W dniu 09.12.2020 o 18:30, Marcin Kasperski pisze:

mbank właśnie dowcipnie wprowadził opłatę za nieużywanie aplikacji

To chyba szósty wątek na ten temat. Masz coś nowego do dodania?

Chcesz uniknąć sytuacji gdy jedno urządzenie (telefon) ma na sobie
wszystkie mechanizmy autoryzacyjne

Jakie wszystkie? A teraz masz jak, kartę zdrapkę?

--
Alf/red/

Jak widać nazywanie SZAMBA PERFUMERIĄ utrwaliło się w narodzie.

Trzeba długo i mozolnie pokazywać klientom banków z CZYM mają do czynienia.
Łatwo nie jest bo banksterka ma potężne narzędzia propagandowe ;-)

W dniu 09.12.2020 o 19:28, Alf/red/ pisze:

W dniu 09.12.2020 o 18:30, Marcin Kasperski pisze:

mbank właśnie dowcipnie wprowadził opłatę za nieużywanie aplikacji

To chyba szósty wątek na ten temat. Masz coś nowego do dodania?

Chcesz uniknąć sytuacji gdy jedno urządzenie (telefon) ma na sobie
wszystkie mechanizmy autoryzacyjne

Jakie wszystkie? A teraz masz jak, kartę zdrapkę?

np. komputer z przeglądarką plus sms - ewentualny trojan na telefonie nie ukradnie hasła do konta, bo to hasło nigdy nie jest wpisywane na telefonie.

   MJ

Chcesz uniknąć sytuacji gdy jedno urządzenie (telefon) ma na sobie
wszystkie mechanizmy autoryzacyjne

Jakie wszystkie? A teraz masz jak, kartę zdrapkę?

Hasło wpisuję tylko na komputerze, SMS-y autoryzacyjne dostaję
tylko na telefon. Jeśli ktoś mi shackuje telefon, nadal nie ma hasła,
jeśli ktoś mi shackuje komputer, nie ma SMS-ów.

Appka mobilna oznacza że shackowanie telefonu daje kompletną kontrolę
nad kontem.

W dniu 09.12.2020 o 22:03, Marcin Kasperski pisze:

Appka mobilna oznacza że shackowanie telefonu daje kompletną kontrolę
nad kontem.

Chyba dużo filmów oglądasz.
Może inaczej: znam mnóstwo przypadków fraudów (okradzenia) poprzez przejęcie SMS w "bezpiecznej dwuurządzeniowej konfiguracji" i jakoś ani jednego poprzez przejęcie "niebezpiecznego jednego telefonu".

--
Alf/red/

W dniu 09.12.2020 o 23:22, Alf/red/ pisze:

Chyba dużo filmów oglądasz.
Może inaczej: znam mnóstwo przypadków fraudów (okradzenia) poprzez przejęcie SMS w "bezpiecznej dwuurządzeniowej konfiguracji" i jakoś ani jednego poprzez przejęcie "niebezpiecznego jednego telefonu".

tak jak piszesz, fraudy są z powodu duplikowania kart sim + przejęcie loginu i hasła do konta

a hakowanie aplikacji mobilnej?
może ktoś techniczny ma wiedzę czy to jest możliwe

@Wojtek B., jesteś?

--
pozdrawiam
Roberts

kredyty-ubezpieczenia-inwestycje
https://www.linkedin.com/in/robert-sierant-367503140/

W dniu 10.12.2020 o 11:33, Robert_DF pisze:

W dniu 09.12.2020 o 23:22, Alf/red/ pisze:

Chyba dużo filmów oglądasz.
Może inaczej: znam mnóstwo przypadków fraudów (okradzenia) poprzez przejęcie SMS w "bezpiecznej dwuurządzeniowej konfiguracji" i jakoś ani jednego poprzez przejęcie "niebezpiecznego jednego telefonu".

tak jak piszesz, fraudy są z powodu duplikowania kart sim + przejęcie loginu i hasła do konta

a hakowanie aplikacji mobilnej?
może ktoś techniczny ma wiedzę czy to jest możliwe

@Wojtek B., jesteś?

Ale po co hackować? Przecież po przejęciu telefonu i hasła do konta złodziej po prostu instaluje aplikację mobilną na swoim telefonie i do widzenia. Gdzie tu jest bezpieczniej?, bo nadal nie widzę.

Jeśli tych fraudów (na razie...) nie ma, to zgaduję, że dlatego, że aplikacja jest mniej popularna od smsów.

   MJ
PS. Citek wprowadza, że do zmiany hasła do konta nie wystarczy odebrać sms-a, trzeba jeszcze odebrać maila. Fajn, tylko że do przejęcia maila też może wystarczyć przejęcie telefonu...

W dniu 10.12.2020 o 12:05, Michal Jankowski pisze:

Ale po co hackować? Przecież po przejęciu telefonu i hasła do konta złodziej po prostu instaluje aplikację mobilną na swoim telefonie i do widzenia. Gdzie tu jest bezpieczniej?, bo nadal nie widzę.

tylko jak złodziej ma telefon (karta sim) i hasło do konta to po co ma instalować apkę? przecież autoryzuje przelewy smsami

a jak w telefonie jest apka to co mu da zrobienie duplikatu karty (ma też hasło i login do konta)?
nie autoryzuje instalacji apki w innym telefonie, jak miałby to zatwierdzić skoro apka jest w aparacie

Jeśli tych fraudów (na razie...) nie ma, to zgaduję, że dlatego, że aplikacja jest mniej popularna od smsów.

   MJ
PS. Citek wprowadza, że do zmiany hasła do konta nie wystarczy odebrać sms-a, trzeba jeszcze odebrać maila. Fajn, tylko że do przejęcia maila też może wystarczyć przejęcie telefonu...

ostatnio widziałem przypadek, że przy transakcji bank (do autoryzacji) wymagał wpisania nazwiska rodowego matki klienta, to dopiero kosmos!

--
pozdrawiam
Roberts

kredyty-ubezpieczenia-inwestycje
https://www.linkedin.com/in/robert-sierant-367503140/

W dniu 10.12.2020 o 12:28, Robert_DF pisze:

W dniu 10.12.2020 o 12:05, Michal Jankowski pisze:

Ale po co hackować? Przecież po przejęciu telefonu i hasła do konta złodziej po prostu instaluje aplikację mobilną na swoim telefonie i do widzenia. Gdzie tu jest bezpieczniej?, bo nadal nie widzę.

tylko jak złodziej ma telefon (karta sim) i hasło do konta to po co ma instalować apkę? przecież autoryzuje przelewy smsami

podobno przełączenie przez klienta na apkę jeszcze przed kradzieżą ma temu zapobiec...

a jak w telefonie jest apka to co mu da zrobienie duplikatu karty (ma też hasło i login do konta)?
nie autoryzuje instalacji apki w innym telefonie, jak miałby to zatwierdzić skoro apka jest w aparacie

Przecież jak zgubię telefon, to nie  zatwierdzam instalacji apki w nowym telefonie starą apką.

   MJ

W dniu 2020-12-10 o 12:36, Michal Jankowski pisze:

podobno przełączenie przez klienta na apkę jeszcze przed kradzieżą ma temu zapobiec...

Nie ma niczemu zapobiegać. Ma obniżyć koszty banku.

W dniu 10.12.2020 o 12:52, _Master_ pisze:

W dniu 2020-12-10 o 12:36, Michal Jankowski pisze:

podobno przełączenie przez klienta na apkę jeszcze przed kradzieżą ma temu zapobiec...

Nie ma niczemu zapobiegać. Ma obniżyć koszty banku.

I to jest słuszna koncepcja. Ale niektórzy piszą co innego...

   MJ

Jest wielu świadomych i nieświadomych popleczników banksterki.

Ich liczba nie wskazuje że mają rację ;-)

W dniu 10.12.2020 o 12:36, Michal Jankowski pisze:

Przecież jak zgubię telefon, to nie  zatwierdzam instalacji apki w nowym telefonie starą apką.

A że tak głupio spytam - to czym? Próbowałeś kiedyś?
Bo to nie jest tak, że ktoś na dowolnym innym telefonie instaluje apkę ze sklepu, wklepuje moje ID, może nawet PESEL, i ma moje konto ze swoim hasłem.

--
Alf/red/

W dniu 10.12.2020 o 14:12, Alf/red/ pisze:

W dniu 10.12.2020 o 12:36, Michal Jankowski pisze:

Przecież jak zgubię telefon, to nie  zatwierdzam instalacji apki w nowym telefonie starą apką.

A że tak głupio spytam - to czym? Próbowałeś kiedyś?
Bo to nie jest tak, że ktoś na dowolnym innym telefonie instaluje apkę ze sklepu, wklepuje moje ID, może nawet PESEL, i ma moje konto ze swoim hasłem.

Nie próbowałem. Ale przecież jak zgubię/zepsuję telefon, to MUSI być procedura aktywacji apki na nowym telefonie. A starej apki już nie mam i kropka.

Co może być wymagane poza hasłem do konta i/lub sms-em? Wizyta w oddziale? Są banki bez oddziałów.

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 14:12, Alf/red/ pisze:

W dniu 10.12.2020 o 12:36, Michal Jankowski pisze:

Przecież jak zgubię telefon, to nie  zatwierdzam instalacji apki w
nowym telefonie starą apką.

A że tak głupio spytam - to czym? Próbowałeś kiedyś?
Bo to nie jest tak, że ktoś na dowolnym innym telefonie instaluje
apkę ze sklepu, wklepuje moje ID, może nawet PESEL, i ma moje konto
ze swoim hasłem.

Nie próbowałem. Ale przecież jak zgubię/zepsuję telefon, to MUSI być
procedura aktywacji apki na nowym telefonie. A starej apki już nie mam
i kropka.

Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.

A tu może być faktycznie może być trudno.
I żeby nie było. Mi wmuszanie aplikacji przez mBank też się nie podoba.

KJ


--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

W dniu 10.12.2020 o 15:25, Kamil Jońca pisze:

Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.

A tu może być faktycznie może być trudno.

No ale konkretnie jak?

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 15:25, Kamil Jońca pisze:

Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.
A tu może być faktycznie może być trudno.

No ale konkretnie jak?

Co "konkretnie jak"?

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

W dniu 10.12.2020 o 16:41, Kamil Jońca pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 15:25, Kamil Jońca pisze:

Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.
A tu może być faktycznie może być trudno.

No ale konkretnie jak?

Co "konkretnie jak"?

Jak się robi aktywację nowej apki po zgubieniu/zniszczeniu starej i w jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić złodziej?

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 16:41, Kamil Jońca pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 15:25, Kamil Jońca pisze:

Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.
A tu może być faktycznie może być trudno.

No ale konkretnie jak?

Co "konkretnie jak"?

Jak się robi aktywację nowej apki po zgubieniu/zniszczeniu starej i w

To zależy od banku.

jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
złodziej?

Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
Albo dostanie maila/sms.

Naprawdę różnie.
KJ


--
http://wolnelektury.pl/wesprzyj/teraz/

W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:

jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
złodziej?

Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
Albo dostanie maila/sms.

Naprawdę różnie.

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.

Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.

W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię kocham nie wiem.

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:

jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
złodziej?

Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
Albo dostanie maila/sms.
Naprawdę różnie.

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.

Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.

W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Sprowadzasz wszystko do "przejęcia urządzenia",

Ale zrozum że jest wiele innych sytuacji:
- wyłudzenie karty (swap-sim)
- próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
-...
KJ



--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

W dniu 10.12.2020 o 22:20, Kamil Jońca pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:

jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
złodziej?

Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
Albo dostanie maila/sms.
Naprawdę różnie.

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.

Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.

W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Sprowadzasz wszystko do "przejęcia urządzenia",

Ale zrozum że jest wiele innych sytuacji:
- wyłudzenie karty (swap-sim)
- próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
-...

Nie rozumiem.

Będę uparty:

Została postawiona teza, że zatwierdzanie apką jest bezpieczniejsze od zatwierdzania sms-ami, ponieważ złodziej może łatwiej przejąć smsy niż apkę.

Bardzo proszę (niekoniecznie Ciebie) o argumenty, że tak jest. To jest teza wyjściowa.

Mój kontrargument jest taki:

Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
1. Przejąć numer telefonu (kartę sim)
2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)

Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na swoim telefonie.

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 22:20, Kamil Jońca pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:

jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
złodziej?

Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
Albo dostanie maila/sms.
Naprawdę różnie.

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.

Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.

W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Sprowadzasz wszystko do "przejęcia urządzenia",
Ale zrozum że jest wiele innych sytuacji:
- wyłudzenie karty (swap-sim)
- próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
-...

Nie rozumiem.

Będę uparty:

Została postawiona teza, że zatwierdzanie apką jest bezpieczniejsze od
zatwierdzania sms-ami, ponieważ złodziej może łatwiej przejąć smsy niż
apkę.

Bardzo proszę (niekoniecznie Ciebie) o argumenty, że tak jest. To jest
teza wyjściowa.

Mój kontrargument jest taki:

Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
1. Przejąć numer telefonu (kartę sim)
2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)

Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
swoim telefonie.

No właśnie nie.

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

On 2020-12-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
swoim telefonie.

No właśnie nie.

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

No jest też tryb który nie wymaga do działania starej apki, ale wymaga
znajomości danych o osobie, więc tak też można. Tym niemniej nie
wystarczy przejąć samego SIMa i to jest chyba największa zaleta.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 10.12.2020 o 23:38, Wojciech Bancer pisze:

On 2020-12-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
swoim telefonie.

No właśnie nie.

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

No jest też tryb który nie wymaga do działania starej apki,

No właśnie. Musi być procedura wypadek "starej apki już nie mam, telefon zgubiłem/zniszczyłem".

ale wymaga
znajomości danych o osobie, więc tak też można.

Ale jakich danych? PESEL/imię ojca czy tam coś? To złodziej pewnie już zna, skoro udało mu się uzyskać klona karty sim, to coś temu operatorowi telefonicznemu chyba podał?

   MJ

On 2020-12-11, Michal Jankowski <michalj@fuw.edu.pl> wrote:

[...]

ale wymaga
znajomości danych o osobie, więc tak też można.

Ale jakich danych? PESEL/imię ojca czy tam coś? To złodziej pewnie już zna, skoro udało mu się uzyskać klona karty sim, to coś temu operatorowi telefonicznemu chyba podał?

No generalnie te pytania zaczynają też być odn. np posiadanych
produktów. U operatora spotykam się też z pytaniem np. o kwotę
ostatniej faktury.

Jak umiesz odpowiedzieć na wszystkie pytania i wiesz wszystko
o danym kliencie, to generalnie niezależnie od tego jakie będzie
miał zabezpieczenia, to nic nie pomoże.

Ale im więcej tych procedur jest, i im więcej tych danych
musisz zgromadzić tym chyba trudniej, nie?

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-10 o 23:38, Wojciech Bancer pisze:

Tym niemniej nie
wystarczy przejąć samego SIMa i to jest chyba największa zaleta.

I to jest bezpieczniejsze od WWW+SMS?

Jest łatwiejsze do obsługi i stoi w sprzeczności w unijnymi wymogami identyfikacji 2 etapowej.

I oczywiście zmniejsza koszty banku

Krótko mówiąc PROPAGANDA

W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia życie klientowi (robi wszystko w jednym miejscu RAZ)

ORAZ zmniejsza koszty banku

Nie ma tu ŻADNEGO postępu/progresu/większego bezpieczeństwa

Jest tylko PROPAGANDA

_Master_ <Master@z.pl> writes:

W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
życie klientowi (robi wszystko w jednym miejscu RAZ)

Nie. System WWW nie zrobi ci "push" o aktywacji aplikacji. A telefon
może.

ORAZ zmniejsza koszty banku

Owszem. To źle?

Nie ma tu ŻADNEGO postępu/progresu/większego bezpieczeństwa

Owszem jest, jeśli tylko jest zrobione z głową.

Ja nie mam oporów, żeby się przesiąść na aplikację, ale:
1. dlaczego żadna aplikacja nie pozwala zarchiwizować tego co się
potwierdzało? (SMS-y mogę sobie jednak jakoś zachowac)
2. wcale nie jestem przekonany, że owe apllikacje mnie nie śledzą. Niby
nie mam nic do ukrycia, ale z bankiem umwawiałem się na operacje
finansowe, a nie bycie profilem reklamowym.

Z dlatego na razie jednak wolę smsy.

KJ


--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

W dniu 11.12.2020 o 12:43, Kamil Jońca pisze:

_Master_ <Master@z.pl> writes:

W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
życie klientowi (robi wszystko w jednym miejscu RAZ)

Nie. System WWW nie zrobi ci "push" o aktywacji aplikacji. A telefon
może.

Telefon jest dead, bo złodziej sklonował kartę sim. :)

No owszem, jeśli apka jest na wifi, a jeszcze do tego najlepiej w telefonie bez karty sim, to może jest bezpieczniej. Ale wtedy to nie jest telefon, tylko drugi komputer, tyle że kieszonkowy.

A i nie zawsze jesteś w zasięgu wifi.

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 11.12.2020 o 12:43, Kamil Jońca pisze:

_Master_ <Master@z.pl> writes:

W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
życie klientowi (robi wszystko w jednym miejscu RAZ)

Nie. System WWW nie zrobi ci "push" o aktywacji aplikacji. A telefon
może.

Telefon jest dead, bo złodziej sklonował kartę sim. :)

Serio? A mi się wydaje, że nie możesz co najwyżej zadzwonić po gsm.
Ale apka będzie działać po wifi.
Więc znowu się mylisz.

No owszem, jeśli apka jest na wifi, a jeszcze do tego najlepiej w
telefonie bez karty sim, to może jest bezpieczniej. Ale wtedy to nie jest telefon, tylko drugi komputer, tyle że kieszonkowy.

Przemyśl może jeszcze te scenariusze, pamiętając że:
1. sim w telefonie jest potrzebny do zalogowania się do sieci operatora
i wykonywania połaczeń
2. aplikacje  na telefonie potrzebuje raczej dostępu do Internetu, ale nie
koniecznie po gsm, wifi mu wystarczy.
3. wifi nie musi być od operatora.

A i nie zawsze jesteś w zasięgu wifi.

Oczywiście. Ja nigdzie nie twierdzę, że aplilkacja jest 100%
bezpieczna. Ja twierdze, ze jest bezpieczniejsza niż tylko sms.


KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

On 2020-12-10, Michal Jankowski <michalj@fuw.edu.pl> wrote:

[...]

Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
1. Przejąć numer telefonu (kartę sim)
2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)

A teraz przy apce:
Pierwsze zalogowanie z nowego urządzenia przez www wymaga autoryzacji. Jeśli autoryzacja jest robiona przez SMS, to jesteś w domu (bo np. sklonowałeś SIMa). Jeśli przez apkę, to push autoryzacyjny albo nie wyjdzie,
albo wyjdzie na oryginalne (stare) urządzenie [1], a nie na nowe.

[1] do końca nie wiem jak się zachowa push na urządzeniu z internetem,
ale bez działajacej karty SIM

Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na swoim telefonie.

No nie do końca, bo nie będzie miał 2, a do aktywacji apki (w przypadku
mBanku) są wymagane inne dane niż do logowania przez www. Oczywiście
roboczo można założyć, że przygotowany złodziej może i te dane znać,
ukraść dowód, czy cokolwiek tam jeszcze, ale przed czymś takim,
to nie wiem czy się da zabezpieczyć inaczej niż rezygnując z konta
i trzymając gotówkę w sejfie :-)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 10.12.2020 o 23:34, Wojciech Bancer pisze:

[1] do końca nie wiem jak się zachowa push na urządzeniu z internetem,
ale bez działajacej karty SIM

Normalnie. Ja tak działam.

--
Alf/red/

W dniu 2020-12-10 o 23:34, Wojciech Bancer pisze:

Jeśli przez apkę, to push autoryzacyjny albo nie wyjdzie,
albo wyjdzie na oryginalne (stare) urządzenie [1], a nie na nowe.

Jak apka będzie ZHAKOWANA to WSZYSTKO WYJDZIE ;)

On 2020-12-10, Michal Jankowski <michalj@fuw.edu.pl> wrote:

[...]

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko o potrzebne do przejęcia konta". No to jak przejął wszystko, to przejmie konto.

Aby np. aktywować apkę mBanku trzeba przy aktywacji podać trochę
danych osobowych, więc złodziej musi je znać. Pewnie je będzie
znał jak Ci podpieprzy dowód, więc to też przed niczym nie chroni.

Więc co proponujesz?

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:

On 2020-12-10, Michal Jankowski <michalj@fuw.edu.pl> wrote:

[...]

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Aby np. aktywować apkę mBanku trzeba przy aktywacji podać trochę
danych osobowych, więc złodziej musi je znać. Pewnie je będzie
znał jak Ci podpieprzy dowód, więc to też przed niczym
nie chroni.

No ale jest różnica pomiędzy "podpieprzy dowód" a "przepisze dane z dowodu".

Kiedyś było tak, że jednak fizyczna książeczka jakąś ochronę dawała.

   MJ

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze aplikacja na innym telefonie?

Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki, system oddzwania głosowo, trzeba podać 6 cyfr z systemu transakcyjnego oraz 6 cyfr z SMS (to jest BOŚ, kto by się spodziewał), takie tam.
Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS, wiadomością w ST, wiadomością w starej apce (bo w takim Milku można mieć kilka apek jednocześnie).

--
Alf/red/

W dniu 11.12.2020 o 12:32, Alf/red/ pisze:

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze aplikacja na innym telefonie?

Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki, system oddzwania głosowo, trzeba podać 6 cyfr z systemu transakcyjnego oraz 6 cyfr z SMS (to jest BOŚ, kto by się spodziewał), takie tam.
Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS, wiadomością w ST, wiadomością w starej apce (bo w takim Milku można mieć kilka apek jednocześnie).

No i fajn, znaczy uzyskanie klona karty sim i przejęcie przeglądarki/przeglądarkowego hasła do banku wystarcza do:

1. Wykonania przelewu, jeśli był zatwierdzany sms-em.
2. Zainstalowania nowej apki i wykonania przelewu, jeśli był zatwierdzany apką.

Ergo, zatwierdzanie apką nie jest bezpieczniejsze od zatwierdzania sms-em.

Don't tell me, że "nazwisko rodowe matki" cokolwiek zabezpiecza.

  MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 11.12.2020 o 12:32, Alf/red/ pisze:

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także
w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze aplikacja na innym telefonie?
Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki, system oddzwania głosowo, trzeba podać 6 cyfr z systemu
transakcyjnego oraz 6 cyfr z SMS (to jest BOŚ, kto by się
spodziewał), takie tam.
Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS,
wiadomością w ST, wiadomością w starej apce (bo w takim Milku można
mieć kilka apek jednocześnie).

No i fajn, znaczy uzyskanie klona karty sim i przejęcie
przeglądarki/przeglądarkowego hasła do banku wystarcza do:

1. Wykonania przelewu, jeśli był zatwierdzany sms-em.
2. Zainstalowania nowej apki i  ...

W tym momencie mając apkę na innym urządzeniu prawie na pewno dostajesz push i masz
szansę zareagować zanim

...wykonania przelewu, jeśli był zatwierdzany apką.

Ergo, zatwierdzanie apką nie jest bezpieczniejsze od zatwierdzania sms-em.

Mylisz sie.

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/

W dniu 11.12.2020 o 13:11, Kamil Jońca pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

W dniu 11.12.2020 o 12:32, Alf/red/ pisze:

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także
w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze
aplikacja na innym telefonie?
Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki,
system oddzwania głosowo, trzeba podać 6 cyfr z systemu
transakcyjnego oraz 6 cyfr z SMS (to jest BOŚ, kto by się
spodziewał), takie tam.
Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS,
wiadomością w ST, wiadomością w starej apce (bo w takim Milku można
mieć kilka apek jednocześnie).

No i fajn, znaczy uzyskanie klona karty sim i przejęcie
przeglądarki/przeglądarkowego hasła do banku wystarcza do:

1. Wykonania przelewu, jeśli był zatwierdzany sms-em.
2. Zainstalowania nowej apki i  ...

W tym momencie mając apkę na innym urządzeniu prawie na pewno dostajesz push

Jeśli masz telefon podłączony do wifi i jesteś w zasięgu, tak. I jeśli śpisz z telefonem...

i masz
szansę zareagować zanim

Czy aby na pewno "zanim"?

   MJ

On 2020-12-11, Alf/red/ <alf_2012@ump.waw.pl> wrote:

[...]

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze aplikacja na innym telefonie?

Zakładam (może niesłusznie) że omawiamy typowy ostatnio atak typu "klon karty SIM", a nie przejęcie smartfona metodą rozboju.
Wtedy aplikacja stanowi dodatkową warstwę zabezpieczenia, a SMS nie.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Zakładam (może niesłusznie) że omawiamy typowy ostatnio atak typu "klon karty SIM", a nie przejęcie smartfona metodą rozboju.
Wtedy aplikacja stanowi dodatkową warstwę zabezpieczenia, a SMS nie.

Owszem, ale w przypadku SMS w dalszym ciągu mamy 2 różne kanały
(urządzenia), które trzeba oddzielnie przejąć.

W przypadku aplikacji wystarczy przejąć jedno urządzenie.
--
Krzysztof Hałasa

W dniu 2020-12-13 o 20:44, Krzysztof Halasa pisze:

Owszem, ale w przypadku SMS w dalszym ciągu mamy 2 różne kanały
(urządzenia), które trzeba oddzielnie przejąć.

W przypadku aplikacji wystarczy przejąć jedno urządzenie.

DOBRA. I na tym zakończmy.

Nie ma plusów dodatnich z autoryzacji apką. Jest tylko wygoda użytkownika i cięcie kosztów przez bank.

W dniu 13.12.2020 o 21:25, _Master_ pisze:

Nie ma plusów dodatnich z autoryzacji apką.

Są. Ale w całej dyskusji jesteś taki sfokusowany na swoim zarobaczonym andku i oszukujących bankach, że ich nie dostrzeżesz.

--
Alf/red/

Jestem NORMALNY i zauważyłem wygodę użytkownika.

Nie interesują mnie "fokusy" propagandowe.
Ćwierć wieku używam komputerów.

On Monday, December 14, 2020 at 10:56:22 AM UTC+1, _Master_ wrote:

Jestem NORMALNY i zauważyłem wygodę użytkownika. Nie interesują mnie "fokusy" propagandowe. Ćwierć wieku używam komputerów.

No, to dorównujesz mojej córce, która wkrotce osiągnie trzdziestkę.
Nic dziwnego, że zdarza Ci się napisać coś, jak noob :-P

witrak()

W dniu 2020-12-14 o 15:01, witrak() pisze:
No, to dorównujesz mojej córce, która wkrotce osiągnie trzdziestkę.

Nic dziwnego, że zdarza Ci się napisać coś, jak noob :-P

Tylko że ja wcześniej zostałem wychowany bez tego BADZIEWIA i potrafię spojrzeć TRZEŹWO i dostrzegam niebezpieczeństwa których wyprane mózgi nie dostrzegą.

On Monday, December 14, 2020 at 8:37:54 PM UTC+1, _Master_ wrote:

W dniu 2020-12-14 o 15:01, witrak() pisze:
No, to dorównujesz mojej córce, która wkrotce osiągnie trzdziestkę. > Nic dziwnego, że zdarza Ci się napisać coś, jak noob :-P
Tylko że ja wcześniej zostałem wychowany bez tego BADZIEWIA i potrafię spojrzeć TRZEŹWO i dostrzegam niebezpieczeństwa których wyprane mózgi nie dostrzegą.

Tak, bo tylko Ty widzisz to trzeźwo, a wszyscy inni mają wyprane mózgi :-)
Jeżeli jedna osoba mówi ci, żeś pijany.... :-P

witrak()
PS. Confirmation bias: tendency of people to favor information that confirm their beliefs of hypothesis [wikipedia]

W dniu 2020-12-16 o 12:43, witrak() pisze:

Jeżeli jedna osoba mówi ci, żeś pijany....:-P

Miliony much nie mogą się mylić ;-)

W dniu 2020-12-14 o 10:56, _Master_ pisze:

Jestem NORMALNY i zauważyłem wygodę użytkownika.

Nie interesują mnie "fokusy" propagandowe.
Ćwierć wieku używam komputerów.

Co tak mało?

--
Liwiusz

W dniu 2020-12-14 o 10:56, _Master_ pisze:

Jestem NORMALNY i zauważyłem wygodę użytkownika.

Nie interesują mnie "fokusy" propagandowe.
Ćwierć wieku używam komputerów.

Aż się człowiekowi łezka w oku zakręciła jak się zacząłem zastanawiać od kiedy używam komputerów (pisanie czegoś na Odrę nie nazywam używaniem bo nie brałem jej do domu).
W 83 - jeszcze na pewno nie.
W 88 już wypuściliśmy nasz pierwszy produkt (programator Epromów), którego płytka była zaprojektowana na PC, oprogramowanie do jego wnętrza napisane na PC, instrukcja napisana pod TEX-em (na PC) i do którego napisałem program sterujący pod Borland C++ 1.0 (czyli też na PC).
Prace nad tym trochę trwały - więc może PC od 86. Ale wcześniej był Commodore-64. Wychodzi mi 85.
To wcale nie tak dużo więcej, a myślałem, że to prawie 'od zawsze' :)
P.G.

On Tuesday, December 15, 2020 at 1:18:35 PM UTC+1, Piotr Gałka wrote:

W dniu 2020-12-14 o 10:56, _Master_ pisze:
> Jestem NORMALNY i zauważyłem wygodę użytkownika. > > Nie interesują mnie "fokusy" propagandowe. > Ćwierć wieku używam komputerów.
Aż się człowiekowi łezka w oku zakręciła jak się zacząłem zastanawiać od kiedy używam komputerów (pisanie czegoś na Odrę nie nazywam używaniem bo nie brałem jej do domu).

W zasadzie tak, ale niektórzy spędzali całe dnie a często i nocki przy Odrze...

[...]
 Wychodzi mi 85. To wcale nie tak dużo więcej, a myślałem, że to prawie 'od zawsze' :)

I dobrze myślałeś, bo to jest prawie od zawsze - jak policzysz, że to prawie dwa pokolenia...

witrak()

Dnia Wed, 16 Dec 2020 03:49:08 -0800 (PST), witrak() napisał(a):

Jestem NORMALNY i zauważyłem wygodę użytkownika. Nie interesują mnie "fokusy" propagandowe. Ćwierć wieku używam komputerów.

Aż się człowiekowi łezka w oku zakręciła jak się zacząłem zastanawiać od kiedy używam komputerów (pisanie czegoś na Odrę nie nazywam używaniem bo nie brałem jej do domu).

W zasadzie tak, ale niektórzy spędzali całe dnie a często i nocki przy Odrze...

Admina Odry raz obudziłam przychodząc do pracy na siódmą. Pościelił
sobie śpiwór koło maszyny...

[...]
 Wychodzi mi 85. To wcale nie tak dużo więcej, a myślałem, że to prawie 'od zawsze' :)

I dobrze myślałeś, bo to jest prawie od zawsze - jak policzysz, że to prawie dwa pokolenia...

To ja też dołączę do grona 'weteranów' ;-P
Jak za którymś razem trafiłam do medycyny pracy, to usłyszałam że to
niemożliwe żebym przy kompach pracowała od 1984, bo w specjalnej tabelce
z wytycznymi od kiedy można liczyć pracownikowi pracę "z komputerem"
pani doktor miała jakiś późniejszy rok (89? 90? już nie pamiętam).

Odra już tu lata, a Seechecka ktoś pamięta? :D

--
Imka

On Wednesday, December 16, 2020 at 5:56:15 PM UTC+1, Imka wrote:

Dnia Wed, 16 Dec 2020 03:49:08 -0800 (PST), witrak() napisał(a): >>> Jestem NORMALNY i zauważyłem wygodę użytkownika. >>> >>> Nie interesują mnie "fokusy" propagandowe. >>> Ćwierć wieku używam komputerów. >> Aż się człowiekowi łezka w oku zakręciła jak się zacząłem zastanawiać od >> kiedy używam komputerów (pisanie czegoś na Odrę nie nazywam używaniem bo >> nie brałem jej do domu). > > W zasadzie tak, ale niektórzy spędzali całe dnie a często i nocki przy Odrze...
Admina Odry raz obudziłam przychodząc do pracy na siódmą. Pościelił sobie śpiwór koło maszyny...

Odra (1304) chodziła 24/7. Jeden z operatorów (już dawno śp) znany był z tego, że na sali rozkładał sobie pudełka z kartami i przykrywał się gazetami, przedtem zapuszczając jakiś program fizyków (oni zwykle mieli czasy wykonania rzędu tygodni, więc i tak zawsze to szło z dumpu na taśmie na kolejny dump na taśmę).

> >> [...] >> Wychodzi mi 85. >> To wcale nie tak dużo więcej, a myślałem, że to prawie 'od zawsze' :) > > I dobrze myślałeś, bo to jest prawie od zawsze - jak policzysz, że to prawie dwa pokolenia...
To ja też dołączę do grona 'weteranów' ;-P Jak za którymś razem trafiłam do medycyny pracy, to usłyszałam że to niemożliwe żebym przy kompach pracowała od 1984, bo w specjalnej tabelce z wytycznymi od kiedy można liczyć pracownikowi pracę "z komputerem" pani doktor miała jakiś późniejszy rok (89? 90? już nie pamiętam). Odra już tu lata, a Seechecka ktoś pamięta? :D

Seechecka nie widziałem, ale widziałem ICL-owską alternatywę - nie mogę sobie przypomnieć jak się to nazywało Key-cośtam chyba - w Zjednoczeniu Przemysłu Okrętowego w Trójmieście (specjalnie delegację wzięlismy :-) ). A potem PDP-11, pierwszy monitor ekranowy, na którym sam oprogramowałem edytor TECO do pracy w trybie WYSIWYG...
Jakim skokiem było przejście na dyskietki i stację PSPD-90 a potem MK-45 z KFAP!
A potem już PC-ty i lawina możliwości...

Czy ktoś pamięta jak DECnet był wykorzystywany do komunikacji w stanie wojennym? W Warszawie poznałem takich, którzy to robili, wspaniali ludzie.

witrak()

Dnia Wed, 16 Dec 2020 17:56:13 +0100, Imka napisał(a):

Jak za którymś razem trafiłam do medycyny pracy, to usłyszałam że to
niemożliwe żebym przy kompach pracowała od 1984, bo w specjalnej tabelce
z wytycznymi od kiedy można liczyć pracownikowi pracę "z komputerem"
pani doktor miała jakiś późniejszy rok (89? 90? już nie pamiętam).

Odra nie miała monitora, to i nie szkodziła zdrowiu. Problem pojawił się
wraz z PC-tami, bo w monitorze mamy działko elektronowe, przez co pojawia
się zabójcze promieniowanie.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

,,Nie ma takiego problemu, ani osobistego, ani rodzinnego, ani narodowego,
ani międzynarodowego, którego nie można byłoby rozwiązać przy pomocy
Różańca"
Matka Boża do s. Łucji

http://grzegorz-tracz.ucoz.pl/

Użytkownik "Olin"  napisał w wiadomości grup dyskusyjnych:1gbg8wyhv4b2e$.1k91zfrqnihfh$.dlg@40tude.net...
Dnia Wed, 16 Dec 2020 17:56:13 +0100, Imka napisał(a):

Jak za którymś razem trafiłam do medycyny pracy, to usłyszałam że to
niemożliwe żebym przy kompach pracowała od 1984, bo w specjalnej tabelce
z wytycznymi od kiedy można liczyć pracownikowi pracę "z komputerem"
pani doktor miała jakiś późniejszy rok (89? 90? już nie pamiętam).

Odra nie miała monitora, to i nie szkodziła zdrowiu.

Za to halasowala.

Problem pojawił się
wraz z PC-tami, bo w monitorze mamy działko elektronowe, przez co pojawia
się zabójcze promieniowanie.

Wczesniej. Komputer moze daleko, ale terminal z monitorem ma.
Odra ... chyba sie takich terminali nie dorobila, ale inne komputery mialy.

No i jeszcze drobiazg - monitory monochromatyczne mniej promieniowaly niz kolorowe, a te stare sprzety zazwyczaj mialy mono ...

A czy takie zabojcze ... telewizor tak samo promieniowal. Tylko dalej sie siedzialo.


J.

Dnia Thu, 17 Dec 2020 16:14:19 +0100, J.F. napisał(a):

Wczesniej. Komputer moze daleko, ale terminal z monitorem ma.
Odra ... chyba sie takich terminali nie dorobila, ale inne komputery mialy.

Tego to ja tam nie wiem. Oddawałem karty perforowane i potem odbierałem
wydruk, z którego dowiadywałem się, że gdzieś tam zapomniałem dodać
średnika.

A czy takie zabojcze ... telewizor tak samo promieniowal. Tylko dalej sie siedzialo.

U mnie w robocie cała administracja dostawała dodatek "szkodliwy" za pracę
przy komputerze. Dużym powodzeniem cieszyły się takie dziwne siatki
zakładane na monitor, choć te śmiercionośne elektrony leciały akurat do
zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

"Na razie stoimy na stanowisku, że mamy rację"
Jacek Czaputowicz

http://grzegorz-tracz.ucoz.pl/

On Friday, December 18, 2020 at 10:34:58 AM UTC+1, Olin wrote:
....

U mnie w robocie cała administracja dostawała dodatek "szkodliwy" za pracę przy komputerze. Dużym powodzeniem cieszyły się takie dziwne siatki zakładane na monitor, choć te śmiercionośne elektrony leciały akurat do zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

hehehe... I wyświetlały obraz na ścianie za monitorem?

witrak()

Dnia Fri, 18 Dec 2020 04:01:53 -0800 (PST), witrak() napisał(a):

 śmiercionośne elektrony leciały akurat do zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

hehehe... I wyświetlały obraz na ścianie za monitorem?

Gdyby ściana była pokryta luminoforem, pewnie coś by się tam i świeciło.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

"Na razie stoimy na stanowisku, że mamy rację"
Jacek Czaputowicz

http://grzegorz-tracz.ucoz.pl/

On Friday, December 18, 2020 at 1:14:15 PM UTC+1, Olin wrote:

Dnia Fri, 18 Dec 2020 04:01:53 -0800 (PST), witrak() napisał(a): >> śmiercionośne elektrony leciały akurat do >> zadu, czyli szkodzić mogło siedzenie za czyimś monitorem. > > hehehe... I wyświetlały obraz na ścianie za monitorem?
Gdyby ściana była pokryta luminoforem, pewnie coś by się tam i świeciło.

No, ale wytłumacz mi, jak w takim razie świecił ekran - skoro te elektrony w przeciwną stronę zapychały? :-D

Z tego co pamiętam, to szkodliwe dla siedzących z tyłu za monitorem było pole magnetyczne, generowane przez cewki odchylające wiązkę. Zwłaszcza dla kobiet w ciąży, i zwłaszcza od dużych kolorowych monitorów...

witrak()

W dniu 18.12.2020 o 13:28, witrak() pisze:

On Friday, December 18, 2020 at 1:14:15 PM UTC+1, Olin wrote:

Dnia Fri, 18 Dec 2020 04:01:53 -0800 (PST), witrak() napisał(a):

śmiercionośne elektrony leciały akurat do
zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

hehehe... I wyświetlały obraz na ścianie za monitorem?

Gdyby ściana była pokryta luminoforem, pewnie coś by się tam i świeciło.

No, ale wytłumacz mi, jak w takim razie świecił ekran - skoro te elektrony w przeciwną stronę zapychały? :-D

Z tego co pamiętam, to szkodliwe dla siedzących z tyłu za monitorem było pole magnetyczne, generowane przez cewki odchylające wiązkę. Zwłaszcza dla kobiet w ciąży, i zwłaszcza od dużych kolorowych monitorów...

Szkodliwe dla siedzących za monitorem było promieniowanie rentgenowskie, generowane  przez elektrony odchylane w polu magnetycznym.

Kineskopy niby były ekranowane, ale nie do końca. U nas w salach komputerowych monitory się tak ustawiało, żeby za monitorem nikt nie siedział.

   MJ

Dnia Fri, 18 Dec 2020 04:28:55 -0800 (PST), witrak() napisał(a):

No, ale wytłumacz mi, jak w takim razie świecił ekran - skoro te elektrony w przeciwną stronę zapychały? :-D

Z tego co pamiętam, to szkodliwe dla siedzących z tyłu za monitorem było pole magnetyczne, generowane przez cewki odchylające wiązkę. Zwłaszcza dla kobiet w ciąży, i zwłaszcza od dużych kolorowych monitorów...

Obawiam się, że masz rację i chodziło o pole elektromagnetyczne.

Elektrony w katodzie są chyba emitowane we wszystkie strony i tylko część
jest przyspieszanych w kierunku kineskopu, ale cząstki naładowane mają tak
mały zasięg, że obudowa z plastiku powinna wystarczyć do ich wybicia; co
piszę na czuja, bo nie chce mi się zgłębiać fundamentów zjawiska.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

"Dzięki Radiu Maryja wiadomo, jak wiele pieniędzy potrzeba do życia w
ubóstwie."
autor nieznany

http://grzegorz-tracz.ucoz.pl/

Użytkownik "Michal Jankowski"  napisał w wiadomości grup dyskusyjnych:5fdca98a$0$31100$65785112@news.neostrada.pl...
W dniu 18.12.2020 o 13:28, witrak() pisze:

śmiercionośne elektrony leciały akurat do
zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

hehehe... I wyświetlały obraz na ścianie za monitorem?

Gdyby ściana była pokryta luminoforem, pewnie coś by się tam i świeciło.

No, ale wytłumacz mi, jak w takim razie świecił ekran - skoro te elektrony w przeciwną stronę zapychały? :-D

Z tego co pamiętam, to szkodliwe dla siedzących z tyłu za monitorem było pole magnetyczne, generowane przez cewki odchylające wiązkę. Zwłaszcza dla kobiet w ciąży, i zwłaszcza od dużych kolorowych monitorów...

Szkodliwe dla siedzących za monitorem było promieniowanie rentgenowskie, generowane  przez elektrony odchylane w polu magnetycznym.

Raczej nie. Tam chyba jeszcze elektron nie ma duzej predkosci.
A gdyby nawet - to kierunek bylby chyba "do ekranu".

Rentgen sie generuje, jak elektron trafia w ekran, lub w maske.

Kineskopy niby były ekranowane, ale nie do końca. U nas w salach komputerowych monitory się tak ustawiało, żeby za monitorem nikt nie siedział.

Gdzies tam przy okazji TV Jowisz, pisano, ze tyl kineskopu jest ze szkla olowiowego, a przod - z barowego.
Oba tlumia promienie rentgena, ale olowiowe ciemne jest i na ekran sie nie nadaje.
Za to lepiej tlumi i tansze jest.

Jak to w tych komputerowych monitorach wyglada - nie wiem.
Podejrzewam, ze sporo w tym urban legend - ktos gdzies napisal, ze monitor duzo promieniuje z tylu, reszta przeczytala i slepo sie zastosowala.

