JohannesBrahms
BRHJNN33E07Z112N
- Registrato
- 30/11/13
- Messaggi
- 11.737
- Punti reazioni
- 3.632
Veramente ha detto che l'arbitro bancario gli ha dato ragione, ma la banca non lo ha ancora rimborsato...
Sistemi di autenticazione e mobile banking, i veri rischi che le banche nascondono
- Creatore Discussione SilvioVernillo
- Data di inizio
-
Trading Day 19 aprile Torino - Corso Gratuito sull'investimento
Migliora la tua strategia di trading con le preziose intuizioni dei nostri esperti su oro, materie prime, analisi tecnica, criptovalute e molto altro ancora. Iscriviti subito per partecipare gratuitamente allo Swissquote Trading Day.
Per continuare a leggere visita questo LINK
Veramente ha detto che l'arbitro bancario gli ha dato ragione, ma la banca non lo ha ancora rimborsato...
SilvioVernillo
Nuovo Utente
- Registrato
- 6/8/10
- Messaggi
- 1.439
- Punti reazioni
- 161
Sicurezza e marketing, una miscela esplosiva
Il sistema delle password "usa e getta" è molto sicuro, da un punto di vista teorico; però l'implementazione pratica del sistema introduce ulteriori variabili, e la sicurezza può scemare fortemente e anche crollare.
Un'implementazione abbastanza affidabile è Symantec VIP Access, mantenuto da Symantec e Verisign, e usata da varie entità tra cui mi sembra di ricordare eBay, PayPal, IWBank.
È disponibile per vari ambienti, non solo smartphone.
Gran parte delle banche hanno deciso di implementare in proprio il sistema di gestione degli OTP per i clienti, esclusivamente nella forma di app per smartphone.
Ma il passaggio più subdolo è di avere inglobato la gestione degli OTP all'interno della propria app di mobile banking e mobile trading.
In pratica la sicurezza al servizio del marketing, l'OTP come veicolo per entrare nel nuovo eldorado del mobile banking e soprattutto del mobile trading.
Questo espone gli utenti a un'infinità di rischi, il più banale è che i frequenti aggiornamenti delle app bancarie rendono instabile anche il sistema di gestione degli OTP; da cui deriva la necessita di frequenti ricorsi all'assistenza, con i problemi connessi.
Saluti
Il sistema delle password "usa e getta" è molto sicuro, da un punto di vista teorico; però l'implementazione pratica del sistema introduce ulteriori variabili, e la sicurezza può scemare fortemente e anche crollare.
Un'implementazione abbastanza affidabile è Symantec VIP Access, mantenuto da Symantec e Verisign, e usata da varie entità tra cui mi sembra di ricordare eBay, PayPal, IWBank.
È disponibile per vari ambienti, non solo smartphone.
Gran parte delle banche hanno deciso di implementare in proprio il sistema di gestione degli OTP per i clienti, esclusivamente nella forma di app per smartphone.
Ma il passaggio più subdolo è di avere inglobato la gestione degli OTP all'interno della propria app di mobile banking e mobile trading.
In pratica la sicurezza al servizio del marketing, l'OTP come veicolo per entrare nel nuovo eldorado del mobile banking e soprattutto del mobile trading.
Questo espone gli utenti a un'infinità di rischi, il più banale è che i frequenti aggiornamenti delle app bancarie rendono instabile anche il sistema di gestione degli OTP; da cui deriva la necessita di frequenti ricorsi all'assistenza, con i problemi connessi.
Saluti
SilvioVernillo
Nuovo Utente
- Registrato
- 6/8/10
- Messaggi
- 1.439
- Punti reazioni
- 161
Sarebbe una pazzia non pagare, in un giudizio civile la banca ne uscirebbe con le ossa rotte.
Saluti
SilvioVernillo
Nuovo Utente
- Registrato
- 6/8/10
- Messaggi
- 1.439
- Punti reazioni
- 161
Le debolezze degli smartphone
Alcuni continuano a ritenere ingenuamente che uno smartphone Android senza diritti amministrativi (senza root) sia più sicuro, perché la sicurezza è demandata a Google.
Questo è un malware che punta proprio ad ottenere diritti amministrativi, il che è possibile solo su smartphone non rootati in precedenza:
Stop the menace of Android rooting malware attacks with RASP | ADM
Il problema di base è che gli smartphone sono nati come macchine da cazzeggio, convertirli ad applicazioni critiche come il mobile banking è un processo lungo e faticoso, oggi non alla portata dell'utente medio che non ha ancora neanche una percezione chiara dei rischi.
Saluti
Alcuni continuano a ritenere ingenuamente che uno smartphone Android senza diritti amministrativi (senza root) sia più sicuro, perché la sicurezza è demandata a Google.
Questo è un malware che punta proprio ad ottenere diritti amministrativi, il che è possibile solo su smartphone non rootati in precedenza:
Stop the menace of Android rooting malware attacks with RASP | ADM
Il problema di base è che gli smartphone sono nati come macchine da cazzeggio, convertirli ad applicazioni critiche come il mobile banking è un processo lungo e faticoso, oggi non alla portata dell'utente medio che non ha ancora neanche una percezione chiara dei rischi.
Saluti
Ultima modifica:
Lupak
Nuovo Utente
- Registrato
- 25/11/06
- Messaggi
- 19.594
- Punti reazioni
- 2.481
Questo non so se sia corretto dirlo.
Android ed iOS sono ormai in giro da più di dieci anni e se all'inizio non avevano la sicurezza in mente, oggi non credo siano molto indietro rispetto ad altri sistemi operativi. Anzi, la mia impressione da inesperto è che siano addirittura avanti, tanto che le banche in tutto il mondo stanno spingendo molto su queste app e non certo per il trading o per far fare più bonifici.
Sono dei sistemi operativi abbastanza chiusi che lasciando poca libertà all'utente smanettone, lasciando anche poca libertà all'utente medio di compromette la sicurezza.
Applicazioni scaricabili solo dallo store ufficiale, crittografia del disco fisso di base, applicazioni che possono "chiudersi" verso l'esterno evitando che altre prendano screenshot o inteferiscano con esse anche in caso di sistema compromesso, controllo di certificati che evitano connessioni a siti "clone" etc etc, mi sembra che le misure per tutelarsi questi sistemi operativi le abbiano prese e siano buone.
Oggi perfino WhatsApp è crittografata end-to-end e solo con molta fatica si può avere accesso a ciò che avviene nel mezzo.
Infatti non mi risulta ancora che siano state disposte operazioni fraudolente via app bancaria, nè con informazioni (codice cliente e password) ricavate da queste app.
Come detto più volte anche io all'inizio temevo le app, più passa il tempo e più le preferisco.
- Registrato
- 12/9/12
- Messaggi
- 26.142
- Punti reazioni
- 518
Potresti linkare il thread? Comunque tu hai dichiarato qualcosa di falso, visto che qui l'utente dichiara esattamente il contrario :
Truffatori entrati nel conto Widiba
Post n. 1816
- Registrato
- 12/9/12
- Messaggi
- 26.142
- Punti reazioni
- 518
Infatti alla data e ora in cui l'utente silviovernillo ha scritto che italianboss12 era stato quasi integralmente rimborsato (?), quest'ultimo scriveva esattamente il contrario. Comunque i due mesi scadevano oggi, speriamo per lui che gli abbiano fatto il bonifico.
Atakanoseki
Kaizen
- Registrato
- 23/8/17
- Messaggi
- 10.445
- Punti reazioni
- 1.865
Aggiungo che le telefonate di sicurezza, come postato da alcuni utenti del FOL, provengono da un numero di Milano, prefisso 02 che, nel caso di mancata risposta alla chiamata deve essere richiamato direttamente, senza passare del numero verde che rimane tagliato fuori da queste chiamate di sicurezza.
