שיקולי אבטחת מידע בבחירת בית השקעות / ברוקר

[DorA]

האם יש תיעוד של לפחות מקרה (בארץ או בעולם) אחד שבו הבנק פיצה את הלקוח על עיסקה שבוצעה בטעות על ידי עובד שלהם?

הבנק לא פיצה אבל המדינה כן - אתי אלון

 

[adamshalev]

אחד מהם, כן. אבל ה2FA הדיפולטי הוא האפליקציה שלהם, IB Mobile. היא עובדת גם אופליין אמנם, אבל היא כן "בנייד".

Zaraza התכוון בצדק לאימות מבוסס sms - זה לא מאובטח, וידוע בכל העולם כלא מאובטח. רוב החברות הגדולות מאפשרות אימות דו שלבי ללא sms, לאט לאט זה מפעפע. חברות חובבניות כמו כל בנק ומוסד פיננסי בישראל, עדיין מאמתים עם sms.
אני משתמש באימות מבוסס אפליקציה. זה יותר מאובטח מהאימות חומרה.

 

[Yesmad]

Zaraza התכוון בצדק לאימות מבוסס sms

אמנם הוא ציין סמס אבל לא נשמע לי שרק לכך הוא התכוון. נשמע שהוא אנטי כל מה שעל הנייד, כי הוא "גניב".

... ללא סיכון של גניבת מייל/נייד/sms
... אני לא מת על כל ה2FA שהם אינם hardware ולא מנותקים מהמחשב/נייד/אינטרנט
... לגנוב נייד זה עניין של 5דק פיזית

מסכים שסמס זה חלש, וגם אני משתמש באפליקציה.

 

[adamshalev]

אמנם הוא ציין סמס אבל לא נשמע לי שרק לכך הוא התכוון. נשמע שהוא אנטי כל מה שעל הנייד, כי הוא "גניב".

מסכים שסמס זה חלש, וגם אני משתמש באפליקציה.

נכון ששניהם גניבים, אבל גם הטלפון וגם האפליקציה מוגנים בקוד/זיהוי-ביומטרי, אז שלא כמו הקודן הפיסי, באפליקציה זה לא מספיק לגנוב.

 

[zaraza]

ה"ביומטרי" זה לא בדיוק. לפי מה שהבנתי הם מקבלים איזה true-false מהמערכת הפעלה על זיהוי עצבה. מה שבטוח, הם אף פעם לא מקבלים את הסריקה וכל הקשור לנתונים ביומטריים עצמם.

אני תמיד רואה את מחשבים\ניידים כאילו שהם 100% פרוצים ונשלטים על ידי צד 3. סביר להניח שזה המצב, שאלה היחידה היה מי זה ה"צד 3" הזה עכב כך להחזיק גם אפליקציה IBKR שדרכה מתבצעת כניסה לחשבון, וגם מפתח בשבילה באותו מכשיר - מרגיש לי מאוד לא נוח. ואני רחוק מלהיות פרנואידי.
להחזיק קוד לכרטיס אשראי בתוך ארנק מרגיש לי בטוח יותר

 

[Yesmad]

גם הטלפון וגם האפליקציה מוגנים בקוד/זיהוי-ביומטרי, אז שלא כמו הקודן הפיסי, באפליקציה זה לא מספיק לגנוב.

קודם כל רק להבהיר ש-you're preaching to the choir. הטיעון הוא של zaraza, לא שלי.
דבר שני - הקודן גם מוגן בקוד, כך שגם אותו לא מספיק לגנוב.

אני תמיד רואה את מחשבים\ניידים כאילו שהם 100% פרוצים ונשלטים על ידי צד 3. סביר להניח שזה המצב, שאלה היחידה היה מי זה ה"צד 3" הזה עכב כך להחזיק גם אפליקציה IBKR שדרכה מתבצעת כניסה לחשבון, וגם מפתח בשבילה באותו מכשיר - מרגיש לי מאוד לא נוח. ואני רחוק מלהיות פרנואידי.

אם המכשיר האפליקטבי נשלט לגמרי ע"י צד שלישי אז זה גיים אובר בכל מקרה. ברגע שעשית לוגין וביצעת 2FA (אופלייני או לא) יש לצד השלישי סשן פתוח ומאומת לחשבון שלך (במקרה הזה יש ל-IB הגנות נוספות גם בתוך הסשן, אבל נתעלם מהמקרה הספציפי).

 

[adamshalev]

לפי מה שהבנתי הם מקבלים איזה true-false מהמערכת הפעלה על זיהוי עצבה. מה שבטוח, הם אף פעם לא מקבלים את הסריקה וכל הקשור לנתונים ביומטריים עצמם.

ברור, לא הייתי מעז להשתמש בזה אחרת.

אם המכשיר האפליקטבי נשלט לגמרי ע"י צד שלישי אז זה גיים אובר בכל מקרה. ברגע שעשית לוגין וביצעת 2FA (אופלייני או לא) יש לצד השלישי סשן פתוח ומאומת לחשבון שלך (במקרה הזה יש ל-IB הגנות נוספות גם בתוך הסשן, אבל נתעלם מהמקרה הספציפי).

ולכן אני על VM על הוסט נקי.
איזה הגנות יש בתוך ה session?

 

[Yesmad]

איזה הגנות יש בתוך ה session?

למשל, לא ניתן להעביר כספים לצד שלישי, לא ניתן להעביר כספים בלי 2FA נוסף, וכו'.

 

[roneng]

לא ניתן להעביר כספים בלי 2FA נוסף, וכו'.

