O-Key Smart - Internet Banking Intesa Sanpaolo

[pippo]

O-Key è una app che genera un codice TOTP, quindi dovrebbe essere un sistema più sicuro rispetto all'invio del codice con SMS, però, dal seguente video, mi sembra di capire che se manca la connessione internet, il codice viene inviato via SMS:

https://www.youtube.com/watch?v=W734FpOMM78

quindi, questo metodo, è soggetto comunque alla frode sim swap, visto che vi è l'eventualità dell'invio del codice con SMS?

Nel predetto video, viene addirittura spiegato che la app O-Key smart è più sicura della chiavetta hardware: ma come è possibile?

La chiavetta hardware NON dovrebbe essere il metodo più sicuro in assoluto rispetto alla generazione del codice via app O-Key o SMS?

NON ci sto capendo più niente!! :-(


Ciao e grazie mille!

[pippo]

Ma la chiavetta hardware del video NON è come quella tipo Yubikey che viene collegata al pc: forse questa è la differenza?

La chiavetta hardware del video NON è collegata al pc, forse per questo motivo NON è sicura come la Yubikey?

Stesso discorso per la chiavetta hardware Unicredit pass, che NON è collegata al pc:

https://www.youtube.com/watch?v=FngonuuxfUI


Ciao e grazie mille!

[rootkit]

Il giorno sabato 27 febbraio 2021 alle 17:05:55 UTC+1 pippo ha scritto:

la chiavetta hardware altro non è che un dispositivo con un generatore, che per quanto piccolo e blidato sempre di un software si tratta. il meccanismo è del tutto analogo alle classiche app che generano token offline (google authenticator, authy, etc...).
quella app evidentemente non è un generatore, il token viene generato dal server che poi lo invia alla app se online o via sms se offline.
è più sicuro? non ti so dire, l'unica cosa è che le chiavette otp non sono nulla di speciale.

[pippo]

Quindi, con la app O-key smart, se è previsto l'nvio del codice via SMS quando sono offline, in quest'ultimo caso, posso essere soggetto allo swap della sim?... pero', in tal caso, il truffatore, oltre ad avere la user e password di accesso alla mia banca, dovrebbe avere anche il pin per accedere alla app. O-key smart che poi a sua volta mi genera il codice OTP.. spero di averci capito qualcosa... :-(


Ciao e grazie mille!

[Elephant]

On 2/27/21 11:30 PM, rootkit wrote:

> la chiavetta hardware altro non è che un dispositivo con un generatore, che per quanto piccolo e blidato sempre di un software si tratta.

Con la piccola differenza che e' su un dispositivo dedicato e, come hai
detto, blindato.

Se potessi scegliere tra questo ed un'app che gira su un OS vulnerabile
che non riceve aggiornamenti di sicurezza da anni, insieme ad altre
decine di applicazioni e costantemente connesso ad Internet...

[pippo]

Quindi, NON è consigliabile internet banking con la app O-Key di Intesa S. Paolo?

Conosci banche che offrono servizi più sicuri per internet banking?

La banca Unicredit, offre tre servizi (se ne puo' scegliere solo uno) per generare una OTP: Notifica push, Mobile Token o Unicredit Pass (chiavetta hardware)?

https://www.unicredit.it/it/privati/internet-e-mobile/tutti-i-servizi-internet-e-mobile/domande-utili-e-assistenza/strumenti-sicurezza.html

..le piu' sicure sono nell'ordine (dalla piu' sicura alla meno sicura): Unicredit Pass (chiavetta hardware), Notifica push e Mobile Token?


Ciao e grazie mille!

[Elephant]

On 2/28/21 10:15 AM, pippo wrote:

>> Se potessi scegliere tra questo ed un'app che gira su un OS vulnerabile
>> che non riceve aggiornamenti di sicurezza da anni, insieme ad altre
>> decine di applicazioni e costantemente connesso ad Internet...
>
> Quindi, NON è consigliabile internet banking con la app O-Key di Intesa S. Paolo?

La domanda e' mal posta.
Non e' che sia [s]consigliabile in assoluto: dipende quali alternative
hai, a che prezzo, con quali vincoli, ecc...

> Conosci banche che offrono servizi più sicuri per internet banking?

No.
(Non nel senso che so che non ci sono, ma nel senso che non mi sono
interessato a fondo del problema).