SilvioVernillo
Nuovo Utente
- Registrato
- 6/8/10
- Messaggi
- 1.439
- Punti reazioni
- 161
Trovo abbastanza difficile risponderti in modo sensato.
Tu ti dichiari inesperto (nella materia, poi sei bravissimo in altri campi), ma ti esprimi come se fossi la massima autorità del settore.
Se sei inesperto, logica vorrebbe che tu cercassi di imparare da chi ne sa più di te sull'argomento; già in questo forum ci sono vari utenti esperti in materia di sicurezza informatica, e dicono il contrario di quello che asserisci; poi c'è tutta Internet che ti contraddice.
Io scrivo poco nel forum, e solo in materie su cui mi ritengo molto competente; per le altre materie leggo e imparo da chi ne sa più di me, o al massimo faccio qualche domanda; credo che se tutti facessero la stessa cosa la qualità del forum ne guadagnerebbe.
Se sai di essere inesperto ma sei comunque fermo nelle tue convinzioni, qualsiasi cosa ti dica sarebbe tempo perso.
Per me scrivere nel forum è un costo, il prezzo che ritengo giusto pagare in cambio delle informazioni che ne ricevo; scrivere a vuoto non mi entusiasma molto.
Saluti
SilvioVernillo
Nuovo Utente
- Registrato
- 6/8/10
- Messaggi
- 1.439
- Punti reazioni
- 161
Provo a risponderti, ma ho l'impressione che anche qui come tuo solito tu tenda a trolleggiare più che fare discorsi sensati, per cui questa è l'ultima risposta, poi per quindici giorni ti metto tra gli ignorati.
La frase su cui stai facendo una stupida polemica deriva dal post sui "fallimenti del forum", avevo sottolineato il paradosso per cui l'ABF ha "assolto" @italianboss12, mentre in un forum di utenti bancari moti utenti lo avevano condannato a priori: evidentemente c'è qualcosa che non quadra.
Poi è abbastanza noto che l'ABF emette decisioni, non elargisce denaro; in base alla decisione ABF, Widiba dovrà rimborsare materialmente il denaro; ma questo è irrilevante ai fini del discorso sui "fallimenti del forum", che era l'argomento del post.
Comunque è praticamente certo che Widiba dovrà rimborsare, con le buone o con le cattive; le decisioni ABF fanno giurisprudenza, sono tenute in grande considerazione dai giudici ordinari, per cui in un giudizio civile Widiba uscirebbe con le ossa rotte.
Saluti a fra quindici giorni
PS. Hai mai provato a chiederti perché litighi in continuazione sul forum, e perché molti evitano di dialogare con te e ti ritengono antipatica?
Fra quindici giorni, puoi dirmi quanti anni hai?
Saluti
- Registrato
- 12/9/12
- Messaggi
- 26.142
- Punti reazioni
- 518
Questo pessimo post ti qualifica per quello che sei : una persona arrogante e presuntuosa. Una persona "normale", quando sbaglia - e capita a tutti - ammette l'errore e si scusa. Tu invece aggredisci chi ti fa notare l'errore. Non mi dilungherò a commentare le cose sgradevoli che hai scritto : mi limito a sottolineare che tu sostieni che l'utente è stato rimborsato integralmente o quasi (?!) è non è assolutamente vero. Questi sono fatti, le tue sono chiacchiere.
Atakanoseki
Kaizen
- Registrato
- 23/8/17
- Messaggi
- 10.445
- Punti reazioni
- 1.865
Chantal, vorrei trarre delle considerazioni su questa diatriba.
Secondo me quanto in oggetto è un dettaglio a fronte della mole di informazioni e documentazione che Silvio produce.
Capisco che tu vuoi evidenziare che anche Silvio sbaglia, però il suo errore (veniale) se fosse stato nel mondo giornalistico (dove anch'essi non sbagliano mai) sarebbe stato indicato come una "errata corrige".
Prendiamone atto.
