Jacek Osiecki wrote:
[...]

> Po co? Poczeka aż będziesz chciał podpisać przelew - wtedy sprawdzi skąd
> pobrano plik z kluczem i sobie go skopiuje. Taka filozofia?
Ale z karty już niekoniecznie.
KJ

do góry

Dnia Thu, 09 Jun 2005 17:56:03 +0200, r...@a...net.pl napisał(a):
> Thu, 9 Jun 2005 12:50:36 +0000 (UTC), w <s...@p...ani>,
> Jacek Osiecki <j...@c...pl> napisał(-a):

>> Oczywiście, że oba trojany muszą być robione "pod" konkretny system
>> bankowości. Problem w tym, że o ile trojan robiony "pod BPH" musi tylko
>> zbierać dane, to taki robiony pod mbank/intelligo musi również podjąć jakąś
>> konkretną akcję - w tym przypadku:
>> - przerwać łączność z bankiem
>> - zalogować się do banku przy użyciu zdobytych wcześniej haseł
>> - zdefiniować nowy przelew przy użyciu zdobytego przed chwilą hasła
>> jednorazowego
>> - zlecić ten przelew

> Są gotowe programy (nie wiem ile ich jest na dzień dzisiejszy), które monitują
> konta mBankowe, wyświetlają dane o przelewach, gromadzą całość w wyciąg...
> Zapytaj się ich autorów jakie to trudne jest to zadania, które napisałeś.

Oczywiście że są.
Tylko porównaj sobie: trojan BPHowy musi tylko zareagować na połączenie z
serwerem banku, uaktywnić keyloggera (osoby używające klawiaturki
javascriptowej to raczej margines ze względu na głupotę i niewygodę tego
rozwiązania), a przy odwołaniu do pliku o ustalonej nazwie (rozszerzenie
jest znane) zapisać go sobie.
Trojan dla mbanku - musi interpretować tekst przesyłany do przeglądarki,
sprawdzić kiedy pokazywana jest prośba o wprowadzenie kodu jednorazowego
(czyli analizować to co przeglądarka pokazuje), a w końcu zaingerować w sieć
przerywając połączenie z serwerem banku, zasymulować zwis/długie
oczekiwanie... Klient od razu wie że coś jest nie tak, zwłaszcza jak po
zalogowaniu rzuci okiem na stan konta. A złodziej niekoniecznie musi
wiedzieć że właśnie ukradł - i nie zdąży wyciągnąć kasy przed ogłoszeniem
alarmu.

>> Tymczasem trojan bepehowy po prostu sobie zapisze w notatniczku potrzebne
>> dane i grzecznie wyśle do swojego twórcy... A ten użyje ich gdy będzie ku
>> temu najlepsza okazja.

> No, trojan mBankowy ma o tyle ograniczone zastosowanie, że całość operacji
> ograniczyłaby się do 1 dnia (czy też paru godzin).

Dokładnie. Nie ma elementu wynikającego ze specyfiki kradzieży internetowych
- czyli idealnie dobranej pory ataku.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Thu, 09 Jun 2005 21:36:33 +0200, w <d8a5kg$fi5$1@news.dialog.net.pl>, Marcin
Nowakowski <m...@U...net.pl> napisał(-a):

> r...@a...net.pl napisał(a):
> > Taa, wystarczy tylko że trojan przeczyta zawartość dyskietki i wyślę komuś
> > trzeba.
>
> A skąd będzie wiedział która dyskietka? Chyba że chcesz zawartość
> _każdego_ nośnika wysyłać.

Myślę, że nie będzie problemu z rozpoznaniem właściwej.

do góry

Jacek Osiecki napisał(a):
> Ja też sobie to dopiero dzisiaj/wczoraj uświadomiłem - że naprawdę nie
> trzeba robić niesamowitych mygry-mygry z podkradaniem klucza i hasła do
> klucza - wystarczy jedno główne hasło, obejrzenie historii przelewów i
> podmiana numerów kont tam gdzie jest to warte zachodu :(

OK, ale taka jedna myśl, co to da, skoro sam fakt przelewu jest
autoryzowany podpisem? Chyba, że nie sprawdzasz co podpisujesz :)

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Dnia Fri, 10 Jun 2005 09:35:41 +0200, Kamil Jońca napisał(a):
> Jacek Osiecki wrote:
> [...]