> ..le piu' sicure sono nell'ordine (dalla piu' sicura alla meno sicura): Unicredit Pass (chiavetta hardware)

Salvo bug accertati (e non presenti nell'app), sicuramente questa e'
piu' sicura delle altre due

> Notifica push e Mobile Token?

Senza un'approfondimento, direi pari.

[pippo]

Il giorno domenica 28 febbraio 2021 alle 10:40:55 UTC+1 Elephant ha scritto:
> On 2/28/21 10:15 AM, pippo wrote:
>
> >> Se potessi scegliere tra questo ed un'app che gira su un OS vulnerabile
> >> che non riceve aggiornamenti di sicurezza da anni, insieme ad altre
> >> decine di applicazioni e costantemente connesso ad Internet...
> >
> > Quindi, NON è consigliabile internet banking con la app O-Key di Intesa S. Paolo?
> La domanda e' mal posta.
> Non e' che sia [s]consigliabile in assoluto: dipende quali alternative
> hai, a che prezzo, con quali vincoli, ecc...
> > Conosci banche che offrono servizi più sicuri per internet banking?
> No.

> (Non nel senso che so che non ci sono, ma nel senso che non mi sono
> interessato a fondo del problema).

NON ti fidi dell'internet banking? ;-) ... sarebbe comodo, però ho sempre paura delle truffe... :-(

> > ..le piu' sicure sono nell'ordine (dalla piu' sicura alla meno sicura): Unicredit Pass (chiavetta hardware)
> Salvo bug accertati (e non presenti nell'app), sicuramente questa e'
> piu' sicura delle altre due
> > Notifica push e Mobile Token?
> Senza un'approfondimento, direi pari.

OK, grazie mille... ho notato che molte banche NON prevedono più il token hardware... Unicredit fa eccezione, con la seguente nota:

"UniCredit Pass resta a tua disposizione, anche dopo il 14/09/2019 entrata in vigore della Direttiva PSD2, in quanto reso conforme alla normativa sulla base di un apposito adeguamento dei sistemi informatici.".


Ciao

[Bernardo Rossi]

On Sun, 28 Feb 2021 01:50:18 -0800 (PST), pippo <ghost...@tin.it>
wrote:

>sarebbe comodo, però ho sempre paura delle truffe... :-(

Dipende molto anche da te.
C'è chi è più portato a farsi truffare e c'è invece chi le evita per
istinto o altre abilità personali.


--

Byebye from Verona, Italy

Bernardo Rossi

[Elephant]

On 2/28/21 10:50 AM, pippo wrote:

> NON ti fidi dell'internet banking? ;-)

Non ho detto questo.

Non mi fido degli SmartPhone, invece, soprattuto Android.
Purtroppo e' un male necessario.

[pippo]

OK, grazie mille! ;-)


Ciao

[rootkit]

Il giorno domenica 28 febbraio 2021 alle 09:17:20 UTC+1 Elephant ha scritto:

> On 2/27/21 11:30 PM, rootkit wrote:
>
> > la chiavetta hardware altro non è che un dispositivo con un generatore, che per quanto piccolo e blidato sempre di un software si tratta.
> Con la piccola differenza che e' su un dispositivo dedicato e, come hai
> detto, blindato.

che però non è affatto impossibile clonare.
voglio dire, pensare che la sicurezza sia nel mero fatto che è una scatolina chiusa e isolata lo trovo un po' naif.

[Elephant]

On 2/28/21 3:20 PM, rootkit wrote:

> che però non è affatto impossibile clonare.

Certo, ma cosa richiede?
Mi verrebbe da dire l'accesso fisico continuato alla "scatolina".
Cosa che non e' necessaria per l'app.

> voglio dire, pensare che la sicurezza sia nel mero fatto che è una scatolina chiusa e isolata lo trovo un po' naif.

Diciamo che aiuta (e non poco).
Non e' tanto perche' la scatolina e' "isolata", ma perche' l'app gira su
un sistema che il 99% e' un tr...io.

[dalai lamah]

Un bel giorno Elephant digitň:

>> voglio dire, pensare che la sicurezza sia nel mero fatto che č una

>> scatolina chiusa e isolata lo trovo un po' naif.
>
> Diciamo che aiuta (e non poco).
> Non e' tanto perche' la scatolina e' "isolata", ma perche' l'app gira su
> un sistema che il 99% e' un tr...io.

Sul fatto che una soluzione a microcontrollore sia generalmente piů sicura
di un app per smartphone posso anche concordare, ma solo per il motivo che
tu stesso citi: la sicurezza di uno smarphone č parzialmente gestita da chi
lo usa, e quindi il vero problema č il "fattore umano", non tanto l'app in
sč.

In termini intrinseci i dispositivi a microcontrollore possono essere
altrettanto o piů insicuri di un'app. I portafogli elettronici per Bitcoin
e criptovalute in generale sono stati un ottimo banco di prova e hanno reso
popolari tecniche peraltro conosciute da decenni, come i "power glitch
attack" o il monitoraggio della corrente assorbita. Ormai questo č l'ABC
per le aziende che si occupano di sicurezza, ma siccome in giro proliferano
ancora aziende (che non nominerň per non essere querelato) che per le loro
chiavette dei distributori automatici usano ancora EEPROM non protette o
chip MIFARE classic, ciň dimostra che č sempre bene approfondire le
tecnologie che si usano piuttosto che fidarsi ciecamente.

--
Fletto i muscoli e sono nel vuoto.

[rootkit]

Il giorno domenica 28 febbraio 2021 alle 15:48:21 UTC+1 Elephant ha scritto:
> On 2/28/21 3:20 PM, rootkit wrote:
>
> > che però non è affatto impossibile clonare.
> Certo, ma cosa richiede?
> Mi verrebbe da dire l'accesso fisico continuato alla "scatolina".
> Cosa che non e' necessaria per l'app.

ciò che distingue una chiavetta è la chiave crittografica associata alle tue credenziali. chiave che mette dentro il costruttore di cui, di consenguenza, ti devi fidare.
io non sto dicendo che ci sono motivi per diffidare, dico solo che a ragionare per pure congetture non si va da nessuna parte, ci si costruisce solo delle false percezioni.

> > voglio dire, pensare che la sicurezza sia nel mero fatto che è una scatolina chiusa e isolata lo trovo un po' naif.
> Diciamo che aiuta (e non poco).
> Non e' tanto perche' la scatolina e' "isolata", ma perche' l'app gira su
> un sistema che il 99% e' un tr...io.

non capisco. ti risulta che le app siano intrinsecamente violabili? a me no. e su che base sostieni che android piuttosto che ios siano "99% un troiaio"?
cioè capisci che si sta parlando solo di congetture?
i sistemi delle notifiche push, ad esempio, mi risultano abbastanza improbabili da violare, non dico impossibili solo perché niente è impossibile.

[Elephant]

On 2/28/21 4:13 PM, dalai lamah wrote:

> In termini intrinseci i dispositivi a microcontrollore possono essere

> altrettanto o più insicuri di un'app.

Ok, ma vedi sopra.



> ... o il monitoraggio della corrente assorbita.

Non ho capito.
Corrente assorbita da cosa?

[Elephant]

On 2/28/21 11:34 PM, rootkit wrote:

> ciò che distingue una chiavetta è la chiave crittografica associata alle tue credenziali.

Ok.

> chiave che mette dentro il costruttore di cui, di consenguenza, ti devi fidare.

Scusa non ti seguo.
In che senso mi devo fidare? Di cosa?

> ti risulta che le app siano intrinsecamente violabili?

Intrinsecamente no, ma di sicuro hanno una superficie di attacco
maggiore della chiavetta.

> e su che base sostieni che android piuttosto che ios siano "99% un troiaio"?

Normalmente un telefono Android riceve aggiornamenti, se va bene, per un
paio d'anni, dopo di che quasi nessuno lo cambia solo perche' soggetto a
vulnerabilita' note. Quindi gia' cominciamo male.
iOS da questo punto di vista e' sicuramente meglio (e NON lo dico da fan
di Apple).

Poi mi sono capitati per le mani telefoni con tante e tali app, che
francamente io non ci avrei fatto passare sopra alcun dato che avesse
una minima importanza.
E' vero, in teoria ognuna e' separata dalle altre, ma se venisse
scoperto un bug nel sandboxing non sarebbe il primo. Senza contare che
l'utente medio fatica a stare dietro a tutti i permessi (ammesso che ci
provi).

> cioè capisci che si sta parlando solo di congetture?

Certo, quello che sto dicendo e' che, non sapendo come e' fatta la
chiavetta e non sapendo come e' fatta l'app, sceglierei la prima.

> i sistemi delle notifiche push, ad esempio, mi risultano abbastanza improbabili da violare, non dico impossibili solo perché niente è impossibile.