Atakanoseki
Kaizen
- Registrato
- 23/8/17
- Messaggi
- 10.445
- Punti reazioni
- 1.865
Buongiorno Silvio,
non riesco a capire, e penso non solo io, il nesso tra l'ipotesi di futura adozione da parte di widiba di token fisico e ancora problemi di sicurezza.
Questa tua affermazione, visto che non si tratta di un tuo parere, può dare adito ad interpretazioni non corrette.
Ti chiedo la cortesia se è possibile dettagliare e verosimilmente documentare quanto tu affermi.
Ultima modifica:
- Registrato
- 19/9/13
- Messaggi
- 57.834
- Punti reazioni
- 5.272
Lupak
Nuovo Utente
- Registrato
- 25/11/06
- Messaggi
- 19.594
- Punti reazioni
- 2.481
Scrivere che sono inesperto è una semplice questione di correttezza nei confronti di chi legge, proprio per evitare che qualcuno creda che lo sia.
Come sempre, quando si scrive sui forum si mettono in discussione le proprie idee a cui tu però non hai risposto, nè fatto alcune osservazioni a riguardo.
E quindi mi tocca ripetere che per come la vedo gli ultimi sistemi operativi su smartphone, da Android 6.0 in poi e iOS, sono tanto sicuri quanto i sistemi desktop e l'accesso tramite browser e continuano a migliorare in questo campo, diventando sempre più chiusi e con sistemi di protezione quasi invasivi.
Motivi per cui lo credo:
- l'utente non ha permessi di root, questo impedisce gli utenti inesperti di fare danni e ad eventuali applicazioni malevole di avere troppi permessi
- le applicazioni si scaricano solo attraverso gli store ufficiali (salvo abilitare manualmente la possibilità di scaricare app da altre fonti) prima di entrare sui quali vengono verificate in cerca di codice malevolo ed anche mentre sono installate sul dispositivo vengono scansionate (Google Play Protect)
- la memoria è crittata di base, proteggendo i dati su disco in caso di furto/smarrimento
- le applicazioni si trovano nativamente in un recinto chiuso (Sandbox) e lo sviluppatore dell'app può decidere di non condividere i dati dell'app con altre applicazioni e può anche impedire ad altre applicazioni di funzionare mentre sono in esecuzione (ad es. per prevenire screenshot e registrazione della videata mentre è in esecuzione un app bancaria) https://developer.android.com/training/articles/security-tips.html
In rete, specie su forum UK ed Usa, ci sono molti utenti che non riescono a fare screenshot delle proprie app bancarie
- un app bancaria si collega solo al server della banca, senza che nessun malware possa causare un redirect verso un sito/app clone/fraudolenta
- è possibile crittare tutti i dati trasmessi dall'app al server end-to-end in modo semplice (persino il banale WhatsApp è così)
L'uso di queste app per me è più che sicuro, altrimenti le banche non farebbero nemmeno app.
Ad oggi non ho notizia di persone cui sono state prese le credenziali di accesso da smartphone.
Vabbé essere inesperto, ma non mi puoi definire un sistema come Android, in cui gli aggiornamenti sono un optional, sicuro quanto un sistema desktop.
Questa è una classica panzana che si sente raccontare fin troppo spesso in giro: uno smartphone non rootato dall'utente permette solo all'utente di non avere i permessi di root, non alle applicazioni malevoli, che rootano lo smartphone da sole senza che l'utente se ne accorga.
Tutte cose del tutto inutili in presenza di falle che non vengono risolte tramite aggiornamenti di sicurezza.
Di nuovo, inutile nel caso di falle, e dai quasi per scontato che quello che descrivi sia quello che accade. Poi se uno va a controllare, magari non è così (vedi ad esempio qui a pagina 19).
Le decisioni delle banche non sono prese solamente sulla base di ragioni tecniche, ma anche su conti di convenienza, altrimenti non ci sarebbe stato bisogno dell'intervento del parlamento europeo affinché le banche smettessero di utilizzare una semplice password statica per il loro home banking.
