Użytkownik Paweł napisał:

> są ok, tyle że sytuacja o której pisałem jest jak najbardziej
> prawdopodobna - specjalizowany np zrobiony pod mbank trojan, czekający tylko
> na moment w którym będziesz musiał skorzystać z listy haseł jednorazowych -
> np by potwierdzić przelew jednorazowy, wtedy on przesyła zdobyty kod
> złodziejowi

Powiem tak. To jest praktycznie nie do zrobienia.


> napisałem podobno bo nie chciało mi się szukac informacji którą czytałem już
> nie pamiętam gdzie, ale brzmiała dośc wiarygodnie a w dodatku była jak
> najbardziej wyobrażalna od strony technicznej - więc w czym problem ?

W tym, ze dziennikarze czesto pisza jeszcze wieksze bezsensy niz Ty.

> źle rozumujesz, to nie jest tak że złodziej będzie polował akurat na Ciebie
> i Twoje kilkaset tysięcy ,
> on zrobi masówkę, będzie starał sie zarazić jak najwięcej komputerów np
> trojanem obliczonym pod mbank
>
> a potem zwinie tak dużo klientów jak mu sie uda, zresztą z tego co jest w
> artykule o BPH wynika że metoda była właśnie taka, infekować jak dużo się
> nawinie, a wśród nich zawsze trafią się Ci na których to jest obliczone

Jeszcze raz przechwycenie i wykorzystanie kodu jednorazowego jest
praktycznie nie do zrobienia. Co wiecej nie ma sensu.

> a co bandzior ma innego do roboty ? :-)
> zresztą myślę że kwotą pare razy mniejszą też by nie pogardzili - ryzyko
> wbrew pozorom i tak mniejsze niż głupi skok na kiosk a szansa na zysk sporo
> większa

Ale roboty tyle, ze sie nie oplaca. Tym bardziej, ze robota i tak
pojdzie sie je^%$.

Bartol

do góry

r...@a...net.pl wrote:

>> i w mig dokonac transakcji. Poza tym co z transakcja dokonywana przez
>> klienta??

> Nic -- nie byłaby dokonywana.

No to numer mozliwy do wykonania raz, drugi, moze 10-ty.

Poza tym ja np. korzystam z darmowej poczty ktora w przypadku rownoczesnego
zalogowania z dwoch roznych IP odmawia wspolpracy wiec czemu jakis bank na
to
nie wpadnie to nie wiem.

A poza sa naprawde 3 proste sposoby na 99% zabezpieczenie dostepu do konta
i to ze banki tego nie wprowadzaja to chyba jakas zmowa idiotow ktorzy tam
siedza:
- wirtualna klawiatura do wpisywania wszelkich hasel (100% zabezpieczenie
przed keylogerami)
- mozliwosc zastrzezenia dostepu z wybranych IP (np. dom, praca)
- wykrywanie zmian danych przegladarki (co ile zmieniamy przegladarke??) i
dodatkowa autentyakcja przez e-mail, telefon lub sms w takim przypadku
- korespondecja podpisywana PGP z prosta weryfikacja na stronie banku

To jest tydzien roboty dla jednego programisty....
Widac komus sie po prostu dupska nie chce ruszyc zeby naprawde zadbac o
bezpieczenstwo.

--
Franz

do góry

RBproof napisał(a):

> zastanawiam się tylko dlaczego zrezygnowano z hasła maskowanego (wydaje mi
> się, że z punktu widzenia bezpieczeństwa było ono dużo lepsze)

Ciekawe jak wiele z tych osób posiadało jednakowe hasła do logowania i
klucza i jak wielu z nich nie trzyma klucza lokalnie. Pomijając już
fakt, że można sobie ustawić powiadomienia o logowaniu itp.

