Na diskusním fóru mBanky se rozhořela diskuse, jestli je zabezpečení přístupu na účet mBanky dostatečné. Ti zabedněnější samozřejmě argumentují tím, že podobné zabezpečení má i Servis 24, takže to stačí. Tento modelový případ (který se mi téměř stal u eBanky a tam jsem žádné obavy neměl) by vás snad měl přesvědčit, že to je špatné.
1. Situace: klient mBanky je na dovolené v zahraničí (např. v Chorvatsku, kde mBanka ani Česká spořitelna nejsou neznámé).
2. Dělá nějakou operaci na Aukru a potřebuje zaplatit. Zajde do internetové kavárny.
3. Kavárna má nainstalované VNC na všech počítačích, aby se správce mohl občas podívat, co kdo na počítači dělá (variantou je zavirovaný počítač, trojský kůň, zlý úmysl).
4. K ověření transakce používám v kavárně svůj mobil, každý to vidí. Kavárna nebo trojský kůň ví, že jdu do jedné ze špatně zabezpečených bank, tak informuje zloděje.
5. Skončím a odcházím z kavárny
6. Při odchodu nepozorovaně přijdu o svůj mobil
7. Než to zjistím, moje peníze jsou fuč, protože lidi kolem kavárny měli všechno, co potřebovali (můj zapnutý mobil, sejmutou komunikaci přes myš a klávesnici)
Tato situace může nastat úplně klidně nejen u mBanky ale i u Servisu 24 a dalších bank, které používají pro přihlášení kombinaci jméno+heslo a k ověření transakcí nešifrované SMSky.
eBanky se tento problém netýká. Argument, že Servis 24 má chipovou kartu, je mi k ničemu, protože v internetové kavárně mi nejspíš nedovolí ji nainstalovat.
Jenže zde je zásadní věc, že 99% mobilních telefonů umožnuje automatické uzamčení při nečinosti od x sekund + ruční uzamčení, vše pod 4-8 u některých mobilů i více znaké heslo…
To znamená, že zloděj ukradne můj mobil, ale uzamčený a když ho vypne a zapne, tak bude muset zadat PIN.
Takže ukradení mobilu zloději vůbec nepomůže!
Nedostane se vůbec k tomu, aby si nechal zaslat autorizační SMS.
Docela zajímavá je i možnost vidět z jakých IP adres a v jaké časy se přistupovalo na můj účet v mbance. Je zde i logování špatně zadaných přístupových údajů.
[1] Částečně kopíruji svoji odpověď z mFóra:
Podle mého názoru je je neskutečný opruz zadávat 30x denně PIn, jenom kvůli tomu, že banka neumí implementovat SIM Toolkit stejným způsobem jako eBanka.
Vaše řešení je dobré, ale řešíte následek, ne příčinu…
Tom
Ano, někdy je lepší řešit příčinu, než neřešit zabezpečení vůbec.
—-
Je zde možnost si zamknout mobil ručně před příchodem do internetové kavárny a pak nemusíte zadávat heslo 30 x denně.
A pokud má člověk mobil se symbianem nebo jiným OS, tak lze šifrovat SMS a pro čtení zpráv od určitého uživatele – v tomto případě mBank zadat vámi zvolené heslo, jinak nejde SMS přečít….
Prostě možností je spousta.
Navíc implementace bankovního SIM toolkitu něco stojí a bezpečnost také není 100%, pokud uživatel nedbá základních bezpečnostních pravidel.
PS:Já s sebou nosím bootovatelný Flash disk s linuxovou distribucí a mám tak zajištěno po SW stránce zcela čistý systém…
———————–
[3] Já věřím, že vaše zabezpečení je dobré, ale běžný bankovní uživatel to prostě dělat nebude (na rozdíl od SIM Toolkitu, který už dneska používá skoro každý.)
A jakákoliv potíž ohledně bezpečnosti rozmáznutá v tisku je mínus pro mBanku, které já osobně (zatím) fandím…
Tomasi, tvuj clanek ma pravdu a myslim si o tom to same co ty. Mam eBanku a zatim jsem s ni navysost spokojen, vcetne jejiho zabazpeceni (pouzivam prihlaseni pomoci mobilu a zabazpecene SMS).
Dokonce jsem se nedavno zdesil, kdyz jsem reklamoval nekolik nedorucenych informaci o prichozich platbach: pani mne tvrdila (coz ma pravdu) ze kdyz prijde zabezpecena SMS ozve se napr. u me Nokie pipnuti a informace na displeji, po nejake dobe tato informace zmizi a ja musim primo do bankovni aplikace na SIM a zpravu si precist. Tot vse pravda, ale pani se mne dusovala ze to tam urcite mam, ze to proste neni mozne. Ja se dusoval ze proste tam nic neni a ze zprava nedorazila, po nejakem dohadovani se mne snazila presvedcit, abych o informaci ze mam novou zpravu urcite vedel a nezmizela mne, ze je pry "NEJLEPSI" si nechat SMS zpravy posilat jako nezabezpecene jako normani SMS….to jsem sel do kolen, kdyz i zamestnanec banky se mne snazi presvedcit o tom abych si sam snizil uroven zabezpeceni..:(
Vámi popsaným způsobem se ale dneska peníze z banky většinou neberou. Dělá se to trošku jinak.
Totiž pomocí specializovaného trojana a pokud banka používá jen normální SMS bez mobilního bankingu, tak u některých mobilů velice snadno, pokud uživatle je příznivcem technologií typu modrozub nebo má mobil připojen k počítači.
Trojánek, který když se dostane k uživateli na počítač a ověří si možnost komunikace s mobilem a přebírání SMS, tak nasimuluje kompletní komunikaci s bankou, SMS z mobilu si přečte a vše patřičně potvrdí a následně se odinstaluje. Tento způsob má tu výhodu, že uživatel se z toho nevykroutí, protože akce proběhne z počítače který je používán obvykle ke komunikaci s bankou (a ne nějakého pochybného kdo ví kde), mobil není hlášen jako kradený atd.
Podobný postup se i používá v případech, kdy se používá certifikát uložený v počítači nebo na čipové kartě, kdy PIN/heslo k certifikátu se zadává přes klávesnici k počítači.
Kdo hledá, tak příslušný toolkit i se skripty pro několik bank si v kalných vodách internetu najde. 🙂
Odolávající těmto útokúm je použití SMS bankovního toolkitu nebo čtečky čipivých karet, která má pro zadávání PINu svoji nezávislou klávesnici (pokud uživatel není uplně blbej).
[5] Má podobnou zkušenost a informační zprávy si nechávám posílat radši na adresu něco@vofafonemail.cz, to funguje dobře.
SIM Toolkit mi zobrazuje příchozí zprávy v podivném pořadí.
Ano, eBanka ma skutecne nejlepsi zabezpeceni. Presto si vsak myslim, ze zabezpeceni mBank pro 99% pripadu vyhovuje. Navic pravdepodobne behem nekolika mesicu pribydou kalkulacky. A jeste detail, ktery Vam vetsina bank ani nesdeli. A tim obsah potvrzovaci SMSky. Pokud jste pripojeni pres piratsky proxy server a nekdo po ceste zmeni nejaky detail (treba cislo uctu), tezko se to dozvite. Ze sifrovane SMSky eBanky zjistite veskere udaje o transakci a vlastni kod obsahuje i hash vsech udaju transakce. Jako vetsi nebezpeci vidim, ze si bude chtit bankovni zpravu precist manzelka 😉 Ale i pres to si myslim, ze normalnim lidem zabezpeceni mBank bude vpohode stacit.
[6] Je vidět, že tomu někdo věnuje víc času než já a má to fakt promakané 🙂
Doufám že si tohle v mBance uvědomí a něco s tím urychleně udělají. Jinak k nim od eBanky prostě nebudu moct přejít… 🙁
[8] Pokud vím, tak při komunikaci přes SSL prostě není možné nic změnit (pokud tedy nepotvrdíte Přijmutí závadného certifikátu).
Mnohem horší ale je, pokud má útočník jak jméno a heslo, tak i mobil, kterým ty nešifrované SMSky přijímá.
Tom
To neni tak docela pravda. V minulosti jiz byly zaznamenany pripady nasledujiciho pokusu o utok. Na hacknutem PC byly zjisteny veskere udaje o komunikaci s bankou. PC bylo presmerovano pres specielni proxy, kde proxyserver se nejen tvaril jako bankovni, ale diky upravam v napadnutem PC byly vsechny certifikaty vporadku. Dokonce i pripojeni pres danou proxy bylo provedeno jen v pripade, ze se klient pripojoval do banky. Nevyhodou reseni vsak je, ze utok lze provest jen u nekterych bank (nektere zasilaji presne informace o transakci) a jen ve chvili kdy klient opravdu autorizuje. Prakticky je to velice tezko vyuzitelne (je lepsi se soustredit na hure zabezpecene banky), nicmene teoreticky proveditelne. Vetsina bank ma stale co dohanet…
Tenhle scenar je tak trochu scifi 😀
Tak trochu ano, ale ne proto ze by nesel provest, ale proto ze je jednodussi napadnout klienta hure zabezpecene banky, nebo si na vytipovaneho klienta proste nekde pockat… K te nerealnosti jeste dodam, ze je dobre zkusit zjistit zhruba kolik PC na internetu je pravidelne zneuzivano k nedovolenym aktivitam (zombie). Proc si myslite, ze je tak snadne sehnat na netu zcela anonmni proxyserver?
To je nesmyslný scénář:
1. Pokud půjde o VNC, k datům má přístup provozovatel/zaměstnanec kavárny a jde o poměrně jednoduchý případ pro policii. Nikdo by si to nelajznul, a pokud ano, klientovi banky se peníze vrátí a zloděj půjde za mříže.
2. Pokud půjde o vir/trojan atd., nebude v silách jeho tvůrce ukradnout návštěvníkovi kavárny mobil. Leda by měl kontrakt s Bohem a byl předem informován o tom, kdy má v které kavárně sedět nebo tam poslat komplice.
Nemam nic proti vam, ale clovek, ktery pise neco o bezpecnosti ci amaterismu mBank a na jeho strankach http://www.hubalek.net se objevuje hlaseni nize uvedene, tak
mi pripada, ze mu jde spise jenom o kritiku a vlastni zviditelneni nez o samou podstatu veci.
Přístup pro uživatele 'hubalek.net'@'193.86.238.53' (s heslem ANO)
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /DISK2/WWW/hubalek.net/www/actions/db.php on line 415
[15] Já stále vidím drobný rozdíl.
Zatímco já, si dělám svoje stránky jenom pro sebe a lidi, kteří je chtějí číst, tak mBanka je komerční projekt s nemalým rozpočtem v řádu stovek miliónů.
V mém životě jsou mnohem důležitější věci, než předělávat svoji šest let starou homepage pokaždé, když na pipni.cz změní verzi PHP.
[14] A co když je VNC bez hesla? Občas se to může stát a pak internetová kavárna je z obliga.
Pokud jde o ten kontrakt s bohem, není to nutné. Pokud jste někdy byl u moře a chodil do internetové kavárny, mohl jste si všimnout že tam chodí stále stejní lidi a to že se hrabou v bance je možné taky snadno rozpoznat…
[16] Ale podstata je stejna. Kritizovat umi kazdy, kricet v hospode umi take kazdy, stejne jako nadavat na internetu. Ale kritizovat neci praci jenom proto, ze muzu kritizovat, kdyz svoji (podobnou) vizitku prezentuji na kazdem foru, do ktereho prispivam, mi pripade stejne amaterske, jako vy vidite amatersky pristup v bance. Ale je to ciste vase vizitka, a proto je mi to vlastne jedno.
[18] Díky, oceňuju váš liberální přístup 😉
[18[19] Ahojte,lidi,sice tomu vašemu PC žargonu občas trochu nerozumím-jsem děsný laik-,ale já to mám vyřešené tak, že 1)mobil na SMS zprávy nepřipojuji k PC,2)má internet.banka mi posílá na mobil SMSky kódované,3)mám nastavenou i banku v mobilu, takže nemusím do internet.kaváren,kterým bych mimochodem co se týká banky moc nevěřila.Mám dost starostí s uhlídáním kapsářů při nákupech. A vám pěkné svátky!!
Jo je to opruz, ale třeba s tím časem něco udělají. Taky jsem se o tom rozepsal: mBank na frantovo.cz
no, myslím, že tato situace nastene v ojedinělých případech, například já už z bezpečnostních důvodů bych z nějakého veřejného internetu nikdy na inter. bankovnictví nešla.Jestliže by to bylo nutné, tak bych si na ten ,,zapomenutý mobil" dávala pozor…
Není jednodužší si dávat lepší pozor na mobil? Dokonalé zabezpečení totiž neexistuje. Snímání klávesnice a myši + následné ukradení mobilu mi připadá již dost extrémní. Nicméně vždy si můžete pořídit tvě SIM karty. SIMky si vyměníte, provedete bankovní operace a simky si zase vyměníte. Když vám někdo ukradne mobil, bude mu na nic.
Ale i tak bych mohl jít do extrému a říct: "na ulici vám někdo přiloží zbraň k hlavě a vy mu pod nátlakem sdělíte vše potřebné" 😀 Hmmm… ty banky to vůbec nemají proti tomuto případu ošetřené 😀 😀 😀
No já si stále nejsem jistý, jestli je možné mobil uhlídat (už jsem o něj jednou přišel a ani nevím jak, kdo nezažil neuvěří ;-)).
Dále si myslím, že by banka měla udělat víc pro zabezpečení…
Kdyz je nekdo blb tak muzes mit miliony zabezpeceni a budou ti na hovno 🙂
zalezi na uzivateli jak sam si hlida penize…
to mas jak kdybys rekl ze mit u sebe velky obnos v hotovosti je chyba…chyba je to pokud si je nepohlidas…
banka proste poskytuje nastroje, ktere jsou bezpecne v ramci toho jak s nimi zachazis…
jinak ten tvuj priklad je hloupy v tom ze na dovolene se mas flakat a neserfovat na netu a nekupovat blbosti 😀
[25] Každý to vidíme jinak, ale neberu Ti to 😉
Podle me je zabazpeceni dostecne, pouze neni "blbuvzdorne". Kdyz jsem nekde na verejem pocitaci kde provadim platebni transakci, tak si dam snad pozor, abych u toho pocitace nenechal mobil, ne?
Malokdo je tak blbej aby lez do internetovyho bankovnictvi pres internetovou kavarnu. Ale kdyz se chce autor citit jako znalec tak proc ne. Aspon ma o cem psat pako.
[28] Ne kazdy sedi doma na pr*eli, jako ty Borisi
Ja jsem si napriklad jisty, ze budu behem dalsich 14 dnu (co budu na Filipinach) potrebovat navstivit svoji banku. Jak to mam podle Tebe udelat?
Tom
[29] Zdravim…trošku jsem se nad tím příkladem zamyslel…1) v bezpečnostních pokynech pro používání internetového bankovnictví bývá napsáno, že se máš připojovat pouze z bezpečného počítače, tzn. který je prověřený antivirem atd…Takže bys neměl mít problém s trojany apod…2)VNC v kavárně…jak už tu někdo psal, není problém dohledat, takže zloděj je v háji 3)Nemám důvod nechat si ukradnout mobil;-) Když jsi někde, kde by se mohlo něco takového stát, tak si prostě budu dávat větší pozor…Máš pravdu, že ne každý sedí doma…Ale pokud máš na to, abys jel na Filipíny, tak si s sebou vem notebook a obětuj těch pár desítek korun za připojení a vyřízení toho, co tak nutně v bance potřebuješ. Můžeš to udělat odkudkoliv, takže nikdo nemusí vědět, co děláš a navíc máš jistotu, že ti nikdo nekouká VNCčkem "přes rameno". Osobně mám KB, certifikát na flashce, takže není problém, aby mi ukradli zároveň mobil a flashku;-) Tzn…i KB je v háji…je to prostě kravina…BuĎ víš, co musíš udělat pro to, abys měl prachy v bezpečí, nebo nevíš..a když nevíš, tak ti nepomůže ani ta smlouva s Bohem
[6] Len hlupak moze pouzivat mobil spojeny s PC pocas financnych transakcii Moznost samozrejme taka je