No chyba, ze chodziliscie z licznikiem geigera i sprawdzaliscie :)

J.

Dnia Fri, 18 Dec 2020 14:20:36 +0100, J.F. napisał(a):

Z tego co pamiętam, to szkodliwe dla siedzących z tyłu za monitorem było pole magnetyczne, generowane przez cewki odchylające wiązkę.

Rentgen sie generuje, jak elektron trafia w ekran, lub w maske.

Cząstka naładowana emituje fotony przy zmianie prędkości, więc wystarczy
sama zmiana trajektorii (bo prędkość to wektor), żeby wytworzyć
promieniowanie X, co wykorzystuje się w synchrotronach; tam elektrony w nic
nie uderzają, tylko lecą po krzywiźnie.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

"Pieniądze szczęścia nie dają, lecz każdy chce to sprawdzić osobiście."
Stefan Kisielewski

http://grzegorz-tracz.ucoz.pl/

Olin napisał(a) :

promieniowanie X, co wykorzystuje się w synchrotronach; tam elektrony w nic
nie uderzają, tylko lecą po krzywiźnie.

Czyli mówiąc z obca: zakurvjają.

--
Pozdrawiam
    Zbyszek
PGP key: 0xDCEF4E65

Dnia 18.12.2020 Olin <kuku@adres.w.stopce> napisał/a:

U mnie w robocie cała administracja dostawała dodatek "szkodliwy" za pracę
przy komputerze. Dużym powodzeniem cieszyły się takie dziwne siatki
zakładane na monitor, choć te śmiercionośne elektrony leciały akurat do
zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

a) "Dziwne siatki" akurat były bardzo sensowne. Redukowały odblaski
(działanie podobne do firanki w uproszczeniu), ponadto wyrównywały
różnice potencjałów między operatorem a ekranem.

Ekran monitora elektryzował się, co powodowało różnicę potencjałów pomiędzy nim a operatorem (zwykle "w miarę" uziemionym), co z kolei sprawiało, iż wszelakie nieobojętne elektrycznie drobiny w powietrzu (kurz i inne takie) w polu takowego kondensatora leciały w stronę monitora (to jeszcze nic) albo w operatora, który dostawał "po oczach".
Po nałożeniu filtra cały kondensator zamykał się między ekranem
a filtrem, między operatorem a filtrem różnicy potencjałów już
nie było.

b) Elektrony z działa waliły w luminofor ekranu. Ich gwałtowne
wyhamowanie powodowało emisję promieniowania hamowania,
często w widmie promieniowania rentgenowskiego
(vide: https://pl.wikipedia.org/wiki/Lampa_rentgenowska).
- choć to raczej w przypadku kineskopów kolorowych, które miały
wyższe napięcie anodowe.

Kineskop wykonany był ze szkła ołowiowego, które powinno zatrzymywać promieniowanie rtg, aczkolwiek z tyłu
szkło było cieńsze i faktycznie jeśli ktoś siedział tuż
za kineskopem jakąś tam dawkę teroretycznie mógł zaliczyć.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> writes:

Ekran monitora elektryzował się, co powodowało różnicę potencjałów pomiędzy nim a operatorem (zwykle "w miarę" uziemionym), co z kolei sprawiało, iż wszelakie nieobojętne elektrycznie drobiny w powietrzu (kurz i inne takie) w polu takowego kondensatora leciały w stronę monitora (to jeszcze nic) albo w operatora, który dostawał "po oczach".
Po nałożeniu filtra cały kondensator zamykał się między ekranem
a filtrem, między operatorem a filtrem różnicy potencjałów już
nie było.

Owszem. BTW filtry (np. 3M) działały dokładnie tak samo, miały warstwę
przewodzącą. Jak się ich nie uziemiło, to ładnie "kopały".

Wiele monitorów miało filtr przyklejony do zewnętrznej warstwy
kineskopu. To było chyba najlepsze rozwiązanie, nie było wewnętrznych
odblasków, problemów z kurzem itd.

b) Elektrony z działa waliły w luminofor ekranu. Ich gwałtowne
wyhamowanie powodowało emisję promieniowania hamowania,
często w widmie promieniowania rentgenowskiego
(vide: https://pl.wikipedia.org/wiki/Lampa_rentgenowska).
- choć to raczej w przypadku kineskopów kolorowych, które miały
wyższe napięcie anodowe.

Teoretycznie poziom promieniowania był "bez znaczenia" także
w przypadku monitorów kolorowych (napięcia do ok. 30 kV). Nie jestem
ekspertem od lamp próżniowych, ale podobno zasadniczy wpływ na
występowanie efektu miało napięcie na ostatniej siatce kineskopu. Czy to
ta siatka głównie przyspieszała elektrony? W przypadku przekroczenia
właściwego napięcie poziom promieniowania miał się znacząco zwiększać,
w instrukcjach serwisowych były na ten temat odpowiednie uwagi itd.

Kiedyś mierzyłem kilka moich monitorów licznikiem G-M (EKO-C). Nie dało
się zmierzyć niczego zauważalnie powyżej tła. Z jednym drobnym wyjątkiem
- przyłożenie miernika do ekranu dawało alarm i wynik 8888 (czy co tam
EKO-C wyświetla w takich okolicznościach). Z tym, że to nie był efekt
promieniowania gamma, tylko jonizacji czujnika przed naładowany przód
kineskopu. Wystarczyło odsunąć czujnik o centymetr i efektu nie było.
Monitory z filtrem nie powodowały alarmu.

Kineskop wykonany był ze szkła ołowiowego, które powinno
zatrzymywać promieniowanie rtg, aczkolwiek z tyłu
szkło było cieńsze i faktycznie jeśli ktoś siedział tuż
za kineskopem jakąś tam dawkę teroretycznie mógł zaliczyć.

Zdaje się że to było szkło z niską zawartością ołowiu, przynajmniej
później. Tak czy owak, nie wątpię że monitory produkowały promieniowanie
gamma, ale podejrzewam, że mogło to nie mieć żadnego znaczenia
w normalnych warunkach.
--
Krzysztof Hałasa

Dnia 18 Dec 2020 12:44:28 GMT, Dominik Ałaszewski napisał(a):

a) "Dziwne siatki" akurat były bardzo sensowne. Redukowały odblaski
(działanie podobne do firanki w uproszczeniu),

Ja tam wolałem już te odblaski, ale siatki jakoś szybko przeminęły, nawet w
przyjemniejszej dla oka formie szybek.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

,,Nie ma takiego problemu, ani osobistego, ani rodzinnego, ani narodowego,
ani międzynarodowego, którego nie można byłoby rozwiązać przy pomocy
Różańca"
Matka Boża do s. Łucji

http://grzegorz-tracz.ucoz.pl/

Dnia 18.12.2020 Olin <kuku@adres.w.stopce> napisał/a:

Ja tam wolałem już te odblaski, ale siatki jakoś szybko przeminęły, nawet w
przyjemniejszej dla oka formie szybek.

A ja wolałem siatki od szybek. Oczywiście miały sens
jedynie przy monitorze monochromatycznym. Odblasków nie lubię
do dziś, dlatego starannie unikam ekranów z błyszczącą matrycą.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

Użytkownik "Olin"  napisał w wiadomości grup dyskusyjnych:1smrrgo479d90$.1nzfazgz73ft1.dlg@40tude.net...
Dnia Thu, 17 Dec 2020 16:14:19 +0100, J.F. napisał(a):

Wczesniej. Komputer moze daleko, ale terminal z monitorem ma.
Odra ... chyba sie takich terminali nie dorobila, ale inne komputery
mialy.

Tego to ja tam nie wiem. Oddawałem karty perforowane i potem odbierałem
wydruk, z którego dowiadywałem się, że gdzieś tam zapomniałem dodać
średnika.

I to bylo zdrowe :-)

Tym niemniej zaczynaly sie pojawiac konfiguracje, gdy do tego centralnego komputera byly podlaczone terminale z telewizorami.
Czytam, ze to Odra tez tak potrafila - terminale Facit, a potem krajowe
https://pl.wikipedia.org/wiki/Odra_1325

A czy takie zabojcze ... telewizor tak samo promieniowal. Tylko dalej
sie siedzialo.

U mnie w robocie cała administracja dostawała dodatek "szkodliwy" za pracę

Bo taka moda sie w pewnym momencie zrobila.

przy komputerze. Dużym powodzeniem cieszyły się takie dziwne siatki
zakładane na monitor, choć te śmiercionośne elektrony leciały akurat do
zadu, czyli szkodzić mogło siedzenie za czyimś monitorem.

elektrony to jak najbardziej do przodu, prosto w oko ... gdyby przez ekran mogly przejsc ...

J.

Jak najbardziej.
Ależ to był postęp w porównaniu do perforowania kart :-)


-- -- -

Odra już tu lata, a Seechecka ktoś pamięta?

W dniu 30.12.2020 o 15:27, ąćęłńóśźż pisze:

Jak najbardziej.
Ależ to był postęp w porównaniu do perforowania kart :-)


-- -- -

Odra już tu lata, a Seechecka ktoś pamięta?

wczytywanie 5000 kart, niezapomniane wspomnienie :)

Gdy ktoś chciał zadać szyku przed kolegami, niósł pod pachą korytarzem wydziału ze trzy pudła od butów programu ;-))


-- -- -

wczytywanie 5000 kart, niezapomniane wspomnienie

W dniu 2020-12-16 o 12:49, witrak() pisze:

W zasadzie tak, ale niektórzy spędzali całe dnie a często i nocki przy Odrze...

Do Odry to miałem tylko dostęp w formie usługi - dostarczam program, kto inny go puszcza, odbieram wyniki.
Ale Merę-400 to już w pewnym sensie 'używałem' bo dostawałem klucz do pokoju w którym była i mogłem godzinami pracować (robiłem dyplom). Przy tej okazji wygenerowałem sobie tabele indukcyjności cewek w funkcji średnicy wewnętrznej, średnicy drutu, liczby zwoi i długości. Wydaje mi się, że kilka lat temu robiąc porządki wyrzuciłem je na makulaturę.

Jeśli uznać to za 'używanie' to przesuwa mi się mój początek używania komputerów do roku 82. To już niedługo będzie "czterdzieści lat minęło...." :)

I dobrze myślałeś, bo to jest prawie od zawsze - jak policzysz, że to prawie dwa pokolenia...

No tak - teraz to mi się łezka z innego powodu zakręciła. Stary się człowiek robi :(
P.G.

Hello, Krzysztof Halasa.
On 13.12.2020 20:44 you wrote:

> Wojciech Bancer <wojciech.bancer@gmail.com> writes:
>> Zakładam (może niesłusznie) że omawiamy typowy ostatnio atak typu  >> "klon karty SIM", a nie przejęcie smartfona metodą rozboju. Wtedy >> aplikacja stanowi dodatkową warstwę zabezpieczenia,  a SMS nie.
> Owszem, ale w przypadku SMS w dalszym ciągu mamy 2 różne kanały > (urządzenia), które trzeba oddzielnie przejąć.

Jak złodziej ma klona SMS to może się już pokusić o zmianę hasła do ST (skoro już załatwił sobie klona, to zakładam że złodziej jest dobrze przygotowany do takiej operacji).
Więc kolejny kanał może nie być potrzebny.
 --
Pete

W dniu 2020-12-14 o 08:09, Pete pisze:

Jak złodziej ma klona SMS to może się już pokusić o zmianę hasła do ST
(skoro już załatwił sobie klona, to zakładam że złodziej jest dobrze
przygotowany do takiej operacji).
Więc kolejny kanał może nie być potrzebny

Jak ktoś jest tak przygotowany to żadne apki nie pomogą. Ani SMSy.

Mówimy o cokolwiek normalnych atakach wykorzystujących luki systemu i sztuczki psychologiczne. Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do transakcji i potwierdzania.

Trzeba mieć tego świadomość. Bo potem będą jęczenia że przecież miałem hiper super apkę bankowości mobilnej i mi się...

BUAAAACCCHHHHAAAA ;-)

W dniu 14.12.2020 o 11:01, _Master_ pisze:

Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do transakcji i potwierdzania.

Teoretycznie masz rację, ale powiedz mi proszę... czemu takie przypadki
https://zaufanatrzeciastrona.pl/post/jak-zone-naszego-czytelnika-wredni-zlodzieje-na-550701-pln-okradli/ (data: 10.12.2020)
trafiają się na pęczki, a analogicznych doniesień dla apki jakoś nie widać?


PS komputerów używam od 35 lat, i co teraz?
--
Alf/red/

On Monday, December 14, 2020 at 1:30:49 PM UTC+1, Alf/red/ wrote:

W dniu 14.12.2020 o 11:01, _Master_ pisze:
> Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do > transakcji i potwierdzania.
Teoretycznie masz rację, ale powiedz mi proszę... czemu takie przypadki https://zaufanatrzeciastrona.pl/post/jak-zone-naszego-czytelnika-wredni-zlodzieje-na-550701-pln-okradli/ (data: 10.12.2020) trafiają się na pęczki, a analogicznych doniesień dla apki jakoś nie widać?

 Nie widać, bo normalni złodzieje myślą logicznie i szukają najmniej kłopotliwych i najpewniejszych - dla siebie - technik. Dopóki operatorzy nie uzgodnią procedur weryfikacji użytkownika przy wymianie karty SIM (teraz żaden nie wprowadzi bardziej restrykcyjnej, bo to się źle przekłada na liczbę klientów - paradoks, ale podobno tak jest), to zawsze będzie łatwiej dobrać się do konta z potwierdzaniem SMS. Zatem działają prawa statystyki. A co do bezpieczeństwa samej apki, to w ogóle nie warto tego dyskutować, bo liczy się łączny poziom zabezpieczeń. Zatem na przykład w N26, które wymusza logowanie w ST i jednocześnie logowanie do apki TYM SAMYM hasłem (aby potwierdzić dostęp do ST w apce!), jest mniej bezpiecznie, niż gdyby do apki było inne hasło (czy PIN), jak to jest w większości banków. Więc wszelkie uogólnianie można o kant d4 rozbić.

PS komputerów używam od 35 lat, i co teraz?

witrak()
PS. Komputerów używam od 48 lat i co z tego?

W dniu 14.12.2020 o 15:22, witrak() pisze:

A co do bezpieczeństwa samej apki, to w ogóle nie warto tego dyskutować, bo liczy się łączny poziom zabezpieczeń.
Zatem na przykład w N26, które wymusza logowanie w ST i jednocześnie logowanie do apki TYM SAMYM hasłem (aby potwierdzić dostęp do ST w apce!), jest mniej bezpiecznie, niż gdyby do apki było inne hasło (czy PIN), jak to jest w większości banków.
Więc wszelkie uogólnianie można o kant d4 rozbić.

O, o, w rzeczonym citku też jest to samo hasło do apki i do www. No, teraz jeszcze ten 'token pin', ale też się na pewno da nadać nowy...

   MJ

W dniu 14.12.2020 o 13:30, Alf/red/ pisze:

W dniu 14.12.2020 o 11:01, _Master_ pisze:

Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do transakcji i potwierdzania.

Teoretycznie masz rację, ale powiedz mi proszę... czemu takie przypadki
https://zaufanatrzeciastrona.pl/post/jak-zone-naszego-czytelnika-wredni-zlodzieje-na-550701-pln-okradli/ (data: 10.12.2020)
trafiają się na pęczki, a analogicznych doniesień dla apki jakoś nie widać?

Bo 99% klientów banku używa sms?

Przecież w opisanej sytuacji pani została podpuszczona, żeby autoryzować podpięcie karty do paypalowego konta złodzieja. 100% socjotechniki, żadne łamanie technicznych zabezpieczeń. Gdyby miała zatwierdzanie apką, to też by zatwierdziła pod dyktando złodzieja. Znowu nie widzę różnicy.

   MJ
PS. Aktywowałem sobie w apce citka "token pin", czy jak oni to nazywają. Trzy kolejne transakcje kartą od tego momentu poprosiły o
1. kod sms
2. ten pin
3. kod sms
Obłęd jakiś.

W dniu 2020-12-14 o 14:02, Michal Jankowski pisze:

Bo 99% klientów banku używa sms?

Przecież w opisanej sytuacji pani została podpuszczona, żeby autoryzować podpięcie karty do paypalowego konta złodzieja. 100% socjotechniki, żadne łamanie technicznych zabezpieczeń. Gdyby miała zatwierdzanie apką, to też by zatwierdziła pod dyktando złodzieja. Znowu nie widzę różnicy.

Dokładnie

Zejdźmy na ziemię nie. Teoria teorią.

A jak się apki spopularyzują ;-) to dopiero będzie lamentów że "sobie kliknęłam coś, się pobrało i ni mam pinindzy... ;-)

On 2020-12-14, Michal Jankowski <michalj@fuw.edu.pl> wrote:

[...]

PS. Aktywowałem sobie w apce citka "token pin", czy jak oni to nazywają.

Ale serio uogólniasz stan zabezpieczeń banków na bazie tego który
wszystko ogarnia najgorzej i najpóźniej?

--
Wojciech Bańcer
wojciech.bancer@gmail.com

PayPal nie konfrontuje nazwiska na karcie?


-- -- -

została podpuszczona, żeby autoryzować podpięcie karty do paypalowego konta złodzieja.

W dniu 2020-12-14 o 13:30, Alf/red/ pisze:

PS komputerów używam od 35 lat, i co teraz?

To Znaczy że zacząłeś za komuny.

Kto w tamtym czasie maił dostęp do takich urządzeń? ;-)

W dniu 18.12.2020 o 11:26, _Master_ pisze:

To Znaczy że zacząłeś za komuny.

Kto w tamtym czasie maił dostęp do takich urządzeń? ;-)

Jak widzisz, na grupie jest całkiem sporo takich osób.
Sugerujesz, że to są działacze pzpr, albo wręcz, tfu tfu, esbecy?
Że wszystko "za komuny" należy wypalić ogniem i żelazem?


Przypominam, że komputerowy system PESEL powstał około 1980-tego.
Przypominam, że Odry powstały w latach 60-tych.

Kto w tamtym czasie maił dostęp do takich urządzeń? ;-)

--
Alf/red/

On Friday, December 18, 2020 at 11:45:45 AM UTC+1, _Master_ wrote:

W dniu 2020-12-18 o 11:39, Alf/red/ pisze:
> Jak widzisz, na grupie jest całkiem sporo takich osób. > Sugerujesz, że to są działacze pzpr, albo wręcz, tfu tfu, esbecy? > Że wszystko "za komuny" należy wypalić ogniem i żelazem?
Masz jakąś traumę przez likwidację esbeckich przywilejów? ;-) Sugeruję że nie było to powszechne i żeby mieć kontakt z nowoczesną technologią trzeba było mieć to coś. W Twoim przypadku zapewne wyjątkowe osiągnięcia naukowe ;-) Ja byłem wtedy w technikum na zadupiu a dyrektor szkoły karał uczniów za brak udziału w pochodzie pierwszomajowym.

No tak, to tłumaczy Twoje maniery... Te traumy szkolne z okresu dojrzewania...

witrak()

Że nie chodziłem na pochody?

Co Ty BREDZISZ?

W dniu 2020-12-18 o 11:39, Alf/red/ pisze:

Jak widzisz, na grupie jest całkiem sporo takich osób.
Sugerujesz, że to są działacze pzpr, albo wręcz, tfu tfu, esbecy?
Że wszystko "za komuny" należy wypalić ogniem i żelazem?

Masz jakąś traumę przez likwidację esbeckich przywilejów? ;-)

Sugeruję że nie było to powszechne i żeby mieć kontakt z nowoczesną technologią trzeba było mieć to coś.
W Twoim przypadku zapewne wyjątkowe osiągnięcia naukowe ;-)

Ja byłem wtedy w technikum na zadupiu a dyrektor szkoły karał uczniów za brak udziału w pochodzie pierwszomajowym.

W dniu 2020-12-18 o 11:26, _Master_ pisze:

W dniu 2020-12-14 o 13:30, Alf/red/ pisze:

PS komputerów używam od 35 lat, i co teraz?

To Znaczy że zacząłeś za komuny.

Kto w tamtym czasie maił dostęp do takich urządzeń? ;-)

Ale żeś kryterium wybrał :-)
Gdybyś tylko rozejrzał się (wtedy) bardziej wokół,
to zobaczyłbyś, że może nie stały w każdym domu,
ale nie były jakieś niedostępne.

W 1985 roku??
Nie było w sklepach mydła, masła, butów, proszku do prania, szynki, bananów, a średnia dniówka wynosiła około jednego dolara.


-- -- -

Gdybyś tylko rozejrzał się (wtedy) bardziej wokół, to zobaczyłbyś, że może nie stały w każdym domu, ale nie były jakieś niedostępne.

Tak.
Ale po co zmieniasz temat?
Nie było akurat tych rzeczy stale w sprzedaży, ale to nie znaczy, że nie można było kupić
albo, że nie było lub, że były nieznane.
Komputery nie stały w każdym domu ale nie były jakąś rzeczą z
kosmosu, zupełnie nieznaną.
Pytanie było takie:
"Kto w tamtym czasie miał dostęp do takich urządzeń?"
W tamtym czasie zarówno na uczelni, jak i w pierwszym moim
miejscu pracy i mojej żony komputery były i miałem do nich dostęp
i nie potrezbna do tego była legitymacja.





W dniu 2021-01-28 o 22:05, ąćęłńóśźż pisze:

W 1985 roku??
Nie było w sklepach mydła, masła, butów, proszku do prania, szynki, bananów, a średnia dniówka wynosiła około jednego dolara.


-- -- -

Gdybyś tylko rozejrzał się (wtedy) bardziej wokół, to zobaczyłbyś, że może nie stały w każdym domu, ale nie były jakieś niedostępne.