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

> Zaraz zaraz. Jeśliby miał przesłać kod złodziejowi, ZAMIAST do banku, to
> musiałby nie tylko czytać klawiaturę, ale tez byc zalogowany razem ze
> mną do banku i blokowac transmisję. Czy to nie oznacza konieczności


zdecydowanie nie, wystarczy (kierując się tym jak działa np mbank)
1. zczytać z klawiatury i przesłać Twój numer klienta i stałe hasło - to
umożliwia już swobodne zalogowanie w dowolnym momencie na rachunek
2. czekać aż do skutku, gdy będziesz chciał wykonać przelew jednorazowy -
gdy kiedyś to zrobisz, zczytać wprowadzony z klawiatury w odpowiednim polu
aktualny kod jednorazowy - po jego wprowadzeniu poprostu odciąć Cię od
mbanku - np wyświetlając w tym momencie dla zdobycia czasu komunikat że
mbank jest właśnie niedostępny, trwa przerwa i spróbuj ponownie za 10
minut - zdobyty właśnie kod jednorazowy przesyłając złodziejowi który w tym
czasie w miarę spokojnie zrealizuje przelew

powiedz mi która z powyższych czynności jest niemożliwa do zrealizowania
zakładając że mogę umieścić na Twoim komputerze dowolnie napisany program ?
pomijam to, że użytkownik trojana musi dać się nabrać - ale zakładając że
zdolny programista może uruchomić u Ciebie dowolny program czy naprawdę
sądzisz że powyższe jest niemożliwe do zrealizowania ???

jeśli tak to powiedz w którym momencie jest coś niemożliwego w tym schemacie

do góry

> Jakis blad logiczny chyba popelniasz :)
> Szczerze mowiac nie wyobrazam sobie jakby to mialo wygladac czasowo.

no chłopak musiałby siedziec online - czy to aż taki problem ?

> Zlodziejaszek musialby czyhac ciagle przy kompie czekajac na haslo
> jednorazowe
> i w mig dokonac transakcji. Poza tym co z transakcja dokonywana przez
> klienta??

wysłana w kosmos, klient dostaje obrazek "serwis chwilowo nie może wykonać
tej operacji, spróbuj ponownie za 10 minut" - po to żeby złodziej mógł
spokojnie sobie wklepać zdobyte właśnie dane

do góry

Dnia Thu, 12 May 2005 20:49:14 +0200, Bartol Partol napisał(a):

>> są ok, tyle że sytuacja o której pisałem jest jak najbardziej
>> prawdopodobna - specjalizowany np zrobiony pod mbank trojan, czekający tylko
>> na moment w którym będziesz musiał skorzystać z listy haseł jednorazowych -
>> np by potwierdzić przelew jednorazowy, wtedy on przesyła zdobyty kod
>> złodziejowi
>
> Powiem tak. To jest praktycznie nie do zrobienia.

Czy jesteś programistą? Chyba nie...
Nie ma rzeczy nie do zrobienia. Kwestią jest jedynie
nakład środków i czasu.
Zazwyczaj przy hasłach jednorazowych podstawia
się fałszywą stronę która wygląda jak strona
banku. Jedynym problemem jest żeby użytkownik
wszedł na tę spreparowaną stronę zamiast na oryginalną.
A można to osiągnąć wysyłając majla typu "tu twój bank,
sprawdź naszą nową usługę". Niestety obecnie wiekszość
użytkowników internetu to tzw "lamerzy", którzy nawet
sprawy sobie nie zdają z jakichkolwiek zagrożeń.

Pozdrawiam
Miroo

do góry

> No to numer mozliwy do wykonania raz, drugi, moze 10-ty.

no w BPH zanim sie połapali to jednak trochę trwało
zakładając nawet że BPH to poziom dna - mbankowi pewnie i tak zajęłoby parę
dni odkrycie sprawy,

a przy zmasowanym ataku - gdyby udało się takiego trojana szybko i masowo
rozpowszechnić - np na tej grupie reklamując super kolejny program który
pomaga zarządzać wydrukami z mbanku czy cos liczącego iban, pokazującego
bank lub dowolny inny program finansowy- i już masz co najmniej
kilkadziesiat osób które mają konto w mbanku i ściągną ten program

>
> Poza tym ja np. korzystam z darmowej poczty ktora w przypadku
rownoczesnego
> zalogowania z dwoch roznych IP odmawia wspolpracy wiec czemu jakis bank na
> to
> nie wpadnie to nie wiem.

po 1-sze - żona ze swojej pracy, ja ze swojej wiele razy logowaliśmy się
równocześnie i przynajmniej mbank nie robił z tego powodu problemu

po drugie logowanie nie musi być jednoczesne - znając wcześniej z klawiatury
Twój login i hasło, można przecież Twoją sesje zakończyć i otworzyć nową +
skorzystać z wpisanego przed momentem hasła jednorazowego do jakiegoś
przelewu


