LINUX.ORG.RU

Главного по Twitter взломали, подменив SIM-карту

 , ,


1

3

https://twitter.com/TwitterComms/status/1167591003143847936

Убедили опсоса (американского) выдать новую sim-ку взамен. А там была 2-факторная аутентификация и привязка аккаунта к sim-ке.

Опять наступили на грабли, что вообще-то мобилы и симки изначально не задумывались для идентификации абонента. И это в США.

★★★★★

США

Ну и хорошо, в нашей любимой России с телефонобезопасностью намного лучше.

Deleted
()

И это в США.

А чем этот ваш светоч демократии отлиается от остального мира?

Там всё то же самое.

Deleted
()

С безопасностью SMS всё хуже.

Пишут, что в Германии банки начинают отказываться от подтверждающих SMS кодов (securitylab.ru)

Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру.

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 3)
Ответ на: комментарий от greenman

А что взамен? Как-то в одном банке мне предлагали использовать email для аутентификации. Мои возражения — «почтовый ящик могут увести/взломать», они вероятно просто не поняли. Телефонный номер (до недавнего времени) я считал более надёжным «токеном аутентификации». Но в последнее время всё больше натыкаюсь на сообщения, что опсосы упрощают получение новых SIM-ок для ... мошенников. Кстати, когда-то потерял один из своих первых номеров — восстановить не удалось. Не прошёл «тест» из 5-ти вопросов (последние 5 звонков, дата последнего пополнения и т.д.). Потом тоже терял SIM-ки, но восстанавливать уже не пытался...

anymouze ★★
()
Ответ на: комментарий от anymouze

А что взамен?

Уже много лет назад они использовали список одноразовых паролей в качестве второго фактора. Письмо с паролями приходит на почту в специальном защищённом конверте. После получения письма данный список паролей активируется в личном кабинете.

А сейчас модно использовать в качестве второго фактора привязанное приложение на смартфоне. Причем управление финансами и аутентификация разделены на два разных приложения.

aquadon ★★★★★
()

И это в США.

А ты, я так понимаю, новости ИБ вообще не отслуживаешь? В США очень любят сотворить что-нибудь интересное. На пример, выставить БД с финансовой информацией клиентов в интернет, забыв включить аутентификацию пользователей.

CaveRat ★★
()
Ответ на: комментарий от Radjah

Тогда не было «копии договора/паспорта» на руках... Сейчас просто бы взял новый номер, без попыток восстановления...

anymouze ★★
()
Последнее исправление: anymouze (всего исправлений: 1)

Какого черта опсосы вообще восстанавливают симки. Я бы предпочел, чтобы номер выдавался лишь один раз. Потерял - сам виноват, покупай новую (копейки стоит же) и потрудись обновить номер везде где надо, не так это и сложно, зато дает уверенность.

wxw ★★★★★
()
Ответ на: комментарий от CaveRat

Одноразовые пароли видел в другом банке, только тогда их можно было распечатать прямо в банкомате. «Да» — удобно; безопасно "?" — возможно. Правда, этот банк уже не существует (то ли разорился, то ли его поглотили).

anymouze ★★
()
Ответ на: комментарий от anymouze

В статье по ссылке

Эксперты по кибербезопасности рекомендуют использовать приложения-аутентификаторы или аппаратные токены вместо аутентификации на основе SMS.

greenman ★★★★★
()
Ответ на: комментарий от aquadon

сейчас модно использовать в качестве второго фактора привязанное приложение на смартфоне. Причем управление финансами и аутентификация разделены на два разных приложения.

Когда речь заходит о финансовых приложениях в мобильной ОС (сами знаете какой :) у «параноика-во-мне» прямо-таки истерика начинается: «Нет-т-т!!! Нельзя!!! Уведут/украдут/сольют...» Что «ему» возразить?

greenman — (я) виноват, статью по ссылке не читал :(

anymouze ★★
()
Последнее исправление: anymouze (всего исправлений: 1)
Ответ на: комментарий от anymouze

У сбера были одноразовые коды-подтверждения. Как сейчас не знаю

Dark_SavanT ★★★★★
()
Ответ на: комментарий от anymouze

Вообще, одноразовые ключи - это безопасно. Постоянного ключа нет, компрометация любого из ключей позволит расшифровать только ту сессию, для которой он использовался. Вопрос только в том, как генерируют эти ключи и как они распространяются.

CaveRat ★★
()
Ответ на: комментарий от anymouze

Когда речь заходит о финансовых приложениях в мобильной ОС (сами знаете какой :) у «параноика-во-мне» прямо-таки истерика начинается: «Нет-т-т!!! Нельзя!!! Уведут/украдут/сольют...» Что «ему» возразить?

Параноику в себе нужно предоставить результаты анализа рисков и модель угроз :)) Как, в принципе, и любому параноику. На основании этих данных уже можно думать, как смягчить те или иные риски, какие риски можно принять, какие - перенести...

