eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiRe: BPH - czy warto ?
Ilość wypowiedzi w tym wątku: 131

  • 91. Data: 2005-06-09 09:46:03
    Temat: Re: BPH - czy warto ?
    Od: Marcin Nowakowski <m...@U...net.pl>

    Bartol Partol napisał(a):
    > Bo by bylo slychac. Chyba, ze Inteligo i mBank potrafia tak szybko
    > dzialac, ze naprawia szkode zanim klient wrzasnie. Ale w to chyba nikt
    > nie wierzy.

    Myślisz że każdy klient mBanku i Inteligo jest subskrybentem p.b.b. albo
    pierwsze co, to leci do tv/radia/internetu? To że o czymś nie
    słychać/widać, nie oznacza że tego nie ma, prawda?:)

    --
    Marcin Nowakowski
    MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
    mcr[at]wroclaw[dot]net[dot]pl
    GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+


  • 92. Data: 2005-06-09 09:59:49
    Temat: Re: BPH - czy warto ?
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Thu, 09 Jun 2005 11:44:54 +0200, Marcin Nowakowski napisał(a):
    > Jacek Osiecki napisał(a):
    >> A po co, jak można obić pysk i kazać wypłacić wszystko z bankomatu? :)
    >> Włamy internetowe istnieją dlatego, że ciężej jest wykryć sprawcę (a bywa,
    >> że i samo przestępstwo bywa niezauważone)...

    > Wydaje mi się, że dla zdolnego elektronika podrobienie tokena nie jest
    > czymś niemożliwym...

    Rozumiem że sugerujesz ukradzenie komuś tokena i przerobienie go tak by przy
    pytaniu wyświetlał konkretny numer konta (tzn. jego końcówkę), po czym
    podrzucenie z powrotem? Zresztą - i tak użytkownik będzie się mógł wtedy
    zorientować że coś jest nie tak, bo zawsze przelewając na KK wklepywał
    8 cyfr a tym razem ma wklepać inne.

    Nadal twierdzę że podana przeze mnie metoda praktycznie całkowicie likwiduje
    możliwość obrobienia czyjegoś konta, jeśli pominąć sytuację gdy podmieniliśmy
    komuś zdefiniowane konto i ofiara nawet nie zwróciła na to uwagi. Ale przed
    czymś takim żadne zabezpieczenia nie pomogą - choć, jeśli przy ustawianiu
    przelewów wzorcowych też byśmy musieli używać tokena, to już naprawdę nie
    widzę szans dla złodzieja.

    P.S. A przerobienie tokena może być rzeczą niezbyt prostą... Samego układu
    nie zmienisz, jest raz na zawsze zalakowany. A zrobienie układu, który
    wstawi się między chip a ekranik i w określonych sytuacjach będzie
    wyświetlał inne liczby niż powinien (też nie bardzo wiem jakim cudem) to
    banalne raczej nie będzie...

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004


  • 93. Data: 2005-06-09 10:01:28
    Temat: Re: BPH - czy warto ?
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Thu, 09 Jun 2005 11:43:31 +0200, Marcin Nowakowski napisał(a):
    > Bartol Partol napisał(a):
    >> Jesli nigdy tej dyskietki nie wkladasz do kompa, to jak uzywasz tego
    >> klucza?

    > Wkładam, ale nie leży tam non stop, pomijając metodę "na dresa", to
    > chyba nie takie proste ją przejąć...

    A od czego trojan? Wchodzisz na stronę banku, trojan widzi że się łączysz
    z ukochanym BPH i się uaktywnia. Zapisuje wszystkie wklepywane znaki, jeśli
    chcesz to też zapisuje kliknięcia myszą żeby złapać hasła "wpisywane" tą
    poronioną klawiaturką, a gdy jest odwołanie do pliku - sprawdza czy nie jest
    to klucz i jeśli jest - odczytuje go i zapisuje w odpowiednim miejscu.
    Gotowe. Chyba nie wyszarpujesz dyskietki z kluczem jak tylko skończy się
    świecić dioda? Zresztą nie przestanie się świecić, bo trojan będzie czytał
    klucz :)

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004


  • 94. Data: 2005-06-09 10:06:19
    Temat: Re: BPH - czy warto ?
    Od: Kamil Jońca <k...@p...onet.pl>

    Bartol Partol wrote:
    [...]

    > Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
    > uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
    > posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
    > wnaszacych do sprawy.