Prezentujesz osiągnięcia przodującej zawsze gospodarki radzieckiej.
Pograć się dało na Merze / Odrze / Riadzie?
W 1981 mój gospodarz w Lądku (nie ma takiego miasta) przyniósł do chałupy coś w rodzaju PC. Nie pamiętam już marki, całość zawierała w jednym kawałku i klawiaturę i monitor. On to z pracy przytargał, bo się tym zajmował (programista?), ale przede mną postawił i włączył jakąś grę ;-)
Aczkolwiek postęp był w tamtych latach niesamowicie szybki, dla domu te różne Spectrumy, Commodory, Atari, Amstrady, kolejne procesory, pamięć, nośniki danych i kolejne systemy operacyjne.
W polskich domach to był czas na wideło, przecież walczyliśmy właśnie Otake ;-)


-- -- -

W tamtym czasie zarówno na uczelni, jak i w pierwszym moim miejscu pracy i mojej żony komputery były i miałem do nich dostęp i nie potrezbna do tego była legitymacja.

Użytkownik "ąćęłńóśźż"  napisał w wiadomości grup dyskusyjnych:6013f908$0$23915$65785112@news.neostrada.pl...

Prezentujesz osiągnięcia przodującej zawsze gospodarki radzieckiej.
Pograć się dało na Merze / Odrze / Riadzie?

Na Riadzie z terminalem ... moze by i sie dalo, tylko gier nie bylo, ewentualnie jakies tekstowe ... ale RPG przeciez tez jest/bylo popularne.
Na Odrze podobnie, ale tam na poczatku dalekopisy byly, terminale to na koniec podlaczali.

Na Merach ... kto wie, moze by i sie dalo, moze nawet lepsze mozliwosci niz na Riadzie, tylko znow - czy ktos napisal ?
na PDP11/CM4/SM4 chyba juz jakies byly

https://en.wikipedia.org/wiki/Early_mainframe_games

W 1981 mój gospodarz w Lądku (nie ma takiego miasta) przyniósł do chałupy coś w rodzaju PC. Nie pamiętam już marki, całość zawierała

w jednym kawałku i klawiaturę i monitor. On to z pracy przytargał, bo się tym zajmował (programista?), ale przede mną postawił i
włączył jakąś grę ;-)

Riada czy Odry by nie przyniosl.
Mery tez raczej nie.

Ale K202 byla przenosna.

-- -- -

W tamtym czasie zarówno na uczelni, jak i w pierwszym moim miejscu pracy i mojej żony komputery były i miałem do nich dostęp i nie potrezbna do tego była legitymacja.

J.

No przecież w każdym domu były...
Dorastałeś w epoce sukcesu Gierka?

BTW na Merze na moim wydziale gdy zniechęcony Basicem (głównie tym, że dla krzemowego ćwierćinteligenta kropka i przecinek to nie było to samo) wpisałeś na terminalu (klawiatura przed drukarką mozaikową) "dupa" to od razu wyskakiwało w następnym wierszu "Are you?".
I teraz się zastanów, jakie jeszcze słowa wypróbowywaliśmy ;-)
Prawie jak gra :-)
I kalendarz na cały rok się dało wydrukować (niektórym to nawet na Odrze).


-- -- -

Ale K202 byla przenosna.

Użytkownik "ąćęłńóśźż"  napisał w wiadomości grup dyskusyjnych:6014088a$0$510$65785112@news.neostrada.pl...

No przecież w każdym domu były...
Dorastałeś w epoce sukcesu Gierka?

K202 to w ogole chyba pare sztuk bylo, niemal prototypy, ale pokazuje tendencje, ktore byly dostepne jeszcze przed erą mikroprocesorow.

To mogles przyniesc do domu, w odroznieniu od wczesniejszych modeli :-)

BTW na Merze na moim wydziale gdy zniechęcony Basicem (głównie tym, że dla krzemowego ćwierćinteligenta kropka i przecinek to nie

było to samo) wpisałeś na terminalu (klawiatura przed drukarką mozaikową) "dupa" to od razu wyskakiwało w następnym wierszu "Are
you?".

Ale byl Basic ... byly szanse na gry ... w trybie tekstowym.

I teraz się zastanów, jakie jeszcze słowa wypróbowywaliśmy ;-)
Prawie jak gra :-)

Taa, slownik synonimow w pewnej wersji Worda :-)

I kalendarz na cały rok się dało wydrukować (niektórym to nawet na Odrze).

Z ladna grafiką w trybie tekstowym :-)

-- -- -

Ale K202 byla przenosna.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Na Merach ... kto wie, moze by i sie dalo, moze nawet lepsze
mozliwosci niz na Riadzie, tylko znow - czy ktos napisal ?
na PDP11/CM4/SM4 chyba juz jakies byly

https://en.wikipedia.org/wiki/Early_mainframe_games

Swoją drogą, PDP11 ani CM4 = SM4 (bo to przecież to samo, tylko
w grażdance i w alfabecie łacińskim) czy inne IZOTy itd. to nie były
żadne mainframy, tylko małe maszynki (niekoniecznie rozmiarami).

PDP-10, bardziej (pomijając to, że dla niektórych osób jedynie sprzęt
IBMa - lub kompatybilny - mógł być nazwany mainframem).
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m37dnvy4nt.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Na Merach ... kto wie, moze by i sie dalo, moze nawet lepsze
mozliwosci niz na Riadzie, tylko znow - czy ktos napisal ?
na PDP11/CM4/SM4 chyba juz jakies byly

https://en.wikipedia.org/wiki/Early_mainframe_games

Swoją drogą, PDP11 ani CM4 = SM4 (bo to przecież to samo, tylko
w grażdance i w alfabecie łacińskim) czy inne IZOTy itd. to nie były
żadne mainframy, tylko małe maszynki (niekoniecznie rozmiarami).

Tak czy inaczej - w pewnym okresie pod haslem "komputer" mogles miec cos nazywane pozniej "mainframe", albo "małą maszynke" wielkosci paru szaf :-)


P.S. Wow ... jak na 1962
https://en.wikipedia.org/wiki/Spacewar!
https://www.youtube.com/watch?v=YZxSaXIHy_o

J.

A Ty prezentujesz  myślenie tunelowe.
Kto pisał o graniu czy używaniu takim jak obecnie?
Gość napisał, że używał komputerów od 35 lat
i okrzyknięto go od razu ubekiem, bo kto wtedy miał dostęp do tego.
To, że ktoś miał dostęp czy używał nie oznacza, że były w każdym sklepie
dla normalnych ludzi. Pograć w domu to sobie można było na jakichś
sprowadzanych z Zachodu Commodorach czy Spectrumach - sam nie miałem,
ani nigdy żadne gry na PC mnie nie fascynowały.
Natomiast na pewno przed 1985r miałem zajęcia na jakichś maszynach
typu Odra/Riad (nie pamiętam) więc też mógłbym powiedzieć, że miałem do czynienia i nikt nie pisał, że zabierał te szafy do domu żeby sobie pograć a w okolicy roku
1985 była pracownia komputerowa oparta o ZX-Spectrum i tam jakieś projekty robiliśmy.
W pracy już w 1988 był jeden PC na kilkanaście osób.
Pewnie sami ubecy.




W dniu 2021-01-29 o 13:01, ąćęłńóśźż pisze:

Prezentujesz osiągnięcia przodującej zawsze gospodarki radzieckiej.
Pograć się dało na Merze / Odrze / Riadzie?
W 1981 mój gospodarz w Lądku (nie ma takiego miasta) przyniósł do chałupy coś w rodzaju PC. Nie pamiętam już marki, całość zawierała w jednym kawałku i klawiaturę i monitor. On to z pracy przytargał, bo się tym zajmował (programista?), ale przede mną postawił i włączył jakąś grę ;-)
Aczkolwiek postęp był w tamtych latach niesamowicie szybki, dla domu te różne Spectrumy, Commodory, Atari, Amstrady, kolejne procesory, pamięć, nośniki danych i kolejne systemy operacyjne.
W polskich domach to był czas na wideło, przecież walczyliśmy właśnie Otake ;-)


-- -- -

W tamtym czasie zarówno na uczelni, jak i w pierwszym moim miejscu pracy i mojej żony komputery były i miałem do nich dostęp i nie potrezbna do tego była legitymacja.

On 2021-01-28, ąćęłńóśźż <a@e.pl> wrote:

W 1985 roku??
Nie było w sklepach mydła, masła, butów, proszku do prania, szynki, bananów, a średnia dniówka wynosiła około jednego dolara.

Ale pojawiały się już komputery domowe (ZX Spectrum, Atari 800XL, Commodore 64,Amstrad). Zdaje się w Peweksie były no i oczywiście z prywatnych
importów.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Ale pojawiały się już komputery domowe (ZX Spectrum, Atari 800XL, Commodore 64,Amstrad). Zdaje się w Peweksie były no i oczywiście z prywatnych
importów.

Ano. Timex 2048 (licencjonowany klon ZX Spectrum, minimalnie może
lepszy) IIRC - $140. A może to był oryginalny ZX Spectrum?

Równoważność rocznej pensji czy jakoś tak.
--
Krzysztof Hałasa

Sun, 31 Jan 2021 02:22:02 +0100, w <m3r1m1x5mt.fsf@pm.waw.pl>, Krzysztof Halasa
<khc@pm.waw.pl> napisał(-a):

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

> Ale pojawiały się już komputery domowe (ZX Spectrum, Atari 800XL, Commodore > 64,Amstrad). Zdaje się w Peweksie były no i oczywiście z prywatnych
> importów.

Ano. Timex 2048 (licencjonowany klon ZX Spectrum, minimalnie może
lepszy) IIRC - $140. A może to był oryginalny ZX Spectrum?

Drożyzna.
Atari 800XL było po 125$, a stacja dysków po 115$. Albo odwrotnie.

8-bitowa taniocha, bo 16-bitowe PC po coś ok. 360 funtów (bez VAT).


-- -- -

Atari 800XL było po 125$, a stacja dysków po 115$.

Użytkownik  radekp napisał w wiadomości grup dyskusyjnych:o00e1glfg0nes4qs8ou2v5ghrmong99sa5@4ax.com...
Sun, 31 Jan 2021 02:22:02 +0100, w <m3r1m1x5mt.fsf@pm.waw.pl>, Krzysztof Halasa
<khc@pm.waw.pl> napisał(-a):

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

> Ale pojawiały się już komputery domowe (ZX Spectrum, Atari 800XL, > Commodore
> 64,Amstrad). Zdaje się w Peweksie były no i oczywiście z > prywatnych
> importów.

Ano. Timex 2048 (licencjonowany klon ZX Spectrum, minimalnie może
lepszy) IIRC - $140. A może to był oryginalny ZX Spectrum?

Drożyzna.
Atari 800XL było po 125$, a stacja dysków po 115$. Albo odwrotnie.

Chodzi mi po glowie, ze Atari bylo w Pewexie po 70$. Najtanszy komputer w Polsce.
Plus za magnetofon.

Ale kiedy to bylo ...

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Chodzi mi po glowie, ze Atari bylo w Pewexie po 70$. Najtanszy
komputer w Polsce.
Plus za magnetofon.

Teraz sobie przypomniałem, że ZX Spectrum kosztowało - jak to wtedy
określano - "na czarnym rynku" :-) ok. 100 - 110 tys. zł.

Ale kiedy to bylo ...

Otóż to. Niestety sam też nie pamiętam.

Ale:
https://www.is.umk.pl/~duch/Wyklady/komput/w04/k-domowe/cudowne.html
"Ceny wg Bajtka 7/86" - "giełda Bajtka" / komis.

Zx Spectrum 48 kB 80-90  kzł, 110 kzł
C-64             140-150 kzł, 150-160 kzł
Atari 800 XL      70-80  kzł, 90 kzł
Atari 130 XE       150   kzł,

Jest tam też trochę innych ciekawostek.

https://www.purepc.pl/krotka-historia-wojen-fanbojow-nie-tylko-w-internecie?page=0,3

Czas nie jest zbyt dobrze określony:
"Na naszym rodzimym podwórku wojna pomiędzy użytkownikami 8-bitowego
Commodore 64 oraz jego odpowiednikiem ze stajni Atari -
najpopularniejszego w Polsce modelu Atari 65XE (wraz braćmi: Atari 800XE
i 130XE) rozgorzała pod koniec lat 80."

"W wyniku umowy z Jackiem Tramielem - ośmiobitowe Atari, których sprzedaż
na zachodzie już dogorywała, trafiły na chłonny rynek zbytu. Ceny?
Całkiem przystępne: za 8-bitowe Atari trzeba było zapłacić od 125 do 199
dolarów"
--
Krzysztof Hałasa

Tyle że które podłączano do telewizora, a które do dedykowanego monitora (co podbijało cenę)?


-- -- -

ZX Spectrum 48 kB 80-90  kzł, 110 kzł
C-64             140-150 kzł, 150-160 kzł
Atari 800 XL      70-80  kzł, 90 kzł
Atari 130 XE       150   kzł,
"Na naszym rodzimym podwórku wojna pomiędzy użytkownikami 8-bitowego Commodore 64 oraz jego odpowiednikiem ze stajni Atari -

najpopularniejszego w Polsce modelu Atari 65XE (wraz braćmi: Atari 800XE i 130XE) rozgorzała pod koniec lat 80."

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3mtwnwr9a.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Chodzi mi po glowie, ze Atari bylo w Pewexie po 70$. Najtanszy
komputer w Polsce.
Plus za magnetofon.

Teraz sobie przypomniałem, że ZX Spectrum kosztowało - jak to wtedy
określano - "na czarnym rynku" :-) ok. 100 - 110 tys. zł.

Ale kiedy to bylo ...

Otóż to. Niestety sam też nie pamiętam.

A zlotowka tak szybko sie dewaluowala, ze bez rownie czarnowynkowego kursu dolara z tego miesiaca nie ma co podawac.

Ale:
https://www.is.umk.pl/~duch/Wyklady/komput/w04/k-domowe/cudowne.html
"Ceny wg Bajtka 7/86" - "giełda Bajtka" / komis.

Zx Spectrum 48 kB 80-90  kzł, 110 kzł
C-64             140-150 kzł, 150-160 kzł
Atari 800 XL      70-80  kzł, 90 kzł
Atari 130 XE       150   kzł,

Tak jakos pamietam - Spectrum bylo troche drozsze.
Ale nie wymagalo specjalnego magnetofonu ... jakiegos jednak wymagalo.

Jest tam też trochę innych ciekawostek.

https://www.purepc.pl/krotka-historia-wojen-fanbojow-nie-tylko-w-internecie?page=0,3

Czas nie jest zbyt dobrze określony:
"Na naszym rodzimym podwórku wojna pomiędzy użytkownikami 8-bitowego
Commodore 64 oraz jego odpowiednikiem ze stajni Atari -
najpopularniejszego w Polsce modelu Atari 65XE (wraz braćmi: Atari 800XE
i 130XE) rozgorzała pod koniec lat 80."

"W wyniku umowy z Jackiem Tramielem - ośmiobitowe Atari, których sprzedaż
na zachodzie już dogorywała, trafiły na chłonny rynek zbytu. Ceny?
Całkiem przystępne: za 8-bitowe Atari trzeba było zapłacić od 125 do 199
dolarów"

No wlasnie - brak roku.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A zlotowka tak szybko sie dewaluowala, ze bez rownie czarnowynkowego
kursu dolara z tego miesiaca nie ma co podawac.

Od początku 1984 r. do połowy 1986 r. kurs dolara prawie się nie
zmieniał. Aczkolwiek możliwe, że ten deal z Atari był później.
--
Krzysztof Hałasa

Witam

W dniu 01.02.2021 o 17:34, J.F. pisze:

Chodzi mi po glowie, ze Atari bylo w Pewexie po 70$. Najtanszy komputer w Polsce > Plus za magnetofon.

Pamiętam ceny w Peweksie ok. 1987r. 125 usd za Atari 65XE i 199 za 130 XE. Różniły się wielkością pamięci RAM: 64 KB i 128 KB.
Stacja dysków też około 200 USD. A magnetofon 40 USD.

Pozdrawiam,
Zdzichu

W dniu 14.12.2020 o 13:30, Alf/red/ pisze:

W dniu 14.12.2020 o 11:01, _Master_ pisze:

Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do transakcji i potwierdzania.

Teoretycznie masz rację, ale powiedz mi proszę... czemu takie przypadki
https://zaufanatrzeciastrona.pl/post/jak-zone-naszego-czytelnika-wredni-zlodzieje-na-550701-pln-okradli/ (data: 10.12.2020)
trafiają się na pęczki, a analogicznych doniesień dla apki jakoś nie widać?


PS komputerów używam od 35 lat, i co teraz?

A ja od 44, a jeśli dodać to:
https://en.wikipedia.org/wiki/Programma_101
to jeszcze dłużej.

To kto ma większego? :)

   MJ

On Friday, December 18, 2020 at 12:35:59 PM UTC+1, Michal Jankowski wrote:

W dniu 14.12.2020 o 13:30, Alf/red/ pisze:

....

> PS komputerów używam od 35 lat, i co teraz?
A ja od 44, a jeśli dodać to: https://en.wikipedia.org/wiki/Programma_101 to jeszcze dłużej. To kto ma większego? :)

No jak to kto? Ja!

On 2020-12-14 15:22, witrak() wrote:
....> PS. Komputerów używam od 48 lat i co z tego?

witrak()

Fri, 18 Dec 2020 04:06:51 -0800 (PST), "witrak()" <witrak@hotmail.com>
pisal(a):

On Friday, December 18, 2020 at 12:35:59 PM UTC+1, Michal Jankowski wrote:

W dniu 14.12.2020 o 13:30, Alf/red/ pisze:

...

> PS komputerów używam od 35 lat, i co teraz?
A ja od 44, a jeśli dodać to: https://en.wikipedia.org/wiki/Programma_101 to jeszcze dłużej. To kto ma większego? :)

No jak to kto? Ja!

On 2020-12-14 15:22, witrak() wrote:
...> PS. Komputerów używam od 48 lat i co z tego?

witrak()

Wymiękam, 43. Odra na studiach bezkontaktowo, tzn karty + wydruki.
Ale od 1980 ładny rodzynek PDP11/34 + RSX11M.
Od 1985 dodatkowo PG675 czyli PC + CPM/86 + Step 5, jeśli komukolwiek
coś to mówi.
Potem już z górki.



--
Pozdrawiam - Marek

--
Ta wiadomość e-mail została sprawdzona pod kątem wirusów przez oprogramowanie AVG.
http://www.avg.com

W dniu 2020-12-19 o 00:12, Marek G pisze:

Wymiękam, 43. Odra na studiach bezkontaktowo

Ja na studiach miałem kontakt z Odrą w zegarku.

:-)

On 2020-12-14, _Master_ <Master@z.pl> wrote:

[...]

Mówimy o cokolwiek normalnych atakach wykorzystujących luki systemu i sztuczki psychologiczne. Oddzielny "kanał" ZAWSZE będzie bezpieczniejszy niż jedna apka do transakcji i potwierdzania.

No ale w takich sytuacjach apka JEST oddzielnym kanałem.
Przecież w przypadku typowych ataków one zleceją przelew przez ST,
nie przez apkę. Apka wtedy służy jedynie to potwierdzenia operacji.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-14 o 13:44, Wojciech Bancer pisze:

No ale w takich sytuacjach apka JEST oddzielnym kanałem.

Apka leży w jednym KANALE ŚCIEKOWYM nazywającym się ANDROID którego obsługuje GIMBAZJALISTA.

To nie może się udać ;-)

On 2020-12-14, _Master_ <Master@z.pl> wrote:

W dniu 2020-12-14 o 13:44, Wojciech Bancer pisze:

No ale w takich sytuacjach apka JEST oddzielnym kanałem.

Apka leży w jednym KANALE ŚCIEKOWYM nazywającym się ANDROID którego obsługuje GIMBAZJALISTA.

Wspomniany GIMBAZJALISTA nie ma na koncie nic, więc nie ma mu i czego ukreść. A i na pewno nie ma takich środków by
opłacało się zatrudniać gościa który umie takie urządzenie
przejąć.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-15 o 08:01, Wojciech Bancer pisze:

Wspomniany GIMBAZJALISTA nie ma na koncie nic,

GIMBAZJALISTA to szersze pojęcie które dotyka również Dyrektorów, Profesorów czy Biznesmenów. TAK... znam takich co zrobią sobie krzywdę apką na Androidzie.
SERIO. Dwa pokoje dalej mam takie okazy co "im się klikło" i ratuj...

On 2020-12-15, _Master_ <Master@z.pl> wrote:

[...]

GIMBAZJALISTA to szersze pojęcie które dotyka również Dyrektorów, Profesorów czy Biznesmenów. TAK... znam takich co zrobią sobie krzywdę apką na Androidzie.
SERIO. Dwa pokoje dalej mam takie okazy co "im się klikło" i ratuj...

Tytułowanie się profesorem, czy biznesmenem nie oznacza jeszcze
majętności. Też serio.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-15 o 12:42, Wojciech Bancer pisze:

Tytułowanie się profesorem, czy biznesmenem nie oznacza jeszcze
majętności. Też serio.

Zarabiają powyżej średniej co przy polskiej medianie zarobków oznacza że mają duży potencjał do wykorzystania przez apki androidowe. ;-)

Tak wiem... KRACZĘ. Ale do jasnej cholery ktoś MUSI otwierać oczy ;-)

W dniu 15.12.2020 o 13:20, _Master_ pisze:

Tak wiem... KRACZĘ. Ale do jasnej cholery ktoś MUSI otwierać oczy

Z takim PODEJŚCIEM to raczej zamykasz. To tak jak z płaskoziemcami, antyszczepionkowcami albo antichoicowcami - może i mają rację, ale tak ją prezentują, że nie sposób dyskutować. Żadnych argumentów, sama jazda po emocjach i głęboka wiara, że jest się jedynym w prawdzie, a cały świat jest głupi.

