"prz3c1nak" <m...@t...pl> wrote in message
news:3582.0000005c.43fc2bfd@newsgate.onet.pl...
> Sorki że wstawiam ten sam post, ale tamten był bez wstawki
> antyspamowej i go
> scancelowałem.

No, to przepraszam KJ, ze sie czepilem :-)

[...]
>>
>> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co
>> pisza,
>> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
>> im postawic ?
>
> Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
> Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać
> połączenie SSL ze
> słabym kluczem - niby prawda, ale ... gdy takie nawiążesz,
> wszystko co uzyskasz
> to komunikat w HTML, że aby się zalogować niezbędne jest
> wsparcie przeglądarki
> dla szyfrowania z silnym kluczem .... No ale że tak jest, to już
> nie
> napisali ... powiedziałbym że to co najmniej nierzetelne - nie
> sądzisz??? Bo
> tak naprawde oznacza, że wejść do serwisu transakcyjnego i
> zalogować się na
> słabym kluczu nie można!!!

Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
Albo sie w ogole nie reaguje na odwolanie po http,
albo daje automatyczne przekierowanie. Jak jest
tak, jak piszesz, to wlasnie jest dowod nieprofesjonalnego
podejscia banku.
Zatem slusznie sie oberwalo Multibankowi - w istocie ja
odczytalem ten artykul nie jako wskazanie niebezpiecznych
rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
cos w stylu zasad na bugtraq-u), tylko jako krytyke
nieprofesjonalnie prowadzonych serwisow bankowych.
A ilosc jedynek - wskazuje na nasilenie tego podejscia.



>>
>>> No ale autorzy dopieli swego - prezes podobno nawet w tv
>>> wystąpił.
>>
>>
>> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie
>> mowic.
>> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo,
>> sprawdzilem
>> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
>> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
>> wiedzialem, ze banki dopuszczaja SSL2...).
>> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
>> do roboty, bo "wypadlismy najgorzej"...
>> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
>> przy tej okazji cos pozytywnego sie stanie.
>
>
> I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
> dotyczy dość

Jak to selektywnie czytasz :-[

> szczególnych sytuacji i to takich w których tenże SSL2 wspiera
> krótkie
> klucze ... Nie jestem obrońcą tego przestarzałego już nieco
> protokołu, ale
> naprawde - spróbujcie go złamać przy silnym szyfrowaniu ...
> Zwróć uwagę że w
> dokumencie napisano o znanych błędach architekturalnych SSL2 i
> tzw. dobrej
> praktyce, a nie podparto tego żadnym przykładowym atakiem ...
> Mogę Cię
> zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
> przykładowy atak
> przeprowadzić, to byłby on w dokumencie - możesz być tego
> pewnym.

Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni byli
tego
zrobic i dobrze, ze nie zrobili ;-)

>
>
> Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na
> końcu - każda
> wpisana tam jedynka lub dwójka powinna być poparta przykładem -
> tak, żeby nie
> było żadnych wątpliwości o co chodzi ...

To profesjonalistom niepotrzebne, a publicznosc nie przeczytalaby
reszty.
Uwazam tylko, ze powinni skomentowac tabelke, ale wtedy dopiero
wszyscy
by sie ich czepiali... :-)))

witrak()

do góry

Witam ponownie

> Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
> Albo sie w ogole nie reaguje na odwolanie po http,

w tym przykładzie nie chodziło o http, tylko https i długość klucza ...

> albo daje automatyczne przekierowanie. Jak jest
> tak, jak piszesz, to wlasnie jest dowod nieprofesjonalnego
> podejscia banku.
> Zatem slusznie sie oberwalo Multibankowi - w istocie ja
> odczytalem ten artykul nie jako wskazanie niebezpiecznych
> rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
> cos w stylu zasad na bugtraq-u), tylko jako krytyke
> nieprofesjonalnie prowadzonych serwisow bankowych.
> A ilosc jedynek - wskazuje na nasilenie tego podejscia.

Obawiam się że nie do końca. Czy błędem jest wykrycie połączenia ze słabym
kluczem i wyświetlenie komunikatu że niezbędny jest silny by połączyć się z
bankiem to kwestia bardzo śliska. W dodatku czytając ten "raport" można odnieść
wrażenie że do systemów bankowych (MultiBank to tylko przykład) można się
zalogować korzystając z SSL i słabego klucza - autorzy nie napisali wprost że
tak nie jest, a laik nie odróżnia wyrażenia "możliwość nawiązania połączenia"
która służy tylko do eleganckiego obsłużenia błędu (w tym wypadku braku obsługi
krótkich kluczy) od możliwości zalogowania się. Nazwijmy rzeczy po imieniu - to
manipulacja.


> >
> > I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
> > dotyczy dość
>
> Jak to selektywnie czytasz :-[

O to się nie martw - przeczytałem bardzo uważnie, jak zawsze.


> > Mogę Cię
> > zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
> > przykładowy atak
> > przeprowadzić, to byłby on w dokumencie - możesz być tego
> > pewnym.
>
> Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni byli
> tego
> zrobic i dobrze, ze nie zrobili ;-)

A dlaczego nie? niech pokażą jak odszyfrowują SSL2 z długim kluczem ... Dane
osobowe i inne informacje (które przecież mogą należeć do jednego z nich)
zawsze można pozamazywać na zrzutach z ekranu. Taki atak miałby sporą wartość
dydaktyczną, zdecydowanie większą niż ten cały "dokument".

> To profesjonalistom niepotrzebne, a publicznosc nie przeczytalaby
> reszty.
> Uwazam tylko, ze powinni skomentowac tabelke, ale wtedy dopiero
> wszyscy
> by sie ich czepiali... :-)))

Własnie na tym polega problem - gdyby autorzy wyjaśnili szczegółowo znaczenie
tego co jest w tabeli, to najpewniej nie byłoby całego szumu, tv itd., jednym
słowem całe to przedsięwzięcie marketingowe mijałoby się z celem.


Pozdrawiam
prz3c1nak

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

"prz3c1nak" <m...@t...pl> wrote in message
news:3582.000001dc.43fcb70a@newsgate.onet.pl...
> Witam ponownie
>
>> Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
>> Albo sie w ogole nie reaguje na odwolanie po http,
>
> w tym przykładzie nie chodziło o http, tylko https i długość
> klucza ...
>
Ale JA pisalem o czym innym, wiec polemizujesz, ale nie ze mna :-)

I dalej twierdze, ze, albo sie w ogole nie reaguje na odwolanie po
http
(i tak powinno sie robic, zeby utrudnic phishing,
>> albo daje automatyczne przekierowanie. Jak jest
[...]
>> Zatem slusznie sie oberwalo Multibankowi - w istocie ja
>> odczytalem ten artykul nie jako wskazanie niebezpiecznych
>> rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
>> cos w stylu zasad na bugtraq-u), tylko jako krytyke
>> nieprofesjonalnie prowadzonych serwisow bankowych.

I dalej podtrzymuje powyzsza moja obrone tego - zgoda, nie bardzo
profesjonalnie od strony "redaktorsko-publikacyjnej" napisanego
- artykulu, glownie ze wzgledu na oddzwiek, jaki wywolal.
Jezeli mBank (gdzie totalne informatyczne bzdury wypisuja tacy
decydenci jak mWB, mącąc niezorientowanym w glowach) podjal
dzialania w ciagu *kilku dni*, to jest to naprawde wielka
sprawa :-)

>> > I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
>> > dotyczy dość
>>
>> Jak to selektywnie czytasz :-[
>
> O to się nie martw - przeczytałem bardzo uważnie, jak zawsze.

Nie idzie mi o to, czy czytasz dokladnie, tylko o to, ze z mojej
wypowiedzi wybrales fragment w zasadzie bez znaczenia i tylko na
ten element odpowiadasz :-|
Powinienem byl napisac: "Jak selektywnie odpowiadasz :-["
;-)

>> > Mogę Cię
>> > zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
>> > przykładowy atak
>> > przeprowadzić, to byłby on w dokumencie - możesz być tego
>> > pewnym.
>>
>> Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni
>> byli
>> tego zrobic i dobrze, ze nie zrobili ;-)
>
> A dlaczego nie? niech pokażą jak odszyfrowują SSL2 z długim
> kluczem ... Dane
> osobowe i inne informacje (które przecież mogą należeć do
> jednego z nich)
> zawsze można pozamazywać na zrzutach z ekranu. Taki atak miałby
> sporą wartość
> dydaktyczną, zdecydowanie większą niż ten cały "dokument".

1. Dlatego, ze im tego bez zgody banku nie wolno. Przelamywanie
zabezpieczen
jest niedozwolone niezaleznie od tego, czy i jakie dane sie
ostatecznie
uzyska...
2. Wartosc dydaktyczna dla kogo ? Niedosc zaawansowanych hackerow
?
Dla nikogo innego raczej nie (Tobie, mnie i parudziesieciu gostkom
na tej grupie taki przyklad nie jest potrzebny, inni nie
zrozumieja,
chyba zeby im dac exploit i instrukcje, jak go wykorzystac ;-) ),
wiec
jest to dydaktycznie zupelnie chybione :-|

>
> Własnie na tym polega problem - gdyby autorzy wyjaśnili
> szczegółowo znaczenie
> tego co jest w tabeli, to najpewniej nie byłoby całego szumu, tv
> itd., jednym
> słowem całe to przedsięwzięcie marketingowe mijałoby się z
> celem.

Co prawda tez uwazam (co napisalem we wczesniejszym poscie), ze
powinni
skomentowac, ale dalej juz sie roznimy - podchodzisz do tego
myslac jak
profi, ale w bankach decyduja marketingowcy (rozni mWB itp.).
A jak pewnie wiesz, marketingowcom podczas szkolen dokonuje sie
mentalnej
amputacji 80% mozgu, zeby mysleli tak, jak mysli przecietny
potencjalny
klient, ktorego maja zlowic :-))
Wiec niezaleznie od wartosci merytorycznej zestawien, porownan
itp. z tego
artykulu bankowcy-decydenci wyczytali tylko "moj bank wypadl
gorzej od ..."
i to jest podstawa do wypracowania reakcji.

A jesli reakcja jest, to jestem sklonny odpuszcic autorom, ze na
tym
zbili marketingowy kapital.

Pozdr.

witrak()

do góry

Witam ponownie

> > w tym przykładzie nie chodziło o http, tylko https i długość
> > klucza ...
> >
> Ale JA pisalem o czym innym, wiec polemizujesz, ale nie ze mna :-)
>

Napisałeś o tym w kontekście przykładu z multibankiem, a tamten dotyczył
właśnie długości klucza , wiec pewnie stąd nieporozumienie.


> I dalej twierdze, ze, albo sie w ogole nie reaguje na odwolanie po
> http
> (i tak powinno sie robic, zeby utrudnic phishing,
> >> albo daje automatyczne przekierowanie. Jak jest

Faktycznie w niektórych sytuacjach reagowanie lub udostępnianie jednocześnie po
http może ułatwić phishing, ale to też wymaga dodatkowych błędów w tym co sie
po http udostępnia (pomijam różnego rodzaju próby z rejestrowaniem podobnie
wyglądających domen, bo to zupełnie inna kwestia). Czy autorzy wskazali takie
błędy? Czy powiedzieli że w ogóle istnieją? Oczywiście nie. Zresztą nie
phishing był tam tematem przewodnim. Za to pojawiło się stwierdzenie o tym, że
udostępnianie po http i http niesie ze sobą zagrożenia związane z wysłaniem
zawartości cookie transakcyjnego po http. A napisali czy i jak banki się
zabezpieczyły przd taką możliwością??? Czy próbowali ocenić te zabezpieczenia?
Oczywiście znowu temat przemilczany. Nie pasował do marketingowego kontekstu.


>
> I dalej podtrzymuje powyzsza moja obrone tego - zgoda, nie bardzo
> profesjonalnie od strony "redaktorsko-publikacyjnej" napisanego
> - artykulu, glownie ze wzgledu na oddzwiek, jaki wywolal.
> Jezeli mBank (gdzie totalne informatyczne bzdury wypisuja tacy
> decydenci jak mWB, mącąc niezorientowanym w glowach) podjal
> dzialania w ciagu *kilku dni*, to jest to naprawde wielka
> sprawa :-)

Piszesz nieprofesjonalnie od strony "redaktorsko-publikacyjnej" - powiedziałbym
że bardzo dyplomatycznie się wyraziłeś;). Może więc podsumujmy dlaczego
dokument jest moim zdaniem nierzetelny - jego główne wątki to:

1) Udostępnianie po HTTP i HTTPS - gdyby opisano same potencjalne problemy, to
trudno by z nimi polemizować, ale przecież nie tak to wygląda. Najpierw podano
przykład banku w którym po http i https można wypełnić formularz i wysłać dane,
a potem mamy tabelkę w której jest długa lista banków, które udostępniają
domenę po http i https. Jakie wnioski wyciągnie laik? Chyba się zgodzisz że
dokłądnie takie, że w tych bankach wypełnianie formularzy elektronicznych jest
niebezpieczne bo są puszczane po http i https. A czy tak jest? To pytanie jest
retoryczne...

2) Problem SSL2. Tak jak już pisałem - jest troche przestarzały, ma swoje
niedoskonałości, ale pisałem też że niech ktoś spróbuje go złąmać przy długim
kluczu ... Odpisałeś że nie powinni tego robić by nie łamać zabezpieczeń banku.
Ok, nie powinni, ale to przecież nie problem. Postawienie Apache z SSLem to pół
godziny roboty max. - niech postawią środowisko testowe i pokażą jak się łamie
SSL2 z AESem i jak słabe jest to zabezpieczenie. Wtedy nikt nie będzie miał
wątpliwości że protokół jest niebezpieczny i nie wolno zwlekać z jego
zastąpieniem. Ale przestańmy bujać w chmurach ... ;) O czym my w ogóle piszemy -
nawet Ty się uśmiechnąłeś gdy pisałeś że może mogliby to zrobić ... ;)

3) Problem błędu w mod_ssl - wskazali chyba 2 banki o ile się nie mylę. Tutaj
nie mam uwag, poza taką że błąd rodzi największe problemy wówczas gdy wspiera
się krótkie klucze, a to chyba też pominęli ... ;)

4) Możliwość połączenia z krótkim kluczem. To co w tym dokumencie wypisali, to
było mistrzostwo świata i bynajmniej nie jest to komplement ... Wiele banków (i
nie tylko - innych organizacji też) rozwiązuje problem w ten sposób, że próba
nawiązania połączenia z krótkim kluczem powoduje wyświetlenie w przeglądarce
komunikatu że nie można nawiązać połączenia bo przeglądarka klienta nie wspiera
silnego szyfrowania. Jest to eleganckie rozwiązanie "pod klienta". No i tutaj
autorzy się "popisali" - najpierw mamy ten nieszczęsny przykład z błędem w
mod_ssl i połączeniem z wybranym bankiem po krótkim kluczu, a potem listę
banków, które pozwalają "nawiązać połączenie z krótkim kluczem". Jak laik ma
rozumieć możliwość nawiązania takiego połączenia - dla niego oznacza to
możliwość zalogowania się i wykonywania operacji na rachunkach. Czy można coś
takiego zrobić w tych bankach? Znowu pytanie retoryczne! Ściema i manipulacja.



> Co prawda tez uwazam (co napisalem we wczesniejszym poscie), ze
> powinni
> skomentowac, ale dalej juz sie roznimy - podchodzisz do tego
> myslac jak
> profi, ale w bankach decyduja marketingowcy (rozni mWB itp.).
> A jak pewnie wiesz, marketingowcom podczas szkolen dokonuje sie
> mentalnej
> amputacji 80% mozgu, zeby mysleli tak, jak mysli przecietny
> potencjalny
> klient, ktorego maja zlowic :-))
> Wiec niezaleznie od wartosci merytorycznej zestawien, porownan
> itp. z tego
> artykulu bankowcy-decydenci wyczytali tylko "moj bank wypadl
> gorzej od ..."
> i to jest podstawa do wypracowania reakcji.


Z pewnością zareagowali, tylko że z takim podejściem co miesiąc należałoby
publikować jakiś złowieszczy SPAM żeby postraszyć kadrę kierowniczą w
bankach ...

Mi się takie podejście nie podoba, uważam że wartość merytoryczną raportu
(zresztą umówmy się - nie była to jakaś wirtuozeria - raczej wykorzystanie
exploita do wykazania obecności dziury) można było zmieścić na kartce A4 (2
stronach), a reszta to manipulacja i próba sprzedaży swoich usług. Mogę mieć
tylko nadzieję że jednak się nie udało, taki rodzaj "marketingu" wybitnie mi
się nie podoba.


Przepraszam że tak przydługo przynudzam i pozdrawiam
prz3c1nak

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

"prz3c1nak" <m...@t...pl> wrote in message
news:2490.0000026c.43fe3469@newsgate.onet.pl...

>> Co prawda tez uwazam (co napisalem we wczesniejszym poscie), ze
>> powinni
>> skomentowac, ale dalej juz sie roznimy - podchodzisz do tego
>> myslac jak
>> profi, ale w bankach decyduja marketingowcy (rozni mWB itp.).
>> A jak pewnie wiesz, marketingowcom podczas szkolen dokonuje sie
>> mentalnej
>> amputacji 80% mozgu, zeby mysleli tak, jak mysli przecietny
>> potencjalny
>> klient, ktorego maja zlowic :-))
>> Wiec niezaleznie od wartosci merytorycznej zestawien, porownan
>> itp. z tego
>> artykulu bankowcy-decydenci wyczytali tylko "moj bank wypadl
>> gorzej od ..."
>> i to jest podstawa do wypracowania reakcji.
>
>
> Z pewnością zareagowali, tylko że z takim podejściem co miesiąc
> należałoby
> publikować jakiś złowieszczy SPAM żeby postraszyć kadrę
> kierowniczą w
> bankach ...
>
> Mi się takie podejście nie podoba, uważam że wartość
> merytoryczną raportu
> (zresztą umówmy się - nie była to jakaś wirtuozeria - raczej
> wykorzystanie
> exploita do wykazania obecności dziury) można było zmieścić na
> kartce A4 (2
> stronach), a reszta to manipulacja i próba sprzedaży swoich
> usług. Mogę mieć
> tylko nadzieję że jednak się nie udało, taki rodzaj "marketingu"
> wybitnie mi
> się nie podoba.

Generalnie ja tez nie lubie sprzedazy wlasnych uslug jako dania
"pro publico bono" w marketingowym sosie, wiec Cie rozumiem.
W tym wypadku wszakze - poniewaz efektywnie "pogonili kota"
mBankowi, na ktorego olewanie klienta i jego interesow jestem
ciety jak malo kto - odpuscilem ;-)

>
> Przepraszam że tak przydługo przynudzam i pozdrawiam

Wcale tak znowu bardzo nie przynudzasz :-))))
Ja czesto robie to samo, wiec i sam jestem odporny.
A inni pewnie dawno juz ten watek odpuscili - wiec nikomu
to nie przeszkadza ;-)))

Pozdr.

witrak()

do góry