Tento měsíc bude Microsoft vydávat patch pro Windows XP a vyšší na tuto chybu (http://secunia.com/advisories/28894/) . Pokud si neopatchujete váš počítač (třeba díky nelegálním windows), útočník si může s vaším počítačem dělat co chce. Nainstalovat vám keylogger, nainstalovat add ons do exploreru, co bude chtít...

Může se bez problémů podívat na to, kolik berete, co si kupujete, pokud ale bude chtít, může jít i dál a rozposílat vaše peníze přes šablony.

Vím že se tu objeví odpovědi typu:
* jsi paranoidní, tohle se nikdy nestane
* mě nevadí, když se mi někdo kouká na účet
* peníze mi ten ČEZ a plynárny stejně jednou vrátí

Klidně si poslužte, ale alespoň chvilku nad tou zprávou přemýšlejte. Jde o značné peníze, které na účtech v mBank už máme...

Tom

Tady je velká chyba v tom, že šablony nevyžadují autorizaci a naopak zadávání šablony ji vyžaduje, tady bychom jako zákazníci měli apelovat na to, že prostě tohle je špatně. Ovšem už se to tu řešilo v jiném tématu, ale zatím se s tím nic neděje. Bohužel....

To je přesně ten důvod, proč to zase vytahuju. I když už to asi může působit trapně...

Ja to resim tak, ze sablony pouzivam jen pro "spratelene" ucty. Ale ze bych mel radost z toho, ze se mi nekdo muze koukat na ucet, tak to zrovna ne. A to i pres to ze tam zadne miliony nemam.

A predevsim nepouzivam Wokna a nelezu do IB z jinych PC.

http://blog.hubalek.net napsal(a):

> To je přesně ten důvod, proč to zase vytahuju. I když už
> to asi může působit trapně...

Trapně to nepůsobí, ale upřímně, díry v OS byly, jsou a budou. Žádný systém není 100% spolehlivý. Lze se jen snažit spolehlivost nesnižovat zbytečnostmi.

Jj, máte pravdu, ale je spousta lidí, kteří používají jiný operační systém, než WinXP/2003/Vista. Hodně lidí také nepoužívá šablony, protože nemají důvod.
Proto bych to neviděl tak kriticky. Každopádně mBank určitě v dubnovém upgrade IB představí několik novinek i na poli zabezpečení.

Nemyslím si, že tato oblast je "trapná" nebo dořešená. Jak se již velmi rozsáhle diskutovalo jinde, je několik řešení problému, od striktního požadování autorizací na všechno, změny typu autorizací (např. na přihlášení do účtu), zavedení virtuální klávesnice, zavedení volitelného způsobu autorizace (dost nereálné) nebo to tak nechat s tím, že je to trochu méně bezpečné. Řekl bych, že mBank s tím určitě něco udělá, nechám se překvapit. Zatím stejně jako Rafter, mám šablony pouze na důvěryhodná "spřátelená" konta.

není na tom nic trapného. řešení mám zatím stejné, šablony mám pouze na převod z emax na mkonto a zpět. ale i tak to není nic nad čím by člověk mohl jásat.

Tak šablony nepoužívej. Dávej jednorázové nebo trvalé příkazy rovnou bez šablony, musíš ručně vypsat číslo účtu a odeslat, pak ti přide potvrzující SMS

kumi: Jasněže, jenže šablony právě slouží k tomu, abys to dělat nemusel, pokud např. zadáváš častěji platbu na jeden účet (podotýkám nepravidelně, různé částky, jinak se to dá samozřejmě řešit trvalým příkazem).

Přečetl jsem si uvedený link a s klidným srdcem musím konstatovat, že ač používám na jednom počítači i WinXP Prof., tak se toho nebojím ani náhodou... Tvrdit, že bez uvedeného patche si s Vaším počítačem může útočník dělat co chce, je totální nesmysl...

http://blog.hubalek.net napsal(a):
> Tento měsíc bude Microsoft vydávat patch pro Windows XP a
> vyšší na tuto chybu
> (http://secunia.com/advisories/28894/) . Pokud si
> neopatchujete váš počítač (třeba díky nelegálním
> windows), útočník si může s vaším počítačem dělat co
> chce. Nainstalovat vám keylogger, nainstalovat add ons do
> exploreru, co bude chtít...
> ...

používám jen trvalé příkazy a neřeším šablony. V dubnu budeme asi chytřejší............

Neumím anglicky, tak jsem si nepřečetl, v čem ta chyba je. Pokud v exploreru, tak použij třeba firefox nebo operu.
Pro úplně paranoidní doporučuji stáhnout např. linux ubuntu a spouštět z CD bez instalace a ve firefoxu používat IB banky.
Není to 100%, ale asi více bezbečné, než kreknuté XP bez pořádného firewallu a pod.

George: také nejsem paranoik, ale chápu to tak, že upozornění se týká obecné ochrany účtu, jedno zda ochrama před MITM, keyloggery a jinou havětí. Už se to probíralo do hloubky jinde minimálně ve dvou vláknech, nemyslím, že je to znovu třeba rozepisovat.

kumi napsal(a):
> Tak šablony nepoužívej. Dávej jednorázové nebo trvalé
> příkazy rovnou bez šablony, musíš ručně vypsat číslo
> účtu a odeslat, pak ti přide potvrzující SMS

Nebo to lze mnohem jednodušeni - zopakovat starší platbu a nemusí se znovu vyplňovat č.ú. a další věci.

Já jsem tohle vlákno nezaložil , ale když autor se srandovním nickem "http://blog.hubalek.net" píše nesmysly, tak jsem se neudržel a prostě jsem musel zareagovat

muf-rodrigo napsal(a):

> George: také nejsem paranoik, ale chápu to tak, že
> upozornění se týká obecné ochrany účtu, jedno zda
> ochrama před MITM, keyloggery a jinou havětí. Už se to
> probíralo do hloubky jinde minimálně ve dvou vláknech,
> nemyslím, že je to znovu třeba rozepisovat.

Počkejte, ale přece když vytvořím šablonu pro tvalé platby, tak tam napíši i datum, kdy chci, aby platby odcházely - třeba termín, do kdy se mají platit (den, měsí a rok) Toto když vytvořím, tak to po mě chce autorizační SMS. No a pak by platby měly chodt v uvedené dny na dané účty. Pokud by se mě někdo do kompu naboural a změnil něco na té šabloně (číslo účtu, datum, částku) tak by došlo ke změně šablony a opět by byla vyžádána autorizační SMS. Takže tu problém nevidím, nebo se pletu?

BTW jiný dotaz, když mám vytvořený trvalý platební příkaz třeba s datumem 13tého v měsíci a v ten den tam ještě peníze nejsou (dojdou třeba o den, dva později) jak to funguje? Pokouší se mbanka poslat peníze třeba ještě 3 dny po termínu, kdy mám platbu uvedenou? Nebo pokud v daný den na účtě prachy nenajde, nic neodešle a ten měsíc už platbu nepošle?

Jasně, spíš to byla reakce na bloghubalka nebojakmátennick

Ad 1) jasně, podle mě to není problém (protože zase to bude chtít autorizační smsku)

Ad 2) taky by mě to zajímalo. Stalo se mi to jednou, platba z mKonta se mi neprovedla z důvodu nedostatku prostředků na účtu, protože jsem se spletl při zadávání datumu převodu z eMaxu na mKonto. Zjistil jsem to druhý den, kdy jsem už prostředky na mKontu měl a tak jsem platbu provedl znovu ručně. Z toho usuzuji, že se automaticky sama neprovede. A další zajímavost - neprovedené platba byla uvedena jen v ::Zprávy z banky. Čekal jsem ji podvědomě v ::Historie transakcí --> Blokace a nezaúčtované transakce, ale chyba lávky