Ultima modifica:
Se mi è permesso, faccio io qualche osservazione in merito (per la mia esperienza io parlo di Android, non di iOS).
Già se vuoi acquistare un app su Amazon quell'opzione devi attivarla, ad esempio.
Il problema non è se l'utente legittimo ha i permessi di root, ma se riesce ad ottenerli qualcun altro. Infatti le mie app bancarie funzionano tutte su terminale rootato, non si fanno questo tipo di problema, se non per funzionalità specifiche come i pagamenti NFC da cellulare.
Ah, quindi non è vero che si scaricano solo dagli store ufficiali.
Già se vuoi acquistare un app su Amazon quell'opzione devi attivarla, ad esempio.Su tutti i miei telefoni (compreso l'ultimo acquistato 6 mesi fa) l'encryption di default era inattiva; poi su alcuni modelli sarà anche di default, ma probabilmente solo quelli di fascia alta. E l'utente medio di certo non va ad attivare l'encryption dello storage di sua iniziativa. Poi bisogna anche vedere se di default criptano solo la memoria interna o anche la eventuale SD card, io sospetto la prima.
Ecco, questa cosa di prevenire gli snapshot sulle app imho è il classico "eccesso di zelo", l'unico risultato è quello di impedire ad un utente, che deve segnalare al supporto un problema, di fare uno screenshot dell'errore. E non impedisce al malintenzionato di prendere il suo smartphone e fare una foto al tuo schermo, se proprio vuole uno screenshot dei dati e ha accesso al telefono.
Scherzi ? Redirigere il traffico in uscita su un IP verso un altro IP si fa con una regoletta di iptables, se il malware ha i privilegi di root lo fa senza problemi. Io ad esempio lo faccio (volutamente) per forzare il traffico DNS in uscita verso il DNS americano di Google anziché quello del mio provider italiano.
Criptare i dati in transito lo fai anche quando ti colleghi a qualsiasi sito HTTPS, quello è il minimo sindacale.
FogOnLine
sigà sigà
- Registrato
- 26/2/14
- Messaggi
- 20.619
- Punti reazioni
- 8.465
Concordo con @jackls che il problema principale degli smartphone sono gli aggiornamenti di sicurezza del S.O. che i produttori rilasciano col contagocce, in ritardo o per niente e quoto l'ottima disamina di @Parnas 
Aggiungo che il Play Store fa sicuramente da filtro ma non deve ingenerare un'dea di sicurezza assoluta.
Di app malevole, ritirate magari su segnalazione di ricercatori che lavorano per le principali aziende che si occupano di sicurezza, se ne scoprono a quantità.
Solo a livello esemplificativo, queste app sono state scaricate da oltre due milioni di utenti prima di venir ritirate e, ahimè, non sarà di certo l'ultimo caso.
Sockbot Android Malware Found in Eight Apps on the Google Play Store
per niente e quoto l'ottima disamina di @Parnas Aggiungo che il Play Store fa sicuramente da filtro ma non deve ingenerare un'dea di sicurezza assoluta.
Di app malevole, ritirate magari su segnalazione di ricercatori che lavorano per le principali aziende che si occupano di sicurezza, se ne scoprono a quantità.
Solo a livello esemplificativo, queste app sono state scaricate da oltre due milioni di utenti prima di venir ritirate e, ahimè, non sarà di certo l'ultimo caso.
Sockbot Android Malware Found in Eight Apps on the Google Play Store
Leo2015
Nuovo Utente
- Registrato
- 29/1/15
- Messaggi
- 30.262
- Punti reazioni
- 2.260
Nessuno dice che i sistemi operativi mobile sono invulnerabili si evidenzia solo che hanno caratteristiche li rendono più sicuri dei sistemi per desktop ,in particolare osservo che quando su PlayStore viene caricata un App malevola qualcuno che può eliminarla esiste ,sui sistemi desktop puoi installare software senza necessariamente passare da uno store come avviene di default per iOS e Android