--
Alf/red/

Przeczytaj dokładnie wątek. Nie ma plusów dodatnich w kwestii bezpieczeństwa z korzystania z jednego kanału którym jest apka na Androidzie.
Plusy są w wygodzie dla użytkownika (cwane zagranie, dużo ludzi łyknie)
oraz bank oszczędza na wysyłaniu smsów.

Cała prawda całą dobę ;-)

Ale przecież miliony much nie mogą się mylić ;-)

On 2020-12-15, _Master_ <Master@z.pl> wrote:

Tytułowanie się profesorem, czy biznesmenem nie oznacza jeszcze
majętności. Też serio.

Zarabiają powyżej średniej

No i?

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-15 o 14:04, Wojciech Bancer pisze:

Zarabiają powyżej średniej

No i?

No i odpowiedziałem na Twój wpis:

"Wspomniany GIMBAZJALISTA nie ma na koncie nic, więc nie ma
mu i czego ukreść. A i na pewno nie ma takich środków by
opłacało się zatrudniać gościa który umie takie urządzenie
przejąć."

Pamiętasz jeszcze? ;-)

Cholera jasna... Idziesz na ilość postów?

On 2020-12-15, _Master_ <Master@z.pl> wrote:

[...]

Zarabiają powyżej średniej

No i?

No i odpowiedziałem na Twój wpis:

Nie odpowiedziałeś.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Znajdź sobie piaskownicę.

On 2020-12-16, _Master_ <Master@z.pl> wrote:

Znajdź sobie piaskownicę.

To może inaczej (żeby dotarło):

weź sobie do porównań średnią osób zarabiających na PIT-36L, a nie na PIT-37.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

A jak to się ma do bezpieczeństwa pieniędzy w banku i sum które można ukraść?

Piaskownica Cię WZYWA ;-)

On 2020-12-16, _Master_ <Master@z.pl> wrote:

A jak to się ma do bezpieczeństwa pieniędzy w banku i sum które można ukraść?

No statystycznie ma dużo. Skupiasz się na tym co ma ogół, zamiast
skupić się na tym co ma ta część społeczeństwa która ma realnie hajs.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Masz dziwną optykę. Znaczy kradnie się miliony milionerom?

On 2020-12-17, _Master_ <Master@z.pl> wrote:

Masz dziwną optykę. Znaczy kradnie się miliony milionerom?

Złodzieje kradną tam gdzie im się to opłaca (biorąc pod uwagę również
koszty takiego przedsięwzięcia). Więc tak, muszą targetować ludzi
którzy mają te "miliony". To chyba oczywiste i wynika z logiki.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-17 o 11:58, Wojciech Bancer pisze:

On 2020-12-17, _Master_ <Master@z.pl> wrote:

Masz dziwną optykę. Znaczy kradnie się miliony milionerom?

Złodzieje kradną tam gdzie im się to opłaca (biorąc pod uwagę również
koszty takiego przedsięwzięcia). Więc tak, muszą targetować ludzi
którzy mają te "miliony". To chyba oczywiste i wynika z logiki.

A takiego współczynnika jak większe ryzyko wykrycia (i ciupy) bo właściciela stać też na FACHOWCÓW nie biorą pod uwagę?

Ja tam nie z branży ale już dużo widziałem takich małych podkradań/drobnych druczków i innych taktyk a jakże bankowyhc których zysk jest oparty na tych co im się nie będzie chciało/nie potrafią walczyć o SWOJE.

On 2020-12-17, _Master_ <Master@z.pl> wrote:

[...]

Ja tam nie z branży ale już dużo widziałem takich małych podkradań/drobnych druczków i innych taktyk a jakże bankowyhc których zysk jest oparty na tych co im się nie będzie chciało/nie potrafią walczyć o SWOJE.

I sam sobie odpowiedziałeś dlaczego aplikacje są w tym zakresie
bezpieczne. Bo koszt włamu przekroczy zyski.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

A ile to już było złodziejskich apek w sklepie play...

Jak się ktoś uweźmie to się włamie WSZĘDZIE.

Ale my tu mówimy o dziurawym Androidzie + sztuczki psychologiczne i jedna apka robi za tysiące włamów.

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

No ale w takich sytuacjach apka JEST oddzielnym kanałem.
Przecież w przypadku typowych ataków one zleceją przelew przez ST,
nie przez apkę. Apka wtedy służy jedynie to potwierdzenia operacji.

Ale apka nie może służyć do zlecania (takich) przelewów? Jeśli to jest
norma, a apka może działać tylko jako token, to wtedy istotnie potrzebne
są dwa kanały.
--
Krzysztof Hałasa

On 2020-12-14, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

No ale w takich sytuacjach apka JEST oddzielnym kanałem.
Przecież w przypadku typowych ataków one zleceją przelew przez ST,
nie przez apkę. Apka wtedy służy jedynie to potwierdzenia operacji.

Ale apka nie może służyć do zlecania (takich) przelewów?

Tzn. jak chciałbyś to zrobić?
Bo spreparowana strona płatności (czyli najczęstszy atak) Ci sama nie odpali aplikacji.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Ale apka nie może służyć do zlecania (takich) przelewów?

Tzn. jak chciałbyś to zrobić?

Noo... zwyczajnie. Przejąć (zapewne zdalnie) kontrolę nad telefonem,
a więc także nad aplikacją, i zlecić przelew(y).

Bo spreparowana strona płatności (czyli najczęstszy atak) Ci sama nie odpali aplikacji.

Podobnie jak nie przejmie SMSa. Nie chodzi przecież o ten akurat wektor
ataku.
--
Krzysztof Hałasa

On 2020-12-15, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Ale apka nie może służyć do zlecania (takich) przelewów?

Tzn. jak chciałbyś to zrobić?

Noo... zwyczajnie. Przejąć (zapewne zdalnie) kontrolę nad telefonem,
a więc także nad aplikacją, i zlecić przelew(y).

1. Aplikacja wymaga odrębnego kodu.
2. Wiedza potrzebna do takiego przejęcia wyklucza większość (jakieś 99%) z naszego społeczeństwa jako "target" takiego ataku.

Bo spreparowana strona płatności (czyli najczęstszy atak) Ci sama nie odpali aplikacji.

Podobnie jak nie przejmie SMSa. Nie chodzi przecież o ten akurat wektor
ataku.

No więc wektor ataku "przejmujemy telefon" się nie zdarza, a
przynajmniej nie istnieje w statystykach. To naprawdę nie jest takie
proste.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-16 o 09:11, Wojciech Bancer pisze:

nie istnieje w statystykach. To naprawdę nie jest takie
proste.

Istnieje WEKTOR mi się klikło = przejęcie telefonu

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

1. Aplikacja wymaga odrębnego kodu.

To bez znaczenia w obliczu przejęcia kontroli nad systemem.

2. Wiedza potrzebna do takiego przejęcia wyklucza większość (jakieś 99%) z naszego społeczeństwa jako "target" takiego ataku.

Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
oczywiście tak.

No więc wektor ataku "przejmujemy telefon" się nie zdarza, a
przynajmniej nie istnieje w statystykach. To naprawdę nie jest takie
proste.

Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
bezbronna.

Widziałem sporo ataków, których przeprowadzenie było dość trudne
i wymagało wiedzy. A jednak one miały miejsce.
--
Krzysztof Hałasa

On Wednesday, December 16, 2020 at 7:18:49 PM UTC+1, Krzysztof Halasa wrote:
....

Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie bezbronna. Widziałem sporo ataków, których przeprowadzenie było dość trudne i wymagało wiedzy. A jednak one miały miejsce.

A w ogóle to ciekawy jest przebieg ewolucji metod zabezpieczania internetowych transakcji bankowych.
~2000 - token sprzętowy (VASCO - z klawiaturą) 2003-5 - zdrapki, tokeny sprzętowe (bez klawiatury - "zegarki")
A potem już z górki - tokeny na telefon (pamiętam, jak Eurobank nie mógł sobie poradzić ze swoim bo mu na część telefonów nie chodził - mnie dali w zamian darmowy "zegarek"); wreszcie aplikacje.
I rzeczywiście, wygląda na to, że głównym czynnikiem napędzającym była wygoda banków, a na pewno nie bezpieczeństwo jako takie (banków czy klientów). Natomiast nie jestem przekonany, czy zasadniczy wpływ miała tu wygoda klientów. Owszem, to mogło mieć znaczenie, ale raczej jako chwyt marketingowy; dopiero ostatnie lata (dyrektywy unijne, w tym ograniczenia hermetyczności systemów bankowych) zmieniły sytuację.

A co do ataków - trudnych lub nie - w dobie przemysłowej produkcji malware'u, botnetów do wynajęcia i usług hakerskich na zlecenie, to nie wydaje się, aby umiejętności pojedynczych osób miały tu zasadnicze znaczenie. Zawsze da się kogoś wynająć, kto zrobi to, czego nie umie "mózg". witrak()

On 2020-12-16, witrak() <witrak@hotmail.com> wrote:

[...]

A co do ataków - trudnych lub nie - w dobie przemysłowej produkcji malware'u, botnetów do wynajęcia i usług hakerskich na zlecenie, to nie wydaje się, aby umiejętności pojedynczych osób miały tu zasadnicze znaczenie. Zawsze da się kogoś wynająć, kto zrobi to, czego nie umie "mózg".

Można zapłącić komuś 100k USD i "w nagrodę" wyciągnąć komuś z konta np. 2 tys zł. ALbo i 20 tys. Można? Można. Opłaca się? No nie. O tym cały czas piszę. Socjotechnikę się opłaca stosować masowo bo jest tania i nie wymaga aż tak indywidualnego podejscia.

Włamów na telefon w ten sposób nie zorganizujesz.

Skąd wyobrażenie, że usługi hackerskie są takie tanie, skoro cały
szereg specjalistów na rynku zarabia krocie *legalnie*? Przecież takiego włamu nie przeprowadzi misiek klepiący wordpressy za 5k/m-c.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Użytkownik "witrak()"  napisał w wiadomości grup dyskusyjnych:03c4c0ad-776b-47d1-8eae-dde9764c3615n@googlegroups.com...
On Wednesday, December 16, 2020 at 7:18:49 PM UTC+1, Krzysztof Halasa wrote:

Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
bezbronna.

Widziałem sporo ataków, których przeprowadzenie było dość trudne
i wymagało wiedzy. A jednak one miały miejsce.

A w ogóle to ciekawy jest przebieg ewolucji metod zabezpieczania internetowych transakcji bankowych.
~2000 - token sprzętowy (VASCO - z klawiaturą)
2003-5 - zdrapki, tokeny sprzętowe (bez klawiatury - "zegarki")

Ale gdzie ?
Bo mbank zaczal od list hasel jednorazowych.
BRE mial chyba tokeny ... dla klientow biznesowych.

A potem już z górki - tokeny na telefon (pamiętam, jak Eurobank nie mógł sobie poradzić ze swoim bo mu na część telefonów nie chodził - mnie dali w zamian darmowy "zegarek"); wreszcie aplikacje.
I rzeczywiście, wygląda na to, że głównym czynnikiem napędzającym była wygoda banków, a na pewno nie bezpieczeństwo jako takie (banków czy klientów).
Natomiast nie jestem przekonany, czy zasadniczy wpływ miała tu wygoda klientów.

Wygoda/koszty bankow to jedno, ale bezpieczenstwo tez.

Moze wczesniej nie bylo takich mafii podstawiajacych falszywe strony.
No i w nawet w 2005 to nie kazdy mial komorke.

A co do ataków - trudnych lub nie - w dobie przemysłowej produkcji malware'u, botnetów do wynajęcia i usług hakerskich na zlecenie, to nie wydaje się, aby umiejętności pojedynczych osób miały tu zasadnicze znaczenie. Zawsze da się kogoś wynająć, kto zrobi to, czego nie umie "mózg".

Co by nie mowic - kodem z listy czy tokena - nie wiesz co potwierdzasz,
sms na smartfonie mozna przejac latwo ... czy apke zhackowac rownie latwo ... nie wiem.

No i jeszcze jeden niuans - zawsze sie balem ze telefon na urlopie gdzies daleko sie zgubi/uszkodzi/ukradna ... a wyglada na to, ze apke mozna miec druga na zapasowym ...

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
[...]

No i jeszcze jeden niuans - zawsze sie balem ze telefon na urlopie
gdzies daleko sie zgubi/uszkodzi/ukradna ... a wyglada na to, ze apke mozna miec druga na zapasowym ...

Tylko, że w tym kontekście to nie jest ważne czy możesz mieć apkę na
wielu telefonach, tylko czy możesz potwierdzać z wielu telefonów (zdaje
się, że citi nie pozwala ...)

KJ
--
http://wolnelektury.pl/wesprzyj/teraz/

On Thursday, December 17, 2020 at 11:00:59 AM UTC+1, J.F. wrote:

Użytkownik "witrak()" napisał w wiadomości grup dyskusyjnych:03c4c0ad-776b-47d1...@googlegroups.com...

....

>A w ogóle to ciekawy jest przebieg ewolucji metod zabezpieczania >internetowych transakcji bankowych. >~2000 - token sprzętowy (VASCO - z klawiaturą) >2003-5 - zdrapki, tokeny sprzętowe (bez klawiatury - "zegarki")
Ale gdzie ? Bo mbank zaczal od list hasel jednorazowych. BRE mial chyba tokeny ... dla klientow biznesowych.

W Banku Pekao o ile pamietam (albo PKO bp, ale raczej to pierwsze). To był pierwszy bank z internetowym kontem firmowym, tyle że system miał raczej nieprzystosowany do dużej liczby klientów, choć na tamte czasy wyjątkowo porządnie zrobiony.
Natomiast w pewnym momencie, jak im się system zaczął zwieszać (zdarzało się, że musiałem półtorej godziny robić jeden przelew), zrobili czystkę wyp-ąc wszystkich klientów. A w parę miesięcy później udostępnili "nowy, lepszy" system. Ale wtedy już nie chciałem ryzykować i poszedłem do VW.

witrak()

A nie aby Kredyt Bank?


-- -- -

W Banku Pekao o ile pamietam.
To był pierwszy bank z internetowym kontem firmowym

On Tuesday, January 26, 2021 at 1:12:54 PM UTC+1, ąćęłńóśźż wrote:

A nie aby Kredyt Bank?

Może pierwszy był Kredyt Bank. Ale ja nie miałem tam konta, a na pewno system Pekao był zupełnie dojrzałym i sprawnym systemem. A jeszcze te tokeny Vasco - z odblokowaniem hasłem... Dopiero apki smartfonowe udostępniły ponownie tokeny z zabezpieczeniem...

witrak()

W 1993 to już śmigało spokojnie.


-- -- -

Może pierwszy był Kredyt Bank.

On 2020-12-16, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

1. Aplikacja wymaga odrębnego kodu.

To bez znaczenia w obliczu przejęcia kontroli nad systemem.

Oczywiście że ma to znaczenie.
To że przejmiesz dostęp do systemu, to jeszcze nie oznacza że
jesteś w stanie wywołać wszystko magicznie.

2. Wiedza potrzebna do takiego przejęcia wyklucza większość (jakieś 99%) z naszego społeczeństwa jako "target" takiego ataku.

Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
oczywiście tak.

Na takiej, że to się nie opłaca.

No więc wektor ataku "przejmujemy telefon" się nie zdarza, a
przynajmniej nie istnieje w statystykach. To naprawdę nie jest takie
proste.

Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
bezbronna.

Widziałem sporo ataków, których przeprowadzenie było dość trudne
i wymagało wiedzy. A jednak one miały miejsce.

No ale idea polega na tym, żeby uczynić to mało opłacalnym
lub nieopłacalnym. Socjotechnikę i podmianki www opłaca się stosować bo "a może ktoś się złapie". Włam na telefon już niespecjalnie, trzeba
starannie profilować ofiarę i dużo więcej o niej wiedzieć.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

1. Aplikacja wymaga odrębnego kodu.

To bez znaczenia w obliczu przejęcia kontroli nad systemem.

Oczywiście że ma to znaczenie.
To że przejmiesz dostęp do systemu, to jeszcze nie oznacza że
jesteś w stanie wywołać wszystko magicznie.

Tzn. czego nie jestem zrobić?

2. Wiedza potrzebna do takiego przejęcia wyklucza większość (jakieś 99%) z naszego społeczeństwa jako "target" takiego ataku.

Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
oczywiście tak.

Na takiej, że to się nie opłaca.

A, w sensie że 99% nie ma pieniędzy? Wątpię, poza tym chyba rozumiesz że
to nie jest tak, że 2 takie same ataki są dwa razy droższe niż 1.

No ale idea polega na tym, żeby uczynić to mało opłacalnym
lub nieopłacalnym. Socjotechnikę i podmianki www opłaca się stosować bo "a może ktoś się złapie". Włam na telefon już niespecjalnie, trzeba
starannie profilować ofiarę i dużo więcej o niej wiedzieć.

A akcje z duplikatem karty SIM? Samo znacząco większe ryzyko już
wystarczy (przynajmniej niektórzy uzyskiwali karty SIM osobiście
w "salonie" operatora - to chyba desperacja). Przejęcie telefonu jest
praktycznie bezpieczne dla atakującego. Szczerze mówiąc, nie wiem co
trzeba wiedzieć o ofierze - nie widzę większych jakościowych różnic
w stosunku do "podmianki www".
To wcale nie musi być "celowane", właśnie z tego powodu, że nie mamy
dwóch oddzielnych kanałów.
--
Krzysztof Hałasa

On 2020-12-18, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Oczywiście że ma to znaczenie.
To że przejmiesz dostęp do systemu, to jeszcze nie oznacza że
jesteś w stanie wywołać wszystko magicznie.

Tzn. czego nie jestem zrobić?

Automatycznie sterować aplikacją, która nie udostępnia jawnych
interfejsów do takiego sterowania?

Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
oczywiście tak.

Na takiej, że to się nie opłaca.

A, w sensie że 99% nie ma pieniędzy? Wątpię, poza tym chyba rozumiesz że
to nie jest tak, że 2 takie same ataki są dwa razy droższe niż 1.

To zależy czy jesteś w stanie zrobić "ogólny" exploit czy musisz
targetować pojedyncze urządzenia. Jak na razie w przypadku przejmowania
telefonów mowa co najwyżej o atakach targetowanych indywidualnie.

Więc chyba rozumiesz że jest to zupełnie inne niż "zrobimy fake stronę
+ mailing i kto się nabierze i zrobi przelew, tego strata"?

No ale idea polega na tym, żeby uczynić to mało opłacalnym
lub nieopłacalnym. Socjotechnikę i podmianki www opłaca się stosować bo "a może ktoś się złapie". Włam na telefon już niespecjalnie, trzeba
starannie profilować ofiarę i dużo więcej o niej wiedzieć.

A akcje z duplikatem karty SIM?

Do tego wystarczy wyciek / kupno bazy danych osobowych (np, ta która
wyciekła z morele.net).

Jak już przejmiesz dostęp do konta operatora można przeskanować
bilingi i wyłuskać informacje w jakim banku ma ofiara konto
(o ile tych danych nie ma w tej samej bazie danych).

Samo znacząco większe ryzyko już wystarczy (przynajmniej niektórzy uzyskiwali karty SIM osobiście w "salonie" operatora - to chyba desperacja).

A to robi słup.

Przejęcie telefonu jest praktycznie bezpieczne dla atakującego.

Jasne. Ale wymaga wiedzy i umiejętności. Którą albo masz, albo
kupujesz.

Szczerze mówiąc, nie wiem co trzeba wiedzieć o ofierze - nie widzę większych jakościowych różnic w stosunku do "podmianki www".

Ok. Ja widzę.

To wcale nie musi być "celowane", właśnie z tego powodu, że nie mamy
dwóch oddzielnych kanałów.

Ale nie mamy jednego uniwersalnego pyczka do "przejmowania" dowolnego
telefonu, a zdajesz się to sugerować. Ale oczywiście mogę się mylić i FBI wcale nie miewa problemów z dostępem do komórek, a firma
tworząca Pegasusa nie każe sobie płacić milionów za przyjemność
posiadania narzędzia (które trzeba i tak aktualizować).

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Automatycznie sterować aplikacją, która nie udostępnia jawnych
interfejsów do takiego sterowania?

Ale kto chciałby sterować aplikacją? Należy z niej tylko wyciągnąć
(z pamięci) klucze kryptograficzne.
Inna sprawa, że ten "argument" ze sterowaniem to chyba jest słabo
przemyślany.

To zależy czy jesteś w stanie zrobić "ogólny" exploit czy musisz
targetować pojedyncze urządzenia. Jak na razie w przypadku przejmowania
telefonów mowa co najwyżej o atakach targetowanych indywidualnie.

Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.
Aczkolwiek exploity są bardzo podobne, to nie jest tak, jak
u jednego z wiceministrów finansów, że wpływy z podatków rosną liniowo
wraz z ich stawką.

Więc chyba rozumiesz że jest to zupełnie inne niż "zrobimy fake stronę
+ mailing i kto się nabierze i zrobi przelew, tego strata"?

Oczywiście - obecnie taka sytuacja może wystąpić tylko wtedy, gdy ktoś
nie przeczyta treści SMSa i na ślepo go zaakceptuje.

A akcje z duplikatem karty SIM?