Oberon napsal(a):

> Počkejte, ale přece když vytvořím šablonu pro tvalé
> platby, tak tam napíši i datum, kdy chci, aby platby
> odcházely - třeba termín, do kdy se mají platit (den,
> měsí a rok) Toto když vytvořím, tak to po mě chce
> autorizační SMS. No a pak by platby měly chodt v uvedené
> dny na dané účty. Pokud by se mě někdo do kompu naboural a
> změnil něco na té šabloně (číslo účtu, datum,
> částku) tak by došlo ke změně šablony a opět by byla
> vyžádána autorizační SMS. Takže tu problém nevidím,
> nebo se pletu?
>
> BTW jiný dotaz, když mám vytvořený trvalý platební
> příkaz třeba s datumem 13tého v měsíci a v ten den tam
> ještě peníze nejsou (dojdou třeba o den, dva později) jak
> to funguje? Pokouší se mbanka poslat peníze třeba ještě 3
> dny po termínu, kdy mám platbu uvedenou? Nebo pokud v daný
> den na účtě prachy nenajde, nic neodešle a ten měsíc už
> platbu nepošle?

Ad1) s trvalými příkazy problém nemám, tam ani nemám šablony, trvalý příkaz provádím jednou z rok, ale problém může nastat u šablon běžných příkazů, které se změnou částky převodu nemění a tudíž může případný útočník rozeslat všechny moje peníze bez problémů na všechny moje šablony

Ad2) Myslím, že se to v některém vlákně řešilo a resume bylo, že se TP prostě neprovede

resim to tak, ze mam emax na kterem nemam zrizenou zadnou sablonu(stejne jde zridit jen jedna a je to tazka minuty) a na mKonte mam jen zanedbatelne penize.WinXP mam legalni a zapnute stahovani aktualizaci.Ma nekdo napad, jak to jeste vic jistit??Diky za radu.

I aktualizovaná Wokna jsou napadnutelná, jenom méně pravděpodobně než ta neaktualizovaná.
Já mám u eMAX jednu šablonu a to do mKonta. Zaprvé ji neustále používám na přesypávání peněz, zadruhé když ji někdo zneužije, akorád pošle peníze ode mne ke mně

devine napsal(a):

> Proto bych to neviděl tak kriticky. Každopádně mBank
> určitě v dubnovém upgrade IB představí několik novinek i
> na poli zabezpečení.

Tak to jsem zvědavý a doufám, že máš pravdu, protože víš víc než já ...

Tom

George napsal(a):

> Přečetl jsem si uvedený link a s klidným srdcem musím
> konstatovat, že ač používám na jednom počítači i WinXP
> Prof., tak se toho nebojím ani náhodou... Tvrdit, že bez
> uvedeného patche si s Vaším počítačem může útočník
> dělat co chce, je totální nesmysl...

Successful exploitation allows execution of arbitrary code when e.g. visiting a malicious website.

Nebo

This issue is caused by a heap overflow error in the Mini-Redirector when processing specially crafted Web Distributed Authoring and Versioning (WebDAV) responses, which could be exploited by remote attackers to crash a vulnerable system or execute arbitrary commands.

Tohle Ti prijde jako nesmysl?

mis napsal(a):

> Nebo to lze mnohem jednodušeni - zopakovat starší platbu a
> nemusí se znovu vyplňovat č.ú. a další věci.

Tohle používám, ale moc pohodlné to není. Najít tu platbu někdy není zas tak snadné při větším množství pohybů...

Šablony (kdyby požadovaly autorizaci pokaždé) by bylo mnohem lepší...

Tom

muf-rodrigo napsal(a):

> upozornění se týká obecné ochrany účtu, jedno zda
> ochrama před MITM, keyloggery a jinou havětí.

