Strona 4 z 5

Re: Bezpieczne logowanie

: 12 paź 2020, 23:02
autor: Wojtas
Thorwald pisze:
12 paź 2020, 22:39
Logują się i podstawiają własny serwer dns. Wpisujesz prawidłowy adres banku na dowolnym domowym komputerze czy telefonie, ale ten prawidłowy adres jest przekierowywany na stronę hakerów przez twój domowy router. Ta strona powinna wyglądać jak bankowa.

A wy w kółko to samo. Już pisałem, to nie zadziała, bo wywali błąd certyfikatu.

DNS przekieruję cie oczywiście na stronę włamywaczy, ale ta strona nadal musi dostarczyć klucz publiczny i certyfikat, właściwy dla danej domeny (np mbank.pl) i autoryzowany przez jeden z Głównych Urzędów Certyfikacji.

Jeśli strona włamywaczy tego nie zrobi (a nie ma jak zrobić), to wywali gigantyczny błąd i ostrzeżenie zanim w ogóle rozpocznie się transmisja. Nie ma możliwości żeby ktoś to zignorował, choćby nie wiem jak był nieobyty z komputerami

Wejdźcie sobie na stronę bez autoryzowanego certyfikatu np https://www.cacert.org/, to zobaczycie o jakim ostrzeżeniu mówię.
Gdyby takie ostrzeżenie wyskoczyło ci przy wejściu do banku, to logowałbyś się dalej ?

PS. Tego nie projektowali idioci.

Re: Bezpieczne logowanie

: 12 paź 2020, 23:24
autor: Tomo
Skoro już jest taki temat, to dodam jeszcze 3 grosze w tej kwestii.

- warto mieć po prostu panel z zakładkami ze stronami banków / brokerów / maila etc. Wpisać bardzo uważnie wszystkie potrzebne domeny i potem nie ma potrzeby używania paska adresu,

- rzecz już przewijana, ale wszystko jest na tyle bezpieczne na ile bezpieczna jest stacja robocza.

- na początku Tomek wspomniał, że korzysta z VPNa. Nie widziałem żeby ktoś zapytał z jakiego właściwie VPNa korzysta. Jeżeli ma w biurze porządnego NGFW to ma to ogromny sens, bo ruch będzie filtrowany niezależnie czy połączy się z wewnątrz firmy czy z hotelu.

- Co do samego uwierzytelnienia jako takiego to jedynym znanym mi bankiem w PL, który pozwalał używać tokenów RSA (taki kluczyk TOTP, który generuje co 30 sek kod) dla klientów indywidualnych był (i poniekąd jest) CreditAgricole. Obecnie jest zmieniony również na token sprzętowy, ale taki który spełnia dyrektywę, tj widzisz co potwierdzasz - kody Cronto.

Re: Bezpieczne logowanie

: 13 paź 2020, 08:04
autor: Tomek
Ja korzystam z dwóch różnych VPN-ów, bo do rzeczy poważnych, typu banki, platforma, logowania do systemów księgowych etc. to mam zestawiony bezpośredni tunel z firmowym serwerem we Francji, gdzie zawsze mam to samo stałe IP, więc łatwo mi wtedy pododawać ten adres na whitelisty, a całą resztę ruchu poblokować. No ale do beztroskiego codziennego surfowania po internecie to używam publicznego Express VPN, bo jednak stałe IP to żadna anonimowość, nawet jak ono nie jest zarejestrowane na mnie.

Natomiast to wszystko, co piszecie o tokenach sprzętowych, to jest na pewno prawda z punktu widzenia stricte informatycznego, ale tu trzeba jeszcze wziąć pod uwagę komfort i wygodę stosowania jakiegoś rozwiązania na co dzień dla przeciętnego użytkownika. Ja w trakcie dnia korzystam zazwyczaj z trzech różnych komputerów (w domu jeden MacBook i jeden iMac), jak jestem w biurze to tam jest inny iMac, do niektórych rzeczy korzystam też z czwartego komputera mojej żony, bo ma większy ekran niż mój, a do tego cały czas pod ręką mam iPada mini do konsumowania treści i iPada Pro do różnych bardziej kreatywnych zadań. Do tego mam jeszcze dwa telefony, z których korzystam naprzemiennie, jeden do spraw firmowych, a drugi prywatny. No i teraz proszę sobie wyobrazić, że mam tylko jeden klucz sprzętowy... No bo przecież pięciu kluczy nie zepnę z większością serwisów, ponieważ one pozwalają na podpięcie tylko jednego z nich. To co, mam za każdym razem, jak biorę do ręki inny sprzęt albo siadam do innego komputera, pamiętać o tym, żeby zawsze wyjmować ten klucz, nosić go wszędzie ze sobą i przekładać z urządzenia na urządzenie piętnaście razy dziennie? Przecież to nierealne.

Natomiast aplikacje typu Authy synchronizują się pomiędzy różnymi urządzeniami mobilnymi, więc nie ważne, który sprzęt mam pod ręką, to zawsze mogę wygenerować nowy kod. Jak ktoś mi ukradnie klucz sprzętowy, albo go zgubię, to jestem w kropce. Muszę zalogować się do wszystkich serwisów, poodłączać z każdego ten klucz, potem zamówić nowy, powłączać na nowo autoryzację etc. Jeśli ktoś mi ukradnie telefon, to przecież dowiem się o tym błyskawicznie i tak samo błyskawicznie go zdalnie zablokuję, wyczyszczę i dezautoryzuję na portalach, a kody w międzyczasie wygeneruję sobie na jakimkolwiek innym urządzeniu, które mam pod ręką. To zajmie trzy minuty.

Zdaje sobie sprawę, że aplikacje mogą zapewniać nieco niższy poziom zabezpieczeń w przypadku włamania się na telefon i tak dalej, ale bez przesady, skoro nawet FBI nie jest w stanie bez pomocy izraelskich firm za grube miliony dolarów włamać się do iPhone'a przestępców, to raczej w moim przypadku używanie aplikacji na telefonie też nie będzie jakimś spektakularnym ubytkiem w poziomie bezpieczeństwa versus używanie tokena sprzętowego. No a poziom wygody i komfortu jest za to nieporównywalnie wyższy. Stosunek zysku do ryzyka wypada więc korzystniej na rzecz apki :)

A tak btw. jak mówicie o UBS, to ja dla odmiany podzielę się ciekawostką z drugiej strony medalu. Zakładając konto w genewskim CIM Banque w umowie o prowadzenie rachunku (wersja drukowana) trzeba wpisać ręcznie długopisem hasło, którego potem nie da się zmienić w systemie. Na pytanie WTF, relationship manager odpowiedział, że ich dział compliance musi mieć dostęp do konta klienta, tak na wszelki wypadek.

Drugi kwiatek to mBank korporacyjny dla firm, do którego żeby się zalogować, trzeba w przeglądarce podać sześciocyfrowy stały login, a potem zatwierdzić logowanie w aplikacji. Nie ma żadnego hasła(!). Tylko login i potwierdzenie w apce.

Cypryjski EuroBank pozwala z kolei na ustawienie własnego hasła, ale tylko złożonego z ośmiu cyfr. Ani mniej, ani więcej.

A dubajski Noor Islamic Bank jeszcze niedawno pozwalał na korzystanie z logowania wyłącznie z... Internet Explorera w wersji bodajże max 6 :) Na plus trzeba im zaliczyć, że wymuszali przynajmniej tokeny sprzętowe, po które niestety trzeba było lecieć osobiście.

I jeszcze Wells Fargo mi się przypomniał, gdzie po ustawieniu większego przelewu zadzwonili do mnie z pytaniem czy to ja zlecałem. Weryfikacją tego, czy ja to ja, było podanie daty urodzenia :)

Re: Bezpieczne logowanie

: 13 paź 2020, 10:49
autor: Thorwald
Wojtas pisze:
12 paź 2020, 23:02
A wy w kółko to samo. Już pisałem, to nie zadziała, bo wywali błąd certyfikatu.

Problem w tym, że kilka lat temu grupa klientów polskich banków dała się w ten sposób z hakować. Znane mi osoby w grupie wiekowej 60-75 absolutnie nie zrozumieją co na stronie błędu certyfikatu jest napisane. Pomyślą, że to one zrobiły coś nie tak i trzeba klikać dalej by z tego wyjść. Poza tym tego błędu certyfikatu nie ma starych przeglądarkach. Nadal jest w użyciu Windows XP i jakiś tam Internet Explorer.

Z jeszcze jednym ciekawym rozwiązaniem spotkałem się circa 12 lat temu w jednym ze szwajcarskich banków. Dostarczali płytkę CD z programem/systemem operacyjnym do obsługi banku. Wkładało się ją do komputera, odpalało z niej system live (nie widoczny dla klienta) i program do obsługi banku. Było to rozwiązanie odporne na wirusy na komputerze. Nie zostawiało śladu na komputerze. Na płytę CD także nic nie mogło się nagrać. W zasadzie można to było włożyć w dowolny prywatny czy publiczny komputer w którym się miało dostęp do biosu w którym można było ustawić, by system startował z CD. Program ustanawiał automatycznie VPN do serwera banku, kryptografia asymetryczna potwierdzała bankowi, że to jest twoja fizyczna płytka i hasło do zalogowania się do programu. Ciekawe dla czego z tego zrezygnowali ?

Re: Bezpieczne logowanie

: 13 paź 2020, 11:00
autor: Wojtas
Tomek pisze:
13 paź 2020, 08:04
...ale bez przesady, skoro nawet FBI nie jest w stanie bez pomocy izraelskich firm za grube miliony dolarów włamać się do iPhone'a przestępców

To trochę tak jakby: "skoro nawet poważne fundusze inwestycyjne, zarządzane przez najlepszych na świecie profesjonalistów tego świata zarabiają ileś tam % rocznie, to zwykły nastolatek nie jest w stanie zarobić więcej".

Po pierwsze sprawa dotyczyła hasła, nie FaceID. Różnica moim zdaniem kolosalna.
Po drugie FBI nie jest żadnym wyznacznikiem. Policjanci nie zajmują się łamaniem zabezpieczeń i muszą zwrócić się do firm (Apple odmówiło wykonania nakazu), a te izraelskie są jednymi z najlepszych na świecie.
Natomiast to, że kasują sobie za to grube miliony, chyba nikogo nie dziwi. To nie jest szeroki rynek (legalnie), a legalnie oferujących swe usługi specjalistów jest bardzo mało.

BTW Ile kosztowałoby legalne sfałszowanie dokumentu (np na zlecenie rządu), a ile nielegalne ?
Te pierwsze byłoby pewnie drooogie, a te drugie da się czasem załatwić dość tanio (jeśli ma się komu zlecić).

Świat zwykłych cyberprzestępców wygląda zupełnie inaczej. Oni siedzą na specjalistycznych forach, torach, itp. Wymieniają się informacjami, tworzą narzędzia, sprzedają je (za bitcoiny).
Słynny hacker Thomas, mimo, że sam nie łamał żadnych zabezpieczeń, był bardzo skuteczny. Zamawiał narzędzia robione przez innych, używał, zarabiał (czyt. kradł), reinwestował.

Apple nie jest zaś wcale jakimś tytanem bezpieczeństwa i zalicza wtopy dość regularnie.
Np Mac/iPhone'a sobie zdalnie możesz nie wyczyścisz, jeśli ktoś go wyłączy, zainfekuje bootloarder i zdalnie wyłączy tę funkcję. Było o tym tu i tu
Może też zainfekować firmware keyloggerem i ci zwrócić. Nigdy się o tym nie dowiesz, a antywirus ci nie pomoże, bo nie działa na tym poziomie (to tak jakby dermatolog na podstawie skanowania skóry próbował ustalić co dzieje się w żołądku).

FaceID/TouchID/głos są łamane dość regularnie (łatwo znaleźć potwierdzenia i nawet nie ma sensu wklejać), bo moim zdaniem technologia jest wadliwa z założenia.
A jeśli ktoś siedziałby w temacie (tak jak np my w inwestycjach), to w darknecie kupowałby sobie rozwiązania do obejścia tego, jeśli te tylko istnieją. Nie musiałby robić tego sam.

Nasze bezpieczeństwo wynika jednak przede wszystkim z braku narażenia, bo wbrew pozorom okazja nie czyni złodzieja.
Cyberprzestępcy robią kampanie masowe jak np atak programami szyfrującymi na wszelkie firmy z Mazowsza lub z całej Polski (kto się złapie ten się złapie), a nie atakują bo trafiła im się jakaś świetna okazja.
Gdybym znalazł twój telefon, to pewnie bym ci go po prostu oddał, ktoś inny by sobie może przywłaszczył. 99,99% ludzi nic by jednak z nim nie kombinowało.

Moja matka czasem wychodzi z domu nie zamykając drzwi. Nikt jej nigdy nie okradł. Czego to dowodzi ?
Przypuszczam, że niektórzy ludzie nawet gdyby w ogóle nie zamykali drzwi z domu (o tym nikomu nie mówiąc), to i tak nigdy nie mieliby włamań.
Nie wystarczy brak zabezpieczeń lub słabe zabezpieczenia. Trzeba jeszcze trafić na przestępców, chcących je w danym czasie i miejscu wykorzystać.
W tym przypadku musiałaby być jakaś szajka, okradająca mieszkania w danym rejonie lub próbująca to czasem robić.

PS.
Swoją drogą to swoistym paradoksem jest, że Apple tak dzielnie broniło prywatności w zupełnie legalnej sprawie FBI, a jednocześnie firma ta (tak jak Google czy Microsoft) tak chętnie współpracują ze służbami w zupełnie mniej legalnych (i tajnych) sprawach. O których to wiemy tylko dzięki takim ludziom jak Snowden czy Assange, bo inaczej dalej byśmy żyli w nieświadomości.
Tak się ludzi robi centralnie w trąbę, zapewniając im pozory prywatności. Firmy udają, że szanują prywatność klientów, a klienci udają, że im wierzą.
Tymczasem NSA i tak podsłuchuje ludzi na masową skalę z pomocą i błogosławieństwem największych firm.
Żyjemy w dwóch równoległych światach.

Re: Bezpieczne logowanie

: 13 paź 2020, 11:29
autor: Wojtas
Thorwald pisze:
13 paź 2020, 10:49
Z jeszcze jednym ciekawym rozwiązaniem spotkałem się circa 12 lat temu w jednym ze szwajcarskich banków. Dostarczali płytkę CD z programem/systemem operacyjnym do obsługi banku. .....

Niestety od czasu rozwoju technologii takich jak UEFI czy Intel Management Engine, nawet czysty system operacyjny nie gwarantuje już żadnego bezpieczeństwa, jeśli sprzęt na którym on działa jest niepewny.
Intel ME, SMM czy UEFI działają na poziomie niższym niż system operacyjny i startują wcześnie niż on. Możesz sobie o tym tutaj poczytać.


Poza tym nie wiem czy wiesz, ale Chinczycy dostarczali płyty główne komputerów z chipami szpiegującymi o wielkości mniejszej niż ziarenko ryżu. Nie ma wtedy ma znaczenia jaki miałbyś system.
To znany fakt, nie żadna spiskowa teoria.

Oczywiście oni nie bawią się w okradanie zwykłych kowalskich (to by było śmieszne). Chodzi raczej o kradzież technologii, które umożliwiłyby chińczykom dogonienie zachodu (zwł. USA).
W sporej części im się to dzięki m.in. takim technikom udało. Dzisiejsze Chiny nawet nie przypominają tych jeszcze 20 lat temu.

Re: Bezpieczne logowanie

: 13 paź 2020, 15:16
autor: winnie-the-pooh
W sumie, to jako do człowieka z IT, ale pracującego też z biznesem przemawia do mnie argumentacja Tomka.
IMHO Gmail rozwiązał sprawę modelowo - na co dzień na często używanym sprzęcie klucz sprzętowy nie jest potrzebny. Natomiast jest konieczny gdy się wykonuje odzyskanie konta lub zmiany haseł, czy kluczy. Plus notyfikacje na wszystkich urządzeniach, że krytyczna operacja jest wykonywana właśnie. I to jest równomiernie wyważone między bezpieczeństwem, a wygodą.

Re: Bezpieczne logowanie

: 13 paź 2020, 21:02
autor: Wojtas
Główny argument na rzecz Tomka jest taki, że na iPhone nie ma jakiegoś wysypu infekcji.

Na Windowsa - wiadomo, na Androida - też już zaczyna się tego trochę pojawiać, a na iPhone'a - sporadyczne przypadki.

Re: Bezpieczne logowanie

: 16 paź 2020, 14:49
autor: jamesfisher
1) 2FA - najlepiej za pomocą sprzętowego tokena jak YubiKey + backup. Odpadają software-owe Google Authenticator, itd.
2) Windows - koniecznie praca na koncie bez admina
3) Dla paranoików do robienia przelewów bankowych i innych operacji system "Qubes OS" lub "Whonix"
4) W przeglądarce internetowej domyślnie blokowanie JavaScript np. za pomocą NoScripts
5) W kliencie pocztowym wyłączenie formatu HTML dla wiadomości i włączenie "plain text". Ważne wiadomości wysyłamy wyłącznie za pomocą szyfrowania PGP.
6) SMS-y autoryzacyjne na telefon starej generacji (bez Antka/iOS), który nie posiada (oraz najlepiej również nie da się włączyć) internetu lub jeśli nie ma innej opcji to współczesny smartphone (najlepiej nie chiński i z możliwością aktualizacji systemu) z apkami do zatwierdzania transakcji (bankowość/brokerzy/itp)
7) sensowny manager haseł bez trzymania danych w chmurze
8) szyfrowanie dysków/sprzętu za pomocą VeraCrypt (preferowane) lub BitLocker
9) VPN

PS. Punkty 1, 2, 4, 5, 6 i 7 w prawdopodobnie rozwiążą 99% problemów "internetowych" :)

Re: Bezpieczne logowanie

: 16 paź 2020, 17:45
autor: wujt
jamesfisher pisze:
16 paź 2020, 14:49
4) W przeglądarce internetowej domyślnie blokowanie JavaScript np. za pomocą NoScripts

Jak sobie wyobrażasz korzystanie z dzisiejszego Internetu bez tego?

Re: Bezpieczne logowanie

: 17 paź 2020, 12:24
autor: jamesfisher
wujt pisze:
16 paź 2020, 17:45
jamesfisher pisze:
16 paź 2020, 14:49
4) W przeglądarce internetowej domyślnie blokowanie JavaScript np. za pomocą NoScripts

Jak sobie wyobrażasz korzystanie z dzisiejszego Internetu bez tego?

Jak widzisz żyję i się da :) . Na "pewnych" stronach można ustawić wyjątki dla określonych domen i nie ma problemu. Oczywiście każdy zrobi jak uważa.

Re: Bezpieczne logowanie

: 18 paź 2020, 00:39
autor: Wojtas
Tak samo jak:

5) W kliencie pocztowym wyłączenie formatu HTML dla wiadomości i włączenie "plain text".

Przecież to nierealne w dzisiejszych czasach. Gdybym w firmie coś takiego zastosował, zjedliby mnie żywcem.
Poza tym HTML nie jest jakoś specjalnie groźny, bo większość luk dotyczy JavaScript'a i wtyczek typu Flash Player, a nie samego statycznego HTMLa.
Tymczasem mądry program pocztowy (jak choćby Thunderbird), ma wyłączony JavaScript, a ostatnio także i wtyczki we wiadomościach email.

albo to:

2) Windows - koniecznie praca na koncie bez admina

Niestety daje złudne poczucie bezpieczeństwa. Ransomeware czy złodziej danych często zrobi swoje nawet na koncie użytkownika.

no i:

9) VPN

Nigdy nie rozumiałem fenomenu tego.
W korporacjach, dostęp do sieci wewnętrznej - ok.
W Kazachstanie lub innym reżimowym kraju - ok.

Ale w Polsce, zwykłemu człowiekowi ? Po co ? Chyba, że zniesławiasz ludzi w sieci - to ok, VPN się przyda.

Re: Bezpieczne logowanie

: 18 paź 2020, 12:30
autor: jamesfisher
ad5. Tak pracuję prywatnie i nie narzekam. W firmie to inna sprawa :)
ad2. Prawda ale jest to zawsze kolejny "layer" zabezpieczeń.
ad3. Zgadza się. W korporacji się to najlepiej sprwdza. Dla zwykłego człowieka to bardziej sztuka dla sztuki :)

Re: Bezpieczne logowanie

: 18 paź 2020, 14:23
autor: rebahas
Tomek pisze:
13 paź 2020, 08:04
Ja korzystam z dwóch różnych VPN-ów, bo do rzeczy poważnych (...)

Jak dla mnie to jest mniej więcej sedno. Trzeba po prostu wiedzieć z czego się korzysta i po co się z tego korzysta oraz jakie są tego wady i zalety, bo często od najdroższych zabezpieczeń o wiele cenniejszy jest brak pośpiechu i chwila zastanowienia nad tym co się chce zrobić ;)

Re: Bezpieczne logowanie

: 18 paź 2020, 23:23
autor: Wojtas
A zamiast noscript'a, który jest jednak trudny do używania dla ludzi nieobeznanych, polecam po prostu dobry bloker reklam i innych niechcianych elementów typu:

uBlock Origin (dla Firefox lub Chrome) + dodatkowe filtry.

Wbudowane filtry też warto włączyć wszystkie.

Nie chodzi tylko o blokowanie reklam, ale też strony ze złośliwym oprogramowaniem, wyłudzające dane, elementy śledzące, koparki kryptowalut i wszelkie inne zło.

PS. Niektórzy też polecają Adguard'a (prostszy) lub choćby wbudowany adblocker w Brave. Ja jednak zostaję przy uBlocku Origin, który jest otwartoźródłowy (GPL) i cieszący się powszechnym zaufaniem. Z Brave'a korzystam tylko na Androidzie.
Nie poleca się natomiast Nano oraz Adblock Plus, bo te rozszerzenia się zaprzedały i nie są już godne zaufania.