Strona 1 z 5

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 06:24
autor: Tomek
Tylko pozazdrościć klientom Robinhooda takiego supportu:

https://www.bloomberg.com/news/article ... f=YoVxmyUO

Przy okazji przypomnienie dla wszystkich, ze warto używać unikalnych haseł i stosować dwuetapowe uwierzytelnienie przy logowaniu.

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 12:00
autor: mlubinski
Uo niezle ja ograbili :) ale masz racje nalezy zabezpiecxac dostep do kluczowych systemow/portali jak tylko sie da. Warto rozwazyc menedzery hasel (ja uzywam 1password), zeby ogarniac indywidualne skomplikowane hasla + MFA tam gdzie mozliwe.

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 12:02
autor: Hubert
Odnośnie zabezpieczenia, czy fizycznie jest możliwość hackowania konta z podwójnym uwierzytelnieniem ?
Chodzi mi o to czy w razie nawet jak złamią Ci hasło to czy są w stanie złamać to drugie?

Tutaj artykuł że można ale tylko przez fishing
https://www.cnbc.com/2019/01/04/how-sec ... kable.html

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 12:06
autor: mlubinski
Byc moze technicznie jest opcja (nie weryfikowalem) ale bardzo ciezka do zreslizowania, bo musieliby miec twoj token, odcisk palca, numer telefonu),

:edit:
Poza tym w IB raczej taki transfer co opisano nie jest mozliwy, po blokuja transfery na konta “inne niz wlasciciela” (przynajmniej mi zablokowali jak z konta zony chcialem kase zaladowac z mojego konta, wiec zakladam ze w druga strone dziala podobnie)

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 14:51
autor: winnie-the-pooh
Generalnie chyba najgroźniejszy realny atak na MFA to atak z duplikatem karty SIM, jeśli się używa SMSów autoryzacyjnych. To musi być atak celowany, gdyż parę danych trzeba podać podczas wyciągania od operatora nowej karty SIM. Nie jest to trudne, ale do zrobienia raczej tylko jeśli się juz namierzyło soczysty cel.
Generalnie tak: menedżer haseł, hasła najbardziej losowe i unikalne, jeśli autoryzacja aplikacją na telefon, to chronić telefon jak oka w głowie (szyfrowanie, PIN, zdalne czyszczenie w razie zagubienia). Sensowne jest też stosowanie kluczy sprzętowych do zabezpieczenie skrzynki EMAIL. To jest najskuteczniejszy wektor ataku, bo mając w ręku skrzynkę email, ma się możliwość wymiany zwykle wszystkich haseł.

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 15:53
autor: CoinsMakingCoins
Moja branża to trochę się pomądrzę :).

winnie-the-pooh pisze:
10 paź 2020, 14:51
Sensowne jest też stosowanie kluczy sprzętowych do zabezpieczenie skrzynki EMAIL.

Tak, to co winnie napisał. Najprostszy yubikey kosztuje pewnie z $15. Ja mam 2 podpięte do mojej skrzynki mailowej, jeden przy sobie, jeden w sejfie w domu.

mlubinski pisze:
10 paź 2020, 12:00
Warto rozwazyc menedzery hasel (ja uzywam 1password), zeby ogarniac indywidualne skomplikowane hasla + MFA tam gdzie mozliwe.

To jest obowiązkowy krok, nawet jak ktoś nie chce płacić za 1Pass to są darmowe alternatywy takie jak LastPassword, który dodatkowo ma jeszcze wbudowany generator TOTP (algorytm którego używa Google Authenticator) - można tego używać jako 2fa przy logowaniu np. do Degiro, a z racji tego, że można sobie selfhostować cały vault z hasłami i TOTPami nie jesteśmy skazani na trzymanie ich w chmurze jesli ktoś jest paranoikiem :). I w przeciwieństwie do Google Authenticatora nie musisz praktycznie nic robić jak zgubisz telefon, bo Twój autentykator nie jest przypisany do żadnego urządzenia.

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 18:26
autor: rebahas
Jeżeli chodzi o trzymanie tokenów soft do 2FA to polecam Auth na telefony. Jeżeli chodzi o menadżer hasłem to całkiem niezły jest Bitwarden, bo ma jasno pokazane co i jak jest zrobione i jak ktoś jest w temacie to może sobie sam przeanalizować od A do Z jak to działa i czy dobrze działa ;)

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 18:43
autor: Hubert
mlubinski pisze:
10 paź 2020, 12:06
Byc moze technicznie jest opcja (nie weryfikowalem) ale bardzo ciezka do zreslizowania, bo musieliby miec twoj token, odcisk palca, numer telefonu),

:edit:
Poza tym w IB raczej taki transfer co opisano nie jest mozliwy, po blokuja transfery na konta “inne niz wlasciciela” (przynajmniej mi zablokowali jak z konta zony chcialem kase zaladowac z mojego konta, wiec zakladam ze w druga strone dziala podobnie)

To drugie jest łatwe do obejścia bo kupią z twojego konta bezwartościowe opcje na gównianym instrumencie i po temacie :)

Re: RobinHood - tanie inwestowanie

: 10 paź 2020, 23:32
autor: Wojtas
Hubert pisze:
10 paź 2020, 12:02
Odnośnie zabezpieczenia, czy fizycznie jest możliwość hackowania konta z podwójnym uwierzytelnieniem ?

Tak

Hubert pisze:
10 paź 2020, 12:02
Chodzi mi o to czy w razie nawet jak złamią Ci hasło to czy są w stanie złamać to drugie?

Nie muszą go łamać. Gdybym miał dostęp do twojego komputera, mógłbym wprowadzić ci przekierowanie żeby strona internetowa twojego brokera w rzeczywistości kierowała na mój serwer. Żebyś nie dostał żadnego ostrzeżenia przy szyfrowaniu, doinstalowałbym ci też lewy certyfikat główny (do systemu i do przeglądarek).

Cały ruch byłby wtedy co prawda nadal szyfrowany, ale w dwóch połówkach: "od ciebie do mnie" oraz "ode mnie do twojego brokera".
Ja byłbym pośrodku i miałbym dostęp do niezaszyfrowanej zawartości. To się nazywa man-in-the-middle (człowiek po środku) i nie jest to żadna czarna magia dla administratorów. To są ataki znane od lat.

Mój serwer przechwytywałby więc cały ruch od ciebie. Tym samym otrzymałbym twoje dane użytkownika, hasło oraz hasło jednorazowe. Ale co najważniejsze, to ja (a nie ty) byłbym zalogowany u twojego brokera, a ty tak naprawdę byłbyś zalogowany u mnie, tylko byś o tym nie wiedział.
W momencie gdybyś się wylogował (ode mnie), ja nadal utrzymałbym sesję do twojego brokera jako klient i wtedy mógłbym zacząć własną zabawę.
Mógłbym wystawiać zlecenia, do których nie potrzeba by mi było już żadnych kodów jednorazowych.

rebahas pisze:
10 paź 2020, 18:26
Jeżeli chodzi o trzymanie tokenów soft do 2FA to polecam Auth na telefony.

Żaden Auth na telefony nie jest 100% bezpieczny i nigdzie, ale to nigdzie gdzie bezpieczeństwo jest naprawdę priorytetowe, tego nie polecają.
Nawet telefon szefa Amazonu Jeffa Bezosa został shackowany pojedynczą wiadomością i było o tym głośno w mediach: https://www.wired.co.uk/article/jeff-be ... udi-arabia
Bezpieczeństwo typowego Androida jest takie sobie, tzn zwykle wystarczające dla zwykłego użytkownika, ale bynajmniej nie niemożliwe do złamania.
Są systemy które umożliwiają jego hackowanie i te systemy są do kupienia (Pegasus), jeśli ktoś ma naprawdę dużo pieniędzy. Są też systemy do łamania na lewych giełdach, mniej lub bardziej skuteczne, zależnie od zainwestowanych kwot.
Teoretycznie są jeszcze modowane Androidy, jak BlackPhone czy BlackBerry, gdzie bezpieczeństwo jest postawione na wyższym priorytecie, ale jakoś nigdy nie zdobyły one szerszej popularności.

Jeśli ktoś naprawdę chce więc bezpieczeństwa to nie bawiłbym się w żadne Androidy, tylko brał od razu fizyczny token, Yubikey czy podobne, niezależne urządzenie.

mlubinski pisze:
10 paź 2020, 12:06
Poza tym w IB raczej taki transfer co opisano nie jest mozliwy, po blokuja transfery na konta “inne niz wlasciciela” (przynajmniej mi zablokowali jak z konta zony chcialem kase zaladowac z mojego konta, wiec zakladam ze w druga strone dziala podobnie)

Jest jeszcze lepiej. Nie jest możliwa bezpośrednia i natychmiastowa wypłata na nowe konto, o ile nie używasz ich Secure Login System (tokena).
W takim wypadku jak hacker dodał by sobie "swoje" konto do wypłat, to nawet gdyby jakimś cudem dane się zgadzały, to i tak musiałbym odczekać 10 dni zanim mógłby zlecić na nie wypłatę.
W tym czasie ty dostałbyś powiadomienie o tym, że zostało dodane nowe konto i mógłbyś podjąć kontrdziałania.

Źródło: https://www.interactivebrokers.com/en/s ... enroll.htm

Poza tym zlecenie wypłaty, wymaga kolejnego jednorazowego kodu autoryzacyjnego, a dodanie konta bankowego bodaj też.


Gdybym miał dostęp do czyjegoś konta, nie bawiłbym się więc w takie wypłaty. Raczej szukałbym jakiegoś mało popularnego instrumentu, na niego znalazł mało popularny derywatyw (np opcję oddaloną o rok z dziwnym strike'iem albo coś takiego) w czasie gdy nie ma nic na niego wystawionego (0 zleceń na giełdzie).
Następnie próbowałbym puścić zlecenie takiej opcji na mało popularną giełdę (zmusiłbym IB żeby nie korzystał ze swojego algorytmu wyboru giełd, tylko puścił zlecenie na konkretną). Jednocześnie na swoim koncie puściłbym korzystną dla mnie kontrofertę i starał się żeby te oferty się w miarę możliwości ze sobą sparowały. W ten sposób przepompowywałbym pieniądze.


winnie-the-pooh pisze:
10 paź 2020, 14:51
Generalnie chyba najgroźniejszy realny atak na MFA to atak z duplikatem karty SIM, jeśli się używa SMSów autoryzacyjnych.

Nie trzeba używać SMSów autoryzacyjnych. W przypadku IB, gdybym miał kartę SIM z twoim numerem, mógłbym po prostu zainstalować nową wersję IB Key na swoim telefonie i ją aktywować. Po aktywacji mógłbym jej już używać do generowania kodów autoryzacyjnych.

Jak zdobyć duplikat karty SIM ?
Przestępcy robią to przychodząc do salonu operatora z lewymi dokumentami i zgłaszając np zgubienie oryginalnego SIMa. Przedstawiciel operatora sprawdza dokumenty "na oko" i jeśli "na oko" mu się zgadzają, wyda duplikat, który zostanie aktywowany w ciągu paru czy parunastu godzin, przy jednoczesnej deaktywacji oryginału.

Re: Bezpieczne logowanie

: 11 paź 2020, 09:19
autor: Tomek
Wojtas, a czy używanie VPN do szyfrowania całego ruchu skutecznie chroni przed atakami typu man-in-the-middle? Pytam, bo sam korzystam z VPN zawsze i wszędzie i tak się zastanawiam, czy to zapewnia jakąś dodatkową warstwę bezpieczeństwa w tym przypadku.

PS. Ten trik z derywatami na mało płynnym rynku to od lat najpopularniejszy sposób na pranie pieniędzy, przekazywanie łapówek, okradanie rachunków klientów przez zarządzających etc. Unia Europejska próbuje z tym walczyć wprowadzając obowiązek raportowania wszystkich transakcji, żeby algorytmy mogły wyłapywać takie rzeczy, ale na razie dotyczy to tylko korporacyjnych rachunków.

PS 2. Wydzieliłem te posty do osobnego wątku, bo uważam, ze to bardzo istotne kwestie i przydało by się większą uwagę zwracać właśnie na podstawowe zasady bezpieczeństwa w internecie, takie jak menadżery haseł, 2FA, fizyczne tokeny, szyfrowanie laptopów i telefonów, VPN-y dla całego ruchu etc. W końcu chodzi tu o nasze pieniądze, a ten sam telefon często służy nie tylko do logowania do brokera, ale tez do banku, do większości serwisów społecznościowych, skrzynki mailowej i tak dalej, wiec to raczej newralgiczny element całego systemu.

Re: Bezpieczne logowanie

: 11 paź 2020, 09:37
autor: Thorwald
Najsłabszą stroną 2FA w wielu implementacjach jest procedura przywrócenia hasła/resetu 2FA. Po prostu w wielu instytucjach piszesz maila/dzwonisz o reset hasła/2FA i zabezpieczenie 2FA znika.

Re: Bezpieczne logowanie

: 11 paź 2020, 11:17
autor: mlubinski
panowie, ja sobie myślę, że takie skomplikowane targetowane ataki, mimo iż możliwe, są raczej rzadkością, a to co pojawia się w mediach, to sytuacja, gdzie klient klika w phishingowy link, i dochodzi do przejęcia konta (a jak jeszcze broker pozwala na transfery do/z innych kont, to już w ogóle). Więc oczywiście powinniśmy zabezpieczać konta poprzez MFA, ale nie powinniśmy być paranoikami w tej kwestii (takie moje skromne zdanie).
jeśli korzystamy z unikalnych i trudnych do złamania haseł, korzystamy z MFA (ofkorz im mocniejszy tym lepszy) a dodatkowo uważamy na podejrzane emaile od wujka z nigerii, co to nam testament przepisał, to wszystko na zielono :)

Re: Bezpieczne logowanie

: 11 paź 2020, 14:30
autor: Tomek
Nie no, jasne, że tu nie można dać się zwariować, bo te wysublimowane ataki to kierowane są głównie w konkretne osoby, na jakichś eksponowanych stanowiskach, z dużym majątkiem etc. Przeciętnym śmiertelnikom nie powinno to spędzać snu z powiek :)

Btw, jak już jesteśmy w temacie, będę za kilka dni odnawiał licencje na Falcona od CrowdStrike'a, może ktoś chciałby się podłączyć? Tego się nie da kupić samemu indywidualnie na sztuki, tylko całymi pakietami dla firm, a mi zazwyczaj potem zostaje kilka wolnych licencji. Koszt to około 120 USD rocznie za jedno stanowisko.

CrowdStrike ma chyba najlepsze na świecie rozwiązania w tej kwestii, o wiele bardziej wykraczające poza możliwości zwykłego antywirusa, no i działające w chmurze, co nie obciąża tak komputera. Tutaj można poczytać więcej na ten temat: https://www.crowdstrike.com/epp-101/nex ... irus-ngav/

Gdyby ktoś był zainteresowany, żeby się podpiąć, to proszę o info na PW.

Re: RobinHood - tanie inwestowanie

: 11 paź 2020, 18:15
autor: winnie-the-pooh
CoinsMakingCoins pisze:
10 paź 2020, 15:53
Moja branża to trochę się pomądrzę :).
winnie-the-pooh pisze:
10 paź 2020, 14:51
Sensowne jest też stosowanie kluczy sprzętowych do zabezpieczenie skrzynki EMAIL.
Tak, to co winnie napisał. Najprostszy yubikey kosztuje pewnie z $15. Ja mam 2 podpięte do mojej skrzynki mailowej, jeden przy sobie, jeden w sejfie w domu.
I dodajmy, że najpopularniejszy email box od GOOGL można wyposażyć w zabezpieczenie extra zwane 'Advanced Protection Program" (proponowane np. takim zajęciom jak dziennikarze śledczy), gdzie po podpięciu DWÓCH kluczy sprzętowych (drugi jest do procedury odzyskania dostępu na wypadek utraty pierwszego) konto przechodzi w tryb włączający dodatkowe funkcje ochronne poprzez wyłączenie niektórych potencjalnie niebezpiecznych integracji z innymi produktami - vide https://landing.google.com/advancedprotection/

Re: Bezpieczne logowanie

: 11 paź 2020, 19:02
autor: Tomek
A tak w ogóle, to te apki typu Authy na telefon nie są czasem bezpieczniejsze niż klucze sprzętowe? W końcu, żeby dostać się do kodu generowanego przez apkę, to trzeba jeszcze przejść zabezpieczenie biometryczne w telefonie (odcisk palca, skan twarzy), a w przypadku tego sprzętowego dongla wystarczy dostać się... do dongla.