זה למשל אחד הדברים שמשגעים אותי.
גם ככה בהעברת כספים החוצה צריך 2FA. למה צריך גם בזמן הלוגין? למה אין אפשרות לבטל את זה בaccount management כמו שאפשר לבטל במסחר?
משגע אותי שאני יכול להכנס בלי בעיה למערכת כדי לסחור, אבל כדי להעביר כספים פנימה אני צריך לחפש את המכשיר של ה2FA.

 

[Yesmad]

בעניין חולשות סמס והסתמכות על מספרי טלפון.

 

[tdc]

מחקר מעניין שנתקלתי בו:
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies

אמ;לק -

Interactive Brokers:
Desktop: Partially unencrypted communications, Third-party signal provider’s password stored unencrypted, Trading-related data stored unencrypted
Mobile: Partially unencrypted communications, Trading-related data stored unencrypted
Web: Cross-site scripting, Lack of some HTTP security headers, Password change not implemented

 

[מתכנת]

מחקר מעניין שנתקלתי בו:
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies

מאוד מעניין,
תודה על השיתוף,
טוב שדברים כאלו מתפרסמים בפומבי, כך לחברות יש יותר מוטיבציה ומודעות לטפל באבטחה.

 

[sogi]

לפני חודש שמתי לב שה-2FA של IB עבר לאפליקציה הרגילה שלהם (במקום אפליקציה ייעודית).
מישהו יודע מתי זה השתנה ואיפה יש הודעות על שינויים כאלה ?

 

[adamshalev]

לפני חודש שמתי לב שה-2FA של IB עבר לאפליקציה הרגילה שלהם (במקום אפליקציה ייעודית).
מישהו יודע מתי זה השתנה ואיפה יש הודעות על שינויים כאלה ?

זה קרה לפני המון זמן. קיבלתי הודעה באפליקציה של המאמת. הייתה גם תקופת מעבר שיכולת לבחור. זה עובד בדיוק אותו דבר פשוט חוסך לך עוד אפליקציה על המכשיר.

 

[sogi]

זה קרה לפני המון זמן. קיבלתי הודעה באפליקציה של המאמת. הייתה גם תקופת מעבר שיכולת לבחור. זה עובד בדיוק אותו דבר פשוט חוסך לך עוד אפליקציה על המכשיר.

שמתי לב לזה לפני כחודש כי התקנתי את התוכנה הישנה בזמנו אבל לא הפעלתי אותה ואז כשהפעלתי אותה זה כבר לא עבד.

יש איזה ערוץ תקשורת רשמי שמתפרסמות בו הודעות מהסוג הזה?

 

[sogi]

זה קצת מצחיק, כי בכל בורסת קריפטו סוג ז' יש את זה (שם בדרך כלל משתמשים ב-google authenticator) וכאן מדובר במוסדות פיננסיים ותיקים ששומרים על טריליוני דולרים. למה הם לא מממשים טכניקות אבטחה פשוטות ?

הסולידית צייצה את זה.
https://mobile.twitter.com/hasolidit/status/1086771545014444032
אני מתרגש.

כל בורסת קריפטו סוג ז' מחייבת אימות דו-שלבי בהתחברות לחשבון.
בנקים ובתי השקעות באומת הסייבר? "נא הקלד סיסמא בת 8 תווים [בדיוק]".

 

[FullStack]

לבנק לאומי אין 2FA? לא הצלחתי למצוא.
זיהוי באמצעות SMS נחשב כפגיע (אני כרגע משתמש בו מטעמי נוחות), אתם ממליצים להוריד את האפליקציה המתאימה עבור כל שירות?

 

[sogi]

למישהו יש עדכון אם משהו השתנה בנושא האבטחה הלקויה בבנקים/בתי השקעות?

היום קיבלתי התראת SSL באתר של אינטראקטיב (בדומיין co.uk). בושה.
זה הברוקר הכי איטי בעולם, אבל ציפיתי ל-10/10 בתחום האבטחה לפחות.

 

[Yuval2842]

בתור אחד שמתכנן להיות משקיע פסיבי לטווח הארוך - כמה לדעתכם השיקול של אבטחת מידע קריטי לבחירה בין IB (ללא מתווך), בית השקעות או בנק?
לצורך העניין, אם אכנס ל-IB אשקיע ב- VT , ואם לבית השקעות\בנק אשקיע בקרנות בלאקרוק שנסחרות בארץ.
הסכום יהיה פחות מ-100 אלף דולר, ככה שיוצא לי הכי משתלם מבחינת עמלות בבית השקעות - אבל בהבדל של כמה מאות שקלים לשנה ביחס לבנק\IB.
שווה לדעתכם לחטוף כמה מאות שקלים בשנה וללכת נניח על IB העולמי במצב שתיארתי?

 

[roneng]

הסכום יהיה פחות מ-100 אלף דולר, ככה שיוצא לי הכי משתלם מבחינת עמלות בבית השקעות - אבל בהבדל של כמה מאות שקלים לשנה ביחס לבנק\IB.
שווה לדעתכם לחטוף כמה מאות שקלים בשנה וללכת נניח על IB העולמי במצב שתיארתי?

לא הבנתי איך הגעת להפרש של כמה מאות בשנה.
עד כמה שאני יודע, בתי השקעות בארץ גובים עמלה חודשית של 15-20 שח, לעומת כ35 בib.
כלומר אם אתה לא עושה בכלל פעולות ההפרש יוצא כ 200 ש''ח בשנה. ועל כל פעולה שאתה עושה ההפרש הזה מצטמצם.
לא הייתי מגדיר הפרש של פחות מ 200 ש"ח כ"מאות שקלים"