>> Po co? Poczeka aż będziesz chciał podpisać przelew - wtedy sprawdzi skąd
>> pobrano plik z kluczem i sobie go skopiuje. Taka filozofia?
> Ale z karty już niekoniecznie.

Chyba mówimy o trojanie "na BPH" - a o kartach kryptograficznych w sez@mie
nie słyszeli :)
Co do karty - sprawa identyczna jak z hasłami jednorazowymi, choć chyba
łatwiejsza - trojan przy kradzieży hasła jednorazowego może zdefiniować
tylko jeden przelew, przy kradzieży PINu do karty - może natrzaskać tyle
operacji ile tylko zechce...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Fri, 10 Jun 2005 22:21:46 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Ja też sobie to dopiero dzisiaj/wczoraj uświadomiłem - że naprawdę nie
>> trzeba robić niesamowitych mygry-mygry z podkradaniem klucza i hasła do
>> klucza - wystarczy jedno główne hasło, obejrzenie historii przelewów i
>> podmiana numerów kont tam gdzie jest to warte zachodu :(

> OK, ale taka jedna myśl, co to da, skoro sam fakt przelewu jest
> autoryzowany podpisem? Chyba, że nie sprawdzasz co podpisujesz :)

Czy zawsze porównujesz wszystkie numery kont z zapisanymi w papierowym
kajeciku? :) Oczywiście, jeśli konto do spłaty karty kredytowej nagle
prowadzi do innego banku to trudno się nie zorientować. Ale jeśli zmiana
jest "w ramach banku" - to już gorzej :-/

Zdecydowanie w BPH definiowanie/zmiana numerów kont powinna być silniej
autoryzowana.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki napisał(a):
> Zdecydowanie w BPH definiowanie/zmiana numerów kont powinna być silniej
> autoryzowana.

Cięzko się nie zgodzić, aczkolwiek nie jest to jakaś luka krytyczna.

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Jacek Osiecki napisał(a):
> Po co? Poczeka aż będziesz chciał podpisać przelew - wtedy sprawdzi skąd
> pobrano plik z kluczem i sobie go skopiuje. Taka filozofia?

Sniffowanie hasła - ok, analiza ruchów myszki (w przypadku korzystania z
wirtualnej klawiatury) - ok, ale skąd wiesz czy podpisuję dyspozycję,
czy też akurat zmieniam sobie ustawienia?

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Dnia Sat, 11 Jun 2005 00:44:49 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Po co? Poczeka aż będziesz chciał podpisać przelew - wtedy sprawdzi skąd
>> pobrano plik z kluczem i sobie go skopiuje. Taka filozofia?

> Sniffowanie hasła - ok, analiza ruchów myszki (w przypadku korzystania z
> wirtualnej klawiatury) - ok, ale skąd wiesz czy podpisuję dyspozycję,
> czy też akurat zmieniam sobie ustawienia?

1. Odpalenie apletu - jego okno ma swoją konkretną nazwę i jego pojawienie
się to raczej prosta rzecz do wykrycia
2. Monitorowanie dostępu do plików - klucz BPH ma charakterystyczne
rozszerzenie.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

> Użytkownik "Marcin Nowakowski" <m...@U...net.pl> napisał
> w wiadomości news:d8288l$im8$1@news.dialog.net.pl...
>
> > A co jest kiepskiego w kluczu?
>
> To, że większość klientów przechowuj go na serwerze bankowym. W
> konsekwencji cały system zabezpieczenia sprowadza się do dwóch haseł,
> które przeważnie ludzie ustawiają jednakowe. No ale to już moim zdaniem
> nie tyle wada systemu, co klientów. Jedyne, co ja bym zarzucił bankowi,
> to że nie informują dostatecznie o zagrożeniach niesionych przez
> przechowywania klucza na serwerze bankowym.

Zgadzam się.
--------------

http://www.praca.net


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry