Ukončení služby SMS e-mail k 30. 11. 2022

[Návštěvník Jiří Kuchta]

před 14 minutami, Adolf.Shitler napsal:

Jestli je pro někoho 15 minut dlouhá doba, pak si klidně může pořídit nějakou - i placenou - službu, která mu ty notifikace bude zajišťovat okamžitě. Mimochodem ani u notifikací přes SMS nebyla nikdy žádná garance, že se SMS doručí ihned. A stejně tak není garance, že poskytovatel emailu na straně odesílatele odešle zprávu okamžitě, resp. že poskytovatel emailu na straně příjemce tu zprávu okamžitě doručí. Prostě email není služba okamžitého informování a každý, kdo email používá, by toto měl vědět a počítat s tím.

Návrh ?

[Adolf.Shitler]

Za 180 Kč je pro Android k mání appka, která umí notifikace s limitem od 5 minut výše (https://play.google.com/store/apps/details?id=eu.faircode.email&hl=cs). Kratší čas už asi není reálný, protože by s tím nejspíš měli problém i samotní poskytovatelé emailu a navíc telefon by se takovým provozem vyšťavil během pár hodin.

[Návštěvník Jiří Kuchta]

Hmm, ta baterka je problém, telefon se hodně používá s navigací a už jsem si odvykl chodit po lese s powerbankou v ruce

[Ivo2003]

Kdysi jsem měl v Outlooku nastavenou kontrolu přes pop3 každou minutu (aby zprávy z emailových konferencí chodily ihned) a i když byl Outlook spuštěn často od rána do večera, tak žádný BAN jsem nedostal 😀

Upraveno 19. ledna 2023 uživatelem Ivo2003

[Adolf.Shitler]

BAN se samozřejmě konat nebude, ale u nějakých free služeb se nedá moc očekávat, že poštovní server bude takové požadavky vždy vyřizovat a třeba jich polovinu nezahodí.

[Ivo2003]

A jak už bylo zmíněno výše, kdo chce okamžitou notifikaci, ať si zprávy přeposílá do Gmailu nebo Seznamu, jejich aplikace oznamují nový email ihned. 

[Návštěvník Filip]

Velmi jsem zvažoval, zda doplnit již značně rozsáhlou diskuzi; nicméně bych chtěl apelovat na manažery VF, aby ještě jednou přehodnotili své rozhodnutí a službu nerušili. Jedná se o poslední mimořádně užitečnou službu, kvůli níž u VF přetrvávám. Kdyby před lety nezrušili rovněž užitečný VF park (důkaz, že nezapomínáme), použil bych jej (jen bych si přidal do MDA na svém serveru skript, jímž jsem si SMS posílal). Zatím ještě služba běží, na vině je pouze Seznam.cz, který evidentně blokuje doménu vodafonemail.cz; SMS dorazí, i když použijete seznamáckou adresu, jak ukazuje ruční zaslání emailu:

  $ host vodafonemail.cz
vodafonemail.cz has address 217.77.161.132
vodafonemail.cz mail is handled by 10 mta1.vodafone.cz.
vodafonemail.cz mail is handled by 10 mta2.vodafone.cz.
  $ stdbuf -oL unix2dos | nc mta1.vodafone.cz 25
220 mta1.vodafone.cz ESMTP (...)
EHLO localhost
250-mta1.vodafone.cz Hello localhost, pleased to meet you
250-SIZE 30000000
250-STARTTLS
250-PIPELINING
250-8BITMIME
250 HELP
MAIL From:<ADDRESS@seznam.cz>
250 Sender <ADDRESS@seznam.cz> OK
RCPT To:<ADDRESS@vodafonemail.cz>
250 Recipient <ADDRESS@vodafonemail.cz> OK
DATA
354 Start mail input; end with <CRLF>.<CRLF>
From: ADDRESS@seznam.cz
To: ADDRESS@vodafonemail.cz
Subject: Subject

Body
.
250 Ok: queued as ...
QUIT
221 mta1.vodafone.cz Goodbye localhost, closing connection

 

Výhodou VF služby oproti jiným operátorům je, že nedáváte všem tel. č., jen vámi zvolené jméno. Navíc dostanete dvě SMS v případě delšího emailu, u T-Mobile jen jednu a ještě zkrácenou. Zatím se mi ještě nestalo, že by SMS nedorazila (kromě aktuální blokace SZN), a většinou dorazí do několika sekund, nicméně garanci po VF ani nepožadujeme.

 

Také mě pobavilo, že službu prý používá jen několik procent uživatelů, jak zaznělo v této diskuzi, a dokonce mi i operátor VF sdělil, že se jedná tak o jednoho ze sta. Kolik lidí je jedno procento ze stamilionů zákazníků?

 

Argument migrace na nové SMS centrum by mi přišel přijatelný, avšak jej nezmínili ve zdůvodnění, operátor mi potvrdil, že už k ní docházelo, a zatím jsem neviděl žádný vliv na službu. Také nevidím důvod, proč by měla mít: stejně potřebujete jednotné rozhraní pro SMS brány (bankám atp.), jež použije i služba. Mimochodem, mně neoznámili dodnes.

 

Navíc se musím ohradit vůči nálepkování lidí, kteří ještě nepodlehli té celospolečenské manipulaci, jako méně technicky zdatných. Především není vždy pravda, že by lidé neměli matlafon, protože jej neumějí ovládat, jak se nám snaží propaganda tvrdit. Existuje množství lidí, kteří naopak rozumějí enormnímu riziku těchto potenciálních štěnic velmi dobře (např. s doktorátem z IT a červeným diplomem) a vědí, že není v moci ani největšího experta tato děravá zařízení zabezpečit [1]. Proto řešení "nainstalujte si appku" pro každou pitomost, jak je bohužel hloupým zvykem převzatým z Windows [2], není pro nás řešením.

 

Jinak označení hloupé pro tlačítkové telefony nepovažuji za důstojné, neboť matlafony jsou akorát tak "chytré", aby se co nejdříve zavirovaly. Bez appky byste si ani nezavolali, ani neposlali SMS. Nám však klasické telefony stačí pro vše, co potřebujeme, ostatní věci vyřešíme pohodlněji na PC.

 

Je pozoruhodné, že rušení VF služby je doprovázeno bouřlivým potleskem a přitakáním lidí, kteří ji nikdy nepoužili a nedovedou docenit její vlastnosti. Také nikomu nevymlouvám, aby si koupil každý výkřik módy; vadí mi však, když mi "moderní" lidé berou možnosti. Služba se hodí např. pro kontrolu bezkontaktních karet [3], jež nám byly vnuceny, ačkoliv mně by stačila čistě kontaktní, kterou mi však banka zablokovala z důvodu "pokroku".

 

[1] Stačí se připojit a může se vám do zařízení kdokoliv nabourat: přihlaste se na jakýkoliv bezpečnostní mailing list a každou chvíli budete dostávat informace o chybách typu "remote execution code" či dokonce "privilege escalation" v nejrůznějším SW (vč. webových prohlížečů).
[2] V Linuxu si chybějící funkcionalitu jednoduše naskriptujete, nepotřebujete další appku.
[3] I když máte RF stíněnou peněženku, když kartu vytáhnete, může kdokoliv v okolí (i metry s dostatečným ziskem antény) zjistit jméno držitele, číslo a datum expirace (a další užitečné informace), jež vám na mnohých zahraničních serverech stačí pro zaplacení, nebo může rovnou jinde zaplatit do limitu bezkontaktně.