CaveRat ★★
()
Ответ на: комментарий от anymouze

При этом есть банки, которые предоставляют доступ только с Android или iOS, т.к. они считают это средне статистически более безопасным.

aquadon ★★★★★
()
Ответ на: комментарий от greenman

О, да там в Германии банках оказывается очень зоркие индейцы работают. Через сколько лет они присмотрелись и до них стало доходить, что оказывается SMS имеют не исправимые недостатки, чтобы их как подтверждающие использовать.

В других странах менее зоркие.

praseodim ★★★★★
() автор топика

Вся суть «безопастности», привязанной к телефону.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от wxw

Какого черта опсосы вообще восстанавливают симки. Я бы предпочел, чтобы номер выдавался лишь один раз. Потерял - сам виноват, покупай новую (копейки стоит же) и потрудись обновить номер везде где надо, не так это и сложно, зато дает уверенность.

Нормально, что восстанавливают, не нормально, что из симок чуть ли не паспорта делают. К тому же симки бывают не только теряются, но и просто ломаются.

praseodim ★★★★★
() автор топика
Ответ на: комментарий от aquadon

А если телефон рутован, то банки обычно умывают руки.

Кстати, а бывают случаи, когда какое-то приложение получало рута «в фоновом режиме», без подтверждения от пользователя?

Ну и про безопасность ios заодно.

greenman ★★★★★
()

И это в США.

Ну ты щас поднимешь волну говна от США-дрочеров, там же не может быть неправильно! Там свобода, демократия, там даже собаки лают как-то по доброму, вежливо.

Alve ★★★★★
()
Ответ на: комментарий от wxw

Какого черта опсосы вообще восстанавливают симки. Я бы предпочел, чтобы номер выдавался лишь один раз. Потерял - сам виноват, покупай новую (копейки стоит же) и потрудись обновить номер везде где надо, не так это и сложно, зато дает уверенность.

Вообще правильный подход. Иначе за тебя будут помнить твой пароль другие со всеми вытекающими. Сейчас ещё начинается хай, что модель с seed фразой, по которой кошельки в крипте создаются без привязки к личным данным, ущербная и многие теряют какие-то деньги. Тоже спорный момент. Надо предупредить о последствиях и всё. Или пускай тогда все через фейсбук авторизуются и вообще только им пользуются. Там за них всё придумают и всё запомнят, где были, что делали, что говорили, и как жизнь прожили ))).

poshat ★★★
()
Последнее исправление: poshat (всего исправлений: 1)
Ответ на: комментарий от greenman

Так нечего рутовать телефон, который используется для банкинга. Модель взаимодействия приложений в Android не рассчитана на наличие рута в системе.

Кстати, а бывают случаи, когда какое-то приложение получало рута «в фоновом режиме», без подтверждения от пользователя?

Не знаю, но в Lineage OS встроен механизм контроля root привилегий для приложений.

aquadon ★★★★★
()
Последнее исправление: aquadon (всего исправлений: 2)
Ответ на: комментарий от aquadon

Так нечего рутовать телефон, который используется для банкинга.

Мне интересно, а через уязвимости телефон не может быть рутован без участия пользователя? Для надёжности каждые 2-3 года покупать для банкинга новый смарт от нормального бренда?

greenman ★★★★★
()
Ответ на: комментарий от greenman

Уязвимость - слишком расплывчатое понятие. Теоретически может быть и такая уязвимость, которая позволяет абсолютно все. Но «рутануть» нормальный смартфон не так то просто - сначала нужно разблокировать загрузчик ключём от производителя.

aquadon ★★★★★
()

2-факторная аутентификация

Или клоунада с однофакторной через мобилку по сути?

peregrine ★★★★★
()

симки изначально не задумывались для идентификации абонента

Но зачем тогда они называются «Subscriber Identification Module»?

Khnazile ★★★★★
()
Ответ на: комментарий от Khnazile

Технически как абонента, а не как личность. Тогда никому в голову не приходило, что их будут использовать для привязки к сервисам, в том числе банковским и даже пытаться делать удостоверение личности фактически.

praseodim ★★★★★
() автор топика
Ответ на: комментарий от CaveRat

Вопрос только в том, как генерируют эти ключи и как они распространяются.

С точки зрения клиента (человека) это вопрос доверия к банку. Банки не сообщают "как генерируются ключи" (или я просто не знаю). Каналы распространения бывают разные. В идеальном(?) случае у клиента есть выбор из нескольких вариантов.

Параноику в себе нужно предоставить результаты анализа рисков и модель угроз

  • Я не специалист в банковской сфере вообще и безопасности «мобильного банкинга» в частности. Так, что «анализ рисков и модель угроз» будет та ещё :))
  • Основную паранойю вызывают сами «устройства» от китайских производителей. Чем более «ноунейм» производитель, тем больше вероятность «открытий чудных».

И хотя всё эти «инциденты» я наблюдал на чужих андроид-устройствах, червячок сомнения остаётся. И это без рассмотрения уязвимостей в каналах связи — сотовая связь, wifi. Там вся надежда на https и профессионализм людей, создававших банковское приложение.

