> > Nie zdobede. Nie pracuje w Twoim banku, nie jestem Twoim znajomym ani
> > sasiadem, nie znam sie tez na trojanach czy innych key-loggerach. I co
> > najwazniejsze, nie zalezy mi na tym.
>
> Nie znasz się, ale za to jesteś przekonany, że to proste :-) Ech...
>
Moim zdaniem relatywnie proste, dla osób mających dostęp do Twojego segmentu
sieci, nawet jesli jest to sieć oparta na switchach (atak na tablice MACow),
to można podsłuchać ruch. Oczywiście hasło jest przesyłane kanałem
szyfrowanym, ale mając troche czasu i szcześcia można złamać.
Jeśli używasz DHCP to sprawa jest jeszcze prosza, podając Ci spreparowany
serwer DNS który połączy Cię z witryną podrobioną (czywiście nie będzie sie
zgadzał certyfikat, ale czy zawsze sprawdzasz?).
Można też podesłać różne keyloggery, etc.
Metod jest kilka, żadna nie jest banalna, ale dla upartego intruza jest pewna
szansa powodzenia.
Moim zdaniem.
Co wcale nie znaczy, że mam ochotę "rzeźbić w g..wnie" i starać się uzyskiwać
tymi metodami hasła.
Trzeba być zapaleńcem do tego, mieć sporo wiedzy i cierpliwości, ale tacy się
czasami zdarzają.
Pozdrawiam.
Bogusz.

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

3 Dec 2004 17:59:39 +0100, w <5...@n...onet.pl>,
"Bogusz" <b...@p...onet.pl> napisał(-a):

> Moim zdaniem relatywnie proste, dla osób mających dostęp do Twojego segmentu
> sieci, nawet jesli jest to sieć oparta na switchach (atak na tablice MACow),
> to można podsłuchać ruch. Oczywiście hasło jest przesyłane kanałem
> szyfrowanym, ale mając troche czasu i szcześcia można złamać.

Taaaa, z naciskiem na szczęście.
A hasło jednorazowe jak jest przesyłane?
Jeżeli to takie proste, to co za problem podsłuchać hasło jednorazowe?

> Jeśli używasz DHCP to sprawa jest jeszcze prosza, podając Ci spreparowany
> serwer DNS który połączy Cię z witryną podrobioną (czywiście nie będzie sie
> zgadzał certyfikat, ale czy zawsze sprawdzasz?).

Jak wyżej, hasło jedn. czy token przed tym również nie zabezpieczy.

> Można też podesłać różne keyloggery, etc.

jw.

> Metod jest kilka, żadna nie jest banalna, ale dla upartego intruza jest pewna
> szansa powodzenia.
> Moim zdaniem.
> Co wcale nie znaczy, że mam ochotę "rzeźbić w g..wnie" i starać się uzyskiwać
> tymi metodami hasła.

Super. Ale hasła jednorazowe w żaden sposób nie chronią przed w/w sposobami.

do góry

Użytkownik "Bogusz" <b...@p...onet.pl> napisał:

> Można też podesłać różne keyloggery, etc.

To raz. Proste logi klawiatury. I zadne szyfrowanie nie ma znaczenia.

> Metod jest kilka, żadna nie jest banalna, ale dla upartego intruza
jest pewna
> szansa powodzenia.

A determinacja rosnie wprost proporcjonalnie do stawki. Jesli na koncie
jest pare tysiecy, nikomu nie bedzie sie chcialo bawic. Tak samo jak z
autami - jesli masz dodatkowe zabezpieczenia w zwyklym samochodzie, nikt
nie bedzie ryzykowal kradziezy, wybierze podobne auto bez zabezpieczen.
Jesli masz auto za pol miliona, obojetnie czym zabezpieczone,
prawdopodobienstwo kradziezy jest bardzo wysokie. Stawka determinuje
ryzyko i wysilki.

> Trzeba być zapaleńcem do tego, mieć sporo wiedzy i cierpliwości,
> ale tacy się czasami zdarzają.

Jednak najrealniejsze sa metody najprostsze - bezposrednie. To one
czynia IMO stale hasla bezuzytecznymi.

Krystekk

do góry

W artykule news:coq86c$kn6$1@nemesis.news.tpi.pl grupowicz Krystekk napisał:


> Jednak najrealniejsze sa metody najprostsze - bezposrednie. To one
> czynia IMO stale hasla bezuzytecznymi.
>

Masz rację, ale nawet lufa przyłożona do skroni nie będzie dostatecznie
skutecznym czynnikiem, jeśli inkryminowany wpierw połknie token :-D


--
S pozdravem,
August
augustowski.org

do góry

[ciach]
> Taaaa, z naciskiem na szczęście.
> A hasło jednorazowe jak jest przesyłane?
> Jeżeli to takie proste, to co za problem podsłuchać hasło jednorazowe?
Załóżmy, że podsłuchałeś. Jak sama nazwa wskazuje jest jednorazowe. Nie przyda
ci się, nawet jak będziesz je znał, bo zostało wykorzystane w momencie gdy je
podsłuchiwałeś. Czyli zostało zużyte. Czyli jest już bezwartościowe.
Czyż nie?

Podobnie jak szyfrowanie kluczmi jednorazowymi XOR. Problem z dystrybucją, ale
przy naprawdę jednorazowym wykorzystaniu, nie do złamania. Znaczy się z
zaszyfrowanego tekstu można uzyskać każdy dowolny tekst z jednakowym
prawdopodobeństwem.

Pozdrawiam,
Bogusz.

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik "Radoslaw P." <r...@a...net.pl> napisał:

> Super. Ale hasła jednorazowe w żaden sposób
> nie chronią przed w/w sposobami.

Jakto nie? Przeciez sa jednorazowe jak sama nazwa wskazuje.

Krystekk

do góry

3 Dec 2004 19:12:03 +0100, w <5...@n...onet.pl>,
"Bogusz" <b...@p...onet.pl> napisał(-a):

> [ciach]
> > Taaaa, z naciskiem na szczęście.
> > A hasło jednorazowe jak jest przesyłane?
> > Jeżeli to takie proste, to co za problem podsłuchać hasło jednorazowe?
> Załóżmy, że podsłuchałeś. Jak sama nazwa wskazuje jest jednorazowe. Nie przyda
> ci się, nawet jak będziesz je znał, bo zostało wykorzystane w momencie gdy je
> podsłuchiwałeś. Czyli zostało zużyte. Czyli jest już bezwartościowe.
> Czyż nie?

Nope. W momencie wysyłania hasła po prostu je przechwytujesz i używasz. Jeżeli
masz możliwość podsłuchania transmisji (oczywiście zakładamy, że złamałeś już
SSL, a pewnie tak jest skoro to ponoć jest "proste" :) ), to możliwość
zablokowania transmisji nie powinna stanowić problemu.

do góry

Fri, 3 Dec 2004 19:17:48 +0100, w <coqaj4$2n0$1@nemesis.news.tpi.pl>,
"Krystekk" <fcku2(WYWAL)@o2.pl> napisał(-a):

> Użytkownik "Radoslaw P." <r...@a...net.pl> napisał:
>
> > Super. Ale hasła jednorazowe w żaden sposób
> > nie chronią przed w/w sposobami.
>
> Jakto nie? Przeciez sa jednorazowe jak sama nazwa wskazuje.

Nope. W momencie wysyłania hasła po prostu je przechwytujesz i używasz. Jeżeli
masz możliwość podsłuchania transmisji (oczywiście zakładamy, że złamałeś już
SSL, a pewnie tak jest skoro to ponoć jest "proste" :) ), to możliwość
zablokowania transmisji nie powinna stanowić problemu.

Hasła jednorazowe eliminują w sumie tylko keyloggery (a i tak w sumie tylko
sprzętowe), bo jeżeli masz możliwość zainstalowania keyloggera programowego, to
i doinstalowanie softu blokującego transmisję po wklepaniu kodu jednorazowego
nie powinno być problemem :)

do góry

"Bogusz" <b...@p...onet.pl> writes:

> Moim zdaniem relatywnie proste, dla osób mających dostęp do Twojego segmentu
> sieci, nawet jesli jest to sieć oparta na switchach (atak na tablice MACow),
> to można podsłuchać ruch.

Taaak. Co z wiekszoscia (jak przypuszczam), ktora jest podpieta laczem
point-point (PPP, DSLe, dedykowane np. Ethernety itp.)?

No i z tego podsluchania ruchu za wiele nie wynika.

> Oczywiście hasło jest przesyłane kanałem
> szyfrowanym, ale mając troche czasu i szcześcia można złamać.

Tak. Ale ile trzeba tego czasu? Bo szczescia bardzo duzo, powiedzmy ze
komus uda sie trafic 1:1000. To ile tych tysiacleci potrzeba, na
jakiejs maszynce z TOP10 superkomputerow?

> Jeśli używasz DHCP to sprawa jest jeszcze prosza, podając Ci spreparowany
> serwer DNS

Kto uzywa IP serwera DNS z odpowiedzi DHCP? To ma sens tylko z disklessami.
Nie mowie ze ktos musi (tak jak ja) miec koniecznie wlasny serwer, choc
tez jest to mozliwe i czesto potrzebne.

> który połączy Cię z witryną podrobioną (czywiście nie będzie sie
> zgadzał certyfikat, ale czy zawsze sprawdzasz?).

A tu to juz dawno pisalem, ze jedyne sensowne rozwiazanie to wywalic
wszystkie root CA i dodawac certyfikaty recznie (lub za posrednictwem
wlasnego CA).

> Można też podesłać różne keyloggery, etc.

A to prawda.
Powinienes najpierw napisac wlasnie to, a pozniej ew. dodawac do tego
inne rzeczy, jako mniej istotne.
Z tym ze czlowiek madry nie powinien na jednej maszynie (a zwlaszcza
na jednym koncie) robic takich rzeczy, ktore umozliwiaja "podeslanie
keyloggerow" etc.

> Trzeba być zapaleńcem do tego, mieć sporo wiedzy i cierpliwości, ale
> tacy się
> czasami zdarzają.

Przede wszystkim nie da sie tego zrobic masowo, co automatycznie
eliminuje 99%+ chetnych lub atakow.
Taki atak jest trudny do przeprowadzenia i same kwestie zwiazane
z komputerem to dosc niewielka czesc zadania (choc to wlasnie ona
moze decydowac o niepowodzeniu).
--
Krzysztof Halasa

do góry

"Bogusz" <b...@p...onet.pl> writes:

> Załóżmy, że podsłuchałeś. Jak sama nazwa wskazuje jest jednorazowe. Nie
> przyda
> ci się, nawet jak będziesz je znał, bo zostało wykorzystane w momencie
> gdy je
> podsłuchiwałeś. Czyli zostało zużyte. Czyli jest już bezwartościowe.

Moglo by tak byc, ale nie jest to jedyny scenariusz. Mogles np. akurat
po wpisaniu hasla utracic kontakt z siecia, mogl zawiesic Ci sie
komputer, albo akurat w tym momencie ktos wylaczyl prad w budynku.
Taki pech - myslisz ze trudno cos takiego spowodowac?

No, i np. podsluchiwacz mogl Cie odpiac od sieci, albo po prostu
nie przeroutowac akurat "tego" pakietu TCP dalej - jesli moze
podsluchiwac, to praktycznie na pewno moze zrobic takze to.

> Podobnie jak szyfrowanie kluczmi jednorazowymi XOR.

Nie widze specjalnego podobienstwa. Kompromitacja takiego klucza powoduje
natychmiastowa kompromitacje zaszyfrowanego nim (np. przechwyconego
kiedys) dokumentu.
Jedyne istotne podobienstwo jest takie, ze w obu przypadkach obie strony
znaja klucz.

> Problem z dystrybucją,

Nie wiekszy niz z dystrybucja innych kluczy symetrycznych.

> ale
> przy naprawdę jednorazowym wykorzystaniu, nie do złamania. Znaczy się z
> zaszyfrowanego tekstu można uzyskać każdy dowolny tekst z jednakowym
> prawdopodobeństwem.

Musisz zdecydowac sie co chcesz lamac, bo wszystkiego sie nie da:
albo chcesz lamac algorytmy kryptograficzne (np. RSA+AES, bo nie
mam na mysli jakichs starych 40-bitowych DESow eksportowych z USA),
i wtedy lamanie innych rzeczy jest zbedne (wystaczy wpiac sie
w link, to proste), albo nie chcesz lamac kryptografii - i wtedy
klucze XOR sa dokladnie tam samo dobre jak to, co jest normalnie
stosowane.
--
Krzysztof Halasa

do góry