    OIDP. Wyglądało tak:
    1. należało przechwycić hasło do logowania (co jak wiemy jest możliwe)
    2. Wychwycić moment logowania sie do banku
    3. Wychwycic moment użycia hasła jednorazowego i je odczytać w tym
    momencie przerwać transmisję.
    4. Zalogować się do banku wpisać przelew i użyć właśnie zdobytego hasła.

    Jak widać sposób przejdzie tylko w tych bankach które _żądają_ tego
    samego hasła więcej niż jeden raz. Ze znanych mi robią tak m*banki, ale
    już inteligo nie.

    Ad 2 i 3 - można osiągnąć przez podstawienie lewego "serwera banku" i w
    "hosts"[1] wpisując jako mbank nasz komputerek.


    KJ


  • 95. Data: 2005-06-09 10:18:04
    Temat: Re: BPH - czy warto ?
    Od: Bartol Partol <bartolpartol@gazeta.>

    Użytkownik Marcin Nowakowski napisał:

    >> Bo by bylo slychac. Chyba, ze Inteligo i mBank potrafia tak szybko
    >> dzialac, ze naprawia szkode zanim klient wrzasnie. Ale w to chyba nikt
    >> nie wierzy.
    >
    > Myślisz że każdy klient mBanku i Inteligo jest subskrybentem p.b.b. albo
    > pierwsze co, to leci do tv/radia/internetu? To że o czymś nie
    > słychać/widać, nie oznacza że tego nie ma, prawda?:)

    Znajac polska mentalnosc (jak ja ukradne jest super, jak ktos mnie
    okradnie to lece do telewizji) jestem pewien, ze tym wrednym obcym
    bankom ;-) by sie dostalo. A do tego nasze banki wala leb w piach i
    czekaja az problem przycichnie, jak nie przycichnie, to cos tam proboja
    robic. Ot taka kultura.

    Ale oczywiscie mogly byc rozne sytuacje, o ktorych nic na zwenatrz nie
    wiadomo. To tylko dobrze swiadczy o takich bankach. Oczywiscie gdybym
    mial bank, to bym zrobil wszystko, zeby informacja o wlamie nie
    wyplynela w swiat.

    Bartol


  • 96. Data: 2005-06-09 10:24:41
    Temat: Re: BPH - czy warto ?
    Od: Bartol Partol <bartolpartol@gazeta.>

    Użytkownik Kamil Jońca napisał:

    >> Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
    >> uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
    >> posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
    >> wnaszacych do sprawy.
    >
    > OIDP. Wyglądało tak:
    > 1. należało przechwycić hasło do logowania (co jak wiemy jest możliwe)
    > 2. Wychwycić moment logowania sie do banku
    > 3. Wychwycic moment użycia hasła jednorazowego i je odczytać w tym
    > momencie przerwać transmisję.
    > 4. Zalogować się do banku wpisać przelew i użyć właśnie zdobytego hasła.

    A do tego trzeba zbudowac kawalek porzadnej infrastruktury, zeby byc w
    stanie sledzic non stop dzialania klientow i moc dzialac bardzo szybko
    (w czasie od wprowadzania kodu do klikniecia przycisku zatwierdz). I tu
    jest pies pogrzebany. Nie to, ze sie nie da, to sie najnormalniej nie
    oplaca.

    To jest tak jak z kodowaniem informacji. Wystarczy tak zakodowac, zeby
    naklady na rozkodowanie byly wieksze niz korzysci z przechwycenia
    informacji (w tym sie miesci rowniez wersja: zeby rozkodowanie trwalo
    dluzej niz waznosc informacji).

    > Jak widać sposób przejdzie tylko w tych bankach które _żądają_ tego
    > samego hasła więcej niż jeden raz. Ze znanych mi robią tak m*banki, ale
    > już inteligo nie.

    No prosze.

    > Ad 2 i 3 - można osiągnąć przez podstawienie lewego "serwera banku" i w
    > "hosts"[1] wpisując jako mbank nasz komputerek.

    Jak ktos lazi nie patrzac gdzie idzie, to nic mu nie pomoze.

    Bartol


  • 97. Data: 2005-06-09 10:42:16
    Temat: Re: BPH - czy warto ?
    Od: Kamil Jońca <k...@p...onet.pl>

    Bartol Partol wrote:
    > Użytkownik Kamil Jońca napisał:
    >
    >>> Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
    >>> uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
    >>> posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
    >>> wnaszacych do sprawy.
    >>
    >>
    >> OIDP. Wyglądało tak:
    >> 1. należało przechwycić hasło do logowania (co jak wiemy jest możliwe)
    >> 2. Wychwycić moment logowania sie do banku
    >> 3. Wychwycic moment użycia hasła jednorazowego i je odczytać w tym
    >> momencie przerwać transmisję.
    >> 4. Zalogować się do banku wpisać przelew i użyć właśnie zdobytego hasła.
    >
    >
    > A do tego trzeba zbudowac kawalek porzadnej infrastruktury, zeby byc w
    > stanie sledzic non stop dzialania klientow i moc dzialac bardzo szybko
    > (w czasie od wprowadzania kodu do klikniecia przycisku zatwierdz). I tu
    > jest pies pogrzebany. Nie to, ze sie nie da, to sie najnormalniej nie
    > oplaca.
    Nikt nie twierdził inaczej. Niemniej jednak się dało i (podobno) zostało
    to zademonstrowane on line. A kod odpowiedniego trojana nie byłby
    przypuszczalnie, aż tak mocno skomplikowany w porównaniu do takiego co
    tylko hasła wykrada.
    KJ


  • 98. Data: 2005-06-09 12:25:21
    Temat: Re: BPH - czy warto ?
    Od: Jurek Zielinski <c...@t...debica.pl>

    W artykule <s...@p...ani> Jacek Osiecki napisal(a):

    > Dnia Thu, 9 Jun 2005 05:31:58 +0000 (UTC), Jurek Zielinski napisał(a):
    >> W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):
    >>>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
    >>>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.
    >
    >>> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
    >>> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.
    >
    >> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
    >> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
    >> siebie.
    >
    > Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
    > kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
    > napracować ale jest to do zrobienia i pozwala na późniejsze spokojne
    > załatwienie transakcji... Tymczasem podstawienie "lewego" konta w locie jest
    > bez porównania trudniejsze, trzeba przejąć komunikację przeglądarki z
    > serwerem banku - a w zasadzie to wręcz jakoś zapanować nad wyświetlaniem
    > danych przez przeglądarkę.

    Polemizował bym.
    Łapanie zdarzeń od myszki kiedy nie możesz złapać w co klikneła (okno z
    klawiaturką można przesówać) o odtworzenie z tego hasła nie jest sprawą
    trywialną. Moim zdaniem porównywalną z podmianą konta w locie.


  • 99. Data: 2005-06-09 12:40:44
    Temat: Re: BPH - czy warto ?
    Od: Jurek Zielinski <c...@t...debica.pl>

    W artykule <s...@p...ani> Jacek Osiecki napisal(a):

    > Dnia Thu, 09 Jun 2005 11:43:31 +0200, Marcin Nowakowski napisał(a):
    >> Bartol Partol napisał(a):
    >>> Jesli nigdy tej dyskietki nie wkladasz do kompa, to jak uzywasz tego
    >>> klucza?
    >
    >> Wkładam, ale nie leży tam non stop, pomijając metodę "na dresa", to
    >> chyba nie takie proste ją przejąć...
    >
    > A od czego trojan? Wchodzisz na stronę banku, trojan widzi że się łączysz
    > z ukochanym BPH i się uaktywnia. Zapisuje wszystkie wklepywane znaki, jeśli

    Trojan do zczytywania klucza mieści ci się w głowie a trojan do złapania
    hasła jednorazowego już ci się w głowie nie mieści.

    I ty mówisz że ja jestem napastliwy jak zarzucam ci stronniczość.


  • 100. Data: 2005-06-09 12:42:11
    Temat: Re: BPH - czy warto ?
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Thu, 9 Jun 2005 12:25:21 +0000 (UTC), Jurek Zielinski napisał(a):
    > W artykule <s...@p...ani> Jacek Osiecki napisal(a):

    >> Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
    >> kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
    >> napracować ale jest to do zrobienia i pozwala na późniejsze spokojne

    > Polemizował bym.
    > Łapanie zdarzeń od myszki kiedy nie możesz złapać w co klikneła (okno z
    > klawiaturką można przesówać) o odtworzenie z tego hasła nie jest sprawą
    > trywialną. Moim zdaniem porównywalną z podmianą konta w locie.

    Screenshot przy każdym kliknięciu? Jak klawiaturka jest aktywna, to ma swoje
    okienko - które rezerwuje konkretny zasób o konkretnej nazwie. Właśnie
    sprawdziłem - jest to zwykły js, żaden tam aplet ani inne cudo.
    Wygląda na to że w buforze przechowywane jest hasło - jak się postarać, nie
    będzie problemu z wczytaniem jego wartości.

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004

strony : 1 ... 9 . [ 10 ] . 11 ... 14


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1