Witam,

Po ostatnich wydarzeniach wracam, i mam zamiar na
pocz?tek podsumowaae (oczywi?cie z mojego punktu widzenia) problematyk?
dziurawego ssl-a.
Dla tych którym wci?? obca jest ta problematyka proponuj? wst?pnie
zaznajomiae sie z http://arch.ipsec.pl/inteligo.var
Dla tych, którzy zrozumieli dalsza lekutra jest tylko formalno?ci?.

Ów b??d (mowa o b?ednym interpretowaniu bezpiecze?stwa ssl-a przez
MSIE) w uogólnieniu dotyczy wszystkich - ale to jak z wirusem HIV, nie
oznacza ?e ka?dy zostanie okradziony w wyniku tego b?edu.
Atak MITM polega na tym ?e na trasie pomi?dzy serwerem Banku a komputerem
Klienta jest odpowedni program, który:
a) nabiera nas ?e po??czenie SSL jest bezpieczne
b) wyci?ga informacje przesy?ane sieci?, oraz ma mo?liwo?ae bezpiecznego
modyfikowania tych danych (np zmiana polecenia przelewu a dok?adniej
odbiorcy pi?ni?dzy) lub poprostu zebraae informacje na temat naszego konta
(co jak niektórzy twierdz? jest bardziej dochodowe, w przypadku VIP-ów)

Osobi?cie wyodr?bni?am nast?puj?c? grup? w której ryzyko jest niewielkie
- U?ytkownicy, którzy bezpo?rednio ??cz? sie przez modem i posiadaj?
zaufanie do swojego operatora. Czyli mamy pewno?ae, ?e nikt nie
pods?uchuje naszej lini telefonicznej oraz ?e powy?szego ataku nie
dokonuje np. sam operator (ale taka tpsa to ma bardziej sprawdzone metody
wyci?gania z nas pieni?dzy)
W?a?ciwie to niewielki procent niebezpiecze?stwa powstaje w momencie
zmasowanego ataku na urz?dzenia dost?powe tepsa i instalowanie na nim
stosownego oprogramowania (tutaj teoretycznie admini powinni zalarmowaae).
Ale, osoba która u?ywa modemu przez 0202122 musi mieae swiadomo?ae tego ?e
jest wci?? nara?ona na ten atak, i mo?e on byc przeprowadzony z jej
w?asneog komputera mianowicie problem pojawia si? w przypadku trojanów i
wirusów które na naszym komputerze bezpo?rednio modyfikuj? te dane. Tutaj
odnosze do mojego poprzedniego posta (okolice lipca) w którym t?umaczy?am
zwi? 1/4 le jak unikaae trojanów.

Zatem teraz b?dziemy mówiae o tych którzy s? najbardziej nara?eni na atak:
- u?ytkownicy którzy l?cz? si? przy pomocy karty sieciowej na tzw.
sieciach osiedlowych, poczynaj?c od sieci prywatnych i sieci
komercyjnych, czyli takich które dzier?awi? szybkie ??cze, buduj? sieae
ethernetow? i najcz??ciej stawiaj? router i maja g??boko gdzie? co sie
dzieje na sieci a interesuje ich tylko fakt czy liczba u?ytkowników
zgadza si? z liczb? abonentów (to akurat znam z w?asnego do?wiadczenia -
pracowa?am swojego czasu w jednej z wi?kszych firm internetowych - no
comments). No i dochodz? do tego sieci w pracy, szko?ach, kawiarenkach
internetowych i uczelniach.

Najwa?niejsze jest to, ?e osob? atakuj?c? nie musi byae operator a np nasz
s?siad lub osoba na dziko wpinaj?ca si? w sieae. Dzia?anie polega na
spoofowaniu (czyli robieniu w butelk?) ruchu sieciowego. Czyli my
"??czymy" sie z bankiem, a dok?adnie to z?odziej ??czy nas z bankiem za
po?rednictwem swojego komputera. Metoda ta opiera sie na tzw DNSSpoofingu
czyli podszywaniu sie pod adres serwera zbieraniu danych ich modyfikacji
i wysy?aniu do banku.

Zatem skoro czujesz si? w grupie ryzyka! Proponuje ci kilka czynno?ci
które powiniene? zrobiae aby mieae ?wiadomo?ae ?e nie da?e? si? biernie
okra?ae:
- Dowiedz si? jaki jest adres IP twojego banku ( jest to numer
sk?adajacyc sie z 4 liczb które mog? mieae maksymalnie warto?ae od 0 do 255) ,
poniewa? powy?szy atak
wykorzystuje DNS do przekierowania ruchu, najlepiej dowiedzieae sie na
infolini banku jaki jest adres ip serwera i wpisywaae go w oknie
przegl?darki:
np.: adres ip dla onet.pl ma postaae: 213.180.130.200 i jesli wpiszemy ten
numer to pojawi sie nam strona onet.pl. Numer o podobnej budowie b?dzie
mia? serwer bankowy.
Jak ju? zdob?dziemy adres ip. to wpisujemy w przegl?darce:
https://ip-serwera
nale?y pami?taae ?e je?eli adres zaczyna sie od https:// oznacza ?e
korzysta on z po??czenia kodowanego SSL
Tak?e mo?emy sprawdziae, czy kto? w danym momencie nie u?ywa DNSSpoofa,
pinguj?c serwer banku (start uruchom -> command.com wpisujemy ping
nazwaserwera)
np:
ping onet.pl
I powini?my uzyskaae co? podobnego do tego poni?ej, przy czym wa?ne jest, aby adres
podany
w pierwszym nawiasie (onet.pl) zgadza? sie z numerem przypisanym obok w
polu from b?dzi podany nasz ip adres
Ping (onet.pl) 213.180.130.200 from 10.0.0.10 : 56 (84) bytes of data

Czasami jednak dost?p do internetu jest za pomoc? serwera proxy i
nieb?dzie mo?liwe pingowanie takiego hosta konczy si? to z regu?y
komunikatem Destination host is unreachable. Wtedy mo?emy zrobiae to co
powinien robiae ka?dy i zawsze:
SPRAWDZIAE WYSTAWCE CERTYFIKATU
czyli zanim powiemy TAK na certyfikat kliknijmy w przycisk WY?WIETL i
porównajmy dane z tymi które dostaniemy na infolini banku (pytaae si?
poprostu o dane i wystawce certyfikatu ssl).
A je?li ju? damy tak to zanim dokonamy przelewu kliknijmy w "k?ódke" i
sprawd 1/4 my czy te dane nie uleg?y modyfikacji i je?li mamy cie?
w?tpliwo?ci dzwo?my na infolinie poniewa? oni od tego tam s? by
odpowiedzieae na twoje pytania. W ostateczno?aei je?li nie jeste?my pewni
wy??czmy przegl?darke i kontaktujmy si? z kim? kompetentym.

Pozdrawiam Celinka.
Ps. Powy?sze metody nie eliminuj? ryzyka ale pozwalaj? rzetelnie si? o nim
dowiedzieae

Ps2. Pieni?zki tak poprostu nie wsi?kaj?, sprawdzajcie wydruki operacji
tam jest konto docelowe z?odzieja!

do góry

Celina Sienkiewicz wrote:

> Witam, ...

Abyśmy mogli niezakłócenie chłonąć wiedzę, mogłabyś prawidłowo oznaczyć
kodowanie?
Bo w nagłówku podajesz 8859-1, a kodujesz w 8859-2.

dzięki

do góry

Użytkownik "Celina Sienkiewicz" <c...@p...onet.pl> napisał
w wiadomości news:pan.2002.09.01.17.30.20.505155.1315@poczta.onet
.pl...
(..)
> Ps2. Pieniązki tak poprostu nie wsiąkają, sprawdzajcie wydruki operacji
> tam jest konto docelowe złodzieja!

Jeśli oczywiście złodziej okaże się wyjątkowym frajerem ;-)

Pix

do góry

> Jeśli oczywiście złodziej okaże się wyjątkowym frajerem ;-)

Ano. Bo jak sobie otworzy na slupa albo na kradziony dowod... ;)

do góry

[cut wywody o DNSspoofingu które można obejść przez IPspoofing]
> SPRAWDZIĆ WYSTAWCE CERTYFIKATU

Ja bym to ujął inaczej. Oprócz standardowego cztania komunikatów alarmowych ze
zrozumieniem, należy dziurę zaatakować w miejscu jej powstania. Czyli poprzez
sparwdzenie kto potwierdza certyfikat. Certifikat powinien potwierdzać
BEZPOŚREDNIO jakiś wystawca, a nie tak jak na screenshocie
http://arch.ipsec.pl/inteligo_1.png , gdzie pomiędzy wystawcą a bankiem jest
jeszcze ktoś. To jest jedyna pewna metoda.

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Mam pytanie: czy cala afera dotyczy rowniez Netscape'a?

do góry

On Sun, 01 Sep 2002 21:35:19 +0200, jerzie wrote:

> [cut wywody o DNSspoofingu które mo?na obej?ae przez IPspoofing]
>> SPRAWDZIAE WYSTAWCE CERTYFIKATU

Jezeli chodzi o ipspoofing to wystarczy do tego dodac trasowanie pakietow
(traceroute),
ale w przypadku ethernetowego ipspoofowania wystarczy prosta regulka w dowolnym
firewallu np linuxowym iptables:
iptables -i eth0 -s ! tutajsiec/maska -p all -A INPUT -j DROP
a w przypadku dnsSpoofingu sprawy nie zalatwia firewalle (chociaz w
przypadku iptables mozna by sie pokusic o stosowna konfiguracje).
i z tego co mi sie wydaje nawet zonealarmy i tym podobne by sobie
poradzily.

Pozatym mozna dalej drazyc sprawe i scanowac karty po arpie i szukac
wszystkich na promiscuous-u.....


> Ja bym to uj?? inaczej. Oprócz standardowego cztania komunikatów
> alarmowych ze zrozumieniem, nale?y dziur? zaatakowaae w miejscu jej
> powstania. Czyli poprzez sparwdzenie kto potwierdza certyfikat.
> Certifikat powinien potwierdzaae BEZPO?REDNIO jaki? wystawca, a nie tak
> jak na screenshocie http://arch.ipsec.pl/inteligo_1.png , gdzie pomi?dzy
> wystawc? a bankiem jest jeszcze kto?. To jest jedyna pewna metoda.

Hmm, oby wszyscy wlamywacze byli tak >sprytni< jak pan.

ps. Przepraszam za moje 8859-1 ale jakos nie umiem znalezc gdzie sie w
tym czytniku ustawia kodowanie.

do góry

On Sun, 01 Sep 2002 22:09:49 +0200, minik wrote:

> Mam pytanie: czy cala afera dotyczy rowniez Netscape'a?

generalnie dotyczy kazdej przegladarki i jest to problem staaary jak
swiat, tyle ze netscape nie pokaze ci ze polaczenie jest
legalne czyli wywali komunikat ze cos jest nie tak i musi potwierdzic
swoje dalsze dzialania co w praktyce niwieluje skutki takiego ataku.
no i pod warunkiem ze czyta sie komunikaty zanim sie je potwierdzi

pozdrawiam celinka

do góry

Uzytkownik "Celina Sienkiewicz" <c...@p...onet.pl> napisal
w wiadomosci news:pan.2002.09.01.20.46.02.675218.1315@poczta.onet
.pl...
(..)
> a w przypadku dnsSpoofingu sprawy nie zalatwia firewalle (chociaz w
> przypadku iptables mozna by sie pokusic o stosowna konfiguracje).
> i z tego co mi sie wydaje nawet zonealarmy i tym podobne by sobie
> poradzily.

Nie wiem jak tam ZA, ale IMHO kazdy firewall, który pozwala na definiowanie
stosownych regulek powinien sobie z tym dac rade.
Pod warunkiem oczywiscie, ze uzytkownik zrobi z tego wlasciwy uzytek i nie
poprzestanie na domyslnych ustawieniach.

Pix

do góry

> > To jest jedyna pewna metoda.
> Hmm, oby wszyscy wlamywacze byli tak >sprytni< jak pan.

proszę opisać jak ominąć wpisanie pośrednika do ścieżki certyfikatów -
potraktujmy to jako test >sprytności<

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry