Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA

Žádná banka neautorizuje platby jen na základě kódu v SMS. Vždy se člověk musí do IB přihlásit heslem, některé banky vyžadují heslo i u každé transakce, takže to je dvoufaktorové ověření. Odposlechnutí SMS je samo o sobě k ničemu.

Tak samozřejmě, že je tam heslo. Jde o to, že SMS jsou laickou veřejností brány jako supet bezpečný nezávislý kanál. A když se jim snažím vysvětlit, že kanál který není šifrovaný zas tak bezpečný není, tak jen blbě koukají, případně se snaží namítat "ale to stejně nikdo odposlechnout nemůže". Tehle článek hezky ukazuje, že může a nemusí kvůli tomu hackovat zrovna T-Mobile.

Ale musí hackovat T-mobile (přinejmenším já bych tedy zaslání servisního kódu z cizí sítě hackováním nazval). Navíc když to člověk srovná s pravděpodobností fyzické krádeže mobilu, pak se obávám, že je mnohem pravděpodobnější ta krádež. Ergo SMS samy o sobě nic nezabezpečí, ale jako druhý faktor je sám považuji za dostatečné...

Ale fyzické krádeže si většinou poměrně rychle všimnete a navíc se do něj zloděj musí dostat - pokud máte PIN na SIM, tak to není tak jednoduché začít přijímat SMS.Autentikační metoda je bezpečná pořád stejně, ať je použita jako první nebo druhý faktor.

No, je to ale pořád mnohem lepší než jen samotné heslo do IB...Otázka zní, jak pravděpodobné je, že někdo se schopností zjistit vaše heslo do IB a zároveň schopností nabourat se do vašeho mobilu a číst SMS (to úplně stačí), si vás vybere za svůj cíl k útoku.Osobně SMS považuji za rozumný kompromis mezi praktičností a bezpečností. Tokeny jsou sice mnohonásobně bezpečnější, ale představa, že nosím a starám se o třeba 7 tokenů (od každé banky jeden) mě děsí...

Jelikož takové útoky úspěšně probíhají (typicky tak, že je oběti nakažen chytrý telefon), tak ta pravděpodobnost je docela reálná. Samozřejmě za předpokladu, že jste ochotný si do mobilu i přes důrazné varování nainstalovat aplikaci z neautorizovaného zdroje.Právě čtu "mám hloupý telefon, s tím mi SMSky nepřesměrují, takže jsem za vodou" ale článek právě ukazuje, že ne úplně.Krom toho, že jsou nešifrované mají SMS ještě jednu nevýhodu - stojí banku ne úplně zanedbatelné peníze (cca korunu jedna). Což je pro ni v době bezpoplatkových účtů a nízkých úroků docela problém.Pokud tokenem myslíte ty RSA tokeny, tak ty taky nejsou nic moc. Jednak jak píšete když je jich víc, je to pruda, jsou relativně drahé a navíc se nepřenáší nezávislým kanálem popis transakce, takže když mallware pozmění zobrazení v prohlížeči, klidně jím potvrdíte úplně jinou transakci než si myslíte.Dobrá, i když zatím nepříliš rozšířená varianta je potvrzování v mobilní aplikaci. Máte nezávislý kanál pro přenos popisu transakce, šifrovaný end-to-end a pokud je aplikace napsaná dobře, není jednoduché ji napadnout.

SMS banku nestojí 1 Kč, spíš bych tipoval 0,1 Kč nebo 0,05 Kč... Co se týká nákladů, pak myslím, že banky jen hrají hru na to jak je všechno špatné a zlé, a přitom i uklízečka má dvojnásobný plat než jinde, takže minimálně na platy si vydělat umí i s posíláním SMS To ovšem není jádro věci diskuze.Souhlasím, že mallware, který pozmění zobrazení v prohlížeči vás podvede. Je ovšem pak úplně jedno jestli transakci potvrzujete přes SMS, RSA tokeny nebo mobilní aplikaci... Potvrzujete nechtěnou transakci. Z toho plyne, že by se muselo zavést takové zabezpečení IB, které vyloučí neoprávněnou manipulaci například prostřednictvím zmíněného mallware. To je ovšem boj s větrnými mlýny, kdy na se předhánějí střídavě škodlivé aplikace a zabezpečování...

Mno s větrnými mlýny. Pamatuji-li se dobře, pak "kalkulačka" Expandia banky (blahé paměti) nutila zadávat před vygenerováním tokenu číslo účtu i částku. A tohle se umělo a dělalo už hodně přes 10 let nazpátek. Pro běžného uživatele je to však nepřijatelný opruz, a tím i pro banky, protože jí kvůli lepšímu (avšak otravnějšímu) zabezpečení budou klienti odcházet jinam. A banky jsou velmi pragmatické, zvažují rizika prismatem čistě ekonomickým. Takže pokud je střední výše ztrát přijatelná, a stejně tak i rozptyl, nechají to plavat, a utěsňují jen takové díry, které mají potenciál potopit celou loď. Stačí si vzít v úvahu jen takové platební karty, tam je rizik nezpočet, od nedůvěryhodných obchodníků přes skimming až po hromadné krádeže špatně zabezpečených databází s čísly karet. A stejně byznys s kartami kvete, ztráty z podvodů jsou prostě o řád pod ziskem.

"Pamatuji-li se dobře, pak "kalkulačka" Expandia banky (blahé paměti) nutila zadávat před vygenerováním tokenu číslo účtu i částku"Ona to stale jeste dela, pouzito naposledy dnes :) Dokonce jeste ten puvodni kus z roku 1998 nebo 1999. Jen to uz je pro rb.cz.

Jen linkujte, experta hezky bulvarni clanek urcite pobavi. Je to snuska kravin ala Blesk.

Jak WhasApp, tak Telegram tuto možnost mají a komu skutečně jde o soukromí, ji má samozřejmě zapnutou. Článek se o tom ale jaksi zapomněl zmínit. Jediný problém vidím v tom, že to není výchozí možnost.

dovolim si nesuhlasit (min. co sa tyka WhatsApp)
z FAQ:
Can I put a password on WhatsApp?
WhatsApp does not have any password system built into the app. If you wish to put a password lock on any app on your phone, there are many apps in the Google Play store that will do this.Cheers,
WhatsApp Support Team

Máte pravdu, z této dvojice ji má jenom Telegram. Whatsapp ne. Z nějakého důvodu jsem si myslel, že ji má taky.

Pointa článku je právě v tom, že to může nejen váš operátor - tam je to opravdu logické - ale kterýkoli operátor na světě.

Vím, že některé věci jdou i z cizí sítě, např. skrytí volajícího čísla se ve skutečnosti posílá jako CID + žádost o nezobrazování na cílové stanici (přičemž cílový přístroj nemusí takovou žádost respektovat (CLIRO, např. záchranné složky), nicméně přišlo by mi hodně divoké, kdyby SS7 nebyl mezi jednotlivými propojenými sítěmi opravdu jakýmkoli způsobem omezován. Chci říct, že kdyby se dala síť narušit takto snadno jedinou nedůvěryhodnou entitou (nedůvěryhodná síť, či dokonce jen jediný nedůvěryhodný zaměstnanec jinak důvěryhodné sítě), pak by to snad již někdo v globálním měřítku už zkusil. Nebo ne? Vždyť by stačilo přesměrovat každý telefon na další, nebo všem telefonům odepřít možnost si zavolat či cokoli podobného, a máme globální průser. Opravdu by tohle někdo už dávno neudělal? Když ne z jiného důvodu, tak jako teroristický čin s globálním dosahem? Nechci ani spekulovat, jak dlouho by zaměstnanci operátorů po takovém zásahu dávali síť dohromady...

Clanek je samozrejme hodne nadneseny, nicmene patri mezi to nejzajimavejsi co sem za posledni dobu cetl :). Ackoliv je rodina protokolu SS7 staricka a dirava tak je xy zpusobu jakymi se operatori brani podobnym utokum a prave zminovani africti operatori etc. maji s bezpecnosti dost velke problemy, nicmene u vyspelejsich operatoru v evrope by to byl proces daleko slozitejsi a nezvladl by to Franta Vokurka uklizec. HLR databaze mohou a casto jsou nakonfigurovany tak, aby odpovidaly jen znamym sitim ci operatorum a cizi request proste zamitnou a to stejne i STP coz jsou defacto routery SS7 sveta. Routovani probiha staticky, coz umoznuje rovnez daleko mensi moznost manipulace.
Vlastni SMS zprava na SS7 vrstve sifrovana neni, nicmene medium po kterem bezi je v drtive vetsine sigtran, coz je SS7 implementace prenasena po IP sitich pomoci SCTP protokolu a neni problem pouzit treba IPSec protokol nebo jinou formu sifrovani. Cteni zprav jednotlivych uzivatelu je mozne a v nekterych zemich jsou operatorske SMSC primo pripojeny na nejaky law enforcement system, takze bezpecnostni slozky maji pristup k probihajici komunikaci bez nutnosti nejakeho "hackingu".
Problemy s africkymi operatory jsou vseobecne znamy a operatori si na to davaji vetsi pozor mimo jine treba i jiz zminovanym blokovanim neznamich siti. Casto dochazelo a stale dochazi ke zneuzivani z jejich strany a to spise nez cilene prostou neznalosti a spatnou konfiguraci jejich systemu.

Díky za přínosný příspěvek. Já jsem si říkal, že operátoři musí mít nějaká dodatečná bezpečnostní opatření, takže to není úplně "vyhackuji kohokoli" :)

Díky za převelice zajímavé informace. Tak jako na živě skoro vždy se člověk v diskusi dozví mnohem zajímavější a konkrétnější věci než ze samotného článku. Zaplať pánbu za ty diskuse!

Jeste bych dodal ze se jedna se vlastne o mensi site ktere jsou mezi sebou propojeny pro spolecnou komunikaci. V ramci jednoho operatora je pomerne "snadne" udrzet bezpecnost ve vlastni siti, protoze v principu jde pouze o interni komunikaci v ramci jednoho operatora ktery ma ve sve sprave a pod kontrolou vsechny prvky:
Mobil A ==> BTS ==> MSC Lokalni ==> SMSC Operatora ==> MSC Vzdalene ==> BTS ==> Mobil B
Problem je v tom, ze veskerou logiku jako routovani, pozadavky na HLR ridi pouze SMSC. MSC pouze prijme zpravu a priradi ji patricne BTS na ktere je mobilni ucastnik prihlasen a nebo prichozi zpravu preda mistnimu SMS centru, ktere vykona nejakou logiku.Tento system muze fungovat v ramci domaci site, nicmene u roamingu, tedy u komunikace mezi operatory to uz problem je, protoze to znacne omezuje moznosti operatora na prijimaci strane kontrolovat prichozi provoz a v neposledni rade i uctovani jednotlivych zprav, protoze cizi SMSC by mohlo neomezene posilat zpravy na cizi MSC. Z tohoto duvodu se pouziva technologie zvana homerouting, kde vsechny HLR pozadavky pochazejici z cizich siti jsou presmerovavany na nejakou entitu, vetsinou domaci SMSC ktere vytvari jakousi proxy a umoznuje manipulovat ze zpravami z neduveryhodnych siti a tyto treba blokovat, omezovat atd.Secteno podtrzeno, je na kazdem operatorovi do nejz roamuji jini operatori, aby se postaral o bezpecnost ve vlastni SS7 siti a predevsim je to i v jeho vlastnim zajmu, protoze pokud to neudela, muze byt jeho sit snadno zneuzita a hlavne muze prijit o znacne castky, protoze operatori uctuji roaming nikoliv pausalne, ale za zpravu ve vetsine pripadu a tedy nechteji aby byl cizi traffic nekontrolovan.
Spatna konfigurace u nekterych operatoru muze znamenat, ze vam muze byt nauctovana i zprava ktera je poslana ucastnikovi ktery vubec neexistuje.

takze kdyz si potrebujes zavolat tak jdes do telefoni budky predpokladam.... a taky predpokladam ze mas hodne citlive udaje ktere muzou zapricinit ze bys sel sedet nebo te nekdo zabil... protoze jinak nevidim duvot pouzivat neco podobneho jako Tails pokud nejsi whistleblower atp...

Nehledě na to, že telefonních budek je už tak málo, že by bylo snadnější hlídat je

Nenech se odradit debilnimi kecy o tom, ze jsi paranoidni, soukromi je prezitek, slusny clovek se nema ceho bat apod. Mefistos je asi nula, ktera ani neplanuje, ze by v zivote neco dokazala, a tak si mysli, ze rezim nema duvod po nem jit. Je to dokonale zotroceny ovcan, kteremu neni pomoci.

co to je zase za analyzu celeho meho zivota z jednoho komentare.. a co ma co spolecnyho to ze nekdo neco dokaze s pouzivanim systemu pro lidi kterejm jde o zivot? pouzival ToR snad Jobs? nebo Gates? nebo Zuckerberg? pouzivali snad predplacenky? jak sem psal nahore.. kdyz nekdo bude chtit tvoje hesla atd tak je proste dostane.. to neovlivnis.. na svete neni nic tak bezpecnyho.. ani sem nikde nenapsal ze je paranoidni... spis sem mel na mysli ze chce bejt cool a tak pouziva prehnany systemy ktery sou stejne zabecpeceny jako vsechno kolem.... ale to nema cenu vysvetlovat nekomu kdo pouziva firefox...

Touha po soukromi je podle tebe snaha byt cool? Na svete neni nic bezpecneho, tak proc se vubec snazit? To se rovnou muzes zabit, protoze nejsi nesmrtelny. Vlastne by bylo dobre, kdybys takovy nazor mel xD

Lide ve vedeni holdingu se uspokoji s kodovanym telefonem, ev v kombinaci s siti Iridium... https://www.navisat.cz/tarify-iridium/

Jen tak naokraj. V minulosti jsem skrze různé frameworky (např. v Javě) posílal různým lidem podvržené maily kde jsem se vydával např. za jejich šéfy (kolegové) a měli jste vidět ty vyděšené tváře když tam bylo uvedeno např. to, že "Už Vás dlouho pozoruji a nejsem nikterak spokojen s tím, že trávíte svou pracovní dobu surfováním po netu atd".

Nie je to veľmi morálne, čo Ty na to?

Mohu se zeptat, nač byly ty frameworky, když poslat mail s libovolnou položkou FROM není žádný problém už léta z libovolného klienta????

tak s necim podobnym se setka kazdy psychiatr, tedy minimalne ten detsky mnohokrat za zivot.

Jsem překvapen. První příspěvek, ve kterém to netapetuješ odkazy na svůj web (sekce učení)