Для объективности: когда-то купил «модную звонилку» с предустановленным вирусом под MS Windows...

anymouze ★★
()
Ответ на: комментарий от aquadon

Ну, с iOS понятно... Вот с Андроидом пользователю нужно быть начеку. Бывают устройства (прошивки?), которым верить нельзя. Обычно это так называемый «шлак»; основное его достоинство дешевизна. Проблемы-то появляются позже... Зачастую аргументы (качество устройства, производительность, поддержка устройства, безопасность) против дешёвой цены бессильны. Вопрос о безопасности зачастую вызывает недоумение. Я тоже не «большой эксперт» в безопасности Android-устройств — отсюда и моё недоверие к ним...

=====
Alve эта часть твоей фразы имеет шанс стать мемом :)

там даже собаки лают как-то по доброму, вежливо

Значение «там» каждый может выбрать на свой вкус.

anymouze ★★
()
Ответ на: комментарий от wxw

У меня один и тот же номер с 2004 года.

Как ты думаешь, сколько раз я менял симку, потому что новый телефон старую не видел просто?

Не говоря уже о переходах с сим на микро, а потом на нано.

Умник.

anonymous
()
Ответ на: комментарий от greenman

Да — краткость не моё :)

Ну, с iOS понятно…

Я подразумевал, что доверие некоторых банков к iOS базируется на следующих тезисах:

  • устройство и ОС делается одной компанией (интересно это действительно так? iPhone не моя «ценовая категория» :) // хотя «топовые» производители в принципе раздражают своим маркетингом)
  • жёсткий контроль Apple в магазине приложений (или опять маркетинг?)
  • и конечно ореол исключительности созданный маркетологами (даже Трампа же заставили использовать «самый безопасный смартфон»)

В секторе Android всё несколько иначе (по моему мнению).

А так, да: «Никому нельзя верить, но доверять приходиться...»

По ссылке

Исследователи в области информационной безопасности из Google Project Zero обнаружили группу сайтов с кодом, позволяющим через браузер устанавливать на iPhone программу...

такая «забота» о конкурентах :) Видимо в Android эта команда все-все уязвимости уже перекрыла и пришла очередь помочь Aplle...

anymouze ★★
()
Ответ на: комментарий от anonymous

У меня один и тот же номер с 2004 года

А у меня с сентября 2006. И ни разу не было такого, чтобы новый телефон не видел симку.

переходах с сим на микро, а потом на нано

Это одно и то же. Приобретая сейчас, приобретаешь их все. Основанием для замены карты старого образца может служить наличие оригинала с последующим его уничтожением.
Микроскопический риск утери номера в связи с непреднамеренным повреждением симки вполне оправдывается гарантиями эксклюзивного доступа.

wxw ★★★★★
()
Ответ на: комментарий от Khnazile

Но зачем тогда они называются «Subscriber Identification Module»

Subscriber а не Citizen или Social Security

wxw ★★★★★
()
25 октября 2019 г.
Ответ на: комментарий от anymouze

Откуда у вас такая информация про Трампа? Кто вообще IPhone называет «самым безопасным»?

Beazelsa
()
Ответ на: комментарий от crutch_master

Почти миллиард вариантов национальных номеров не хватает? Номер мало того что мошеннически восстанавливают, так еще и легально выставляют в повторную продажу через год после последнего платежа. А там у человека может быть гуглопочта привязана, вайбер, инстаграм, все что угодно. Симка сейчас как универсальная отмычка. Если на значительные риски закрывают глаза и операторы связи, и интернет-сервисы, что остается простому пользователю

wxw ★★★★★
()
Ответ на: комментарий от wxw

Почти миллиард вариантов национальных номеров не хватает?

Нет. Это всего-то по ~6 на каждого. А люди еще рождаются, умирают, симки теряют, выбрасывают и у многих по несколько номеров + рабочие.

crutch_master ★★★★★
()
Ответ на: комментарий от wxw

А у меня с сентября 2006. И ни разу не было такого, чтобы новый телефон не видел симку.

А у меня симку 2003 г. пришлось менять в 2011, потому что она от возраста сдохла (они невечные, вообще-то). И что-то мне кажется, что если бы обмен симок проводился по твоей модели, то мне бы ее не поменяли, т.к. оборудование оператора бы ее тоже не увидело бы и не смогло проверить, что эта именно та же симка.

И да, кто помешает сотрудникам опсосов забивать на требование менять новую симку на старую с тем же номером, как сейчас они забивают (при нелегальной замене) на требование менять только хозяину номера при предъявлении паспорта?

kss ★★★★★
()
Ответ на: комментарий от wxw

потрудись обновить номер везде где надо

Совсем дурачок? Как ты обновишь номер без доступа к старому?

anonymous
()
Ответ на: комментарий от anymouze

А что взамен?

У меня в банке поменяли смс на пуш-уведомления.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.