mBank je dobrá banka. Mám s čím porovnávat a tady jsem spokojen a to je u mne co říci. Navíc kdo by chtěl zneužít zmíněnou chybu, musel by se dostat k heslu, na BF by neměl dost času. Takže jen hloupý uživatel s triviálním heslem by mohl být potenciálně ohrožen. V kombinaci s přihlašovacím číslem by tato chyba zodpovědného zákazníka nijak neohrozila. Takže zase jen bu bu bu bublina.
všechny podobné chyby vznikají lidským faktorem, problém je, že evidentně nasazení nové funkcionality nikdo netestoval, nezkontroloval, prostě podle mě průser jako brno, má důvěra ve vás už od doby, kdy vaší hlavní starostí bylo zda bude na kartě delfínek, byla nijak valná a opět klesla o stupínek níž a spolu s fio, které nasadilo do reklamní kampaně Mádla, což považuji za plivanec do tváře všem lidem živícím se poctivě a dalšími starými ústavy jste pro mě bankou, kde se budu bát skladovat větší hotovost i v budoucnu (účet u vás dnes již mohu říct bohužel zatím mám)
Důvěru ve firmy, zvláště ty, které se mi mají starat o peníze, hodnotím opravdu i a možná hlavně podle managementu a jestli se neštítil management FIA nasadit agitátora za superkorupčníky a zloděje (viz. kauza MUS, kde se Kalousek odmítal připojit k trestnímu řízení ve Švýcarsku jako jeden z mnoha příkladů) TOP09, tak pro mě není důvěryhodný a opravdu se bojím že se dočkám nějakých sviňáren což může být od tipařů pro vyděrače počínaje až po vytunelování a zavření krámu podobně jako u union banky.
kde se tací inteligenti, kteří pokládají otázky, jako kde jsi tu reklamu viděl, když nemáš televizi, berou??? to vážně nemáš v té hlavě mozek, medvěde? když pominu to, že to bylo na internetu, opravdu si nedokážeš představit situaci, kdy člověk který nemá televizi doma přesto někde přijde s televizí do kontaktu? příbuzní, nemocnice, restaurace, čekárny.. já si zase nedovedu představit, že někdo kdo položí takovou otázku, může samostatně fungovat..
a další myšlenkový zkrat, protože jsem viděl reklamu mj. webu fia, tak to znamená, že si ji nedokáži odfiltrovat :) ty opravdu nemáš tu hlavu v pořádku
a filtruješ si ji adblockem nebo stejně jako ty reklamy televizní? tj. chozením se zavřenýma očima - což zároveň vysvětluje, proč jsi se tolikrát třísknul do hlavy..
Hochu, hochu, kam jsi chodil do školy? Zajímalo by mě totiž, která škola učí nepoužívání velkých písmen. Už z textů kolegy, který reagoval na tvé příspěvky, jsi mohl dovodit při troše inteligence, co ti píše mezi řádky. Ale nepochopil´s. A nesnaž se mi tvrdit, že nemáš klávesnici s velkými písmeny či něco obdobného, jako se snaží tvrdit ti, kteří nevědí, kde se píší háčky, čárky atd., tedy že píší na zahraniční klávesnici, která nemá češtinu. S těmi tvými velkými písmeny bych tomu věřil ještě méně, než těm "cizozemcům" bez háčků a čárek.
Ale jinak: Prozraď nám který peněžní stav využíváš? Podotýkám, že Fio ani mBank rozhodně nejsou mými favority, ale rozhodně né z důvodů obsazení rolí v jejich reklamních šotech. Ty jsou mi totiž naprosto u pr.... No, snad víš u čeho.
Tato lidská chyba by měla stát zodpovědné osoby místo!
Díky včasnému odhalení naštěstí chyby nedošlo k jejímu zneužití.
viz: triviální chyba za 125 milionů $ http://astro.sci.muni.cz/pub/info1999/cnn3009a.html
A to já tento způsob autorizace považuji za lepší. Pořád je větší problém kompromitovat 2 zařízení (počítač a mobil), než jedno.