[Adolf.Shitler]

Sakra, jak já to jenom dělám, že od dob co mám chytré telefony, jsem si nikdy ani jeden nezaviroval, a to ani nepoužívám nějaké antiviry apod.? Možná je důvodem, že přes telefon tolik nelezu na péčko a používám ho jenom k věcem, pro které byl stvořen výrobcem, resp. že appky jsou pouze prověřené a ne někde z odkazů na Pornhubu :D

[Návštěvník Filip]

Nejde jen o přímou instalaci infikované aplikace [1], stačí spustit emailového klienta (na zařízení používaném pro autorizační SMS či dokonce IB [2]!), který dle této diskuze dokonce i s omezeným mobilním připojením stahuje celé zprávy bez interakce uživatele [3]. Pokud dostanete email se 0-day útokem, jenž může přímo cílit na načítání obsahu (přetečení bufferu atp.), nemusíte si jej ani zobrazit (potom je attack vector výrazně větší).

 

Nebo stačí otevřít běžně navštěvované stránky (netřeba hledat amorálnosti), a pokud se útočníkovi podaří napadnout daný server (nebo i jen jakýkoliv z množství načítaného balastu, či dokonce jen obrázek reklamy), máte vystaráno. Pokud však používáte bezpečný systém (např. jej celý zkompilujete ze zdrojáků a při kompilaci nastavíte SSP, PIE, RELRO atp., povolíte na FW jen nejnutnější, virtualizujete SW komunikující se světem v kontejnerech, opatchujete jádro dalším bezpečnostním kódem atd.), útočníka nejspíš po mnoha neúspěšných pokusech odradíte.

 

Každopádně zkušenější cracker svou přítomnost jen tak neprozradí a neplýtval by pásmem opakováním stále stejných neúčinných útoků z různých IP adres (z napadených zařízení), jež stále vidím na svém serveru (dokud není adresa preventivně zablokována mými skripty).

 

Také záleží na motivaci útočníka: raději bude útočit na někoho s osmiciferným kontem nebo správce serverů zpravodajských složek (či dokonce bank, jež však v poslední době moc na bezpečnost nehledí: bankovní identita založená na zadávání přihlašovacích údajů na rozkliknuté stránce [4], nedoplňování alternativního plain-textu v emailech etc.).

 

Ještě jednou však žádám zaměstnance VF, aby službu nerušili, neboť pokud službu používá opravdu jen hrstka lidí, pak se nemůže na serverech jedna služba projevit ani setinkou v loadavg a správa služby spoléhající na interní rozhraní brány a standardizovaný email (prověřený půl stoletím) sotva vyžaduje mnoho času. Nerad bych sháněl tarif s volnými SMS, abych pomocí gnokii posílal zprávy přímo z k serveru připojeného mobilu (skript samotný je však jednoduchý).

 

[1] Rovněž věřit 100% gg není úplně moudré.
[2] Není příliš bezpečné používat pro přístup k IB jen jedno zařízení, jež často dokonce uloží přihlašovací tokeny přímo na zařízení, z nějž není problém je HW metodami dostat; pokud tedy nešifrujete celý telefon silným heslem, což z hlediska komfortu asi málokdo nastaví.
[3] Správně by měl stáhnout jen hlavičky (jako např. mutt) a obsah jen tehdy, když email otevřete (ne jen vyberete).
[4] Bez zapnutí zobrazení punycode pro IDN ani nemáte šanci zkontrolovat adresu.

[Ivo2003]

Na veřejnou IP stále něco útočí, tohle se dělo už před 20 lety, kdy jsem měl veřejnou ip ukončenou na počítači a v logu firewallu bylo cca 800 hrozeb za den a to Android ještě ani neexistoval, takže s Androidem nynější vaše útoky nejspíše nemají nic společného. 

S tím IB vám dám asi za pravdu, protože situace kdy je mobilni banking obsluhován z mobilu a není tam žádný druhý faktor pro ověření,  tak kdoví jak je to s jeho bezpečností. 

Jinak je vhodné kupovat mobil od renomovaných výrobců, co dávají třeba 5 let technické podpory. 

Čínské značky s podporou rok na tom s bezpečností moc dobře asi nebude.