Różne rodzaje 2FA [OT z Zostałem okradziony...]
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
- Weteran
- Posty: 3265
- Rejestracja: 31 marca 2017
- Reputacja: 3705
KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?
Postautor: akos » poniedziałek, 2 października 2017, 16:41
@kasza77
@rav3n_pl ma rację, że to nie powinno być w spoilerze (chociaż chyba za ostro z minusami), bo napisałeś imho ważną rzecz. Z naszego punktu widzenia, ludzi obeznanych technicznie, wydaje się takie uzasadnienie sądu idiotyczne. Jednak moim zdaniem to dobrze, że sąd staje, jako instytucja niezawisła i niezależna (jeszcze) po stronie ludzi a nie potężnego podmiotu, ponieważ we współczesnym świecie niemal nie da się funkcjonować bez internetowej obsługi konta bankowego, więc również osoby bez należytej wiedzy lub starsze chcąc nie chcąc muszą się do tego dostosować nie mając świadomości szeregu zagrożeń. I to właśnie po stronie speców z IT leży obowiązek wykombinowania takiego poziomu bezpieczeństwa żeby całość była user friendly a zarazem bezpieczna nawet dla laika - i nie mówię tego jako przedstawiciel grupy laików tylko właśnie jako ktoś z drugiej strony barykady, czyli robiący w IT.
Z giełdami krypto jest oczywiście inna sprawa, bo tu nie ma żadnej presji żeby ktoś w ogóle z nich korzystał, w szczególności jakaś babcia trzymająca na koncie emeryturę i płacąca rachunki w necie. Dlatego proszę nie odbierać poprzedniego akapitu jako sugestię z mojej strony, że w tym konkretnym przypadku wina leży po stronie BB a nie usera, tak tylko na marginesie piszę uwagę wskazując, że uzasadnienie sądu wcale nie jest takie idiotyczne jak by się mogło na pierwszy rzut oka zdawać.
akos
- Początkujący
- Posty: 1
- Rejestracja: 2 października 2017
- Reputacja: 0
KRADZIEŻ ŚRODKÓW NA BIT BAY 3.0?
Postautor: kasza77(2) » poniedziałek, 2 października 2017, 17:00
Poszło w spojler,bo zaczął się robić totalny offtop w wątku i nie chciałem go powiększać.
Minusy dostałem za "zaległą" sprawę,chłopak nie radzi sobie z krytyką jak widać.Napisałem co sądze o tych minusach to dał mi bana ta tydzień...
Za tego posta też pewnie nie omieszka mnie "surowo ukarać"...
kasza77(2)
- Bardzo Zły Moderator
- Posty: 14377
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: rav3n_pl » poniedziałek, 2 października 2017, 18:59
Wydzielone offtopy z tamtego wątku.
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Weteran
- Posty: 2160
- Rejestracja: 1 czerwca 2016
- Reputacja: 1042
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: wrip » wtorek, 3 października 2017, 12:45
Google (lub inny dostawca poczty) wydaje certyfikat, potwierdzenie, że dane konto mailowe jest zweryfikowane nr telefonu i ma włączoną opcję logowania 2FA.
Giełda umożliwia zakładanie konta poprzez dowolny email ale umożliwia też opcję 2FA poprzez wysyłanie kodów na drugi adres email, inny niż ten użyty w rejestracji i tylko z owym certyfikatem.
Po co 2 maile?
Zawsze jest szansa, że użyszkodnik jednak używa różnych haseł i te dwie skrzynki chronią różne hasła.
Przykładowy użytkownik jest przywiązany do swojej starej skrzynki bez takich zabezpieczeń i nie będzie jej zmieniał, nie interesuje go przekierowanie maili ani nic z tych rzeczy, jednak może założyć dodatkową skrzynkę i niech sobie leży - w końcu jest potrzebna tylko do odzyskiwania hasła z giełdy lub odebrania kodu 2FA.
Dlaczego 2 różne maile, a nie jeden z certyfikatem?
Przy logowaniu do giełdy jest używany login w postaci najczęściej maila - napastnik może to podejrzeć i będzie czynił starania by przejąć właśnie tę konkretną skrzynkę. Jednak nawet po jej przejęciu nie za wiele zrobi, może uda się mu się zalogować na giełdę (bo 2FA nie musi być używane przy logowaniu, a tylko do potwierdzania danych operacji - tak jak w bankach), ale przy próbie transferu środków odbije się od 2FA, a nigdzie w ustawieniach konta nie powinno być widoczne z jakiej metody 2FA użytkownik korzysta - to powinno być załatwiane tylko mailowo z supportem giełdy.
Nie jest to lepsze rozwiązanie od standardowego użycia aplikacji na smartfona, ale inne. Poza tym urządzenie z apką do 2FA można zgubić, apka się usunie, smartfon zatonie w basenie i klapa - bez kontaktu z supportem na giełdę się nie zalogujemy. Bo czy standardowy użyszkodnik zrobi kopię zapasową kodu, który skanuje za pierwszym razem?
Nie jest to idealne rozwiązanie, bo użyszkodnik może dla wygody przekierowywać maile z certyfikowanej skrzynki na swoją pierwszą skrzynkę Być może to również mogłoby być w ramach certyfikatu: że maile nie mogą być przekierowywane automatycznie.
wrip
- Weteran
- Posty: 1602
- Rejestracja: 7 listopada 2013
- Reputacja: 775
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: redbog » wtorek, 3 października 2017, 14:45
Albo może zadzwonić przedstawić sie za pracownika bb powiedzieć że na pana konto odnotowaliśmy próbę włamania bla bla coś tam a teraz prosze szybko podać kod bo inaczej pana kasa zostanie zablokowana na 2 miesiące Nic nie zastąpi zdrowego rozsądku i wiedzy.
redbog
- Weteran
- Posty: 2160
- Rejestracja: 1 czerwca 2016
- Reputacja: 1042
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: wrip » wtorek, 3 października 2017, 15:01
wrip
- Weteran
- Posty: 2592
- Rejestracja: 26 września 2017
- Reputacja: 932
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: KryptoBanita » wtorek, 3 października 2017, 16:07
Akurat trafiłem w TV na program "Złodzieje".
Przejęli, poprzez własne WiFi udające publiczne, w jakiejś galerii dostęp do konta w banku jakiegoś kolesia.
Padła tam sugestia, że przejęcie SMS z kodem weryfikacyjnym do przelewu też nie stanowi problemu.
Poprawcie mnie jeżeli się mylę.
Przejęcie sms na smartfonie istotnie może być łatwe, ale przejęcie sms na czymś w rodzaju nokia 3510 ?
SMS to w końcu fala radiowa - sygnał nie jest kodowany i teoretycznie jest możliwe przejęcie sygnału skierowanego do nokii...
Oczywiście dużo łatwiejsze jest przejęcie informacji na smartfonie zalogowanym do tej samej, "podrabanej" sieci WiFi.
Reasumując - jak widzicie możliwość "czytania" sms poprzez jakieś skanery radiowe czy cokolwiek innego?
P.S.
Mi się wydawało, że skoro do kochanki mam innego maila to tym bardziej do giełdy, a do żony jeszcze innego... Widać, że tak raczej ludzie nie postępują - czyli... Warto mieć kochankę
Dodano po 5 minutach 50 sekundach:
Albo włamać się do banku do systemu, bo gdzieś jest oryginał z którą są te kody porównywane.
Ogólnie - wycieki danych z banków nie nastawiają optymistycznie do tematu.
Ja też lubiłem te kody papierowe w mBanku. Inteligo miało kartę-zdrapkę plastikową, ale zasada ta sama.
KryptoBanita
- Weteran
- Posty: 3265
- Rejestracja: 31 marca 2017
- Reputacja: 3705
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: akos » wtorek, 3 października 2017, 16:47
W ostatnim zdaniu wpadłeś na właściwy trop. A teraz pewnie szerzej otworzysz oczy gdy pogooglujesz hasło "ss7 2fa hack" Tu świeży jeszcze artykulik: http://www.newsbtc.com/2017/09/30/hacke ... n-wallets/KryptoBanita pisze: Padła tam sugestia, że przejęcie SMS z kodem weryfikacyjnym do przelewu też nie stanowi problemu.
Poprawcie mnie jeżeli się mylę.
Przejęcie sms na smartfonie istotnie może być łatwe, ale przejęcie sms na czymś w rodzaju nokia 3510 ?
SMS to w końcu fala radiowa - sygnał nie jest kodowany i teoretycznie jest możliwe przejęcie sygnału skierowanego do nokii...
W skrócie: podobno pewien protokół telco zwany Signaling System No. 7 jest podatny na exploity co umożliwia przestępcom przechwytywanie smsów.
Piszę podobno, bo nie zgłębiałem jeszcze tematu, więc nie wiem na ile taki hack jest prawdopodobny i trudny do przeprowadzenia. W każdym razie zalecane jest, również w tym artykule, używanie raczej Google Authenticator lub podobnych zamiast 2FA z smsami. Mój paranoiczny umysł zastanawia jedynie dlaczego skoro ten exploit ss7 jest znany od jakiegoś czasu, to nie jest a) załatany albo b) hackowany często i gęsto oraz dlaczego w każdym jak na razie artykule na ten temat, który czytałem pojawia się sugestia przejścia sms -> google auth. Ja do tzw. "polityki prywatności" wielkiego brata google'a też podchodzę ostrożnie, są też pewne wady TOTP No wiadomo, ten art zawiera oczywiście lekką sugestię, że najfajniej jest w trezorze bo jest ze strony trezora, ale warto się zapoznać.
akos
- Bardzo Zły Moderator
- Posty: 14377
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Re: Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: rav3n_pl » wtorek, 3 października 2017, 17:09
Dlaczego?
Bo przy GA oprócz usera to dostawca ma "klucz prywatny" i w ten sposób sprawdza poprawność (obie strony generują ciąg znaków na postawie klucza i timestampa).
Przy U2f używana jest para kluczy, i tylko user ma prywatny. Serwer wysyła "coś" do podpisania i sprawdza, czy posiadany klucz publiczny zgadza się z podpisem. Nie ma możliwości włamu przez odczyt bazy kluczy 2fa.
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Weteran
- Posty: 3265
- Rejestracja: 31 marca 2017
- Reputacja: 3705
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: akos » wtorek, 3 października 2017, 17:26
akos
- Weteran
- Posty: 2592
- Rejestracja: 26 września 2017
- Reputacja: 932
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: KryptoBanita » wtorek, 3 października 2017, 23:14
dobreakos pisze: A teraz pewnie szerzej otworzysz oczy gdy pogooglujesz hasło "ss7 2fa hack" Tu świeży jeszcze artykulik: http://www.newsbtc.com/2017/09/30/hacke ... n-wallets/
W skrócie: podobno pewien protokół telco zwany Signaling System No. 7 jest podatny na exploity co umożliwia przestępcom przechwytywanie smsów.
KryptoBanita
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: pm7 » czwartek, 5 października 2017, 11:48
a) Za duże koszty i niechęć do wysiłku. Podobny problem jest z kartami magnetycznymi w USA (choć tutaj w końcu zaczęli przechodzić na karty chip).
TOTP jest o poziom lepszy niż SMS. Wady w tym artykule co zalinkowałeś są rzeczywiste, ale wciąż TOTP jest niezłe. U2F jest lepsze, ale wymaga fizycznego urządzenia, które mało kto ma.akos pisze: laczego w każdym jak na razie artykule na ten temat, który czytałem pojawia się sugestia przejścia sms -> google auth. Ja do tzw. "polityki prywatności" wielkiego brata google'a też podchodzę ostrożnie, są też pewne wady TOTP No wiadomo, ten art zawiera oczywiście lekką sugestię, że najfajniej jest w trezorze bo jest ze strony trezora, ale warto się zapoznać
Tak, U2F jest bardzo fajne
Czekam jeszcze, żeby w standardzie przechowywali nasze odpowiedzi, to później można niezależnie zweryfikować, czy potwierdzaliśmy logowanie danego dnia (nie mogą tego podrobić, jeżeli się to odpowiednio przygotuje).
pm7
- Wygadany
- Posty: 563
- Rejestracja: 4 listopada 2013
- Reputacja: 89
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: S.O.S » czwartek, 5 października 2017, 12:15
Kilak lat do tyłu miałem do czynienia bezpośrednio ze sprawą, gdzie delikwentowi w przeglądarce podmieniono stronkę. Był zalogowany w banku nagle system się wylogował i wyskoczyło bliźniaczo podobne okienko bankowe z informacją, że nastąpiło wylogowanie ze względów bezpieczeństwa i prosimy o podanie 3 czy 4 kolejnych kodów jednorazowych(dokładnie nie pamiętam ilu). Użytkownik wziął kartę kodów jednorazowych i przepisał kody, tak jak go poproszono. Po czasie okazało się, że konto wyczyścili na ok 20k PLN. Tak, że podobnie jak z przejęciem nr. telefonu. iPKO w przypadku korzystania z kodów jednorazowych obecnie prosi o podanie konkretnego numeru kodu z karty. Nie kolejnego wolnego jak było kiedyś. Sprawa dotyczyła właśnie tego banku i zmianę wprowadzili niedługo po zdarzeniu. Stąd domyślam się, że przypadek, który opisałem, nie był jedynym tego typu.akos pisze: Swego czasu w mbanku korzystałem ze starej dobrej papierowej kartki z kodami jednorazowymi do potwierdzania operacji. Później przeszedłem na smsy bo wiadomo, wygodniejsze, ale czytając różne tego typu przypadki zastanawiam się czy by do tego nie wrócić i czy nie warto pomyśleć o wdrożeniu takiego rozwiązania (oczywiście opcjonalnie) na giełdach (@BitBay ?). Z kartką sprawa jest prosta, nawet jeśli złodziej całkowicie przejmie komuś kompa i tel, potrafi przechwycić 2FA, sms, maila to żeby np. wypłacić środki musiałby się jeszcze fizycznie włamać do domu i zabrać info papierowe.