Do tego wystarczy wyciek / kupno bazy danych osobowych (np, ta która
wyciekła z morele.net).

Ja nie pytam co jest do tego potrzebne, tylko to nie jest "podmianka
strony" (+ mailing).
Zauważ też, że akcje z SIM są możliwe tylko dlatego, że procedury
bankowe są (były?) wadliwe. Zagrożenie było znane od dawna (i to nie
tylko teoretycznie).

Samo znacząco większe ryzyko już wystarczy (przynajmniej niektórzy uzyskiwali karty SIM osobiście w "salonie" operatora - to chyba desperacja).

A to robi słup.

A skąd wiesz? Słup może nawet łatwiej wpaść, ryzyko, że razem z kartą
SIM odbiorca znajdzie "funkcjonariuszy" wzrasta. No, może przeceniam
tych ostatnich. W przypadku zdalnego ataku, jeśli przestępca nie popełni
karygodnego błędu, nie ma możliwości namierzenia go (poza sytuacją
"globalnej kontroli", która chwilowo nie występuje, i którą też da się
obejść).

Ale nie mamy jednego uniwersalnego pyczka do "przejmowania" dowolnego
telefonu, a zdajesz się to sugerować. Ale oczywiście mogę się mylić i FBI wcale nie miewa problemów z dostępem do komórek,

Wyłączonych z zaszyfrowanym systemem plików zdaje się?

a firma
tworząca Pegasusa nie każe sobie płacić milionów za przyjemność
posiadania narzędzia (które trzeba i tak aktualizować).

Kasa za Pegasusa jest dlatego, by nie trzeba było umieć. Sam napisałeś,
można umieć lub zapłacić komuś, kto umie.
--
Krzysztof Hałasa

On 2020-12-19, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Automatycznie sterować aplikacją, która nie udostępnia jawnych
interfejsów do takiego sterowania?

Ale kto chciałby sterować aplikacją? Należy z niej tylko wyciągnąć
(z pamięci) klucze kryptograficzne.
Inna sprawa, że ten "argument" ze sterowaniem to chyba jest słabo
przemyślany.

Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?

To zależy czy jesteś w stanie zrobić "ogólny" exploit czy musisz
targetować pojedyncze urządzenia. Jak na razie w przypadku przejmowania
telefonów mowa co najwyżej o atakach targetowanych indywidualnie.

Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.

Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
i wbudowanych aplikacji".

Aczkolwiek exploity są bardzo podobne, to nie jest tak, jak
u jednego z wiceministrów finansów, że wpływy z podatków rosną liniowo
wraz z ich stawką.

Tylko że one też się deaktualizują, to nie jest tak że exploit
jest "na zawsze".

Ale nie mamy jednego uniwersalnego pyczka do "przejmowania" dowolnego
telefonu, a zdajesz się to sugerować. Ale oczywiście mogę się mylić i FBI wcale nie miewa problemów z dostępem do komórek,

Wyłączonych z zaszyfrowanym systemem plików zdaje się?

Nie "wyłączonych" a z ustawionym PIN (ekran blokady).
Zaszyfrowane systemy plików (w komórkach) są defaultem już od lat (w Android chyba od 5.0, a iOS od wersji 8).

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?

O kluczach kryptograficznych, wykorzystywanych przez apkę banku.
Takie klucze można wyciągnąć z pamięci RAM telefonu (podczas pracy
aplikacji) lub z systemu plików. W obu przypadkach potrzebne są prawa
roota (lub usera związanego z aplikacją, ale to wymagałoby przejęcia
samej apki, więc jest mało praktyczne, przynajmniej "globalnie").
Klucze są oczywiście inne w każdym urządzeniu.

Co to miałoby dać? Zasadniczo, to daje "wszystko" - możliwość podszycia
się pod dany egzemplarz aplikacji.

Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.

Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
i wbudowanych aplikacji".

No pomyśl chwilę. Oczywiście że nie.
W przypadku PC + MS Windows - myślisz że malware musi brać pod uwagę
dokładną wersję Windows (pomijam już sprzęt) i wersję nakładek itd.?
Bez żartów.

Nie "wyłączonych" a z ustawionym PIN (ekran blokady).

Nawet jeśli tak będzie w konkretnym przypadku (wymaga to spełnienia
szeregu warunków), to w żadnym razie nie powoduje, że tak jest zawsze,
albo przynajmniej w typowym przypadku.

No chyba że masz wiarę w coś takiego, że obecnie wykorzystywane telefony
są generalnie odporne na ataki zdalne, oraz jednocześnie na ataki
np. przez spreparowaną apkę (jakąkolwiek) + (lokalne już) przejęcie praw
roota. To ja już na to nie pomogę.
--
Krzysztof Hałasa

On 2020-12-20, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?

O kluczach kryptograficznych, wykorzystywanych przez apkę banku.
Takie klucze można wyciągnąć z pamięci RAM telefonu (podczas pracy
aplikacji) lub z systemu plików. W obu przypadkach potrzebne są prawa
roota (lub usera związanego z aplikacją, ale to wymagałoby przejęcia
samej apki, więc jest mało praktyczne, przynajmniej "globalnie").
Klucze są oczywiście inne w każdym urządzeniu.

A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
fizycznego dostępu do urządzenia.

Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
exploitów specjalnie za dużo nie ma.

Co to miałoby dać? Zasadniczo, to daje "wszystko" - możliwość podszycia
się pod dany egzemplarz aplikacji.

Znając aktualne metody przechowywania kluczy, to powątpiewam szczerze.

Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.

Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
i wbudowanych aplikacji".

No pomyśl chwilę. Oczywiście że nie.
W przypadku PC + MS Windows - myślisz że malware musi brać pod uwagę
dokładną wersję Windows (pomijam już sprzęt) i wersję nakładek itd.?
Bez żartów.

Oczywiście że nie, ale to diametralnie inna sytuacja.
Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
najczęściej z kontekstu usera administracyjnego (pod windows
standardowe) i że przyklepiesz podniesienie uprawnień.
"samo się" to nic się nie zainstaluje.

Po drugie Windows nie odpala aplikacji w sandboxie, a iOS/Android i owszem, a w tym sandboksie użytkownik
nie ma prawa dać aplikacji uprawnienia root.

Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
najbardziej się liczy, bo te dziury są łatane dość na bieżąco
i nawet konkretna podwersja robi różnicę.

Nie "wyłączonych" a z ustawionym PIN (ekran blokady).

Nawet jeśli tak będzie w konkretnym przypadku (wymaga to spełnienia
szeregu warunków), to w żadnym razie nie powoduje, że tak jest zawsze,
albo przynajmniej w typowym przypadku.

Tak, w typowym przypadku masz ustawiony ekran blokady.
Czy to na znak maziany, czy PIN. I masz szyfrowany system plików
oraz bardzo często układ sprzętowy SOC, który stanowi zabezpieczenie
przechowywanych kluczy oraz informacji prywatnych.
Komórki to naprawdę nie PCty, nie mają tak otwartej architektury.

No chyba że masz wiarę w coś takiego, że obecnie wykorzystywane telefony
są generalnie odporne na ataki zdalne, oraz jednocześnie na ataki
np. przez spreparowaną apkę (jakąkolwiek) + (lokalne już) przejęcie praw
roota. To ja już na to nie pomogę.

Nie łudzę się że są odporne. Ale doskonale wiem, że wiedza o aktualnych
podatnościach typu zero-day (na które nie ma łatek) jest dostępna tylko
naprawdę niewielkiej liczbie osób. I że nie ma jej gościu z zarobakmi
z "dolnych widełek" o których dyskutowaliśmy.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
fizycznego dostępu do urządzenia.

Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
exploitów specjalnie za dużo nie ma.

Pytanie tylko, czy bankowe apki mogą z tego korzystać, i czy korzystają?

BTW nie mam zaufania do kluczy "generowanych sprzętowo" (bez dokładnego
wyjaśnienia i możliwości weryfikacji co to oznacza). Zdecydowanie
korzystniejsze wydają mi się klucze, które można wygenerować dowolnym
sposobem, a następnie umieszcza się je w takiej czarnej skrzynce,
i tylko nie można ich (łatwo) stamtąd wyciągnąć. Jakoś przeżyje ten
moment, w którym klucze są w zwykłej pamięci RAM, i to, że można mieć
ich backup.

Podobnie nie wierzę w bezpieczeństwo szyfrowania w wielu aplikacjach -
np. ostatnio, konferencyjnych, w sytuacji, gdy nie mam żadnej kontroli
nad używanymi kluczami (są ściągane z serwera usługodawcy) itd.

Oczywiście że nie, ale to diametralnie inna sytuacja.
Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
najczęściej z kontekstu usera administracyjnego (pod windows
standardowe) i że przyklepiesz podniesienie uprawnień.
"samo się" to nic się nie zainstaluje.

Z tym, że wiele razy właśnie "samo" się instalowało. Wykorzystując błędy
w przeglądarce czy w innym flashu. Np. demonstrowano wyciąganie danych
innych procesów (lub kernela) z RAMu przy użyciu JS w przeglądarce.
Problemy sprzętowe są trudne do załatania, zwłaszcza w telefonach, gdzie
każdy procent np. mocy obliczeniowej CPU jest istotny.

Po drugie Windows nie odpala aplikacji w sandboxie, a iOS/Android i owszem, a w tym sandboksie użytkownik
nie ma prawa dać aplikacji uprawnienia root.

Tak piszesz, jakby nie można było uzyskać roota w żadnym takim
przypadku.

Stare powiedzenie mówi, że jeśli ktoś (człowiek) uzyska dostęp lokalny
do czegokolwiek, to uzyska też prawa roota. Owszem, może się zdarzyć, że
to w danym przypadku będzie niemożliwe. Ale chodzi o to, by w każdym
przypadku było to niemożliwe, albo przynajmniej niepraktyczne.

Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
najbardziej się liczy, bo te dziury są łatane dość na bieżąco
i nawet konkretna podwersja robi różnicę.

Ale wersja systemu jest ostatnia. Ostatnia wspierana. Wszędzie
w praktyce jednakowa.

Np. 4.1.2. I co wtedy?
No bo chyba nie myślisz, że mało ludzi takich używa?

Ja wiem, że można wyprodukować token, który będzie wystarczająco
bezpieczny. Zupełnie nie o to chodzi.
--
Krzysztof Hałasa

On 2020-12-23, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
exploitów specjalnie za dużo nie ma.

Pytanie tylko, czy bankowe apki mogą z tego korzystać, i czy korzystają?

Mogą i korzystają.

Podobnie nie wierzę w bezpieczeństwo szyfrowania w wielu aplikacjach -
np. ostatnio, konferencyjnych, w sytuacji, gdy nie mam żadnej kontroli
nad używanymi kluczami (są ściągane z serwera usługodawcy) itd.

Ale ta wiara ma niewielkie znaczenie w kontekście seryjnego włamywania
się na aplikacje bankowe, prawda? Włamu nie dokonują agencje rządowe
zdolne wymusić coś na podmiotach gospodarczych.

najczęściej z kontekstu usera administracyjnego (pod windows
standardowe) i że przyklepiesz podniesienie uprawnień.
"samo się" to nic się nie zainstaluje.

Z tym, że wiele razy właśnie "samo" się instalowało. Wykorzystując błędy
w przeglądarce czy w innym flashu. Np. demonstrowano wyciąganie danych
innych procesów (lub kernela) z RAMu przy użyciu JS w przeglądarce.
Problemy sprzętowe są trudne do załatania, zwłaszcza w telefonach, gdzie
każdy procent np. mocy obliczeniowej CPU jest istotny.

Ale wtedy istotna była wersja przeglądarki, czy wersja flasha.
No nie ma "to tamto" jak chcesz się bawić w zdalne włamy, to niestety
nie ma złotego grala.

Po drugie Windows nie odpala aplikacji w sandboxie, a iOS/Android i owszem, a w tym sandboksie użytkownik
nie ma prawa dać aplikacji uprawnienia root.

Tak piszesz, jakby nie można było uzyskać roota w żadnym takim
przypadku.

Piszę, że nie można stworzyć rozwiązania generycznego, które będzie
odporne na wersję systemu.

Stare powiedzenie mówi, że jeśli ktoś (człowiek) uzyska dostęp lokalny
do czegokolwiek, to uzyska też prawa roota. Owszem, może się zdarzyć, że
to w danym przypadku będzie niemożliwe. Ale chodzi o to, by w każdym
przypadku było to niemożliwe, albo przynajmniej niepraktyczne.

No więc jest niepraktyczne, przynajmniej na iOS..

Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
najbardziej się liczy, bo te dziury są łatane dość na bieżąco
i nawet konkretna podwersja robi różnicę.

Ale wersja systemu jest ostatnia. Ostatnia wspierana. Wszędzie
w praktyce jednakowa.

Np. 4.1.2. I co wtedy?
No bo chyba nie myślisz, że mało ludzi takich używa?

Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
bo tak przypada odnowienie umowy na telefon.

Jelly Bean (4.1.x jest używany przez 0.6% urządzeń, w znakomitej
większości są to urządzenia dedykowane (np. ebooki, czy urządzenia używane w przemyśle).

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

On 2020-12-23, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

No bo chyba nie myślisz, że mało ludzi takich używa?

Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
bo tak przypada odnowienie umowy na telefon.

Obawiam się, że tak różówo nie jest.
1. patrząc o swoich znajomych, zwłaszcza starszych, to nie mają pędu do
wymiany telefonu jak najczęściej. Wolą mieć to co już znają.
2. Telefon po wymianie całkiem często trafia na "rynek wtórny" (dzieci,
rodzina) i dalej działa.

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/

On 2020-12-25, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

No bo chyba nie myślisz, że mało ludzi takich używa?

Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
bo tak przypada odnowienie umowy na telefon.

Obawiam się, że tak różówo nie jest.
1. patrząc o swoich znajomych, zwłaszcza starszych, to nie mają pędu do
wymiany telefonu jak najczęściej. Wolą mieć to co już znają.
2. Telefon po wymianie całkiem często trafia na "rynek wtórny" (dzieci,
rodzina) i dalej działa.

No ale to nie jest kwestia różowości, tylko obserwacji statystyk.

Te dane są dostępne, np:
https://gs.statcounter.com/android-version-market-share/mobile-tablet/poland
Nie jest idealnie, ale mimo wspierane przez twórce wersję to ponad 78%
polskiego rynku.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

No ale to nie jest kwestia różowości, tylko obserwacji statystyk.

Te dane są dostępne, np:
https://gs.statcounter.com/android-version-market-share/mobile-tablet/poland

To są dane dotyczące WWW, wiele starszych telefonów nie jest używanych
do regularnego przeglądania WWW.
--
Krzysztof Hałasa

On 2020-12-26, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Te dane są dostępne, np:
https://gs.statcounter.com/android-version-market-share/mobile-tablet/poland

To są dane dotyczące WWW, wiele starszych telefonów nie jest używanych
do regularnego przeglądania WWW.

Ale też można kontrować, że jak nie jest używany do www, to i nie są na
nim instalowane dziwne aplikacje. A wtedy możliwość wgrania złośliwego
kodu jest też ograniczona.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Ale też można kontrować, że jak nie jest używany do www, to i nie są na
nim instalowane dziwne aplikacje. A wtedy możliwość wgrania złośliwego
kodu jest też ograniczona.

Ale wektorów jest więcej niż tylko "instalowanie dziwnych aplikacji".
Pamiętaj, że w przypadku dwóch urządzeń złodziej musi pokonać oba.
No to co, instalowanie dziwnej aplikacji na pececie i na telefonie?

Poza tym, nie widzę implikacji, by nieużywanie do WWW => brak "dziwnych"
aplikacji. Tzn. to oczywiście nie ma znaczenia w tym przypadku, ale
wiele osób w ogóle nie używa telefonów do WWW (praktycznie - czasem
używają, np. w terenie do rezerwacji hotelu itp). Po co to robić, jeśli
jest pecet, na którym robi się to znacznie bardziej komfortowo?
--
Krzysztof Hałasa

On 2020-12-28, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Ale też można kontrować, że jak nie jest używany do www, to i nie są na
nim instalowane dziwne aplikacje. A wtedy możliwość wgrania złośliwego
kodu jest też ograniczona.

Ale wektorów jest więcej niż tylko "instalowanie dziwnych aplikacji".

Ale tylko teoretycznie.
Praktycznie ogranicza je bariera wejścia.

Pamiętaj, że w przypadku dwóch urządzeń złodziej musi pokonać oba.
No to co, instalowanie dziwnej aplikacji na pececie i na telefonie?

Dlatego większość ataków polega podstawieniu fałszywej strony + socjotechnice,
a nie na przełamywaniu zabezpieczeń.

Poza tym, nie widzę implikacji, by nieużywanie do WWW => brak "dziwnych"
aplikacji.

A ja widzę. Chociażby dlatego że wspieranie antycznych wersji to też
jakiś koszt i w końcu na tym telefonie z Androidem 4.x nie będziesz mógł
odpalić tych aplikacji.

Tzn. to oczywiście nie ma znaczenia w tym przypadku, ale wiele osób w ogóle nie używa telefonów do WWW (praktycznie - czasem
używają, np. w terenie do rezerwacji hotelu itp).

No ale www jest używany wewnątrz aplikacji (komponent webview).

Po co to robić, jeśli jest pecet, na którym robi się to znacznie bardziej komfortowo?

Mnie nie pytaj, pytaj internet.
https://www.perficient.com/insights/research-hub/mobile-vs-desktop-usage-study

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Piszę, że nie można stworzyć rozwiązania generycznego, które będzie
odporne na wersję systemu.

No pewnie że nie, skrajności prawie nigdy nie działają. Tak samo nie da
się stworzyć generycznego malware na peceta, a jednak komuś przyszło do
głowy, by do autoryzowania operacji używać drugiego kanału komunikacji.

Zresztą - podejrzewam, że obecne rozwiązania, z których każde jest
wadliwe (i nie chce mi się już ciągnąć tematu "które bardziej") zostaną
w przyszłości zastąpione rozwiązaniem uniwersalnym, ustandaryzowanym.
Też będzie wadliwe, jeśli klient będzie korzystał tylko z jednego
urządzenia, na to nie ma rady.

Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
bo tak przypada odnowienie umowy na telefon.

Tak, jasne. Dają je w prezencie.
--
Krzysztof Hałasa

Pete <nobody@nowhere.com> writes:

Jak złodziej ma klona SMS to może się już pokusić o zmianę hasła do ST (skoro już załatwił sobie klona, to zakładam że złodziej jest dobrze przygotowany do takiej operacji).
Więc kolejny kanał może nie być potrzebny.

Ale to jest problem banku i jego dziurawych procedur.
Oczywiście teoretycznie zmuszanie klienta do korzystania z jednego,
potencjalnie dziurawego urządzenia to też jest problem banku i jego
procedur, ale jakoś tak słabiej widzę dochodzenie tego w np. sądzie.
--
Krzysztof Hałasa

On 2020-12-13, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Wtedy aplikacja stanowi dodatkową warstwę zabezpieczenia, a SMS nie.

Owszem, ale w przypadku SMS w dalszym ciągu mamy 2 różne kanały
(urządzenia), które trzeba oddzielnie przejąć.

W przypadku aplikacji wystarczy przejąć jedno urządzenie.

Wg mnie o wiele łatwiej jest przejąć (nawet dwa) urządzenia zdalnie, niż jedno fizyczne.

Bo co do przejęcia apki zdalnie np. na iOS, to uważam że to jest
o wiele mniej prawdopodobne niż opcja sklonowania karty.
/sprawdzić czy nie pegasus

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-14 o 13:48, Wojciech Bancer pisze:

Bo co do przejęcia apki zdalnie np. na iOS

I znowu zejdźmy na ziemię

On 2020-12-14, _Master_ <Master@z.pl> wrote:

[...]

Bo co do przejęcia apki zdalnie np. na iOS

I znowu zejdźmy na ziemię

To oświeć mnie o mistrzu jak byś to zrobił.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-15 o 07:51, Wojciech Bancer pisze:

To oświeć mnie o mistrzu jak byś to zrobił.

Ja? zostawiłbym smsy i poszerzał pętrowe logowania jak NAKAZUJE UE.

Masz coś naprzeciwko dyrektywom UE? ;-)

Jaki procent użytkowników ma iOS?

On 2020-12-15, _Master_ <Master@z.pl> wrote:

[...]

Jaki procent użytkowników ma iOS?

Użytniwników "w ogóle", czy użytkowników bardziej majętnych?

No i taka np. ciekawostka:
https://spidersweb.pl/2018/06/apple-pay-wyniki-polska.html

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-15 o 12:36, Wojciech Bancer pisze:

Użytniwników "w ogóle", czy użytkowników bardziej majętnych?

W ogóle bo tacy będą żniwowani ;-)

W dniu 2020-12-15 o 12:36, Wojciech Bancer pisze:

On 2020-12-15, _Master_ <Master@z.pl> wrote:

[...]

Jaki procent użytkowników ma iOS?

Użytniwników "w ogóle", czy użytkowników bardziej majętnych?

No i taka np. ciekawostka:
https://spidersweb.pl/2018/06/apple-pay-wyniki-polska.html

To jakby przeczy temu, że u nas w kraju taka homofobia. Przecież żaden homofob chyba nie używałby sprzętu, oznaczonego symbolem na cześć genialnego homoseksualisty.
P.G.

Użytkownik "Piotr Gałka"  napisał w wiadomości grup dyskusyjnych:rraa32$35b$1$PiotrGalka@news.chmurka.net...
W dniu 2020-12-15 o 12:36, Wojciech Bancer pisze:

On 2020-12-15, _Master_ <Master@z.pl> wrote:
[...]

Jaki procent użytkowników ma iOS?