E posso essere d'accordo.
La domanda dell'OP, pero', senza troppi dettagli, era se fosse piu' o
meno "probabile da violare" di una chiavetta.
Io, a scatola chiusa, scommetto sul si'.

[pippo]

> La domanda dell'OP, pero', senza troppi dettagli, era se fosse piu' o
> meno "probabile da violare" di una chiavetta.
> Io, a scatola chiusa, scommetto sul si'.

Se ho ben capito, nel caso di Unicredit, la "notifica push up" e l'altra opzione "Mobile token (TOPT)", sono gestite dalla stessa app che fornisce la banca.

Il mobile token, richiede prima un mpin di accesso (che invece non è richiesto con la notifica push up) e poi successivamente genera il codice per autorizzare la transizione.

https://www.unicredit.it/it/privati/internet-e-mobile/tutti-i-servizi-internet-e-mobile/domande-utili-e-assistenza/strumenti-sicurezza.html


Ciao e grazie mille!

[rootkit]

Il giorno lunedì 1 marzo 2021 alle 19:32:09 UTC+1 Elephant ha scritto:

> Poi mi sono capitati per le mani telefoni con tante e tali app, che
> francamente io non ci avrei fatto passare sopra alcun dato che avesse
> una minima importanza.

se è per questo a me sono capitati per le mani dei pc in delle condizioni che è un suicidio anche solo attaccarli alla rete. useresti un browser impestato di estensioni maleware per collegarti alla banca?
è ovvio se parliamo di sicurezza un sistema compromesso è già un discorso chiuso, è inutile anche ragionarne. è come mettersi a fare le pulci agli airbag in una macchina che ha i freni che non funzionano.
altrimenti l'unica conclusione a cui si può arrivare è che internet banking non si fa e si torna al buon vecchio sportello. ma se ci pensi un attimo è irragionevole: se tieni la macchina a posto allora l'airbag, la frenata di emergenza, il mantenimento carreggiata e tutti i dispositivi di sicurezza fanno il loro lavoro e tu puoi guidare godendoti il viaggio con serenità.
quando si parla di sicurezza le regole valgono *tutte*, comprese quella che non si installa software di provenienza dubbia. per prima cosa l'utente ci deve stare con la testa. poi esiste la possibilità di situazioni inevitabili? non si possono escludere, ma si possono rendere ragionevolmente remote.

[Elephant]

On 3/2/21 1:01 AM, rootkit wrote:

> se è per questo a me sono capitati per le mani dei pc in delle condizioni che è un suicidio anche solo attaccarli alla rete. useresti un browser impestato di estensioni maleware per collegarti alla banca?

Ovviamente no.
(Parentesi mia personale: so molto bene come funziona un PC e come
tenerlo pulito; su uno SmartPhone ho piu' dubbi. Ripeto, ignoranza mia).

> è ovvio se parliamo di sicurezza un sistema compromesso è già un discorso chiuso, è inutile anche ragionarne.

Io trovo invece sia utile, nei termini seguenti: le banche avevano il
token; sono passati alle app perche' costano meno, ben sapendo che il
rischio era maggiore e scaricando sull'utente l'onere di tenere pulito
il sistema su cui girano.
Ovvio, tu ed io lo sappiamo fare, ma l'utente medio?

Che poi siano "ragionevolmente" sicure, sono d'accordo e l'ho gia' scritto.

[dalai lamah]

Un bel giorno Elephant digitň:

>> In termini intrinseci i dispositivi a microcontrollore possono essere

>> altrettanto o piů insicuri di un'app.
>
> Ok, ma vedi sopra.

Sopra ho il soffitto.

>> ... o il monitoraggio della corrente assorbita.
>
> Non ho capito.
> Corrente assorbita da cosa?

Dal dispositivo a microcontrollore. E' un tipo di "side channel attack":

https://arxiv.org/pdf/1801.00932.pdf

[Elephant]

On 3/2/21 7:18 PM, dalai lamah wrote:

> Dal dispositivo a microcontrollore. E' un tipo di "side channel attack":
>
> https://arxiv.org/pdf/1801.00932.pdf

Grazie, ora e' chiaro.

Torniamo pero' quindi a quello che ho scritto prima.
Devono:
a) entrare in casa mia;
b) prendere fisicamente il mio generatore di token(*);
c) aprire l'involucro senza romperlo (ammesso che sia possibile);
d) attaccarci l'oscilloscopio o altro apparato per fare le misurazioni;
e) lavorare per un certo tempo;
f) richiudere l'involucro senza lasciare traccia;
g) rimetterlo nel mio cassetto.

(*) A scanso di equivoci, sto parlando di una "scatoletta" che non ha
nessun contatto esterno, nessuna porta, nessuno sportellino per poter
cambiare la batteria, niente.



Ammetterai che e' piu' probabile l'installazione (magari da remoto) di
qualche malware su un telefono?

Poi possiamo discutere di quanto questo sia facile, di quanto l'app sia
isolata in una sua sandbox, di quanto la banca puo' fare anche lato
server per accorgersene, ecc...

[pippo]

OK.. però il truffatore, indipendente se si utilizza la chiavetta hardware oppure l'app dello smartphone, deve essersi prima impossessato della user e password di accesso ai sevizi bncari.



Ciao

[rootkit]

Il giorno mercoledì 3 marzo 2021 alle 09:08:03 UTC+1 Elephant ha scritto:

> Ammetterai che e' piu' probabile l'installazione (magari da remoto) di
> qualche malware su un telefono?

ammetterai però che è assai più probabile un accesso abusivo alla chiavetta (basta premere il pulsante ed esce il token) rispetto ad uno smartphone (serve il pin / riconoscimento facciale / fingerprint per sbloccarlo).
non esistono solo gli scenari cybercrime.

[Elephant]

On 3/4/21 11:46 PM, rootkit wrote:

> ammetterai però che è assai più probabile un accesso abusivo alla chiavetta (basta premere il pulsante ed esce il token) rispetto ad uno smartphone (serve il pin / riconoscimento facciale / fingerprint per sbloccarlo).

Nel mio caso no.
Prima di "premere il pulsante", bisogna entrare in casa (con porta
chiusa a chiave e protetta da allarme), sapere dov'e' il token, ecc...

YMMV.

[rootkit]

ok. e che ne dici del famigerato "utente medio"?
compare e scompare dai radar a seconda di quanta acqua porta al mulino di chi lo cita.

[Elephant]

On 3/5/21 8:35 PM, rootkit wrote:

> ok. e che ne dici del famigerato "utente medio"?
> compare e scompare dai radar a seconda di quanta acqua porta al mulino di chi lo cita.

Tendenzialmente e' piu' bravo a chiudere a chiave un cassetto che a
mettere in sicurezza un telefono.
Comunque direi che abbiamo opinioni divergenti e stiamo ormai parlando
di niente, quindi finiamola qua.
Grazie per la discussione.

[rootkit]

Il giorno sabato 6 marzo 2021 alle 10:54:11 UTC+1 Elephant ha scritto:
> On 3/5/21 8:35 PM, rootkit wrote:
>
> > ok. e che ne dici del famigerato "utente medio"?
> > compare e scompare dai radar a seconda di quanta acqua porta al mulino di chi lo cita.
> Tendenzialmente e' piu' bravo a chiudere a chiave un cassetto che a
> mettere in sicurezza un telefono.

dì che non hai mai visto nessuno tenerla in tasca o insieme alle chiavi.

[pippo]

ROTFL... ma sei terribile!! :-)

Ciao

[rootkit]

Il giorno sabato 6 marzo 2021 alle 22:31:02 UTC+1 pippo ha scritto:

> > > > ok. e che ne dici del famigerato "utente medio"?
> > > > compare e scompare dai radar a seconda di quanta acqua porta al mulino di chi lo cita.
> > > Tendenzialmente e' piu' bravo a chiudere a chiave un cassetto che a
> > > mettere in sicurezza un telefono.
>
> > dì che non hai mai visto nessuno tenerla in tasca o insieme alle chiavi.
> ROTFL... ma sei terribile!! :-)

ma è la verità. non si può dire che una cosa è sicura perche io la tengo sotto chiave in un cassetto, altrimenti che stiamo tutti a lambiccarci il cervello con i password manager? scriviamo le password su un foglio a protocollo e chiudiamolo a chiave in un cassetto.
poi magari facciamo un bagno di realtà dove sappiamo che sia la chiavetta che le password per usarle è necessario averle appresso.

[pippo]

OK, concordo! ;-)

PS
Sono passato da Lastpass a Bitwarden (da te suggerito.. ci sto smanettando..), in quanto, Lastpass, ha introdotto alcune nuove restrizioni alla versione free.


Ciao