Witam,

Polecam artykuł:

http://security.psnc.pl/reports/e-banking_polska_ssl
_report.pdf

Pozdrawiam,

Tomek

X-Nat-Received: from [172.25.4.114]:36508 [ident-empty]
by smtp-proxy.isp with TPROXY id 1140532514.14161

--------------------
W polskim Internecie są setki milionów stron. My przekazujemy Tobie tylko najlepsze z
nich!
http://katalog.panoramainternetu.pl/

--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Patrze, patrze a tu Tomasz Słonina porozsypywal nastepujace haczki:
> Polecam artykuł:
> http://security.psnc.pl/reports/e-banking_polska_ssl
_report.pdf
Polecam uwazne czytanie grupy... bylo poruszane, calkiem niedawno.
--
Michal "badzio" Kijewski
JID: badzio(at)chrome(dot)pl
GG: 296884, ICQ: 76259763
Skype: badzio

do góry

Tomasz Słonina wrote:
> Witam,
>
> Polecam artykuł:
>
> http://security.psnc.pl/reports/e-banking_polska_ssl
_report.pdf

Nie czytałem wprawdzie poprzedniego wątku, ale ten artykuł jak
najbardziej. Przykro to stwierdzić, ale jest to nic więcej jak
manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
autorów. Zwłaszcza układ tego dokumentu ... najpierw podano dwa
przykłady wykorzystania podatności, które znaleziono w serwisach
bankowych, a potem ta tabelka, sugerująca że inne banki też są podatne.
Prawda jest taka, że zdecydowana większość banków z tej tabelki jest
całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
pisze się tego wprost i w sumie nie można zarzucić kłamstwa).

No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.

do góry

"prz3c1nak" <m...@w...pl> wrote in message
news:dth26e$1cun$1@news2.ipartners.pl...
> Tomasz Słonina wrote:
>> Witam,
>>
>> Polecam artykuł:
>>
>> http://security.psnc.pl/reports/e-banking_polska_ssl
_report.pdf
>
> Nie czytałem wprawdzie poprzedniego wątku, ale ten artykuł jak
> najbardziej. Przykro to stwierdzić, ale jest to nic więcej jak
^^^^^^^^^^^
> manipulacja obliczona na wygenerowanie sztucznego popytu na
> "usługi" autorów.

Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo
polprawda ?

> Zwłaszcza układ tego dokumentu ... najpierw podano dwa przykłady
> wykorzystania podatności, które znaleziono w serwisach
> bankowych, a potem ta tabelka, sugerująca że inne banki też są
> podatne. Prawda jest taka, że zdecydowana większość banków z tej
> tabelki jest

Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
jednych przedstawic w lepszym a innych w gorszym swietle ?
Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
o czyms swiadczy.

> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury
> (choć nie pisze się tego wprost i w sumie nie można zarzucić
> kłamstwa).

No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
im postawic ?

> No ale autorzy dopieli swego - prezes podobno nawet w tv
> wystąpił.

No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie
mowic.
Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
wiedzialem, ze banki dopuszczaja SSL2...).
Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
do roboty, bo "wypadlismy najgorzej"...
Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
przy tej okazji cos pozytywnego sie stanie.

witrak()

do góry

>> manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
>> autorów.
>
>
> Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo polprawda ?


Heheheh - rzecz właśnie w tym czego nie napisali ;)


> Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
> jednych przedstawic w lepszym a innych w gorszym swietle ?
> Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
> Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
> wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
> o czyms swiadczy.

Ok - SSL2 nie jest najnowszym protokołem i ma swoje błędy
architekturalne, ale znowu nie demonizujmy - złam go gdy używa się
silnych kluczy algorytmów symetrycznych ... życze powodzenia!


>
>> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
>> pisze się tego wprost i w sumie nie można zarzucić kłamstwa).
>
>
> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
> im postawic ?

Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać połączenie SSL
ze słabym kluczem - niby prawda, ale ... gdy takie nawiążesz, wszystko
co uzyskasz to komunikat w HTML, że aby się zalogować niezbędne jest
wsparcie przeglądarki dla szyfrowania z silnym kluczem .... No ale że
tak jest, to już nie napisali ... powiedziałbym że to co najmniej
nierzetelne - nie sądzisz??? Bo tak naprawde oznacza, że wejść do
serwisu transakcyjnego i zalogować się na słabym kluczu nie można!!!

>
>> No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.
>
>
> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie mowic.
> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
> wiedzialem, ze banki dopuszczaja SSL2...).
> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
> do roboty, bo "wypadlismy najgorzej"...
> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
> przy tej okazji cos pozytywnego sie stanie.


I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl) dotyczy
dość szczególnych sytuacji i to takich w których tenże SSL2 wspiera
krótkie klucze ... Nie jestem obrońcą tego przestarzałego już nieco
protokołu, ale naprawde - spróbujcie go złamać przy silnym szyfrowaniu
... Zwróć uwagę że w dokumencie napisano o znanych błędach
architekturalnych SSL2 i tzw. dobrej praktyce, a nie podparto tego
żadnym przykładowym atakiem ... Mogę Cię zapewnić, że gdyby Ci
"specjaliści" potrafili taki sensowny przykładowy atak przeprowadzić, to
byłby on w dokumencie - możesz być tego pewnym.


Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na końcu -
każda wpisana tam jedynka lub dwójka powinna być poparta przykładem -
tak, żeby nie było żadnych wątpliwości o co chodzi ...


Pozdrawiam

do góry

prz3c1nak wrote:
> >> manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
> >> autorów.
> >
> >
> > Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo polprawda ?
>
>
> Heheheh - rzecz właśnie w tym czego nie napisali ;)

A czego nie napisali ?
KJ

do góry

Sorki że wstawiam ten sam post, ale tamten był bez wstawki antyspamowej i go
scancelowałem.

>> manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
>> autorów.
>
>
> Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo polprawda ?

Heheheh - rzecz właśnie w tym czego nie napisali ;)


> Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
> jednych przedstawic w lepszym a innych w gorszym swietle ?
> Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
> Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
> wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
> o czyms swiadczy.

Ok - SSL2 nie jest najnowszym protokołem i ma swoje błędy architekturalne, ale
znowu nie demonizujmy - złam go gdy używa się silnych kluczy algorytmów
symetrycznych ... życze powodzenia!


>
>> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
>> pisze się tego wprost i w sumie nie można zarzucić kłamstwa).
>
>
> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
> im postawic ?

Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać połączenie SSL ze
słabym kluczem - niby prawda, ale ... gdy takie nawiążesz, wszystko co uzyskasz
to komunikat w HTML, że aby się zalogować niezbędne jest wsparcie przeglądarki
dla szyfrowania z silnym kluczem .... No ale że tak jest, to już nie
napisali ... powiedziałbym że to co najmniej nierzetelne - nie sądzisz??? Bo
tak naprawde oznacza, że wejść do serwisu transakcyjnego i zalogować się na
słabym kluczu nie można!!!

>
>> No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.
>
>
> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie mowic.
> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
> wiedzialem, ze banki dopuszczaja SSL2...).
> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
> do roboty, bo "wypadlismy najgorzej"...
> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
> przy tej okazji cos pozytywnego sie stanie.


I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl) dotyczy dość
szczególnych sytuacji i to takich w których tenże SSL2 wspiera krótkie
klucze ... Nie jestem obrońcą tego przestarzałego już nieco protokołu, ale
naprawde - spróbujcie go złamać przy silnym szyfrowaniu ... Zwróć uwagę że w
dokumencie napisano o znanych błędach architekturalnych SSL2 i tzw. dobrej
praktyce, a nie podparto tego żadnym przykładowym atakiem ... Mogę Cię
zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny przykładowy atak
przeprowadzić, to byłby on w dokumencie - możesz być tego pewnym.


Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na końcu - każda
wpisana tam jedynka lub dwójka powinna być poparta przykładem - tak, żeby nie
było żadnych wątpliwości o co chodzi ...


Pozdrawiam

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> A czego nie napisali ?
> KJ

Widze że przykład z Multibankiem to za mało ... ;) Ok, lećmy dalej ...
Jako przykład powszechnej podatności podano wystawianie tej samej domeny na
http i https, po czym pokazano bank (nie pamiętam już który) gdzie można
wpisywać dane w formularzach zarówno po http jak i https i to oczywiście jest
gruby błąd, nie mam żadnych wątpliwości i zgadzam się w 100%, ale ... no właśnie

potem w tabelce mamy w kilku bankach 1 za wystawianie samej domeny na http i
https, co mogłoby sugerować że w tych bankach również można wprowadzać swoje
dane w niezabezpieczonych formularzach, a przecież tak nie jest. Wiec niby nie
napisali nieprawdy, ale znowu co do rzetelności, mam poważne zastrzeżenia ...

Powtórzę raz jeszcze - opublikowaniu takiej tabeli z podaniem nazw banków
powinno towarzyszyć podanie konkretnego przykładu dla każdej wpisanej w niej 1
lub 2 oznaczającej podatność. W obecnej formie jest to najzwyklejsza
manipulacja.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

"Kamil Jońca" <k...@p...onet.pl> wrote in message
news:dth86d$qf8$1@kjonca.kjonca...
> prz3c1nak wrote:
>> >> manipulacja obliczona na wygenerowanie sztucznego popytu na
>> "usługi"
>> >> autorów.
>> >
>> >
>> > Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo
>> polprawda ?
>>
>>
>> Heheheh - rzecz właśnie w tym czego nie napisali ;)
>
> A czego nie napisali ?
> KJ

A czemu odpowiadasz na moj post, skoro pytasz prz3cinak-a ? ;-)

witrak()

do góry

witrak() wrote:
>

> A czemu odpowiadasz na moj post, skoro pytasz prz3cinak-a ? ;-)

Odpowiedziałem na jego, tyle, ze on tamten anulował. możesz sprawdzić po
references.
KJ

do góry