Navíc podepisovací aplikace je vázána na konkrétní operační systém.
Fio má volbu mezi oběma způsoby autorizace a i když oficiálně má verzi podepisovací aplikace i pro Linux, kamarádovi se to na Ubuntu rozběhat nepovedlo.
Pak je tu ještě varianta používaná často v Německu - autořizační kalkulátory, ale to je při více transakcí docela opruz :(
Dnes ty moznosti kompromitace vychazi nastejno, tvrdim ze v pripade telefonu s Androidem je ta pravdepodobnost dokonce mozna vyssi (a pro utocnika lakavejsi). Transakce lze dnes prece delat primo i z (napadeneho) mobilu, tak jakapak dve zarizeni.
Opet nemam nic proti moznosti volby, ale vadi mi to neustale vnucovat jako jedinou moznost. Pritom do hotoveho podpisoveho software uz neni prakticky treba nic moc investovat. Ze treba nevypada graficky "cool" typ zakaznika ktery jej vyuziva asi netrapi. Nejlevnejsi by bylo potvrzeni transakce kodem zaslanym na email, je to stejne "bezpecne" jako pres mobil. V pripade emailu na vlastni domene opet tvrdim ze bezpecnejsi nez nejaka SMS.
Ostatne banka tady stejne nikdy za nic neruci, tak ji to muze byt vlastne jedno a nechat to treba bez potvrzeni.
> Transakce lze dnes prece delat primo i z (napadeneho) mobilu,
Pouze pokud tam uživatel má bankovní aplikaci autorizovanou pro aktivní operace a pokud ji využívá. Když jsou tyto podmínky splněny pak ano, je to srovnatelně nebezpečné (záleží na konkrétní situaci) jako podepisování přes SW.
Do podpisového SW je samozřejmě třeba investovat - dělat mu podporu, aktualizovat ho o nové typy autorizace, testovat, zda stále funguje s novou verzí atp. Nejsou to moc velké náklady, ale okruh zákazníků, kteří jej využijí je malý, takže se to prostě nevyplatí.
No a jak získám klíče účtu (v případě, kdy uživatel tu aplikaci na mobilu nemá)? Že kromě mobilu napadnu i počítač, odkud uživatel ty příkazy zadává (například). Když bude uživatel podepisovat přímo na počítači, musím ten počítač napadnout tak jako tak, ale s mobilem se vůbec zatěžovat nemusím.
Já s sebou nosím 2 telefony - "chytrý" (BlackBerry) a "hloupý" (taková několik let stará úplně nejzákladnější Nokia, co jsem kdysi dostal zdarma na předváděčce hrnců :D) a SMSky si nechám posílat na ten hloupý.
I když to ani není z důvodu strachu o kompromitaci, ale proto, že ten "chytrý" mám jen na Internet a telefonní číslo vůbec nepoužívám a ten "hloupý" používám na telefonování. Navíc ten "hloupý" vydrží na jedno nabití asi týden, takže prakticky nikdy se mi nestane, že by se neplánovaně vybil.
Ty autorizační kódy na email by mohly být zajímavé, jenže mám obavu, že většina lidí by si to nechávala zasílat na freemail, kde heslo do něj má uložené v prohlížeči na svém PC. A banka se, jak už ukázaly některé soudní spory, nemůže zcela zříci odpovědnosti a to ani v případě, že klient jedná krajně nedbale. Navíc dnes, když jsou paušály zahrnující neomezený počet odeslaných SMS, tak to není pro banku žádný náklad. Párkrát jsem se dostával k autorizační SMSce dost krkolomě (třeba když jsem si zapomněl mobil doma a potřeboval jsem odeslat platbu), takže ten e-mail by se mi hodil, ale jak jsem psal, banky to nenabízejí a vědí proč.
