Názory k článku mBank podcenila zabezpečení internetového bankovnictví

mBank - polští šašci.

Spořka - rakouští šašci.

mBank je dobrá banka. Mám s čím porovnávat a tady jsem spokojen a to je u mne co říci. Navíc kdo by chtěl zneužít zmíněnou chybu, musel by se dostat k heslu, na BF by neměl dost času. Takže jen hloupý uživatel s triviálním heslem by mohl být potenciálně ohrožen. V kombinaci s přihlašovacím číslem by tato chyba zodpovědného zákazníka nijak neohrozila. Takže zase jen bu bu bu bublina.

Je uplne jedno, jak silne heslo mate - staci aby ho nekdo nejak zjistil (treba vir v pocitaci). Samozrejme ze je lepsi mit silnejsi heslo, ale to samo o sobe nic neresi.

Nemáte tak docela pravdu útočník pravděpodobně heslo vůbec nepotřebuje. Stacčí donutit přihlášeného uživatele k návštěvě nevinné stránky. Zkuste si najít něco na téma CSRF.

všechny podobné chyby vznikají lidským faktorem, problém je, že evidentně nasazení nové funkcionality nikdo netestoval, nezkontroloval, prostě podle mě průser jako brno, má důvěra ve vás už od doby, kdy vaší hlavní starostí bylo zda bude na kartě delfínek, byla nijak valná a opět klesla o stupínek níž a spolu s fio, které nasadilo do reklamní kampaně Mádla, což považuji za plivanec do tváře všem lidem živícím se poctivě a dalšími starými ústavy jste pro mě bankou, kde se budu bát skladovat větší hotovost i v budoucnu (účet u vás dnes již mohu říct bohužel zatím mám)

No tak pokud hodnotíš služby/firmy/pro­dukty podle toho, jaké nasadí reklamy, tak je ti mně docela líto, asi budeš dost jednoduchej...Čemuž ostatně nasvědčují výrazy jako "fio" a "brno".
Ale taková reklama s Gottem na studený čaj, to je super čuper, co?

Důvěru ve firmy, zvláště ty, které se mi mají starat o peníze, hodnotím opravdu i a možná hlavně podle managementu a jestli se neštítil management FIA nasadit agitátora za superkorupčníky a zloděje (viz. kauza MUS, kde se Kalousek odmítal připojit k trestnímu řízení ve Švýcarsku jako jeden z mnoha příkladů) TOP09, tak pro mě není důvěryhodný a opravdu se bojím že se dočkám nějakých sviňáren což může být od tipařů pro vyděrače počínaje až po vytunelování a zavření krámu podobně jako u union banky.

výraz fio ten opravdu nasvědčuje mnohému, když mluvím o fio :) reklamu s gottem ani neznám, dokonce nemám už řadu let ani televizi (resp. nemám ji zapojenou), takový jsem reklamožrout

Jenže ono je "Fio", žádné "fio", "gotta" taky neznám, a docela by mne zajímalo, kde jsi teda tu nenáviděnou reklamu na "fio" viděl, když nemáš televizi...

Ono to snad nefungovalo, když tvrdíte, že to nikdo netestoval ?
Tady nešlo o testování, ale o promyšlení důsledků. Lidi jako Vy mám fakt "rád", ve firmě ji taky plno máme. (jsem programátor)

Tato lidská chyba by měla stát zodpovědné osoby místo!
Díky včasnému odhalení naštěstí chyby nedošlo k jejímu zneužití.
viz: triviální chyba za 125 milionů $ http://astro.sci.muni.cz/pub/info1999/cnn3009a.html

To abych se podíval, jestli mně nezmizelo těch 8 haléřů, co už tam rok udržuju...

No stesti, ze to nemas v jine bance to, uz bys po roce mohl byt peknych par stovek v minusu ;)

Tady to vidite, ze je to jen zbytecny opruz a zrejme lobby mobilnich operatoru. Podepsat transakci podpisovou aplikaci je daleko mene bezproblemove a funguje na celem svete jen za pomoci internetoveho pripojeni. Hrani si s predrazenymi telefonky nechte detem na fejsbuku ...

Dnes ty moznosti kompromitace vychazi nastejno, tvrdim ze v pripade telefonu s Androidem je ta pravdepodobnost dokonce mozna vyssi (a pro utocnika lakavejsi). Transakce lze dnes prece delat primo i z (napadeneho) mobilu, tak jakapak dve zarizeni.

Opet nemam nic proti moznosti volby, ale vadi mi to neustale vnucovat jako jedinou moznost. Pritom do hotoveho podpisoveho software uz neni prakticky treba nic moc investovat. Ze treba nevypada graficky "cool" typ zakaznika ktery jej vyuziva asi netrapi. Nejlevnejsi by bylo potvrzeni transakce kodem zaslanym na email, je to stejne "bezpecne" jako pres mobil. V pripade emailu na vlastni domene opet tvrdim ze bezpecnejsi nez nejaka SMS.

Ostatne banka tady stejne nikdy za nic neruci, tak ji to muze byt vlastne jedno a nechat to treba bez potvrzeni.

