafizetéséért az ügyfél felel.

"De ha tényleg valóban biztonságosra akarnák csinálni - adnának hard tokent. " - biztonság és használhatóság két ellentétes érdek. A tokent be kell szerezni, azonosítás után oda kell adni az ügyfélnek, nyilván kell tartani, kinél, melyik eszköz van, ha az üf. elhagyja/nem találja, akkor kell letiltási/felfüggesztési lehetőség (mint a bankkártya esetében), ha NFC-s, akkor a banki app-ot fel kell készíteni az NFC-s eszköz használatára, a netbankot is fel kell készíteni a 2FA kód bekérésére, stb.
És az ügyfélnek ké-nyel-met-len. Nem azt fogja választani, ahol a mobil mellé kell még egy kis bigyót is hurcolnia, hanem azt, ahol nem.
 

Ha egy sima OTP-s tokent elhagysz, nem kell semmit tiltogatni, csinálnak egy másik seedet egy új tokenhez, onnantól kezdve a régi használhatatlan lesz.

a netbankot is fel kell készíteni a 2FA kód bekérésére,

Na már megint dolgozni kell :D Azért egy HOTP/TOTP elfogadás megírása nem egy rakétavezérlő szoftver kifejlesztése nagyságrendű.

Én inkább a spórolást látom felfedezni a dologban (mint minden másban, ahol okostelóra kényszerítenek) - a hardvert úgyis megveszi az ügyfél, így arra nem kell költeni a banknak. Kínálhatnának választást az ügyfélnek - használod a telódon a 2FA-t előállító alkalmazást, vagy vehetsz egy hard tokent magadnak, de még ez se. Android/iOS, aztán ennyi.

"Ha egy sima OTP-s tokent elhagysz, nem kell semmit tiltogatni, csinálnak egy másik seedet egy új tokenhez" - Azaz a régi hozzáférési tokent ki kell vezetni, és ki kell adni egy újat. Hogyan? Milyen legyen az azonosítás ennek a folyamatnak a során? Elég-e a videóbank, vagy személyes bankfióki megjelenés kell? Vagy bízzuk rá egy SMS-re?

"mint minden másban, ahol okostelóra kényszerítenek" - Mi az a _kötelező_ szolgáltatás, amit igénybe _kell_ venned, és _kizárólag_ okostelefonnal teheted meg? Nem, a banki műveletek végzése nem ilyen: van bankfiók, bemehetsz, és személyesen elintézhetsz mindent _is_.

"használod a telódon a 2FA-t előállító alkalmazást" - Igen, ezt egy a jelenlegi kettő mellé harmadik 2FA "útvonalat" vajon ki fogja lefejleszteni? És ez hogyan passzol ahhoz az egyébként jogos igényhez, hogy egy 2FA eszköz csak egy példányban létezhessen, illetve ha van több 2FA eszközöd, akkor azok között lehessen egy kiemelt "jóváhagyás" funkcióval rendelkező, miközben a többi csak megtekintés és tranzakció feladás funkcióra képes hozzáférést ad?

Azaz a régi hozzáférési tokent ki kell vezetni, és ki kell adni egy újat. Hogyan? Milyen legyen az azonosítás ennek a folyamatnak a során? Elég-e a videóbank, vagy személyes bankfióki megjelenés kell?

Mint a bankkártyánál, nem kell semmi újat kitalálni.

"mint minden másban, ahol okostelóra kényszerítenek" - Mi az a _kötelező_ szolgáltatás, amit igénybe _kell_ venned, és _kizárólag_ okostelefonnal teheted meg? Nem, a banki műveletek végzése nem ilyen: van bankfiók, bemehetsz, és személyesen elintézhetsz mindent _is_.

Mondhatnék egy rakás okosteló-only vásárlói kártyát, de a digitális bankolás is ilyen: vendor-lock-in van(vagy lesz, még azért szerencsére nincs Magyarországon), Android vagy iOS, és kész. Érdekes, akik eddig a Windows hegemónia ellen tüntettek, ezzel nincs bajuk.

Igen, ezt egy a jelenlegi kettő mellé harmadik 2FA "útvonalat" vajon ki fogja lefejleszteni?

Azon bankos IT-sek, aki inkább a kifogást keresik, hogy miért ne kelljen ezt meg azt megcsinálni :D (Azzal persze nincs baj, hogy folyton újraírt appokat/netbankot tök hülyeségekkel, mint a hangvezérlés fejlesszenek, vagy netán olyan funkcionalitással, ami a régiben megvolt, az újban meg már nincs).

NEM vagy köteles egyiket sem használni, mint írtam már - besétálsz a legközelebbi bankfiókba, és elintézed ott személyesen az átutalásokat, a számlaegyenleg lekérdezését, a számlakivonat megtekintését és minden egyebet, amit egyébként webes/mobilos alkalmazásból is lehet.

"Azon bankos IT-sek, aki inkább a kifogást keresik, hogy miért ne kelljen ezt meg azt megcsinálni :D" - Nm csak egy másik 2FA auth bekötéséről van szó egy meglévő alkalmazásba, hanem az összes kapcsolódó folyamatról... Még a magyarorszagponthu-s azonosítást használó rendszerek sem tudták megugrani azt, hogy a mo.hu-s 2FA-t képesek legyenek kezelni, pedig lenne rá fejlesztési kapacitás...

20 éve használom, eddig nem lopták el a pénzem, szóval most meg a fejlődés jegyében simán azt fogják mondani, hogy menjek ezentúl a bankfiókba? Hát persze...

Mondom, nem a 2FA-val bajon, hanem a vendor lock-innel. Amiről egyébként ez a topic akart szólni (kissé drámai indítással ugyan).

A biztonság növelése bizony nem megy anélkül, hogy a szükséges eszközöket, megoldásokat lecseréljék. Nincs vendor lock-in a 2FA használata során, mert van SMS fallback, amit tetszőleges, sms fogadására képes telefonnal használhatsz.
Ha majd egyszer valamikor ezt kivezetik, akkor lehet arról beszélni, hogy mi legyen helyette. A külön fizikai eszköz biztosan nem lesz megoldás, de például az e-személyi(!) lehet egy megoldás: vagy kártyaolvasó, vagy NFC-képes, internet eléréssel bíró telefon kell hozzá. De a push sem vendor-lock-in, hiszen tetszőleges, az elvárt API-szintet elérő Android-ot futtató telefonon, illetve Apple készüléken használható a banki mobilapp, ami a push-t és az azt követő felhasználói interakciót kezeli.

Mert az nem a Google vagy az Apple csinálta, mert a mobilfejlesztők ahhoz nem értenek, mert csak...okostelefon jó, Linux desktop rossz, értem???

(Egyébként ezen a "szükséges eszközökön" tényleg röhögnöm kell, SMS nem jó, de a hard token se, bezzeg a malwaretől hemzsegő google playes, isten tudja milyen frissítéseket időben (nem)megkapó random kínai smartphone az igen)

A mobiltelefon mobil, könnyen hordozható, a desktop, de még a notebook sem az. Az SMS 1024 sebből vérzik, a hard token pontosan megduplázza (minimum, ha NFC-s vagy kijelzős, ha nem, akkor még megfelelő kábel is kell) a használandó eszközök számát.

Azért a "malwaretől hemzsegő google play" erős csúsztatás - bónuszként a Lunux/windows környezetben alapból milyen mértékű szeparáció van a futó alkalmazások és azok adatai között? Na mindezt nézd meg Android/iOS esetében is. A frissítéseket (nem) megkapó eszközök Windows (XP, 7, és hasonlók) esetében is dettó megvan, viszont a böngésző-OS környezetnél a bank nem tud minimum verziót előírni, maximum azzal, hogy a TLS-ből a régi verziókat tiltja. A mobilos app esetén meg simán megoldható (és a Google pl. ki is kényszeríti) az, hogy adott API szint legyen elvárt - azaz a régi Android-os eszközöket ne lehessen használni.

Mondom, ilyen hozzáállással menj be a bankfiókba ügyet intézni, de előtte természetesen nézz utána közhiteles forrásból, hogy az adott bankfióknak tűnő hely valóban annak a banknak a valódi fiókja, nem pedig átverés, sőt ha kp.-t használsz, akkor mielőtt elfogadod, vidd be a nemzeti bankba, és vizsgáltasd meg,hogy valódi-e...
 

a hard token pontosan megduplázza ... a használandó eszközök számát.

De hat ez lenne a lenyeg. :)

Ha lenne olyan bank Magyarorszagon, ami tamogatja mondjuk a FIDO2-t, es le lehetne tiltani az SMS-t mint fallback megoldas, mar vinnem is oda a csaladi bankszamlakat, ami nem eppen kis betetet jelent. Koltseg esszeru keretek kozott nem szamit. Van ilyen? Nincs. Ugyhogy kapja be az osszes bank.

természetesen nézz utána közhiteles forrásból, hogy az adott bankfióknak tűnő hely valóban annak a banknak a valódi fiókja

Te gyakran jarsz random bankfioknak tuno helyeken ugyet intezni? En meg a konkret ugyintezovel is tegezoviszonyban vagyok, tudom mikor, hova megy nyaralni, stb. Nem megyek be random epuletekbe, hogy az vajon bank-e, de ha igen, akkor nyugodj meg, utananezek, hogy az bankfiok-e.

sőt ha kp.-t használsz, akkor mielőtt elfogadod, vidd be a nemzeti bankba, és vizsgáltasd meg,hogy valódi-e...

Miert vinnem be? En nem tudom megvizsgalni?

_Neked_ az lenne alényeg, hogy soksoksok fido-s tokent eladjanak a bankok... Aha, értem. Az megvan, hogy a lehet_ne_ ilyent ugyan tudja, ismeri a másik oldal, de költség/haszon illetve kockázatelemzés alapján egyelőre nem lépik meg ezt? Mert lehet, hogy neked k.kényelmes az, hogy a mobilos bankolásnál és/vagy amikor 3DS-hez kell jóváhagyást adnod, elő kell szednek a mobilt, elő kell szednek a tokent, valahogy rá kell beszélned őket, hogy kommunikáljanak... (pl. NFC) de a felhasználók jelentős részének k.ra nem, és akármilyen érdekes/hihetetlena számodra, a mobilos-biometrikus azonosításon alapuló 2. faktornál nem fog magasabb biztonságot nyújtani.

"Miert vinnem be? En nem tudom megvizsgalni?" - Ha kiemelten magas biztonságot szeretnél, akkor inkább szakemberre bízod a vizsgálatot...

_Neked_ az lenne alényeg, hogy soksoksok fido-s tokent eladjanak a bankok...

Nekem mindegy, ki adja el a FIDO-s tokent, en itt vettem: Yubico | YubiKey Strong Two Factor Authentication

Mert lehet, hogy neked k.kényelmes az, hogy a mobilos bankolásnál és/vagy amikor 3DS-hez kell jóváhagyást adnod,

Ki beszelt 3DS-rol? Felolem az maradhat SMS-alapu, de amugy felmerul a kerdes, hogy szerinted normalis az, hogy egy 300 mar 400 forintos vonatjegy-vasarlas mogott ugyanaz a biztonsagi layer van, mint amikor elutalok 20 millio forintot? Mert ha igen, akkor az rengeteget megmagyaraz a banki IT szinvonalaval kapcsolatban.

Ha kiemelten magas biztonságot szeretnél, akkor inkább szakemberre bízod a vizsgálatot...

A legnagyobb barati joindulattal es epito szandekkal kerdezem: te hulye vagy?

A vonatjegy... Ott a MÁV-nak simán lehetne olyat csinálnia, hogy ne legyen szükség 3ds-re, de ehhez náluk kellene "néhány" dologgal előrébb járni.

A bankjegyek valódiságát első blikkre meg tudod ítélni, de amit banki tranzakciók kapcsán szeretnél, az nagyjából olyan, hogy a készpénzben is csak akkor bízol meg, ha valaki kompetens személy rámondja, hogy jó.

Nem tudom (csak sejtem), hogy hogyan működik az, hogy kell-e 3DS vagy sem, de időről időre ugyanannál az elfogadónál hol van, hol nincs. Pl. BudapestGo jegyvásárlás (ugyanúgy Simple van mögötte, mint a MÁV app mögött) időnként kéri a megerősítést a bank, időnként nem, hasonlóképpen a heti rendszerességű ételrendelésemnél (ugyanaz a cég, bár most változott). Revolutra is szoktam időnként töltögetni - mindig ugyanannyi (alacsony) összeget, ott legtöbbször nem kért megerősítést, legutóbb igen.

Azért ezeket hozom példának, mert ezek jellemzően kis összegű vásárlások - 20eFt alatti az összes, a BudapestGo esetében jellemzően 1000 alatti.

Én sem tudom, hogy mi alapján dől el, egy banki informatikus elmondhatná, hogy mitől függ, hogy a kártyatársaság kéri-e a 3DS-t, vagy nem. 

A héten elköltöttem párszázezezer forintot repjegyre meg szállásra mindenféle 3DS nélkül, míg egy 2000 forintos rendelésre meg kellett 3DS. Logikátlan.

...megduplázza az eszközök számát...

2FA-ban a 2 az nem pont a duplázásról szól? :D

Ez a használjuk ugyanazt az eszközt, mint amin bankolunk ez inkább ilyen 1,5FA.

De szóval az SMS szar, hard tokent ne akarjak, menjek be inkább a fiókba ügyet intézni. Jó hozzáállás. Google és Apple fizetett ügynökét hallottuk :D

Talán mert látom, hogy egy-egy ilyen "csakegymezőtkellfelrakni" dolog mennyi extrával jár, ami költség, miközben fél maréknyi hipsteren kívül érdemben nem lenne használva.
Ja, és nekem nem lenne extra munka, nem szabályozási/folyamatszervezési/jogi vagy épp sw-fejlesztési területen dolgozok.

Érdekességképp megjegyzem, hogy tizenpár éve a Barclays és a HSBC is hardveres kódgenerátort adott a sima bankszámla mellé. Aztán ahogy teltek az évek, ezeket lecserélték arra, hogy a saját mobil appjuk a kódgenerátor.

Szóval mondjuk 12 éve egy PC-ről böngészőben bankoláshoz a hardver eszközt kellett második szintként elővenni (és a Barclays esetében a bankkártyát is), mostanában böngészőben bankoláshoz a telefont az a hardver eszköz, amit második szintként elő kell venni.

És ha a mobilon az appjukkal akarok bankolni, akkor nem kell még külön kódot is generálni ugyanazon az eszközön, ugyanazzal az appal.

A biztonságról: Barclays esetében a kártyát kellett a kódgenerátorba bedugni, és a kártya PIN kódját kellett megadni (emlékeim szerint). HSBC esetén a hardver tokennek volt egy saját PIN-je. A telefonos appokat jellemzően vagy biometrával (ujjlenyomat és arc közül az én appjaim mind csak az ujjlenyomatot kérik), vagy app-hoz beállított pin-nel lehet működésre bírni.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Sok ilyen van, régen a brókercég, ahol a számlám van, Digipasst használ, aztán áttért ennek a mobiltelefonos változatára, majd az egészet valahogy beépítette a a saját appjába.

A munkahelyen meg Safenet hardware tokent használunk 2FA-nak, de ennek is van mobilos változata MobilePass+ néven, így nem kell a hardware token (a backend mögötte ugyanaz, szóval van, aki a hardware tokent használja, van, aki a mobilos változatot).

Ne kezd újra... A sima usernév+jelszó baromira semmire sem elég, a 2FA használatához vagy SMS fogadására képes telefon kell, bár ez a megoldás 1024 sebből vérzik sajnos, vagy olyan eszköz, amin adott banki sw képes push üzenetet fogadni, _és_ ott jellemzően biometrikus azonosítást követően visszajelezni a banknak, hogy rendben, adott kérés jóváhagyva.

Egyeseknél. Akik bíznak a telefonban, akik költenek telefon vásárlására, akik elfogadják a Google adatvédelmi szabályzatát és ÁSZF-ét, akik bemennek a boltba, és vesznek telefont, akiket nem zavar, hogy egy nyomkövetőt hordanak, ami a hangját, arcát is képes rögzíteni azon túl, hogy hol van, akik teljességgel feladták a szabadságukat, akiknek nincs igényük az intimitásra, személyes térre.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Megnézni, hogy bejött-e a kérés, ha bejött, értékhatáron belüli-e, és teljesült-e... Nagyjából ennyi... Mertha valamelyik "lépés" hiányzik, attól még neked ki kell fizetned határidőre a számlát - gyakorlatilag akkor is, ha a csop.besz.-t a szolgáltató nem küldte be.

Megnézni, hogy bejött-e a kérés, ha bejött, értékhatáron belüli-e, és teljesült-e...

Tovabbra sem ertem. Ha ertekhataron felul van, arrol ertesitenek, a tobbi meg business as usual, megy magatol, nem kell ranezni. Ha valami gikszer van, arrol megint csak ertesitenek. Ha igenyem lenne ilyen szintu mikromenedzsmentre, akkor sarga csekkel fizetnek, nem csoportos beszedessel.

Általában minden jól megy nézegetés nélkül is, ez igaz. Viszont a számlák kifizetése mindenképp a te felelősséged. Előfordult velem már olyan (egyáltalán nem gyakran), hogy valami miatt* nem teljesült egy dd, és aztán viselnem kellett a következményeket. Persze, értesítettek, de nem előtte vagy aznap, hanem 1-2 nappal később, hogy nem fizettél, így felszámítunk ennyi-annyi extra költséget vagy kamatot vagy díjat.

*pl. fizetés késett és ezért nem volt elég zsé a számlán, vagy valami más, amivel nem számoltam, beterhelt korábban, és ezért nem volt elég, vagy mondjuk a hitelkártya cég új kártyát küldött (visszaélés miatt), és a direct debit nem ment automatikusan át az új kártyaszámra

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Persze, értesítettek, de nem előtte vagy aznap, hanem 1-2 nappal később, hogy nem fizettél, így felszámítunk ennyi-annyi extra költséget vagy kamatot vagy díjat.

Oke, tegyuk fel, hogy egy honapot csuszok a befizetessel. A legnagyobb CSBM-ertekhatarom 24000 forint. Tegyuk fel, hogy az alapkamat otszorose a kesedelmi kamat. Igy kijon valami 1300 forintra a kesedelmi kamat. Majd kifizetem.

Amugy meg kapok SMS-t a banktol, ha nem tudja az osszeget levonni.

Szamold mar ki nekem kerlek, hogy mekkora eselye van annak, hogy a CSBM nem teljesul es az SMS sem erkezik meg, es a szolgaltato ertesitese sem erkezik meg?

Te a gyakorlatban is ennyire szorongva eled az eleted, vagy most csak a vita kedveert beszelgetunk ilyen edge case-ekrol?

Nem számolom, nekem "csak" természetes, hogy rendszeresen követem a saját és a gyerekek pénzügyeit. Akinek nincs például a gyerekének a diákszámlája hozzákötve a sajátjához, és például nem használ virtuális kártyát számlafizetéshez (aminél alkalmanként kell limitet állítani), annak elég lehet havonta 2-3 "ránézés" a számlájára.

"2FA-s okostelefon használóktól még nem loptak el egy forintot sem."

Szokásos aránytévesztés. Sokkal-sokkal nagyobb eséllyel fosztanak ki 2FA nélkül vagy sms 2fa-val, mint anélkül.

Innentől pedig fizesd meg a sokszoros kockázatodat amit a bank felé képviselsz. Lehet sokszoros havidij - mint fentebb emlitették - vagy zéró ft-ra való betétbiztositás. Persze a valóságban szarnak a bankok magasról az ilyen "géniuszokra", ha nem tetszik menjél a takarékbankba vagy egyéb gagyibankba, bár lassan nem lesz ilyen bank.

Egy usernév/jelszó párost ellopni mennyivel egyszerűbb, mint egy fake oldalra terelni a megtámadott felhasználót, és rávenni, hogy a fake oldalon megadja az adatait, beleértve az egyszer használatos kódot is, amit azon nyomban felhasznál a fake oldal mögött felépített rendszer arra, hogy az érintett felhasználó nevében bármit is megcsinálhasson annak netbank fiókjában.

Hááát... Ha fel tudod tolni a hivatalos appstore-ba, és "átmegy" az összes kapcsolódó validáláson (nem, a qqtyinbank alkalmazását nem fogják befogadni jóskapista fejlesztőtől, csaxólok...) Ha azzal jössz, hogy "dehafütykompankmexívtad.apk-t felrakja, akkor azt mondom, hogy barom. Értelmes ember _NEM_ telepít gyári appstore-on kívülről semmit. Nem véletlen, hogy alapesetben az apk-ból telepítés lehetősége le van tiltva, illetve az alkalmazások telepítése jogosultság alapból semilyen 3rd party appnak nem érhető el, mindkettőt explicit be kell kapcsolnia a felhasználónak.

Ó keress már rá, hogy "fake apps in google play".

Ezt is biztos jól leellenőrizték:

https://mustsharenews.com/fake-google-play-app/

(hagyjuk már, hogy csak a mobil OS-ek által biztosított 2FA a jó, a többi mind szar...eleve egy nyílt szabványú 2FA nem lehetne OS függő).

Nézz meg egy TOTP/HOTP megoldást (és ezeknél vannak bonyolultabbak is). Vagy mi az, amit a mobil app tud, és más nem tudhat? Biometrikus azonosítás? De azt maga a készülék csinálja, nem? Nem a bank szervere azonosít téged (na meg ujjlenyomat-olvasó laptopon is előfordul). De ott vannak a hardware-tokenek, smartcardok, etc. Az, hogy ma már a szaráshoz is mobil app kell, nem azt jelenti, hogy nincs azon kívül élet.

A TOTP-vel ugyanaz a probléma: teljesen mindegy hogy SMS vagy TOTP-t írsz be, ha a támadó lemásolja a weboldalt és átjuttat téged oda, akkor benézted.

Ha egy mobil alkalmazásod van amit app store-ból telepítesz (és mondjuk tegyük fel hogy az OTP alkalmazása helyett nem csinkacsung tuti opt alkalmazását rakod fel), akkor ilyen probléma nincs: az alkalmazást  tudod hogy a bank készítette, a kapcsolat védett man in the middle támadás ellen (certificate pinning) és még biometrikus azonosításod is van, amit nem csak a készülék, hanem maga az alkalmazás is csinálhat (ilyenkor egy keystore-t nyitnak meg hozzáférésre és kriptográfiai műveleteket végeznek az ott tárolt kulccsal amit csak használni lehet, letölteni nem).

Persze, van mobil appon kívül is élet, csak akkor meg nem kell reklamálni hogy csak windows-on megy. 

Azért nem vennék rá mérget, hogy ilyen-olyan sebezhetőséget kihasználva nem indítottak már valamilyen side-channel támadást eredeti app ellen. Vagy ott az eredeti app, és a fake app egy betű különbséggel. Aztán mellényúlsz. Desktopon is csinálhatsz linket a valódi oldalra, akkor nem a fake webhelyre fogsz csatlakozni.

Meg aki _minden_ kapott SMS-ét (OTP-t) elküldi a csalóknak, az azért menthetetlen, nekem a belépés után még bármit csinálok, minden művelethez kell új 2FA kódot beírnom.

Melyik az egyszerűbb. A google play-ről felrakott megbízható bank app-hoz keresni valami speciális side-channel támadást átverve az Android rendszerét (plusz az egyéb védelmeket amit a telefongyártók még beleraknak) vagy pedig egy fake weboldalra irányítani a felhasználót. Melyik támadást fogja nagyobb eséllyel benézni?

Lent leírták a támadást, hogy pl. ha engedi a bank a telefonszám megváltoztatását akkor plusz egy SMS-t kell csak küldeniük, azt pedig megfelelő hibaüzenettel megtámogatva a felhasználók 99%-a be fogja nézni, innentől pedig ki fognak zárni a fiókodból. 

Egy mobilos UI-t leklónozni se túl nagy feladat azért, aztán aki benézi a desktop böngészőben az URL-t, azt is simán benézhetni, ha bármit eléraknak, ami úgy néz ki, mint a netbank appja. Aki meg minden SMS-ben kapott kódot képes begépelni vakon, az így járt, az a mobilján se lesz elővigyázatosabb.

"Aki meg minden SMS-ben kapott kódot képes begépelni vakon" - még ez sem kell(!!!) Apple környezetben: az SMS-ek a mac-es gép és a telefon között szinkronizálódnak, és elég egy malware a mac-re, ami a bejövő üzenetet azonnal feldolgozza _és_ törli - a szerencsétlen user gyakorlatilag semmit nem lát az egészből, csak azt, hogy lepucolták a számláját, plusz igényeltek a nevében online, automatikusan elbírálásra kerülő hitelkeretet, amit meg is kapott, és aminek az összegét dettó elvitték a számlájáról. És egy darab SMS-t nem talál se a telefonon, se a gépén. És ha értelmes a malware, még azt sem, mert a sikeres "művelet" után mindenestől törölte magát az is.

Általában ez nem döntés. Kiadják külsősnek megírásra, azok meg 99%-ban Vindóz Matyik, azt ismerik, azt tanulták. Általában ezt a megrendelő sem gondolja át, hogy akkor Windowshoz, meg konkrétan annak is általában egy főverziójához lesz kötve, csak túl későn jönnek rá, mikor már váltani kéne Windows főverziót, meg a szoftver átíratni, hogy bajban vannak vele. Az a baj, hogy az informatikai stratégiai érzéke nagy nulla ezeknek a bankoknak meg egyéb szervezeteknek.

The world runs on Excel spreadsheets. (Dylan Beattie)

Én vagy technikai dologra tippelnék, vagy pedig arra, hogy olyan kicsi a linux felhasználók száma és olyan nagy a töredezettség, hogy egyszerűen nem éri meg a banknak ezzel foglalkozni (és ez úgy általában igaz minden bankra, nem csak a norvégokra)

Továbbra is azt állítom a mellékelt videó alapján, hogy a BankID esetén mennie kellene a linuxon web + mobil appon qr olvasás kombinációnak, tehát ez a rétegigény is le van fedve.

Mindkettőben egyetértünk. Valószinüleg üzleti oka van a Linux mellőzésének, nem technikai. A leírás szerint pedig nincsen különbség a Windowson és a Linuxon futó böngésző között, a következtetés helyes, hogy elvileg egy Androidos BankID együtt kellene működjön egy Linuxon futó Firefox-szal.

De nem működik.

Ennek okára adta a szakértő a szál indítójában idézett mondatot. Elsőre én is hanyattestem tőle, de egyre inkább azt gondolom, hogy itt nem fordítási hibáról vagy félreértelmezésről van szó.

Én továbbra se láttam megerősítést arra hogy tényleg kell bármit telepíteni a gépre ha külön android-os auth-ot használsz. Azt sikerült kideríteni hogy a BankID brand alatt volt egy csomó különböző verzió egyedi app-tól kezdve java appleten át sok minden. Nem lehet hogy a hivatkozások egyszerűen régiek, és/vagy másik use case-re vonatkoznak, mint amiről mi beszélünk?

Nem. Linux alól nem lehet böngészővel bankolni. Se Firefox-szal, se Chrome-mal, semmivel se. Windows alól, OSX alól lehet, akár nativ BankID-vel, akár valamelyik telefonossal (Adroid vagy iOS appal).

Kellene ide egy svéd (vagy norvég) polgár, aki ezt megerősíti vagy cáfolja. Akinek nincs ott BankID-je, az nem is ember.

Itt finnországban a nordeanal pont igy működik, van mobiltelefonos authenticator app, de kaptam külön egy kis mini számológép kinézetű vackot is, amivel betudok lepni telefon nélkül is a nettbankba, ami működik persze linuxon is. Ha itt nem rokkant bele anyagilag a nordea, akkor valószínűleg más bankok is megengedhetnék maguknak ezt az extra költséget.

Természetesen. Bár nekem nem a magyar állammal van bajom, mert magyar állampolgár vagyok. A többivel, mint pl. az USA, amelynek cégeiben egyesek úgy megbíznak, mintha azok megbízhatók lennének. Google, MS, Apple, Meta, miegymás.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ne haragudj, de számomra az ő példája nem azt mutatja, hogy a Google / MS / Apple használata veszélyes, hanem azt, hogy az USA ellen háborúskodó fontos embernek lenni veszélyes. Feltételezem, kommunikálhatott volna akár postagalambokkal is, ha egyszer felkerült a listára, akkor jó eséllyel előbb-utóbb elteszik láb alól.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

És egy olyat, ahol szinte üvöltötték a csomag szarbantartójának, hogy f...ság,amit csinál, de mégis "ő győzött" - aztán lehetett copni a sz@r SSL-certekkel ugye... De lehetne még sorolni a "sok szem többet lát" elv ellenére retek luhas/el...ott dolgokat ópenszósz oldalról is...

A valóság ezzel szemben az, hogy vannak olyan openszósz cégek, amik pénzt adtak már a múltban azért, hogy auditálják valami termékeiket.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

ha van is ilyen, az elég szűk és pontosan meghatározott komponenseket foglal csak és kizárólag magába.

Javíts ki, ha tévedek, de Windows esetében nem pont ugyanígy van ez?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Azt szokták érvként felhozni hogy a sérülékenységek megtalálását nehezebbé teszi - open source oldalon pedig érvként merül fel hogy könnyebb.

Gyakorlatban Windows és Linux esetén is estek már ki 10 - 15 éve jelenlevő sérülékenységek.

( zeller | 2023. 11. 03., p – 10:21 )

Kéne a forrás hozzá, mert így olyan, mint a tömött piros hetes buszon elengedett galamb :) - forrásmegjelöléssel legalább azt tudjuk, hogy ki az a barom, aki ilyet állít... 

( mraacz | 2023. 11. 03., p – 13:40 )

Bocsánat, máshol voltam, azért nem tudtam a felmerülő jelentős érdeklődésnek megfelelve szövegkörnyezetébe helyezni a fenti állítást.

Szó arról van, hogy Svédországban a banki azonosításhoz mindenkinek valami BankID nevű szoftvert KELL használnia, aminek csak Windowsos verziója létezik (meg talán OSX) mégpedig azért, mert...[itt jön az idézet]  talán van itt olyan, akinek van svéd tapasztalata arról, hogy mi a szösz lehet az a BankID és miért csak Windows-on használható (a idézet teremtője ezt a Windows valamilyen képességének tudja be, ami a Linuxnak nincsen.) Én is valami REST ügyre tippelek, de fogalmam sincs, hogy ez a BankID nevű alkalmazás mit csinál.

Tehát a kérdés a következő: mi az, amit a Windows, a macOS (unix-like) és az Android (Linux) tud, de "A LINIX" (jelentsen ez bármit) nem?

 

A fejlesztőket meg kéne fizetni és máris képes lenne "a Linux" is erre a valamire. Egyébként csak jelzem, hogy a Linux annyira nem tud semmit, hogy a Microsoft az évek során az Azure alatt az összes szervert lecserélte Linuxra. Már aktívan részt vesznek a kernel fejlesztésében, sőt már ajánlgatják a Linux telepítőket.

Ez a szutyok Linux van az iparban egy csomó helyen, épkézláb autókon is fut, TV-ken, szórakoztató iparban, szerver környezetben. Azért ezt így elküldeném annak a cégnek, hogy bújjanak már ki a zsákból. Tagadni lehet, csak nem érdemes.

 

Egyszer a Telekomnak is volt egy ilyen húzása. Néhány éve volt a TV GO és volt valami undormány bővítményük, ami azt hiszem csak Explorerrel működött. Írtam nekik egy szerelmes levelet, erre az volt a válasz, hogy nem tervezik a fejlesztést Linuxra. Szerencsére a Microsoft maga oldotta meg a problémát. A Chromium alapú böngésző bevezetésével kukázták azt a bővítményt is. Ezzel lényegében a Telekom lépés kényszerbe került, de végül nem tudom mi lett a TV GO sorsa. Ezek után arra tippelek, hogy megszűnt.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

A BankID fejlesztőit Svédországban nagyon megfizetik, ebben biztos lehetsz. Ha jól értem - és ebben sosem lehetek biztos - a szakértő azzal érvel a zárt forráskód mellett, mert az azonosítás algoritmusa és a használt szabvány (XADeS) zárt kodúak (Windowson és MacOS alatt elérhetők, Linux alatt nem) és ez önmagában nagyobb biztonságot jelent. Nem az a probléma tehát, hogy nem akarnak a fejlesztésre költeni, költenek arra rengeteget, de technikailag magasabb szintűnek tekintik a Windows zárt kodú megoldását - és emelett csekélynek a Linuxos felhasználók számát.

Az utóbbiban valószinűleg igazuk is van. Az én kérdésem arra vonatkozott, hogy alapos-e az érvelés technikai oldala - mármint hogy a zárt kódú fejlesztés egy banki szoftver esetében valóban nagyobb biztonságot jelent. Úgy tűnik a válasz egyértelműen nem.

Akkor valamit csúnyán félreértesz.

Az, hogy az ügyfelek(!) milyen virtuális guest-et(!) inditanak azure-on, annak semmi köze ahhoz, hogy maga a cloud infrastruktúra min fut.

Mert az bizony 100% windows server, linux ott maximum virtuális homokózban van.

De nyilván még az is őrült marhaság, hogy a virtuális gépeken csak linuxot futtatnának, milliós számban futnak windows-os vm-ek. Amit összekeverhettél, hogy volt egy hir, hogy számszerint több, olcsóbb linuxos vm-et használnak az ügyfelek, mint a drágább windows-os vm-et, amiben olyan egetverő meglepetés nincs, teljesértékű a linux támogatás is azure-on.

 Egyébként csak jelzem, hogy a Linux annyira nem tud semmit, hogy a Microsoft az évek során az Azure alatt az összes szervert lecserélte Linuxra.

Erre van valami forrás? A jelen helyzet szerint nincs igazad: https://learn.microsoft.com/en-us/azure/security/fundamentals/hypervisor

Attól, hogy Hyper-V-n fut, még nem jelenti azt automatikusan, hogy a host(ok) Windows(ok).

What?

Hacsak ugy nem, hogy nested virtualization van, es Linux hostokon virtualizalnak Hyper-V hostokat, es abban hozzak letre az ugyfel VM-jeit. Mondjuk ezen rohadtul meg lennek lepve. :D

Szerintem inkább a szabványos TPM chip és társait igényli, gondolom kulcsokat akar tárolni megbízhatóan. Nos, Windows és macOS alatt ezt megteheti, főleg, hogy Windows 11 óta a TPM 2.0 a kötelező, nem elég a régebbi TPM chip.

iOS esetén ott a Secure Enclave, Androidon a hardveres KeyStore. https://source.android.com/docs/security/features/keystore

Ez mind azt teszi lehetővé, hogy ne tudjon senki sem a kulcsokhoz engedély nélkül hozzáférni, még akkor sem, ha ellopja a hardvert.

Na, ilyet megbízhatóan egyik Linux eszköz sem tud.

( mraacz | 2023. 11. 03., p – 14:08 )

Igyekszik az embör... ;^)  de azért izgatja a fantáziámat, hogy vajon mi lehet az az oka, amiért MINDEN bank a Windowst követeli meg Svédországban az ügyfélazonosításhoz (nyilván van Androidos meg iOS app is ugyanerre, de meglepő, hogy OP függő cuccot kötelezővé lehet tenni ilyesmire). Ennek üzleti okát el tudom képzelni, de jó lenne tudni, hátha valaki érti is, nem csak csodálkozik a hülyeségen.

Ez a BankID elvárja a Secure Boot és/vagy Bitlocker meglétét?

 

Szerk: https://computersweden.idg.se/2.2683/1.554720

 

Volt ennek Linux verziója, csak kivezették. Tippemre azért, mert a Linux desktop rendkívül fragmentált, a mindenféle kompatibilitási, és csomagolási/terjesztési problémák nem érik meg, egész egyszerűen annyira kevés a Linux felhasználó.

Közben rájöttem, hogy van idehaza is ehhez hasonló: a ViCA, ami szintén csak Windowsra létezik és a céges kettős azonosításhoz kell. De ez inkább bankfüggő (bár a banki műveletket végző szoftver külön van, több bank is használja nagyjából ugyanazt és az is teljesen Windowsos). A telefonos verziókat hagyjuk, az más káposzta, az mindenre is van, ViCA esetén is.

Szóval lehet a Windows preferenciának technikai oka? Egy cross-platform böngészős megoldás nekem logikusabbnak tűnne az azonosításhoz (van ilyen is idehaza, QR kóddal, SMS-sel stb.), de mondom, nem értem, hogy mit csinál ez a BankID, ami miatt muszáj neki Windowsnak lennie. Pláne, ha ez valami szig. szerű dolog.

Szóval lehet a Windows preferenciának technikai oka?

Valódi technikai oka biztosan nem lehet - ez már 20 éve is bullshit volt csak.

Olyan oka lehet, hogy az adott szirpiszupi programot amit elvárnak az csak egy adott OS-en fut, de ez semmiképp sem technikai limitáció.

És ilyen megoldásoknak így 2023-ban, biztosan semmi keresni valója egy lakossági(?) szolgáltatás követelményei között.

 

szerintem.

zrubi.hu

Kösz a linket! Itt úgy tűnik 2014-ben a fejlesztő azzal indokolja a Linux verzió kivezetését, hogy túl kevés felhasználót érint a dolog (akkor 5 ezer körülire becsülték a feléhasználók számát). Technikai akadályról, prioritásokról, ami a Windows preferenciát indokolná, nem esik szó a cikkben. Legalábbis én ennek sehol nem találom nyomát, üzleti oka van, hogy miért kényszerítenek minden svéd állampolgárt a Windows használatára.

Egyszer valaki azt mondta, hogy ami ingyen van, abból nem lehet lopni.

Egyébként ha megírja javában, az összes Linuxon egyformán fut. Vagy írja meg C-ben vagy Rustban. Ja, igen az egy picit drágább műsor mint Pythonnal bohóckodni. (Írom ezt úgy, higy nem néztem utána)

Az a baj, hogy a programozó, mint igazi keményvonalas szakma, már kihalófélben van. Helyette jöttek a script kiddiek, a különböző magas szintű hányadékok (amik közül nyilván néhánynak megvan a helye, de nem kéne át esni a ló túloldalára), a MI.

Erről az jutott eszembe hirtelen, amikor olvastam, hogy a Steam Deck, (ami ugye egy Linuxos szar) több FPS-el képes futtatni Windows only játékokat is, mintha windowson menne ugyanazon a hardveren + kevésbé merül az eszköz. Az optimalizált kód és a bloatware között nagy a különbség. Ezért szoktam mondani, ha valaki windowson akar játszani, annak mélyen a zsebbe kell nyúlni, mert a gyártók fossák magukból a használhatatlan, erőforrás zabáló kódokat. Egy konzol esetén azért ezt nem igazán tehetik meg, bár néha sikerül.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( SkyNET | 2023. 11. 03., p – 14:57 )

Nem technikai oka van, hanem jogi. Zárt kód, zárt protokoll. 

Igen, a protokollja zárt. Nem feltétlenül a rejtjelező algoritmus - lehet annak még a beépített implementációja is valamilyen opensource - hanem maga a bankid protokoll. Nincsen ebben semmi furcsa, talán a fordítás nem sikerült a legjobban, amit beidéztél, az viheti félre a megértést.  

( mbael | 2023. 11. 03., p – 16:10 )

Tekintettel a banki szoftverek szakmaisagara, nehez elrontani ha mindig az ellenkezojet csinalod tech valasztasnal mint ok

( Rt711 v | 2023. 11. 05., v – 13:48 )

Üzemeltettem pár ország banki rendszerét + nemzeti bank rendszert és nem Windowson ment anno. Nemhinném hogy változott ez bármit is, ott sem hülyék ülnek. Irodai dolgozóknak ugyanakkor általában Windows volt mert jól rá lehetett rántani mindenféle group policy-t.

( Raynes v | 2023. 11. 06., h – 18:33 )

Ez egy elég népszerű tévhit, hogy a zárt forráskód biztonságot garantál, mert senki nem lát bele, nehezebben hekkelhető. Ahogy olyan tévhitek is vannak, hogy a zárt forráskódú, proprietary licencű szoftver jobb minőségű, mivel a piaci értéke alapján jobban fizet, a magasabb megtérülési fok miatt így több munka és jobb technológia, több munkaóra megy bele befektetésként, míg a FOSS megoldásnak meg olcsó húsnak híg a leve alapon lemaradása van. Ezekből semmi nem igaz természetesen, de megértem, hogy sok begyöpösödött ember miért gondolkodik így a mai napig.

Közben meg pont fordítva van, a FOSS biztonságosabb, mert 1) abban gyorsabban megtalálják és foltozzák a sechol-okat, bugokat, 2) meg lehet róla győződni, hogy hátsó kapukat nem tettek bele és a kód nem gányolt, 3) általában nincsenek egy adott OS, egy adott fizetős verziójához kötve, így multiplatformosak, nem verziófüggőek, nehezebben avulnak el, később is könnyebb őket modernizálni, más rendszerekre portolni, a formátumaikat másik, újabb formátumba konvertálni. Általában az új technológiákat is hamarabb adoptálják ezek, mivel a fejlődést nincs érdekükben visszatartani, fizetős főverziókba elcsepegtetni, hogy az újat is eladhassák újra.

A biztonságot meg titkosítást nem a zárt megoldásoknak kell implementálni, hanem nyílt kriptográfiai és security/hardened megoldásoknak, szabványoknak, ezek elválaszthatók az épp aktuális szoftvertől.

Plusz a nagy cégek, multik, bankok, kormányzati szervek mindig is maradiak voltak, rajta ragadtak ősrégi technológiákon, régi Cobol és mainframe kódok, OS/2, WinXP, Java, régi Fortran kódok, stb.. Nem a rugalmasságukról, gyors adoptálóképességükről nevezetesek. Minél nagyobb szervezetről vagy tőkéről van szó, annál inkább nagyobb fokú rugalmatlanság jellemző ezen a téren.

The world runs on Excel spreadsheets. (Dylan Beattie)

( golgota | 2023. 11. 06., h – 18:45 )

Hogy mi van? Ha eltekintunk attol, hogy az allitas bermilyen kontextusban egy faszsag akkor en is tudok ilyet mondnai. A krokodil es a villamos abban kulonbozik hogy hosszabb mint zold. Na szakerto lettem :D

OP:

A villamos az csak hosszában hosszú, de a krokodil széltében-hosszában zöld?

ChatGPT:

Nem, a villamos az hosszában hosszú és általában nem zöld, hanem általában különböző színekben festett vagy fémszínű. A krokodil pedig széltében és hosszában is lehet zöld, mivel a krokodilok bőre zöld színű lehet, hogy jobban beleolvadjanak a környezetükbe és ne legyenek könnyen észrevehetők a ragadozók számára.

OP:

Tehát a krokodil zöldebb, mint a villamos hosszú?

ChatGPT

Igen, általában a krokodilok bőre zöldebb, mint a villamosok hossza. A villamosok hossza lehet különböző színekben vagy fémszínűek, de nem szoktak zöldek lenni, míg a krokodilok bőre gyakran zöld, hogy elrejtőzhessenek a vízi környezetükben. Az összehasonlításukban a krokodil valóban zöldebb.

"Sose a gép a hülye."

( locsemege v | 2023. 11. 09., cs – 00:11 )

Az okostelefon biztonságos. Öööö... Nem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Linuxos PC-n magabiztosnak érzem magam, elfogadható mértékben tudom, mi történik. Ezzel szemben, mivel nincs telefonom, olyan szintű a tájékozatlanságom, hogy azt sem tudom, mi történik lokálisan, s mi a neten, illetve felhőben, így nem tudok megnyugtató választ adni a kérdésedre.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

És azt sem tudod, hogy alapesetben nincs alkalmazástelepítésre joga a csevegő/akármilyen alkalmazásoknak... Jó, rottyadt-ócska-lukas környezetben ezt lehet, hogy meg lehet hágni... De hogy ott is kell felhasználói interakció ahhoz, hogy az eztmex1vtad.apk telepítése megtörténjen, az is erősen valószínű.

Pécén picit egyszerűbb dolga van annak, aki bármit is akar telepíteni/futtatni - egy add-on a böngészőhöz települhet-e maxivodpontbadboyspontcrack forrásból? De ugyanígy desktop-on bármit bárhonnan telepíthet az user az esetek 9x%-ában - ugyanez mobilon picit másképp van. (Mondom picit, azaz vagy lukasnak kell lennie a jogosultságvizsgálatnak vagy épp a használt alkalmazásnak, ami megkapja a malware-t, hogy telepítse, vagy explicit be kell állítani a használónak, hogy akárhonnan települhet alkalmazás - akár lokális apk-ból is, plusz app jogokat is kell hozzá állítania (normál esetben a fájlkezelő, a böngésző, az xyz csevegőalakalmazás nem rendelkezik olyan jogosultsággal, hogy alkalmazást telepítsen)
Röviden: a desktop olyan, mint koton nélkül a kuplerájba menni, a telefon legalább a kotont a kezébe adja, és nem hagyja berakni addig, amíg fel nem húzta...

Mint a fenti példa is mutatja, megkérdezi a rendszer, hogy adsz-e neki jogokat mindenhez is, a user meg ha ráböki, hogy igen, akkor fene megette a védelmet. 15 éve már a Windows is megkérdezi, hogy átmehet-e adminba (még akkor is, ha eleve admin vagy), arra is ugyanúgy ráböknek az emberek, ez aztán baromira nem érv, hogy egy vagy két helyen kell átbillenteni egy kapcsolót, hogy megtörténjen a baj. Nem kell mindenkit idiótának nézni, aki használ informatikai eszközöket, aki meg eleve idióta, azt legfeljebb egy Faraday kalitka védi meg.

Ha valaki beszop pl. egy olyat, hogy "csak az OTP-s számláról indított fizetés a jó", majd "tedd fel ezt meg azt az alkalmazást, hogy fizethess nekem", annak nem mindegy, hogy mit adsz a kezébe? Viszont aki egy hangyafasznyinál is jobban felkészült, azt miért kell az idiótákkal megegyező szinten kezelni (mondjuk mindenben ez a trend, bár van az a mondás, hogy csinálj olyan rendszert, amit a hülyék is tudnak kezelni, és biztos lehetsz benne, hogy hülyék fogják kezelni).

Projectoromon Android van, de nem találtam rajta nmcli parancsot, nem találtam rajta tűzfalbeállításokat, nem találtam rajta terminált, shellt. Ezért aztán nem engedtem ki a hálózatra, s nem is mertem rajta software-t frissíteni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"nem is mertem rajta software-t frissíteni" - Tökéletes... Gondolom, lokális hálózatra sem engeded... Attól, hogy az általad megszokott tool-ok nincsenek, még bőven lehet jó/biztonságos egy eszköz... csak ugye ha nem ismered, nem akarod megismerni a rendszer felépítését, működését, jogosultsági rendszerét, alkalmazások szeparációját, stb. akkor azért bőven jöhetnek a hülyeségek...

Ha ennek első feltétele, hogy fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát, akkor eleve nem lehet biztonságos. Ha kommunikál a Google-lel, akkor nem biztonságos.

Amúgy de, engedtem lokális hálóra, csak minden csomagot tiltottam a routeren kifelé a projektor felől. Ugyanakkor semmire sem mentem a hálózattal, mert linuxos gépről nem tudtam stream-elni filmet erre a sz.rra, ennyit az Androidról. Maradt a vastag HDMI kábel.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"Ha ennek első feltétele, hogy fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát, akkor eleve nem lehet biztonságos. " _ Bármilyen sw, ami harmadik fél szolgáltatását használja lehet biztonságos szerinted? vagy csak az, amit te írsz, te validálsz...?

"mert linuxos gépről nem tudtam stream-elni filmet erre a sz.rra" - nem lehet,hogy a Linuxos gépeddel volt gond? Mert elég sok Android-os projektor létezik, és streaming is működik...

Igen. Erről szólnak a hírek. Ezen felül azért biztonságtalan, mert a második faktor is ugyanazon a hardware-en van, mint az első, tehát ez nem is valódi két faktor. Továbbá semmit sem tudok ellenőrizni, mindent elfed előlem, valamint a biztonságtalanság fontos ismérve, hogy külföldi vállalatokkal kommunikál az ezköz, mint amilyen az Apple vagy a Google. Ezek ÁSZF-ét és adatvédelmi nyilatkozatát nem áll módomban elfogadni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Na akkor sokadszor... Az Apple ökoszisztémában például az sms retek nagy probléma, mert ha a makkos gépére felkerül egy disznóság, és (default) szinkronizálódik a telefon és a gépe között az sms, akkor egy, az asztali gépét megfertőző trójai el tudja azt érni, hogy az user nem is tud arról, hogy a nevében, 2FA gyanánt érkezett SMS-ekkel mondjuk hitelkeretet igényeltek a nevében,vagy épp hajnali kettőkor (amikor jellemzően aludni szokott az illető) átutalták a számláján levő teljes összeget egy. világvége utáni banknál vezetett számlára...

Ez nem a telefon, hanem az SMS, mint csatorna hibája. Egy push üzenetet például csak a telefonon futó mobilbanki alkalmazásban fogsz tudni "kezelni", ott van a "vége", az sms-nek meg almás esetben nem biztos. A push az ráadásul látszik később is a jól megírt/összerakott alkalmazásban (nem tudod törölni az üzenet history-ból), az SMS-t meg igen. Úgy a bejövőt,mint a kimenőt.

Az, hogy egy üzenet, egy információ elküldése, megérkezése és elolvasása is visszakereshető az eszközödön, az szerintem kifejezetten jó dolog. Az a hölgy, akinek a nevében a bankjától (OTP talán?) online igényeltek hitelt, és a számlaegyenlegén túl a jóváhagyott és folyósított hitel összegét is elvitték a számlájáról, ő másképp gondolja azt, hogy nagyon jó, ha az sms-ek törölhetőek úgy, mintha ott sem lettek volna...

Az Apple ökoszisztémában például az sms retek nagy probléma

Mar sokadjara olvasom, de nem ertem. Marmint a problemat ertem, de miert mindig az iOS->macOS iranyrol beszelunk? Ha ugyanaz az iPhone peldaul a windows-os ceges laptopomra szinkronizalja az SMS-eket, az mar secure?

Vagy van valami macOS-specifikus attack vector, amirol nem tudok, pedig kellene?

Azt olvastam valahol, hogy a lényegi különbség az, hogy Apple telefon és laptop alapértelmezetten szinkronizál, anélkük, hogy a felhasználó bármit tett volna érte (és állítólag vannak sokan, akik nem is tudják, hogy az SMS-ek a laptopon is elérhetőek). Ezzel szemben, ha a windows-os laptopra akarod a szinkronizációt, akkor azt külön neked kell beállítanod.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A szűk családban senki nem használ szinkronizált iphone-t és macbookot, szóval nem tudom. Ha nem így megy, akkor hülyeséget írt az, akinek az írását olvastam :-)

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( ssikiss | 2023. 11. 09., cs – 08:32 )

Én nemrég olvastam azt a kifejezést egy biztonsági vizsgálati anyagban, hogy "helyesen alkalmazott obscurity".

Szerintem is létezik ilyen, kérdés hogy mire értjük. :)