Użytniwników "w ogóle", czy użytkowników bardziej majętnych?

No i taka np. ciekawostka:
https://spidersweb.pl/2018/06/apple-pay-wyniki-polska.html

To jakby przeczy temu, że u nas w kraju taka homofobia. Przecież żaden homofob chyba nie używałby sprzętu, oznaczonego symbolem na cześć genialnego homoseksualisty.

A jaki % udzialu ma Apple w Polsce ?

Widze, ze ok 8% ... to az tak bardzo nie przeczy tym homofobom :-)

J.

W dniu 2020-12-15 o 19:03, J.F. pisze:

Widze, ze ok 8% ...

Czyli nisza która ma bezpieczniejszy system niż android

Użytkownik "_Master_"  napisał w wiadomości grup dyskusyjnych:5fd9ccb9$0$522$65785112@news.neostrada.pl...
W dniu 2020-12-15 o 19:03, J.F. pisze:

Widze, ze ok 8% ...

Czyli nisza która ma bezpieczniejszy system niż android

O Apple dobrego slowa nie napisze - raz, ze nie znam,
dwa - czesto sie wredny okazywal.

Wiec jak z tym bezpieczenstwem to nie wiem, ale 8% to chyba pasuje do rzekomych homofobow :-)


P.S. kiedys bylo tak

https://www.sport.pl/pilka/7,65039,25131184,dzieki-smartfonom-kibicow-wiemy-o-nich-wszystko-nawet-to-ilu.html

Teraz tylko poszukac, jak to wyglada na iphonach w Polsce :-)

J.

Bzdura.
Wg tej filozofii policjanci są kryptoprzestępcami, bo ciągle ich szukają w komputerach i nawet sobie zdjęcia w pracy rozwieszają.
Podobnie ginekolodzy marzą o przyszyciu sobie cipek.
BTW "jebać pedałów" to chyba słowa o miłości?


-- -- -

www.sport.pl/pilka/7,65039,25131184,dzieki-smartfonom-kibicow-wiemy-o-nich-wszystko-nawet-to-ilu.html

On 2020-12-16, _Master_ <Master@z.pl> wrote:

[...]

Widze, ze ok 8% ...

Czyli nisza która ma bezpieczniejszy system niż android

A ile procent społeczeństwa zarabia tyle by wejść w drugi próg
podatkowy?

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Wg mnie o wiele łatwiej jest przejąć (nawet dwa) urządzenia zdalnie, niż jedno fizyczne.

Nie pisałem, rzecz jasna, o przejmowaniu (tylko) fizycznym.
Przecież wystarczy zdalnie przejąć telefon. Kwestia roota to mniejszy
problem, kiedyś praktycznie wszystkie telefony rootowało się w taki
sposób (i w dalszym ciągu tak się postępuje z różnymi innymi
urządzeniami).

Bo co do przejęcia apki zdalnie np. na iOS, to uważam że to jest
o wiele mniej prawdopodobne niż opcja sklonowania karty.

Obawiam się że słowami kluczowymi są tu "uważam że".
Oba ataki mają swoją specyfikę, poza tym nikt nie powiedział że przejąć
trzeba apkę bankową. No chyba że wierzysz w niełamalne systemy, ja
z wiarą - w szczególności tego typu - nie dyskutuję.

Pamiętaj, że samo sklonowanie karty nie wystarczy. Ale samo przejęcie
telefonu - owszem.

/sprawdzić czy nie pegasus

Pegasus tu dokładnie nic nie zmienia - przecież to, co może zrobić
Pegasus, może zrobić wiele osób w różnych celach. Pegasus to tylko
automatyzuje.
--
Krzysztof Hałasa

On 2020-12-14, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Wg mnie o wiele łatwiej jest przejąć (nawet dwa) urządzenia zdalnie, niż jedno fizyczne.

Nie pisałem, rzecz jasna, o przejmowaniu (tylko) fizycznym.
Przecież wystarczy zdalnie przejąć telefon.

Ah. Bo to przecież taka prosta sprawa.
Wystarczy w google wpisać "jak zdalnie shakować telefon" :)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Przecież wystarczy zdalnie przejąć telefon.

Ah. Bo to przecież taka prosta sprawa.
Wystarczy w google wpisać "jak zdalnie shakować telefon" :)

Kto mówił że to ma być proste? Obecne ataki też nie są proste,
a jednak są wykonywane.

Poza tym proste albo nie proste - zależy dla kogo.
--
Krzysztof Hałasa

On 2020-12-15, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Ah. Bo to przecież taka prosta sprawa.
Wystarczy w google wpisać "jak zdalnie shakować telefon" :)

Kto mówił że to ma być proste? Obecne ataki też nie są proste,
a jednak są wykonywane.

Są o rząd wielkości prostsze niż to co opisałeś i bazują bardziej na socjotechnice niż na wiedzy technicznej.

Poza tym proste albo nie proste - zależy dla kogo.

O właśnie. To wytłumacz jak dla kogoś kto legalnie może zarobić
bez większych trudów, w miesiąc 40-70 tys. zł (w przeliczeniu)
miałoby się opłacać przejmowanie urządzeń u gości którzy mają
po 2-3, może 5k pln na koncie.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 2020-12-16 o 09:08, Wojciech Bancer pisze:

na socjotechnice niż na wiedzy technicznej.

I o socjotechnikę chodzi. Przejęcie jednego urządzenia/kanału jest łatwiejsze niż dwóch. SOCJOTECHNICZNIE OCZYWIŚCIE

W dniu 16.12.2020 o 10:03, _Master_ pisze:

Przejęcie jednego urządzenia/kanału jest łatwiejsze niż dwóch. SOCJOTECHNICZNIE OCZYWIŚCIE

Socjotechnicznie to nie ma różnicy. Vide oszustwa na wnuczka - nieważne gdzie babcia ma pieniądze (pod poduszką, w banku, na książeczce PKO obsługiwanej na poczcie (to jeszcze tak można?)) to i tak jeśli uwierzy, to odda.
Cieszę się, że każdym postem potwierdzasz moją diagnozę.

--
Alf/red/

On 2020-12-16, _Master_ <Master@z.pl> wrote:

[...]

na socjotechnice niż na wiedzy technicznej.

I o socjotechnikę chodzi. Przejęcie jednego urządzenia/kanału jest łatwiejsze niż dwóch. SOCJOTECHNICZNIE OCZYWIŚCIE

Otóż nie jest.
W socjotechnice nie chodzi o przejęcie urządzenia, tylko
o przekonanie użytkownika by coś zrobił dobrowolnie.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Dobrowolnie zrobi przelew ale nie przyjdzie do potwierdzenia SMS i coś go zastanowi DLACZEGO ;-)

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

O właśnie. To wytłumacz jak dla kogoś kto legalnie może zarobić
bez większych trudów, w miesiąc 40-70 tys. zł (w przeliczeniu)
miałoby się opłacać przejmowanie urządzeń u gości którzy mają
po 2-3, może 5k pln na koncie.

Doniesienia "portalowe" mówiły chyba o setkach tysięcy zł?

Chętnie poznałbym też kalkulację owych 40-70 tys. zł. Zwłaszcza taką,
która dotyczy *wszystkich* ludzi zdolnych do prowadzenia takich działań.
--
Krzysztof Hałasa

On 2020-12-16, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

O właśnie. To wytłumacz jak dla kogoś kto legalnie może zarobić
bez większych trudów, w miesiąc 40-70 tys. zł (w przeliczeniu)
miałoby się opłacać przejmowanie urządzeń u gości którzy mają
po 2-3, może 5k pln na koncie.

Doniesienia "portalowe" mówiły chyba o setkach tysięcy zł?

Nie kojarzę żadnych doniesień medialnych o przejętych telefonach.
Podrzucisz?

Chętnie poznałbym też kalkulację owych 40-70 tys. zł. Zwłaszcza taką,
która dotyczy *wszystkich* ludzi zdolnych do prowadzenia takich działań.

Jasne. Tyle (miesięcznie) zarabia specjaliza z wiedzą, który byłby w stanie coś takiego ogarnąć.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

O właśnie. To wytłumacz jak dla kogoś kto legalnie może zarobić
bez większych trudów, w miesiąc 40-70 tys. zł (w przeliczeniu)
miałoby się opłacać przejmowanie urządzeń u gości którzy mają
po 2-3, może 5k pln na koncie.

Doniesienia "portalowe" mówiły chyba o setkach tysięcy zł?

Nie kojarzę żadnych doniesień medialnych o przejętych telefonach.
Podrzucisz?

Przejęcie telefonów było w tamtych przypadkach akurat zbędne, ale chyba
widzisz, że nie chodzi "tylko" o przejmowanie "po 2-3, może 5k pln"?

Aczkolwiek, gdybym był przestępcą, i chciałbym zajmować się taką
"działalnością", to 2-3-5 kpln nie widziałoby mi się jako problem.
Może to dlatego, że nie zarabiam 40-70 tys.

Chętnie poznałbym też kalkulację owych 40-70 tys. zł. Zwłaszcza taką,
która dotyczy *wszystkich* ludzi zdolnych do prowadzenia takich działań.

Jasne. Tyle (miesięcznie) zarabia specjaliza z wiedzą, który byłby w stanie
coś takiego ogarnąć.

To fajnie, ale ja pytałem o konkrety. Np. takie, które mógłbym komuś
pokazać jako argument na coś. Sama wiara tu nie wystarczy.
--
Krzysztof Hałasa

On 2020-12-18, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

miałoby się opłacać przejmowanie urządzeń u gości którzy mają
po 2-3, może 5k pln na koncie.

Doniesienia "portalowe" mówiły chyba o setkach tysięcy zł?

Nie kojarzę żadnych doniesień medialnych o przejętych telefonach.
Podrzucisz?

Przejęcie telefonów było w tamtych przypadkach akurat zbędne, ale chyba
widzisz, że nie chodzi "tylko" o przejmowanie "po 2-3, może 5k pln"?

No wg Ciebie jest to najprostsza forma.
Więc skoro tak najprościej, to czemu tak się nie dzieje?

Aczkolwiek, gdybym był przestępcą, i chciałbym zajmować się taką
"działalnością", to 2-3-5 kpln nie widziałoby mi się jako problem.
Może to dlatego, że nie zarabiam 40-70 tys.

Chętnie poznałbym też kalkulację owych 40-70 tys. zł. Zwłaszcza taką,
która dotyczy *wszystkich* ludzi zdolnych do prowadzenia takich działań.

Jasne. Tyle (miesięcznie) zarabia specjaliza z wiedzą, który byłby w stanie
coś takiego ogarnąć.

To fajnie, ale ja pytałem o konkrety. Np. takie, które mógłbym komuś
pokazać jako argument na coś. Sama wiara tu nie wystarczy.

Konkrety: W Polsce inżynier ds. bezpieczeństwa bez trudu znajduje
ogłoszenia >15k PLN, np. https://justjoin.it/?q=Cybersecurity@skill;engineer@keyword
Poza Polską, a w szczególności przy wiedzy aż na takim poziomie,
to cena wędruje do poziomów które Ci podałem.

https://www.google.com/search?q=senior%20cybersecurity%20engineer%20salary

$139,830
The average Senior Cybersecurity Engineer salary in the United States is $139,830 as of November 25, 2020, but the salary range typically falls between $125,010 and $159,275.

A w tej branży ceny rosną a praca zdalna to norma.
139 tys. dolarów to ok. 11500$ miesięcznie, co daje

40 tys. zł. I to są w miarę normalne pensje, przy

czym te stanowisko to jest jednak jeszcze "oczko" niżej od tego którego szukasz, dlatego zasugerowałem
że widełki są jednak bliżej tych 70 tys. zł.

A jakbyś myślał o wynajęciu kogoś "na robotę",
a nie na stały kontrakt, to już mówimy pewnie
o 100k+.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

No wg Ciebie jest to najprostsza forma.
Więc skoro tak najprościej, to czemu tak się nie dzieje?

Najprostsza z możliwych do zastosowania w takich okolicznościach. Nie
wiem czy się nie dzieje - trzeba zauważyć, że w dalszym ciągu wielu
klientów nawet nie używa apek.

To fajnie, ale ja pytałem o konkrety. Np. takie, które mógłbym komuś
pokazać jako argument na coś. Sama wiara tu nie wystarczy.

Konkrety: W Polsce inżynier ds. bezpieczeństwa bez trudu znajduje
ogłoszenia >15k PLN, np.
https://justjoin.it/?q=Cybersecurity@skill;engineer@keyword

No tu akurat nie widzę żadnego ogłoszenia, w którym widełki zaczynają
się od >15 kzł. A ogłoszeń z podanym wynagrodzeniem widzę w ogóle dwa
(+ duplikaty). Ale może to tylko w tej chwili.

Jasne, wiem że 15 kzł w przypadku takiego pracownika to nie jest nic
wyjątkowego, tylko po prostu nie ma takich ogłoszeń, dwa ogłoszenia
w ogóle to raczej niekoniecznie jest "bez trudu", i 15 to nie jest
40 - 70.

Poza Polską, a w szczególności przy wiedzy aż na takim poziomie,
to cena wędruje do poziomów które Ci podałem.

Nawet jeśli, to maksymalne stawki nie definiują sytuacji. Robią to
minimalne stawki. Nie myślisz chyba, że przestępcy muszą szukać
w najdroższych krajach.

A w tej branży ceny rosną a praca zdalna to norma.
139 tys. dolarów to ok. 11500$ miesięcznie, co daje

40 tys. zł. I to są w miarę normalne pensje, przy

czym te stanowisko to jest jednak jeszcze "oczko" niżej od tego którego szukasz, dlatego zasugerowałem
że widełki są jednak bliżej tych 70 tys. zł.

Albo 700 tys. itd. To nie jest informacja.

A jakbyś myślał o wynajęciu kogoś "na robotę",
a nie na stały kontrakt, to już mówimy pewnie
o 100k+.

Z tym akurat mógłbym się zgodzić. To właśnie pokazuje, że sprawa jest
opłacalna - można to sfinansować *jednym* udanym włamem.

Szczerze mówiąc, mógłbym mieć wątpliwości co do opłacalności metody "na
nowy SIM" - duże ryzyko. No ale oczywiście różni ludzie różnie kosztują.
--
Krzysztof Hałasa

On 2020-12-18, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Jasne, wiem że 15 kzł w przypadku takiego pracownika to nie jest nic
wyjątkowego, tylko po prostu nie ma takich ogłoszeń, dwa ogłoszenia
w ogóle to raczej niekoniecznie jest "bez trudu", i 15 to nie jest
40 - 70.

Ale to też nie jest ten poziom wiedzy który pozwoli na hackowanie
urządzeń. Nie tylko zdalnie, ale i lokalnie.

Poza Polską, a w szczególności przy wiedzy aż na takim poziomie,
to cena wędruje do poziomów które Ci podałem.

Nawet jeśli, to maksymalne stawki nie definiują sytuacji. Robią to
minimalne stawki. Nie myślisz chyba, że przestępcy muszą szukać
w najdroższych krajach.

Nie. Ale myślę, że specjaliści z taką wiedzą nie muszą szukać
ogłoszeń z najniższymi widełkami.

[...]

czym te stanowisko to jest jednak jeszcze "oczko" niżej od tego którego szukasz, dlatego zasugerowałem
że widełki są jednak bliżej tych 70 tys. zł.

Albo 700 tys. itd. To nie jest informacja.

To jest informacja wystarczająca do stwierdzenia, że nie wystarczy
włamać się do dowolnego konta. Ergo że nie można losowo wybierać
sobie klienta do ataku. Ergo znowu podnoszą się koszty/ryzyko.

a nie na stały kontrakt, to już mówimy pewnie
o 100k+.

Z tym akurat mógłbym się zgodzić. To właśnie pokazuje, że sprawa jest
opłacalna - można to sfinansować *jednym* udanym włamem.

Ale trzeba odpowiednio wybrać ofiarę.
I oznacza że większość użytkowników (którzy nie dysponują takimi
kwotami) jest względnie bezpieczna.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 20.12.2020 o 11:57, Wojciech Bancer pisze:

I oznacza że większość użytkowników (którzy nie dysponują takimi
kwotami) jest względnie bezpieczna.

Względnie.
Nie ukradną im setek tysięcy, ale 199 zł metodą "na kup mi kupon prezentowy/growy bo mam coś nie tak w banku, wieczorem ci przeleję".

--
Alf/red/

On 2020-12-20, Alf/red/ <alf_2012@ump.waw.pl> wrote:

W dniu 20.12.2020 o 11:57, Wojciech Bancer pisze:

I oznacza że większość użytkowników (którzy nie dysponują takimi
kwotami) jest względnie bezpieczna.

Względnie.
Nie ukradną im setek tysięcy, ale 199 zł metodą "na kup mi kupon prezentowy/growy bo mam coś nie tak w banku, wieczorem ci przeleję".

No tak, pełna zgoda.
Ale w tym wątku niektórzy wmawiają, że to te apki takie niebezpieczne, nie że użytkownik nie jest odporny na socjotechnikę.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wczoraj widziałem telefon z androidem na którym co chwila wyświetlały się gołe baby. NIE Nie w przeglądarce. Tak po prostu.

Tak wiem użytkownik się do tego przyczynił ale w tym momencie dla mnie całe urządzenie jest SPALONE dla bankowości

A będzie tego go więcej i nie koniecznie użytkownik musi widzieć gołe baby. Nie będzie świadom tego co się dzieje.

Tak kraczę. Ćwierć wieku używam komputerów ;-)

Chodzi o to że połączenie android + statystyczny użytkownik powoduje efekty nie zamierzone porównywalne do XP podpiętego do internetu i zasysającego automatycznie wirusy. ;-)

Tak kraczę

Witam

W dniu 22.12.2020 o 09:41, _Master_ pisze:

Wczoraj widziałem telefon z androidem na którym co chwila wyświetlały się gołe baby. NIE Nie w przeglądarce. Tak po prostu.

Ale przecież to standardowa funkcjonalność Androida żeby jedne aplikacje wyświetlać nad innymi. Mogą to być powiadienia z Yanosika nad nawigacją (tak się używało jak Yanosik jeszcze nie miał wbudowanej nawigacji) a mogą to być "gołe baby". Są w systemie odpowiednie uprawnienia dla tego typu aplikacji i trzeba je nadać (kiedyś chyba nie trzeba było).

Tak wiem użytkownik się do tego przyczynił ale w tym momencie dla mnie całe urządzenie jest SPALONE dla bankowości

Ale jak się przyczynił? Zainstalował coś ze sklepu Google? Zainstalował plik apk z jakiejś dziwnej strony czy może po prostu wszedł na jakiś link w przeglądarce? Bo każdy z tych scenariuszy to jednak zupełnie inny zarzut do systemu.

A będzie tego go więcej i nie koniecznie użytkownik musi widzieć gołe baby. Nie będzie świadom tego co się dzieje.

To jak sobie radzi z PC? Tam przecież każdy program uruchomiony na koncie użytkownika ma dostęp co najmniej do wszystkich danych tego użytkownika i może robić co chce z połączeniem sieciowym, kamerą, mikrofonem itp. A na smartfonie to jednak nie jest prosto by jedna aplikacja odczytała dane innej i jest dość rozbudowany system uprawnień dostępu.

Tak kraczę. Ćwierć wieku używam komputerów ;-)

I jak możesz jeszcze spać spokojnie? ;)

Pozdrawiam,
Zdzichu

W dniu 2020-12-22 o 23:00, Zdzichu500 pisze:

I jak możesz jeszcze spać spokojnie?

Ja śpię. Bo robię przelew na blaszaku z windowsem czy nawet z linuksem a potwierdzam go SMSem. Kto wie czy nie wrócę do symbiana czy Windowsa.
Nie jestem bezmózgiem którego czaszka wazy 27 kg podczas serfowania na patelni 6"+

Jedna apka do wszystkiego? NIGDY W ŻYCIU.

Zwłaszcza po Twoim przykładzie z iOS

Użytkownik "_Master_"  napisał w wiadomości grup dyskusyjnych:5fe3286e$0$526$65785112@news.neostrada.pl...
W dniu 2020-12-22 o 23:00, Zdzichu500 pisze:

I jak możesz jeszcze spać spokojnie?

Ja śpię. Bo robię przelew na blaszaku z windowsem czy nawet z linuksem a potwierdzam go SMSem. Kto wie czy nie wrócę do symbiana czy Windowsa.

Do Symbiana prawie na pewno nie wrocisz.

Ale moment - liczysz, ze twoje sms sa bezpieczne ?
Na jaki telefon je odbierasz
.... a probowales isc do salonu "zgubilem portfel i telefon, jak moge uzyskac nowa karte SIM do starego numeru " ?

J.

Na jaki telefon je odbierasz
... a probowales isc do salonu "zgubilem portfel i telefon, jak moge uzyskac nowa karte SIM do starego numeru " ?

To kiedy ostatnio Ci się coś takiego udało?


Ale Ale... Oprócz przejęcia mojego SIMA trzeba jeszcze czegoś więcej.

Próbowałeś uzyskać dostęp do konta w banku na imię, nazwisko i pesel?

Wystarczyło? ;-)

Użytkownik "_Master_"  napisał w wiadomości grup dyskusyjnych:5fe3385e$0$540$65785112@news.neostrada.pl...

Na jaki telefon je odbierasz
... a probowales isc do salonu "zgubilem portfel i telefon, jak moge uzyskac nowa karte SIM do starego numeru " ?

To kiedy ostatnio Ci się coś takiego udało?

Ja nie probowalem, ale najwyrazniej paru osobom sie udalo ...

Ale Ale... Oprócz przejęcia mojego SIMA trzeba jeszcze czegoś więcej.
Próbowałeś uzyskać dostęp do konta w banku na imię, nazwisko i pesel?
Wystarczyło? ;-)

Jakos tak niewiele wiecej bylo trzeba.
W kazdym badz razie ci co potrafili SIM uzyskac, to i reszte obeszli.

J.

A to wszystko w kontekście np. tego:

https://www.telepolis.pl/wiadomosci/bezpieczenstwo/google-project-zero-iphone-airdrop-exploit-dziura

On 2020-12-23, _Master_ <Master@z.pl> wrote:

A to wszystko w kontekście np. tego:
https://www.telepolis.pl/wiadomosci/bezpieczenstwo/google-project-zero-iphone-airdrop-exploit-dziura

"Od razu zaznaczę, że nie każdy iPhone i iPad mają tę lukę. Przeciwnie - ma ją mniejszość, korzystająca ze starszego systemu iOS. Wiele wskazuje na to, że jeśli masz zainstalowaną aktualizację z maja 2020 roku, Twojego urządzenia nie da się tak łatwo przejąć."

Więc już załatane - to po pierwsze (na iOS aktualizacje są praktycznie automatyczne,
a adaptacja na iOS14, bez tego błedu jest na poziomie 81%).
Po drugie musisz być w zasięgu "hackerskiej" sieci WiFI.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Dzięki za uściślenie ale mówimy o dużo bardziej bezpiecznym systemie iOS (a jednak ma DZIURY) niż Android a to właśnie cała zabawa na Androidzie będzie się rozkręcać ;-)

W dniu 26.12.2020 o 16:04, _Master_ pisze:

Dzięki za uściślenie ale mówimy o dużo bardziej bezpiecznym systemie iOS (a jednak ma DZIURY) niż Android a to właśnie cała zabawa na Androidzie będzie się rozkręcać ;-)

Wydaje się, ze górowanie bezpieczeństwem iOS nad Androidem to trochę takie urban legend. W świecie jest pierdyliard urządzeń z Androidem, wiele z nich od dawna nie miało aktualizacji i jest nadal użytkowana (w tym do aplikacji bankowych). Do tego można instalować aplikacje spoza oficjalnego sklepu. I jakoś cisza. Najwięcej złego i tak robi socjotechnika, w tym wstawienie do sklepu z aplikacjami softu przypominającego ten banku gdzie użytkownik podaje swoje dane "dobrowolnie". Jakoś nie słychać o wykradaniu danych z aplikacji bankowych.
Należy też wziąć pod uwagę w przypadku Adnroida dostęp do kodu źródłowego ma każdy i jest on ciągle przeszukiwany mi.in. przez przestępców w celu znalezienia możliwości ataku. W przypadku iOS dostęp do kodu jest tajemnicą Applea i ma go garstka osób. Więc już samo zdobycie kody źródłowego iOS daje włamywaczom przewagę. A trudno sobie wyobrazić by w jakiejś formie kod iOS nie wypłynął.

Pozdrawiam,
Zdzichu

On 2020-12-27, Zdzichu500 <no-spam@no-spam.org> wrote:

[...]

Dzięki za uściślenie ale mówimy o dużo bardziej bezpiecznym systemie iOS (a jednak ma DZIURY) niż Android a to właśnie cała zabawa na Androidzie będzie się rozkręcać ;-)

Wydaje się, ze górowanie bezpieczeństwem iOS nad Androidem to trochę takie urban legend.

No nie do końca.

W świecie jest pierdyliard urządzeń z Androidem, wiele z nich od dawna nie miało aktualizacji i jest nadal użytkowana (w tym do aplikacji bankowych). Do tego można instalować aplikacje spoza oficjalnego sklepu. I jakoś cisza.

https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms-y-o-skierowaniu-na-kwarantanne-domowa/
https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
https://niebezpiecznik.pl/post/jak-przestepcy-ukradli-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na-klientow-posiadajacych-mobilne-aplikacje-polskich-bankow/

Najwięcej złego i tak robi socjotechnika, w tym wstawienie do sklepu z aplikacjami softu przypominającego ten banku gdzie użytkownik podaje swoje dane "dobrowolnie".

Ale w App Store (od Apple) tego nie zrobi, bo aplikacje przechodzą
proces review.

[...]

przestępców w celu znalezienia możliwości ataku. W przypadku iOS dostęp do kodu jest tajemnicą Applea i ma go garstka osób. Więc już samo zdobycie kody źródłowego iOS daje włamywaczom przewagę. A trudno sobie wyobrazić by w jakiejś formie kod iOS nie wypłynął.

iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
o których pisałeś.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Witam

W dniu 27.12.2020 o 19:15, Wojciech Bancer pisze:

W świecie jest pierdyliard urządzeń z Androidem,
wiele z nich od dawna nie miało aktualizacji i jest nadal użytkowana (w
tym do aplikacji bankowych). Do tego można instalować aplikacje spoza
oficjalnego sklepu. I jakoś cisza.

https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms-y-o-skierowaniu-na-kwarantanne-domowa/
https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
https://niebezpiecznik.pl/post/jak-przestepcy-ukradli-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na-klientow-posiadajacych-mobilne-aplikacje-polskich-bankow/

W żadnym z tych artykułów nie piszą by doszło do przełamania zabezpieczeń w systemie i wycieku danych z aplikacji bankowych. Za to podstawiają  przestępcy fałszywą stronę do logowania co widnieje pod 3 linkiem:
"Wariant opisany przez ESET po wykryciu aplikacji banku X wyświetlał fałszywe powiadomienia, rzekomo od banku X i podstawiał własną, fałszywą stronę logowania do tego banku"
Co ciekawe pod 2 linkiem opisują trojana który robił zrzuty ekranu a do tego jest osobne uprawnienie dla aplikacji. A nie jest to codzienne uprawnienie bo nie przypominam sobie by kiedykolwiek  któraś z aplikacji u mnie prosiła o takie zezwolenie.

Ale w App Store (od Apple) tego nie zrobi, bo aplikacje przechodzą
proces review.

Też od czasu do czasu lądują dziwne apliakcje w sklepie: https://www.dobreprogramy.pl/falszywa-aplikacja-ios-iphone,News,99294.html
Chociaż pełna zgoda, że jest ich dużo mniej i chyba mnieisjzego kalibru.

iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
o których pisałeś.

W sklepie dla iOS jest oczywiście mniej śmieci. Można (przynajmniej teoretycznie) także instalować aplikacje spoza sklepu. Chociaż nie jest to tak łatwe. Tak jest dystrybuowany emulator starych konsol bo nie spełnia regulaminu sklepu więc w sklepie znaleźć się nie może:
https://applemobile.pl/uruchomic-emulator-psp-ios-bez-jailbreak/
Chociaż nie jest to oczywiście procedura dla zwykłego użytkownika iOS. Ani nie wyobrażam sobie jak można socjotechniką kogoś nakłonić do takich działań ale teoretycznie jest to możliwe.

Przeciętny użytkownik bezpieczniejszy będzie gdy korzysta z iPhonea ale z Androidem też da się żyć.

Pozdrawiam,
Zdzichu

On 2020-12-27, Zdzichu500 <no-spam@no-spam.org> wrote:

[...]

tym do aplikacji bankowych). Do tego można instalować aplikacje spoza
oficjalnego sklepu. I jakoś cisza.

https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms-y-o-skierowaniu-na-kwarantanne-domowa/
https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
https://niebezpiecznik.pl/post/jak-przestepcy-ukradli-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na-klientow-posiadajacych-mobilne-aplikacje-polskich-bankow/

W żadnym z tych artykułów nie piszą by doszło do przełamania zabezpieczeń w systemie i wycieku danych z aplikacji bankowych. Za to podstawiają  przestępcy fałszywą stronę do logowania co widnieje pod 3 linkiem:
"Wariant opisany przez ESET po wykryciu aplikacji banku X wyświetlał fałszywe powiadomienia, rzekomo od banku X i podstawiał własną, fałszywą stronę logowania do tego banku"
Co ciekawe pod 2 linkiem opisują trojana który robił zrzuty ekranu a do tego jest osobne uprawnienie dla aplikacji. A nie jest to codzienne uprawnienie bo nie przypominam sobie by kiedykolwiek  któraś z aplikacji u mnie prosiła o takie zezwolenie.

Pamiętaj że starsze androidy nie prosiły o pozwolenie popupep, tylko
miałeś info przy instalacji. Sam pamiętam aplikację latarka, która
chciała wszystkie możliwe uprawnienia :-)

Przy czym nja oczywiście uważam, że zarówno iOS jak i Android są o wiele
bezpieczniejsze niż taki Windows, ale porównując to Android jest trochę
zbyt otwarty, przez co łatwiej wcisnąć użytkownikowi socjotechniką coś
szkodliwego.

iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
o których pisałeś.

W sklepie dla iOS jest oczywiście mniej śmieci. Można (przynajmniej teoretycznie) także instalować aplikacje spoza sklepu. Chociaż nie jest to tak łatwe. Tak jest dystrybuowany emulator starych konsol bo nie spełnia regulaminu sklepu więc w sklepie znaleźć się nie może:
https://applemobile.pl/uruchomic-emulator-psp-ios-bez-jailbreak/
Chociaż nie jest to oczywiście procedura dla zwykłego użytkownika iOS. Ani nie wyobrażam sobie jak można socjotechniką kogoś nakłonić do takich działań ale teoretycznie jest to możliwe.

To powyżej, to model działania z aplikacjami podpisanymi certami enterprise, o którym napomnkąłem. Sam piszę też apki enterprise, wiec wiem jak wygląda taki
proces publikacji. :)

Przeciętny użytkownik bezpieczniejszy będzie gdy korzysta z iPhonea ale z Androidem też da się żyć.

I tu się zgadzamy.
Zwłaszcza że typowy użytkownik smartfona po fazie zachłystnięcia się,
nie instaluje dziesiątek aplikacji tygodniowo.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu 28.12.2020 o 11:15, Wojciech Bancer pisze:

Pamiętaj że starsze androidy nie prosiły o pozwolenie popupep, tylko
miałeś info przy instalacji. Sam pamiętam aplikację latarka, która
chciała wszystkie możliwe uprawnienia :-)

Ale to już obecnie muzeum. Są oczywiście nadal działające sprzęty z Androidem 4 (sam mam taki tablet). Czy ktoś je jednak chciałby wykorzystać do czegoś co wymaga bezpieczeństwa? Zresztą nawet sam bank może ustalić minimalną wersję systemu dla swojej aplikacji by nie działała na zbyt starych sprzętach.

Przy czym nja oczywiście uważam, że zarówno iOS jak i Android są o wiele
bezpieczniejsze niż taki Windows, ale porównując to Android jest trochę
zbyt otwarty, przez co łatwiej wcisnąć użytkownikowi socjotechniką coś
szkodliwego.

Coś za coś. Niestety.

Pozdrawiam,
Zdzichu

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Na iPhone nie zainstalujesz aplikacji spoza
oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
przypadku Enterprise).

Piszesz o tym jak o zalecie (dla *właścicieli* telefonów). Przecież to
jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć z bycia
ubezwłasnowolnionym?

W Androidzie także domyślnie nie można instalować aplikacji spoza
sklepu. Ale ostateczną decyzję podejmuje właściciel telefonu.
--
Krzysztof Hałasa

On 2020-12-28, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Na iPhone nie zainstalujesz aplikacji spoza
oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
przypadku Enterprise).

Piszesz o tym jak o zalecie (dla *właścicieli* telefonów).

Tak. Zwłaszcza tych traktujących telefon jako produkt konsumencki, a nie
zabawkę DIY.

Przecież to jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć z bycia ubezwłasnowolnionym?

Bez przesady.

W Androidzie także domyślnie nie można instalować aplikacji spoza
sklepu. Ale ostateczną decyzję podejmuje właściciel telefonu.

Ale łatwiej użytkownika wkręcić, niestety.
Oczywiście jeszcze łatwiej jest na desktopie.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wojciech Bancer <wojciech.bancer@gmail.com> writes:

Przecież to jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć z bycia ubezwłasnowolnionym?

Bez przesady.

Nie ma tu żadnej przesady.
To, że np. właściciel urządzenia nie ma klucza, który jest potrzebny do
uruchomienia alternatywnego systemu, to także zaleta?

Ale łatwiej użytkownika wkręcić, niestety.
Oczywiście jeszcze łatwiej jest na desktopie.

Najlepiej jakby w ogóle nic nie miał, wtedy nie da się go "wkręcić".
--
Krzysztof Hałasa

On 2020-12-29, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Przecież to jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć z bycia ubezwłasnowolnionym?

Bez przesady.

Nie ma tu żadnej przesady.
To, że np. właściciel urządzenia nie ma klucza, który jest potrzebny do
uruchomienia alternatywnego systemu, to także zaleta?

Jeśli nie kupujesz urządzenia typu "zrób to sam" to jak najbardziej jest
to zaleta. Jakoś nie widziałem masowej krytyki telewizorów, lodówek,
samochodów, routerów, drukarek, czy innych sprzętów elektronicznych za
to że nie można sobie z buta instalować czego się chce. To czemu
smartfon miałby być innym urządzeniem konsumekckim niż te powyższe?

Ale łatwiej użytkownika wkręcić, niestety.
Oczywiście jeszcze łatwiej jest na desktopie.

Najlepiej jakby w ogóle nic nie miał, wtedy nie da się go "wkręcić".

Ewidentnie lubisz skrajności, ale tak z punktu widzenia bezpieczeństwa i
skrajnie patrząc, to najlepiej nic nie mieć i niczego nie używać. I
wtedy nie masz też i żadnych problemów. Tylko nie o to chodzi.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Dnia 30.12.2020 Wojciech Bancer <wojciech.bancer@gmail.com> napisał/a:

to że nie można sobie z buta instalować czego się chce. To czemu
smartfon miałby być innym urządzeniem konsumekckim niż te powyższe?

Jeśli ktoś uważa, że kieszonkowemu komputerowi bliżej do pralki, niż do peceta- to oczywiście implikacja jest słuszna.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

Dnia 30.12.2020 Wojciech Bancer <wojciech.bancer@gmail.com> napisał/a:

Do pralki może nie, ale do nowoczesnego telewizora z konsolą, to i
owszem. Oczywiście znajdziesz dziesiątki modderów przeróżnych urządzeń,
czy nawet samochodów, ale jednak nie jest to typowe zastosowanie
konsumekckie. Zastosowaniem konsumekckim jest *używać* urządzenie w
zakresie przewidzianym przez producenta, a nie wieczna zabawa w
konfigurację, podrasowywanie, przerabianie i modyfikacje.

Używać urządzenia, nie urządzenie. A czy komputer jest "urządzeniem konsumenckim", czy nie jest? Istotą używania komputera jest to, że w odróżnieniu od pralki czy telewizora nie ograniczamy się do przewidzianych przez
producenta zastosowań- kupujemy urządzenie _uniwersalne_,
na którym można robić bardzo wiele, nawet to, o czym się
producentowi nawet nie śniło.
A smartfon jest komputerem, tyle, że kieszonkowym. Ograniczenie instalacji oprogramowania na systemach okołopecetowych do jedynie słusznego repozytorium budzi raczej niechęć, choć oczywiście
nie da się nie zauważyć trendu myślenia za topornego użytkownika, żeby sobie czasem krzywdy nie zrobił.

Dlatego też rozumiem (choć nie popieram) ubezwłasnowolnienie
Pani Krysi*, żeby sobie krzywdy nie zrobiła, czy to na Windows,
czy na iOS. Miło byłoby jednak, żeby producent zauważył,
że na świecie istnieją nie tylko Panie Krysie i jak ktoś
wie, co robi, to mu na to pozwolić.

W smartfonach wydaje mi się, że niezłym rozwiązaniem ochrony topornych byłoby, żeby możliwość skorzystania z niekoszernego repozytorium oprogramowania wymagała np. użycia kabelka i PC.

* to tylko przykład, nie chcę obrażać żadnej Krystyny :-)

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail.

On 2020-12-30, Wojciech Bancer <wojciech.bancer@gmail.com> wrote:

[...]

Do pralki może nie, ale do nowoczesnego telewizora z konsolą, to i
owszem. Oczywiście znajdziesz dziesiątki modderów przeróżnych urządzeń,
czy nawet samochodów, ale jednak nie jest to typowe zastosowanie
konsumekckie. Zastosowaniem konsumekckim jest *używać* urządzenie w
zakresie przewidzianym przez producenta, a nie wieczna zabawa w
konfigurację, podrasowywanie, przerabianie i modyfikacje.

Używać urządzenia, nie urządzenie. A czy komputer jest "urządzeniem konsumenckim", czy nie jest?

Więc tu też zależy: macbook, jest. Komputer poskładany przez producenta
też jest. Konsola też jest. Własny składak nie jest i nikt nie bierze
odpowiedzialności za jego działanie (a co najwyżej za działanie
poszczególnych komponentów). Komputery korporacyjne również są, tam np.
jak istnieje odpowiednia polityka, to nie podepniesz urządzenia USB, czy
nie zainstalujesz nieautoryzowanej aplikacji.

Przy czym nie chodzi mi tu o konsumenckość w sensie prawnym, tylko
funkcjonalnym, bo oczywiście rolę producenta w korporacjach przejmuje
odpowiednio wykwalifikowany personel. Ale cel jest podobny (głównie
bezpieczeństwo), nawet jak wspomniane komputery trafiają w ręce specjalistów.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

On 2020-12-30, Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> wrote:

[...]

to że nie można sobie z buta instalować czego się chce. To czemu
smartfon miałby być innym urządzeniem konsumekckim niż te powyższe?

Jeśli ktoś uważa, że kieszonkowemu komputerowi bliżej do pralki, niż do peceta- to oczywiście implikacja jest słuszna.

Do pralki może nie, ale do nowoczesnego telewizora z konsolą, to i
owszem. Oczywiście znajdziesz dziesiątki modderów przeróżnych urządzeń,
czy nawet samochodów, ale jednak nie jest to typowe zastosowanie
konsumekckie. Zastosowaniem konsumekckim jest *używać* urządzenie w
zakresie przewidzianym przez producenta, a nie wieczna zabawa w
konfigurację, podrasowywanie, przerabianie i modyfikacje.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

On 2020-12-30, Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> wrote:

[...]

Do pralki może nie, ale do nowoczesnego telewizora z konsolą, to i
owszem. Oczywiście znajdziesz dziesiątki modderów przeróżnych urządzeń,
czy nawet samochodów, ale jednak nie jest to typowe zastosowanie
konsumekckie. Zastosowaniem konsumekckim jest *używać* urządzenie w
zakresie przewidzianym przez producenta, a nie wieczna zabawa w
konfigurację, podrasowywanie, przerabianie i modyfikacje.

Używać urządzenia, nie urządzenie. A czy komputer jest "urządzeniem konsumenckim", czy nie jest?

Więc tu też zależy: macbook, jest. Komputer poskładany przez producenta
też jest. Konsola też jest. Własny składak nie jest i nikt nie bierze
odpowiedzialności za jego działanie (a co najwyżej za działanie
poszczególnych komponentów). Komputery korporacyjne również są, tam np.
jak istnieje odpowiednia polityka, to nie podepniesz urządzenia USB, czy
nie zainstalujesz nieautoryzowanej aplikacji.

Istotą używania komputera jest to, że w odróżnieniu od pralki czy telewizora nie ograniczamy się do przewidzianych przez
producenta zastosowań- kupujemy urządzenie _uniwersalne_,
na którym można robić bardzo wiele, nawet to, o czym się
producentowi nawet nie śniło.
A smartfon jest komputerem, tyle, że kieszonkowym.

Konsola też jest komputerem, tyle że podtelewizorowym (chociaż ja akurat
podpinałem do monitora). A jakoś dramatów że "się nie da systemu łatwo zmienić" czy przekonfigorwać nie ma. Mimo że to przecież pełnoprawny komputer, często z tymi samymi komponentami co ten nabiurkowy.

Ograniczenie instalacji oprogramowania na systemach okołopecetowych do jedynie słusznego repozytorium budzi raczej niechęć, choć oczywiście
nie da się nie zauważyć trendu myślenia za topornego użytkownika, żeby sobie czasem krzywdy nie zrobił.

I co w tym złego? Smartfon to jest na tyle osobistym urządzeniem, że
zadbanie o pewien poziom bezpieczeństwa stało się istotne. Takie same
ograniczenia mają zresztą nowoczesne przeglądarki, w których nie możesz
bez ograniczeń i oprogramowaniem zmodyfikować wszystkich funkcji systemu, chociaż kiedyś się dało (np. apletami javy, czy przez active-x).

Dlatego też rozumiem (choć nie popieram) ubezwłasnowolnienie
Pani Krysi*, żeby sobie krzywdy nie zrobiła, czy to na Windows,
czy na iOS. Miło byłoby jednak, żeby producent zauważył,
że na świecie istnieją nie tylko Panie Krysie i jak ktoś
wie, co robi, to mu na to pozwolić.

Jak ktoś wie co robi, to nie musi mieć zgody (ani gwarancji) producenta
przecież. Niezależnie czy dotyczy to smartfonu, czy podrasowania
silnika w samochodzie.

W smartfonach wydaje mi się, że niezłym rozwiązaniem ochrony topornych byłoby, żeby możliwość skorzystania z niekoszernego repozytorium oprogramowania wymagała np. użycia kabelka i PC.

Ale jest możliwość skorzystania, ale wymaga zainstalowania profilu
w telefonie w celu akceptacji aplikacji podpisanych przez konkretny certyfikat. Na tym np. bazują rozwiązania korporacyjne.

--
Wojciech Bańcer
wojciech.bancer@gmail.com