Pokazuje to jednak, że w większości przypadków to użytkownik jest najsłabszym elementem ogniwa.
S.O.S
- Weteran
- Posty: 2592
- Rejestracja: 26 września 2017
- Reputacja: 932
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: KryptoBanita » czwartek, 5 października 2017, 13:10
Dobrze, że nie kazali mu zgwałcić sąsiadki 3 czy 4 razy...
Humorystycznie: Bank powinien przy zakładaniu konta wysyłać pierwszą instrukcję na mail "strzel sobie w łeb" i zakładać konta tylko tym co przeżyli. Nie zrobią tego, bo mieliby mało klientów
KryptoBanita
- Moderator
- Posty: 9633
- Rejestracja: 17 listopada 2011
- Reputacja: 5804
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: koparki » czwartek, 5 października 2017, 13:44
kupujesz 2 telefony z androidem na olx za 50zł, robisz hard-reset. Instalujesz jedną jedyną aplikacje Google Authenticator i nigdy nie korzystasz z tego telefonu do niczego innego , drugi telefon służy jako kopia na wypadek zagubienia pierwszego. Niestety GA potrzebuje połączenia z netem - ale wyłącznie gdyby się przestawił samoczynnie czas w telefonie (słaba bateria itp). Jeśli ktoś zna sposób na ręczną korektę zegara co do sekundy w androidzie bez potrzeby synchronizacji przez internet(jak ktoś wie jak to zrobić to prosze o kontakt) to w zasadzie można by było uszkodzić w takim telefonie moduły odpowiadajace za łączność gsm i wi-fi bo GA nie potrzebuje połączenia z netem, mozna tez zaślepić usb i sd-slot aby ktoś przez przypadek nie wgrał dodatkowego softu. Tym sposobem masz generator kodów GA , zabezpieczenie giełdowe nie do złamania , każda , dosłownie każda giełda ma opcję GA, jak ktos tego nie uruchomił to sam podnosi sobie ryzyko.
koparki
- Początkujący
- Posty: 41
- Rejestracja: 14 marca 2017
- Reputacja: 2
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: Antonio » czwartek, 5 października 2017, 13:53
Witam.
Co do przechwycenia SMS-a to przestępcy ( ale tacy przez duze P jako że sprzęt nie dość ze b.drogi to i nie kupi się go w Biedronce ) używają np. fałszywego BTS-a.
Co do u2f to tak... Bitfiniex daje taką możliwosć z której zresztą korzystam.
Antonio
- Bardzo Zły Moderator
- Posty: 14377
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: rav3n_pl » czwartek, 5 października 2017, 14:09
Zamiast GA jednak brałbym FreeOTP z FDroid-a. Wtedy można nawet Cyanogena bez OpenGapps ;]
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Wygadany
- Posty: 563
- Rejestracja: 4 listopada 2013
- Reputacja: 89
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: S.O.S » czwartek, 5 października 2017, 14:13
Wystarczy spisać kody podane przy zakładaniu 2FA dla GA, nie potrzeba dodatkowego telefonu. Z tymi kodami możesz przenieść GA na inny telefon bez problemu.
Tak to niestety jest z userami. Najgorsze właśnie jest takie podejście jakiego i ja doświadczyłem. Nie wytłumaczysz, że wina leży po stronie użytkownika. Jak o ścianę, ciągle tylko, że przestępcy "dobrzy są" bo potrafią i że to bank powinien to zabezpieczyć i ustrzec klientów przed takim działaniem.
S.O.S
pm7
- Moderator
- Posty: 9633
- Rejestracja: 17 listopada 2011
- Reputacja: 5804
Różne rodzaje 2FA [OT z Zostałem okradziony...]
Postautor: koparki » czwartek, 5 października 2017, 15:14
już nie pamiętam ale chyba GA też jakos zainstalowałem z karty.. połaczenie z netem potrzebne bo nie można skorygowac zegara w androidzie ręcznie co do sekundy, a niestety zdarzyło sie że zegar się rozstroił po wyczerpaniu baterii.
Dodano po 3 minutach 1 sekundzie:
Jasna sprawa... najlepiej spisać na papier, w kazdym razie poza kompa
koparki
- Poprzednia
- 1
- 2
- 3
- Następna
Wróć do „Giełdy i serwisy - zagrożenia”
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).