Ostatne banka tady stejne nikdy za nic neruci, tak ji to muze byt vlastne jedno a nechat to treba bez potvrzeni.
A to, bohužel(?), není pravda, banky už pár soudních sporů, kdy byl počítač klienta kompromitován "projely".
V rychlosti jsem našel pouze toto http://m.penize.cz/bezne-ucty/18074-vykradli-vam-ucet-banka-posle-k-soudu-vas
Je tam o zaměstnankyni Komerční banky, které vykradli účet a peníze z banky dostala zpět až po rozhodnutí finančního arbitra. Bylo to ale Pyrrhovo vítězství, dostala výpověď 6 dní před odchodem do důchodu.
Podpisova aplikace Fio je ciste Java aplikace, takze veskere vytky ohledne pohadek o multiplatformnim kodu musite smerovat na Oracle :-)
Na Windows funguje bez zavad, problemem je ovsem vecne derave JRE, takze je treba pristupovat dusledne k zabezpeceni. Nastesti ta aplikace nepotrebuje bezet v ramci prohlizece, takze lze Java plugin deaktivovat. Stale to povazuji za 100000000x lepsi reseni nez predrazene telefonky vyzadujici SIM od ceskeho operatora, kde toto reseni neni stejne bezpecnejsi (v posledni dobe spise naopak).
Jak jsem psal - snažili jsme se to rozchodit na Ubuntu a prostě se nepodařilo. Netvrdím tím, že to nejde, ale nám se to prostě nepodařilo. Možná to na jiné distribuci funguje bez problémů.
S tím českým operátorem si nejsem jist, mám pocit, že některá banka to umí i na zahraničního, možná snad dokonce mBank?
V Linuxu jsem rozchodil starou podpisovou aplikaci pro windows, běhala ve Wine - zcela bez problémů. Starší podepisovací aplikace v Javě byla taky bez problémů. Od jara mají ve FIO novou podepisovací aplikaci, ta funguje taky bez potíží. Je potřeba nainstalovat nějakou knihovnu s lepším šifrováním (detaily už si nepamatuju), ale vše je podrobně popsané v manuálu. Prostě to funguje. Jediná věc, kterou jsem se vůbec nezabýval, je startování podepisovače přímo z prohlížeče.
Sám za sebe mám podepisování raději, než potvrzovací SMS. I s ohledem na bezpečnost - je velmi pravděpodobné, že kdyby se někdo dostal k mému heslu do IB (třeba útokem typu "maník uprostřed"), na heslem zašifrovaném klíči by si vylámal zuby. Mobilní telefon naproti tomu není chráněný prakticky vůbec. Odhadoval bych, že většinu "útoků" má na svědomí rodina, kolegové v práci... prostě nejbližší okolí, vůči kterému je člověk mnohem zranitelnější, než k neznámému lumpovi na internetu. Jen ten lump na internetu má mnohem lépe zpracované PR.
> ...kdyby se někdo dostal k mému heslu do IB (třeba útokem typu "maník
> uprostřed"), na heslem zašifrovaném klíči by si vylámal zuby.
Pokud by se někomu povedlo nainstalovat keylogger (virus), tak má heslo k IB i ke klíči (i ten klíč, pokud je na disku) jako na dlani. Při logování se pod Linuxem spouštění app ve Wine to moc nehrozí, ale to není typická konfigurace.
> Odhadoval bych, že většinu "útoků" má na svědomí rodina, kolegové v práci...
> prostě nejbližší okolí, ...
Slyšel jsem o různých útocích, ale o útoku od nejbližšího okolí ještě ne. Když se nad tím zamyslíte, tak ten útok moc nedává smysl - takoví lidé většinou nemají prostředky na to peníze "vyprat" a když by si je jen tak poslali, tak jsou lehce vystopovatelní.
Myslíte, že když vám nezvedený synek zaplatí kreditkou, tak se tím bude někdo v novinách zabývat? Představte si článek tady na měšci: "Šestnáctiletý synek zaplatil online hru z otcova účtu a způsobil škodu 250 Kč". Koho by to zaujalo? Synek na to nepotřebuje ani keylogger - prohlížeče si dneska mohou přihlášení zapamatovat. Když si na kluka došlápnete, samozřejmě se přizná - stop zanechá spoustu. Budete se tím chlubit? Pokud už takovou situaci budete řešit s bankou, spíš bych očekával, že po vyjasnění situace zrudnete studem, omluvíte se a půjdete si to vyřídit s nezvedeným potomkem. Pochybuju, že to začnete rozpatlávat v novinách.
Kdo jiný vám může pustit žilou, než ten, komu dáváte každý den spoustu příležitostí?
Zneužití karty je něco trochu jiného, než co tu probíráme.
Ano, teoreticky synek může odpozorovat heslo (pamatování bývá u přihlašování vypnuté) a v nestřežené chvíli ukradnout mobil. Jak je to časté, těžko říct.
A co se týče rozpatlávání, pamatuji se na jeden případ, kdy někdo reklamoval výběr z bankomatu u mBanky. Že on ho nevybíral a pin že zná jedině přítelkyně a ta to taky nebyla a že to je určitě chyba na straně banky. Tak se to vyšetřovalo a co myslíte - no, byla to ta přítelkyně :) Ale to je taky odlišný případ, který z bezpečností IB nesouvisí.
Pořád jen počítáte s tím že někdo něco zkompromituje nebo nabourá. Nicméně si představte, že vám ukradnou peněženku s občankou a kartami od účtu, a k tomu i mobil - většinou to lidé nosí dohromady.
Pokud se vám to stane a máte autorizaci příkazů jen tím mobilem, tak se cca 30 dní nedostanete ke svým penězům na účtě, než vám vystaví novou občanku, a banka vám dá peníze aspoň na přepážce. Nebo aspoň o takové cestě nevím. Možná by uznali pas.
Vybrat s pasem není problém. Člověk dokonce ani nemusí vlastnit občanský průkaz, pokud nemá v ČR trvalé bydliště.
Takže je zde možnost dostat se k penězům na přepážce na pas, dále u některých bank převést peníze na jiný účet prostřednictvím telefonního bankovnictví (bez nutnosti potvrzení SMS), nebo zde zmiňovaná mBank umožňuje předvolit účty, na které je možné zasílat platby bez nutnosti potvrzení SMS (i když i to už bylo použito k vybrání účtu rodinným příslušníkem).
Také doručení platební karty už netrvá 30 dní, většina bank to zvládne do týdne.
Jenže je problém, když se dostanete na místo, kde tu SMSku nemůžete přijmout. I u nás je spousta míst, kde cesta za signálem znamená hodinový výšlap na kopec, a než se člověk vrátí k notebooku, tak heslo expiruje. A je stále spousta zemí, se kterými naši operátoři nemají roamingové smlouvy.
Podepisovaci aplikaci u Fio pouzivam na Linuxu uz dlouho (puvodni i tu novou) a jediny problem je s dostupnosti sifrovacich knihoven. Pokud clovek sleduje navod k instalaci, tak se mu to musi podarit, po vice ci mene pokusech, na kazdem linuxu rozbehnout. Tady bych to videl na problem BFU, ktery se nevyzna v systemu (u Ubuntu zvlaste).
Jediny vaznejsi problem byl v konverzi certifikatu na novejsi (bezpecnejsi) format, ktery uzivatel musel pomerne slozite pregenerovat a to jeste v sibenicnim terminu. To mne celkem vytocilo. Ale jinak si stale myslim, ze pokud je certifikat chranen dalsim heslem v separatni aplikaci (jejiz spusteni navic muze byt chraneno dalsim opravnenim), tak se to v urovni zabezpeceni temer blizi zasilani SMS - ale pri mnohem vetsim komfortu :)
Mám MBank více než 5 let s naprostou spokojeností. Popisovaný stav může nastat při znalosti dvou vstupních čísel - uživatel a heslo. Pravděpodobnost manipulace jinou osobou než oprávněnou je pouze hypotetická. Při kombinaci 6-ti místného loginu a 12-ti místného passwordu s čísly, písmeny a znaky - kdo to zkusí prolomit?
6 místný login je spíše kontraproduktivní - spoustu lidí si ho nepamatuje (zde vedou banky umožňující volbu vlastního uživatelského jména, např. FIO, Air Bank a částečně Equa (je volitelný, ale musí to být číslo)) a tak ho má někde napsaný.
A uhodnout heslo také není úplně nemožné, spoustu lidí má jména dětí či domácích mazlíčků, případně zdrobněliny či zkomoleniny vlastního jména nebo hesla vycházející z vlastních koníčků - např. jeden kamarád motorkář měl jako heslo značku motorky :).
Volba vlastního loginu je skvělá, jen za přepážkou nesmí být jelito, které vám login zkomolí. Stalo se mi to při zakládání FIO účtu a obchodního účtu v ten samý den. Zatímco logon k běžnému účtu je bez překlepu, tak u obchodního mám vynechané písmeno a změnit to ani po urgencích prý nejde.
Je smutne kolik lidi ma jeste porad male znalosti o tom, ceho je schopen a jak funguje dnesni malware.
Zname jsou testy napr s pocitacem s nainstalovanymi aktualnimi windows na pocitaci pripojenem k internetu - pocitac je bez akci uzivatele typu lezeni na pochybne stranky, klikani na prilohy v mailu zavirovan bezem 5 minut az nekolika hodin.
Takze napr. certva instalace windows, nez si stihne stahnout a nainstalovat vsechny bezpecnostni updaty, tak uz je pocitac automaticky napaden. Malware je pak pres zaplatami skryt a je plne aktivni i po dokonceni patchovani a nasazeni nekterych antiviru.
V současném IT světě ani nejde tak o to, jestli máte super ultra zabezpečenou aplikaci, ale o to, jak rychle dokáže daná instituce reagovat na hrozbu.
mBank už několikrát dokázala, že i právě díky mForum reaguje okamžitě.
Možná dnes už konkurence je stejně rychlá, nevím, už je nepoužívám. Ale v dobách 3 roky zpět měla KB díru v bezpečnostním certifikátu několik měsíců... A nejde o to, že měli díru. Kdo dělá v IT, tak ví, že prostě dřív nebo později se mu to přihodí taky. Ale pak je rozhodující, jak rychle dokážete díru ucpat.
Jinak výše uvedená díra byl z hlediska automatizovaného robota, který vykrade stovky účtů, nepoužitelná. Museli by jste mít keylogger na těch počítačích, které používají přístup do mBank a zároveň být u toho, když tuto díru objevíte.
Jak vidět, nestalo se tak, takže jediné riziko této díry bylo v tom, že by trvala příliš dlouho.
Takže díky za rychlost!
hovno hovno zlatá rybko.
dělejte si co chcete. zásadní problém zabezpečení vidím v tom že heslo jde nešifrovaně, (slabé ssl) a sms je odchytitelná. Pokud zaplatíte technické prostředky (do 50tis) předvedu vám to na živo jak vám vyluxuji libovolný předem zvolený účet (po dohodě a musíte být jeho vlastníkem). a to je komerčka, raifka, mbanka, zuno (to jsou dinosauři),
kdyby se používaly elektronické podpisy bylo by to o něčem jiném jenže to je samej kamarádíček a podpis musí vydat šaman kmene navaho a být podepsán senátorem se senou rýmou v době senoseče jinak to neni dost nóbl. Ale co, lidi slyšej na kecy ne na pravdu že.