scream wrote:
[...]
>
>> To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
>> o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
>> elektrycznych urzadzen).
>
> MITM przy połączeniu kodowanym 128-bitowym SSLem? Jedynie jakiś bardzo
> sprytny trojan na komputerze usera, ale to nie phishing.

Jeżeli użytkownik nie sprawdzi czy certyfikat pasuje, to może być kodowane
nawet miliobitowym SSLem i wszystko na nic :).

p. m.

do góry

krzysztofsf wrote:

> On 18 Gru, 02:36, mvoicem <m...@g...com> wrote:
>> krzysztofsf wrote:
>> > On 18 Gru, 00:24, mvoicem <m...@g...com> wrote:
>>
>> >> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na
>> >> nigeryjskie historie, to bardzo ryzykownie jest zakładać żę "każdy
>> >> głupi przy logowaniu pokapuje się że....".
>>
>> > Dac plik dzwiekowy zamiast lub oprocz zdjecia.
>> > Moze pomoc spersonalizowac logowanie.
>>
>> Ale to nic nie zmieni. Po prostu niektórzy sa tak bezgranicznie głupi, że
>> im nie pomoże nawet jakby mieli wielkimi czewonymi wołami na górze strony
>> "to my złodzieje. tak naprawdę to jest oszustwo. uważaj, okradniemy cię".
>> :)
>>
>
> No ale jak wytlumaczy sie "Kasi", ze jak slyszy "Dzein dobry kasiu",
> to ma zaczac sie slinic, ..tfu....przejsc do dalszych operacji.
> Ludzie olewaja komunikaty tekstowe, na dzwiekowe jeszcze sie nie
> uodporniki - naturalnie, jak Kasie siedzi ze sluchawkami na uszach i
> sluch czegos tam, to komunikat moze sobie gadac.

Ale to może jedynie utrudnić (trochę IMHO) phishing. W 100% się nie
wyeliminuje.

Pozwolę sobie twierdzić że dla każdej strony podszywającej pod stronę banku,
niezależnie od tego jak bardzo się ona różni od prawdziwej strony, znajdzie
się jakaś liczba ludzi wystarczająco naiwnych, nieuważnych, niefrasobliwych
albo po prostu głupich, którzy potraktują tą stronę jak prawdziwą stronę
banku i wypełnią pola które będą na tej stronie do wypełnienia.

Kwestia tylko skali i rachunku prawdopodobieństwa.

p. m.

do góry

Dnia Tue, 18 Dec 2007 22:11:49 +0100, mvoicem napisał(a):

> Jeżeli użytkownik nie sprawdzi czy certyfikat pasuje, to może być kodowane
> nawet miliobitowym SSLem i wszystko na nic :).

Fakt, user jest zawsze tym słabym punktem :)

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry

Użytkownik "scream" <n...@p...pl> napisał w wiadomości
news:jib3f4ycpzex.u8iakmr0rs2q.dlg@40tude.net...

W BPH podobny system działa od lat. System nie pyta Cię o hasło, ale o
kilka wylosowanych znaków z tego hasła i daje do dyspozycji wirtualną
klawiaturę. Keyloger nie zadziała. Nawet jakbyś wymyślił jak zbierać te
dane, to przy dłuższym haśle trzeba kilku logowań by zebrać znaki. No i w
ten sposób uzyskujesz dostęp do danych konta, bo do transakcji musisz
shakować jakoś klucz prywatny użytkownika. To jest moim zdaniem genialne w
swej prostocie.

do góry

Robert Tomasik wrote:

> Użytkownik "scream" <n...@p...pl> napisał w wiadomości
> news:jib3f4ycpzex.u8iakmr0rs2q.dlg@40tude.net...
>
> W BPH podobny system działa od lat. System nie pyta Cię o hasło, ale o
> kilka wylosowanych znaków z tego hasła i daje do dyspozycji wirtualną
> klawiaturę. Keyloger nie zadziała. Nawet jakbyś wymyślił jak zbierać te
> dane, to przy dłuższym haśle trzeba kilku logowań by zebrać znaki. No i w
> ten sposób uzyskujesz dostęp do danych konta, bo do transakcji musisz
> shakować jakoś klucz prywatny użytkownika. To jest moim zdaniem genialne w
> swej prostocie.

Ale co z tego jeżeli pokaże się strona użytkownikowi, każe podać hasło, i
jakiś odsetek użytkowników to hasło poda.

Niezależnie od tego czy będzie jakiś obrazek czy nie. Po prostu część na to
w ogóle nie zwróci uwagi.

p. m.

do góry

scream <n...@p...pl> writes:

> Przeczytałeś w ogóle mój post? Jeśli nie ma obrazka, to wiadomo, że nie
> łączysz się ze stroną banku tylko z jakąś podróbą.

Oczywiscie. Ale im nie chodzi o to by bylo wiadomo, a raczej by nie
bylo wiadomo, stad jesli bedzie trzeba to obrazek bedzie i nic to
nie da. No, moze chwile spokoju dla bankow i ich klientow, ale nic
wiecej na dluzsza mete.

> Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
> login/hasło. To nie jest bezpieczna forma logowania.

Nie chodzi o zastrzezenia do samego SSL, a do sposobu jego
wykorzystania. Klient musi byc pewny, ze korzysta ze strony banku.

> Wyjaśnij więc jak byś podrobił stronę banku w takim przypadku.

W ogole bym jej nie podrabial, to bez sensu i zbyt skomplikowane.
Podstawilbym swoj system jako proxy miedzy klientem i bankiem.
Klient widzialby wszystko tak jak trzeba, w czasie rzeczywistym.
Moj system reagowalby tylko na okreslone rzeczy, np. na zlecenie
przelewu.
Duzo mniej pracy i duzo wieksza pewnosc dzialania.
Keyloggery, podrabianie stron? Bez zartow.

> MITM przy połączeniu kodowanym 128-bitowym SSLem? Jedynie jakiś bardzo
> sprytny trojan na komputerze usera, ale to nie phishing.

MITM wymaga polaczenia z komputerem innym niz chcemy, phishing wlasnie
na tym polega. Trojan (malo sprytny, tylko przekierowujacy polaczenia
np. TCP i grzebiacy w certyfikatach) tez moze byc.
Dlugosc klucza szyfrujacego w SSL jest tu bez znaczenia, gdyz
ten klucz bedzie znany temu MITM, nie lamiemy przeciez samego SSLa.
--
Krzysztof Halasa

do góry

scream <n...@p...pl> writes:

> Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
> login/hasło. To nie jest bezpieczna forma logowania.

BTW: kombinacja login/haslo jest jedna z najbezpieczniejszych
i z pewnoscia jest o rzedy wielkosci bezpieczniejsza niz przecietny
klient banku.

Problem w tym, by klienci nie podawali tych hasel komputerowi innemu
niz banku, by nie zapisywali ich sobie na czole, by te hasla byly
sensowne (dobre 10-znakowe haslo ma 60+ bitow losowych), by
komputery tych userow nie mialy poinstalowanych keyloggerow,
wirusow, Trojanow i innych takich, i by sami userzy nie korzystali
z komputerow, do ktorych potencjalny zlodziej ma dostep (np. w cafe).

Od pary login/haslo zauwazalnie lepsza jest glownie kryptografia
asymetryczna, gdyz dodaje pewnosc, ze to klient (lub osoba znajaca
jego prywatny klucz) podpisal transakcje - nie moze tego zrobic ktos
z wewnatrz banku.

Mozna tez wskazywac na mniejsze roznice pomiedzy roznymi systemami
hasel, np. haslo "statyczne" vs tokeny vs S/Key itd. Wszystkie one
sa jednak o rzedy wielkosci bezpieczniejsze od pozostalych, typowych
elementow ukladanki.
--
Krzysztof Halasa

do góry

Użytkownik "Robert Tomasik"
> W BPH podobny system działa od lat. System nie pyta Cię o hasło, ale
> o kilka wylosowanych znaków z tego hasła i daje do dyspozycji
> wirtualną klawiaturę. Keyloger nie zadziała. Nawet jakbyś wymyślił
> jak zbierać te dane, to przy dłuższym haśle trzeba kilku logowań by
> zebrać znaki. No i w ten sposób uzyskujesz dostęp do danych konta,
> bo do transakcji musisz shakować jakoś klucz prywatny użytkownika.
> To jest moim zdaniem genialne w swej prostocie.

1. takie ekranowe klawiatury tez pozwalają zbierac wprowadzane hasla,
szczegolnie łątwo wtedy, gdy nacisnięcie myszą jakiegoś wirtualnego
klawisza daje efekt wizualny wciskanego klawisza
2. takie hasla maskowane maja jedną podstawową wadę - muszą być po
stronie banku trzymane w całości, a więc mozliwe do odkodowania w
całości. Nie dają obrony przed informatykami z wnetrza banku,
natomiast hasla pelne przechowuje sie w postaci skrótu
jednokierunkowego, atk jak to robil od zawsze unix/linux
*** blad ***

do góry

Użytkownik "mvoicem" <m...@g...com> napisał w wiadomości
news:fk9nk3$34h$1@atlantis.news.tpi.pl...

> Ale co z tego jeżeli pokaże się strona użytkownikowi, każe podać hasło, i
> jakiś odsetek użytkowników to hasło poda.

W wypadku BPH nic się wielkiego nie stanie. Po pierwsze będzie to co
najwyżej kilka znaków, a nie całe hasło. Po drugie jak nawet wpisze
wszystkie znaki w sumie po kilku razach, to i tak możesz tylko podejrzeć
rachunek, bo przelewu nie wykonasz. Poza tym BPH nie ma ustalonej długości
hasła, więc nie wiesz, ile kratek wyświetlić. Jak wyświetlisz za dużo, to
średnio inteligentna małpa powinna się zorientować, ze coś jest nie tak.
>
> Niezależnie od tego czy będzie jakiś obrazek czy nie. Po prostu część na
> to
> w ogóle nie zwróci uwagi.

Z całą pewnością i stąd uważam, ze to nie jest najlepszy pomysł.

do góry

Użytkownik "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> napisał w wiadomości
news:fkapqj$bs7$1@atlantis.news.tpi.pl...

> 1. takie ekranowe klawiatury tez pozwalają zbierac wprowadzane hasla,
> szczegolnie łątwo wtedy, gdy nacisnięcie myszą jakiegoś wirtualnego
> klawisza daje efekt wizualny wciskanego klawisza

Być może, ale jest to o wiele trudniejsze.

> 2. takie hasla maskowane maja jedną podstawową wadę - muszą być po
> stronie banku trzymane w całości, a więc mozliwe do odkodowania w
> całości. Nie dają obrony przed informatykami z wnetrza banku, natomiast
> hasla pelne przechowuje sie w postaci skrótu jednokierunkowego, atk jak
> to robil od zawsze unix/linux

Nie ma nic idealnego, choć w sumie możną takie hasło przechowywać jako
rekord złożony z jego długości i jednokierunkowego skrótu. Powinno też
zadziałać, choć nie wiem akurat, jak to jest w BPH. Tyle, że informatyk
dostęp do danych konta, to ma i bez hasła, zaś samo hasło bez klucza
prywatnego i tak mu nie pozwala na dokonanie przelewu.

do góry