Tak tak, není nad to, když můžu zcela jednoduše odeslat příkaz z chytrého mobilu, vytasit místo toho noťas, narvat do něj flashku s certifikátem a ten příkaz poslat taky...

> Transakce lze dnes prece delat primo i z (napadeneho) mobilu,

Pouze pokud tam uživatel má bankovní aplikaci autorizovanou pro aktivní operace a pokud ji využívá. Když jsou tyto podmínky splněny pak ano, je to srovnatelně nebezpečné (záleží na konkrétní situaci) jako podepisování přes SW.

Do podpisového SW je samozřejmě třeba investovat - dělat mu podporu, aktualizovat ho o nové typy autorizace, testovat, zda stále funguje s novou verzí atp. Nejsou to moc velké náklady, ale okruh zákazníků, kteří jej využijí je malý, takže se to prostě nevyplatí.

Nemusíte na mobilu vůbec tu aplikaci mít. Doknce není nutné ani provádět ten útok pouze z mobilu. Vše co stačí je mít trojana, který kontroluje SMS. Když pak získáte klíče k účtu, tak je to hotové. A je jedno jak ty klíče dostanete.

Nebyl by nějaký odkaz? Dost by mě to zajímalo.

Podpisova aplikace Fio je ciste Java aplikace, takze veskere vytky ohledne pohadek o multiplatformnim kodu musite smerovat na Oracle :-)

Na Windows funguje bez zavad, problemem je ovsem vecne derave JRE, takze je treba pristupovat dusledne k zabezpeceni. Nastesti ta aplikace nepotrebuje bezet v ramci prohlizece, takze lze Java plugin deaktivovat. Stale to povazuji za 100000000x lepsi reseni nez predrazene telefonky vyzadujici SIM od ceskeho operatora, kde toto reseni neni stejne bezpecnejsi (v posledni dobe spise naopak).

Myslíte is, že v Javě je problém napsat program, který není multiplatformový.

Svatý Tondo kolenatej, viděl jsem už hodně argumentů, ale to, že Java aplikace musí být multiplatformní, protože je to Java, to jste hodně hloupě naletěl reklamě javistů.

V Linuxu jsem rozchodil starou podpisovou aplikaci pro windows, běhala ve Wine - zcela bez problémů. Starší podepisovací aplikace v Javě byla taky bez problémů. Od jara mají ve FIO novou podepisovací aplikaci, ta funguje taky bez potíží. Je potřeba nainstalovat nějakou knihovnu s lepším šifrováním (detaily už si nepamatuju), ale vše je podrobně popsané v manuálu. Prostě to funguje. Jediná věc, kterou jsem se vůbec nezabýval, je startování podepisovače přímo z prohlížeče.

Sám za sebe mám podepisování raději, než potvrzovací SMS. I s ohledem na bezpečnost - je velmi pravděpodobné, že kdyby se někdo dostal k mému heslu do IB (třeba útokem typu "maník uprostřed"), na heslem zašifrovaném klíči by si vylámal zuby. Mobilní telefon naproti tomu není chráněný prakticky vůbec. Odhadoval bych, že většinu "útoků" má na svědomí rodina, kolegové v práci... prostě nejbližší okolí, vůči kterému je člověk mnohem zranitelnější, než k neznámému lumpovi na internetu. Jen ten lump na internetu má mnohem lépe zpracované PR.

A ty na ten predrazeny telefonek nemas a je ti to moc moc lito, co?

Jasne.

Jenže je problém, když se dostanete na místo, kde tu SMSku nemůžete přijmout. I u nás je spousta míst, kde cesta za signálem znamená hodinový výšlap na kopec, a než se člověk vrátí k notebooku, tak heslo expiruje. A je stále spousta zemí, se kterými naši operátoři nemají roamingové smlouvy.

kde v ČR jsou místa s dostupným internetem a současně nedostupných GSM signálem operátora?

Vsude tam kde neni signal ale je aspon ADSL vedene draty, ktere vybudoval jeste osklivy komunista. Staci mensi vesnice v udoli. Vim minimalne o jedne takove.

U nás doma, město cca 3000 obyvatel,signál v polovině baráku nemám ovšem třeba na půdě mi jde i 3G, ale i tam jsou místa kde jsem nedostupný.

Podepisovaci aplikaci u Fio pouzivam na Linuxu uz dlouho (puvodni i tu novou) a jediny problem je s dostupnosti sifrovacich knihoven. Pokud clovek sleduje navod k instalaci, tak se mu to musi podarit, po vice ci mene pokusech, na kazdem linuxu rozbehnout. Tady bych to videl na problem BFU, ktery se nevyzna v systemu (u Ubuntu zvlaste).

Jediny vaznejsi problem byl v konverzi certifikatu na novejsi (bezpecnejsi) format, ktery uzivatel musel pomerne slozite pregenerovat a to jeste v sibenicnim terminu. To mne celkem vytocilo. Ale jinak si stale myslim, ze pokud je certifikat chranen dalsim heslem v separatni aplikaci (jejiz spusteni navic muze byt chraneno dalsim opravnenim), tak se to v urovni zabezpeceni temer blizi zasilani SMS - ale pri mnohem vetsim komfortu :)

Mám MBank více než 5 let s naprostou spokojeností. Popisovaný stav může nastat při znalosti dvou vstupních čísel - uživatel a heslo. Pravděpodobnost manipulace jinou osobou než oprávněnou je pouze hypotetická. Při kombinaci 6-ti místného loginu a 12-ti místného passwordu s čísly, písmeny a znaky - kdo to zkusí prolomit?

Libovolný malware/keylogger.

Volba vlastního loginu je skvělá, jen za přepážkou nesmí být jelito, které vám login zkomolí. Stalo se mi to při zakládání FIO účtu a obchodního účtu v ten samý den. Zatímco logon k běžnému účtu je bez překlepu, tak u obchodního mám vynechané písmeno a změnit to ani po urgencích prý nejde.

Zeby to neslo ani pri osobni navsteve pobocky??? To by mi totiz pripadalo naprosto logicke, protoze zmeny prihlasovacich udaju je potreba nejak overit a to na dalku moc dobre nelze.... Kdyby to neslo vubec, tak tomu se mi celkem nechce verit...

Je smutne kolik lidi ma jeste porad male znalosti o tom, ceho je schopen a jak funguje dnesni malware.

Zname jsou testy napr s pocitacem s nainstalovanymi aktualnimi windows na pocitaci pripojenem k internetu - pocitac je bez akci uzivatele typu lezeni na pochybne stranky, klikani na prilohy v mailu zavirovan bezem 5 minut az nekolika hodin.

Takze napr. certva instalace windows, nez si stihne stahnout a nainstalovat vsechny bezpecnostni updaty, tak uz je pocitac automaticky napaden. Malware je pak pres zaplatami skryt a je plne aktivni i po dokonceni patchovani a nasazeni nekterych antiviru.

Staci zablokovat vsechna prichozi spojeni ve Windows firewallu. Jedina cesta kterou toto slo byla asi osm let stara chyba ve sluzbe "sdieni souboru". Vse ostatni je vzdy vyvolano akci uzivatele.

V současném IT světě ani nejde tak o to, jestli máte super ultra zabezpečenou aplikaci, ale o to, jak rychle dokáže daná instituce reagovat na hrozbu.

mBank už několikrát dokázala, že i právě díky mForum reaguje okamžitě.

Možná dnes už konkurence je stejně rychlá, nevím, už je nepoužívám. Ale v dobách 3 roky zpět měla KB díru v bezpečnostním certifikátu několik měsíců... A nejde o to, že měli díru. Kdo dělá v IT, tak ví, že prostě dřív nebo později se mu to přihodí taky. Ale pak je rozhodující, jak rychle dokážete díru ucpat.

Jinak výše uvedená díra byl z hlediska automatizovaného robota, který vykrade stovky účtů, nepoužitelná. Museli by jste mít keylogger na těch počítačích, které používají přístup do mBank a zároveň být u toho, když tuto díru objevíte.
Jak vidět, nestalo se tak, takže jediné riziko této díry bylo v tom, že by trvala příliš dlouho.

Takže díky za rychlost!

Souhlas, a taky velké díky autorovi článku, že na to upozornil. Dobrá práce.

Bulvární titulky mně na "solidních" webech už nepřekvapí. Byla to hloupá chyba, ale určitě není kritická. Navíc v mBank reagovali rychle. Moje důvěra v tuhle banku nepoklesla, spíš naopak. P.S. Nejsem nijak spřízněn s mBank, mám u nich pouze účet.

to by mě zajímalo, co si autor představuje pod pojmem "alfanumerický". zřejmě má nějakou vlastní definici.

Ja mam mBanku jako minoritni ucet, ktery pouzivam ciste pro placeni na internetu. Mam tam par stovek, vic bych se neodvazil. Jeste kdyz jsem byl plny elanu a psat si blog, sem se tam o tom rozepsal:

https://smrt28.cz/wordpress/?p=39

hovno hovno zlatá rybko.

dělejte si co chcete. zásadní problém zabezpečení vidím v tom že heslo jde nešifrovaně, (slabé ssl) a sms je odchytitelná. Pokud zaplatíte technické prostředky (do 50tis) předvedu vám to na živo jak vám vyluxuji libovolný předem zvolený účet (po dohodě a musíte být jeho vlastníkem). a to je komerčka, raifka, mbanka, zuno (to jsou dinosauři),

kdyby se používaly elektronické podpisy bylo by to o něčem jiném jenže to je samej kamarádíček a podpis musí vydat šaman kmene navaho a být podepsán senátorem se senou rýmou v době senoseče jinak to neni dost nóbl. Ale co, lidi slyšej na kecy ne na pravdu že.

Jak heslo jde nesifrovane??? To jako chytat pakety nebo MID??? Budiz, ale tohle pujde jen pro okrajovou skupinu (do znacne miry nahodilou, dane technickymi moznostmi) uzivatelu. Rozhodne timpadem nejde o ZASADNI PROBLEM u vetsiny. Sofistika. Ostatni nazory - budiz.