Přesně tak. Nejedná se o Windows, to samé se může stát i na Linuxu nebo kdekoliv jinde. Problematický je samotný princip ochrany založený pouze na jednom zařízení (PC), které může být potenciálně kompromitováno...

> Už se to probíralo do hloubky jinde minimálně ve dvou vláknech,
> nemyslím, že je to znovu třeba rozepisovat.

Ano probíralo, ale bohužel mám stále dojem že mnoho z diskutujících v těchto vláknech to nepochopilo, tak jsem schtěl uvést reálný příklad ze života uživatelů majoritního operačního systému...

Tom

Hmm, kolik lidí používá na svém domácím počítači (nebo na počítači v práci s Wordem a Excelem) službu WebClient Service, respektive WebDAV shares ???? A zkušenější ajťák si to ohlídá (jinak by se měl živit jinou prací)... Přijde mi, že jste si přečetl uvedený link, vytrhl jednu větu (která říká, že "...útočník může převzít kontrolu nad napadeným systémem..."), ale už neříkáte, že toho může dosáhnout jen za určitých (a z mého poghledu hodně hodně, opravdu hodně nepravděpodobných) okolností.

To je pravděpodobnější, že každého druhého potencionálního klienta mBank přejede parní válec, když si půjde do mKiosku zažádat o účet.

Všechno se dá obejít, je to jen otázka času (kryptologické hodnoty ?). Ochrana pomocí smsek mi přijde dostatečná. Pokud chcete něco víc, oukej, ale ať je to jen volba. Já osobně žádné "PIN kalkulačky", virtuální klávesnice a podobné nesmysly nechci.


http://blog.hubalek.net napsal(a):
> George napsal(a):
> > Přečetl jsem si uvedený link a s klidným srdcem musím
> > konstatovat, že ač používám na jednom počítači i
> WinXP
> > Prof., tak se toho nebojím ani náhodou... Tvrdit, že bez
> > uvedeného patche si s Vaším počítačem může útočník
> > dělat co chce, je totální nesmysl...
>
> Successful exploitation allows execution of arbitrary code when
> e.g. visiting a malicious website.
>
> Nebo
>
> This issue is caused by a heap overflow error in the
> Mini-Redirector when processing specially crafted Web
> Distributed Authoring and Versioning (WebDAV) responses, which
> could be exploited by remote attackers to crash a vulnerable
> system or execute arbitrary commands.
>
> Tohle Ti prijde jako nesmysl?

V případě WEBdav je zneužití složitější a navíc jen málo lidí používá webfolders, ale tady spíš šlo o to, že je pořád dost nezaplátovaných chyb ve Win2K/XP/2003/Vista, které lze zneužít a ovládnout systém a nainstalovat rootkit, trojského koně, keylogger nebo cokoliv jiného.
Kdyby drtivá většina uživatelů nepracovala pod windows systémy s účtem s právy administrátora, tak by to nebezpečí bylo mnohem menší. Pro většinu hrozeb z internetu stačí používat aktualizovaný OS, firewall, antivir, případně antispyware a nepracovat pod účtem s administrátorskými pravomocemi.
A asi nejdůležitější je, bezhlavě neklikat na instalaci ActiveX komponent, java appletů apod.

Každopádně změny v zabezpečení IB jsou plánované.

Z eMaxu můžeš mít jenom jednu šablonu, takže ti nikdo nic rozesílat nemůže.

muf-rodrigo napsal(a):

> Ad1) s trvalými příkazy problém nemám, tam ani nemám
> šablony, trvalý příkaz provádím jednou z rok, ale
> problém může nastat u šablon běžných příkazů, které
> se změnou částky převodu nemění a tudíž může
> případný útočník rozeslat všechny moje peníze bez
> problémů na všechny moje šablony
>
> Ad2) Myslím, že se to v některém vlákně řešilo a resume
> bylo, že se TP prostě neprovede

V eMax můžeš mít jenom jednu šablonu, takže ti nikdo nic nerozešle.