>
> A poza sa naprawde 3 proste sposoby na 99% zabezpieczenie dostepu do konta
> i to ze banki tego nie wprowadzaja to chyba jakas zmowa idiotow ktorzy tam
> siedza:
> - wirtualna klawiatura do wpisywania wszelkich hasel (100% zabezpieczenie
> przed keylogerami)
> - mozliwosc zastrzezenia dostepu z wybranych IP (np. dom, praca)
> - wykrywanie zmian danych przegladarki (co ile zmieniamy przegladarke??) i
> dodatkowa autentyakcja przez e-mail, telefon lub sms w takim przypadku
> - korespondecja podpisywana PGP z prosta weryfikacja na stronie banku
>
> To jest tydzien roboty dla jednego programisty....
> Widac komus sie po prostu dupska nie chce ruszyc zeby naprawde zadbac o
> bezpieczenstwo.

a to fakt, to podniosłoby calkiem nieźle bezpieczeństwo

nie bierzesz tylko pod uwagę że bank to musi być produkt masowy,
łopatologiczny

kiedyś wysyłałem klientom podpisane maile - po tym jak połowa nie umiała
otworzyc takiego listu dałem sobie spokój

do góry

Użytkownik Miroo napisał:

>>Powiem tak. To jest praktycznie nie do zrobienia.
>
> Czy jesteś programistą? Chyba nie...
> Nie ma rzeczy nie do zrobienia. Kwestią jest jedynie
> nakład środków i czasu.

OK. Z ekonomicznego punktu widzenia jest to calkowicie bez sensu. Lepiej?

> Zazwyczaj przy hasłach jednorazowych podstawia
> się fałszywą stronę która wygląda jak strona
> banku. Jedynym problemem jest żeby użytkownik
> wszedł na tę spreparowaną stronę zamiast na oryginalną.
> A można to osiągnąć wysyłając majla typu "tu twój bank,
> sprawdź naszą nową usługę". Niestety obecnie wiekszość
> użytkowników internetu to tzw "lamerzy", którzy nawet
> sprawy sobie nie zdają z jakichkolwiek zagrożeń.

Ech, to jest akurat trywialne. A tutaj caly czas jest mowa o
podsluchiwaniu hasel, odcinaniu, przycinaniu, wyswietlaniu i innych
cudach na kiju.

Bartol

do góry

> Powiem tak. To jest praktycznie nie do zrobienia.

od ilu lat piszesz programy ?

powiedz co konkretnie jest niewykonalne w tym schemacie :

- uruchomisz trojana połaczonego z keylogerem
- następnie zalogujesz się do mbanku ,
- zaczniesz definiować nowy przelew + użyjesz kodu jednorazowego
-trojan zczyta z klawiatury wpisany numer klienta, hasło, z analizy strony
wyswietlonej w przeglądarce stwierdzi że robisz przelew jednorazowy, poczeka
na wypełnienie odpowiedniego pola kodem jednorazowym po czym zamknie
aktualną sesję banku, a zdobyte dane wysle złodziejowi


dowcip polega na tym że każdy z elementów składowych jest znany,
- są keylogery zczytujące dane z klawiatury i wysyłające to na wybranego
maila czy inną metodą
-są trojany działające w tle przeglądarki analizujące wyświetlaną treść

w sumie można tylko czekać kiedy ktoś połączy to w jedną działającą całość
nakierowaną na któryś z polskich banków


> > napisałem podobno bo nie chciało mi się szukac informacji którą czytałem
już
> > nie pamiętam gdzie, ale brzmiała dośc wiarygodnie a w dodatku była jak
> > najbardziej wyobrażalna od strony technicznej - więc w czym problem ?
>
> W tym, ze dziennikarze czesto pisza jeszcze wieksze bezsensy niz Ty.

łatwo rzucasz mocnymi hasłami - znajdź lukę logiczną lub niewykonalną
technicznie - wtedy przestanę uważać że poprostu bełkoczesz bo nie masz nic
do powiedzenia


>
> Jeszcze raz przechwycenie i wykorzystanie kodu jednorazowego jest
> praktycznie nie do zrobienia.

o widzę kolejna silna merytorycznie, poparta wnikliwą analizą riposta
czy masz może tak duzy autorytet w środowisku programistów że samo takie
zdanie ma powalić na kolana ?
pytam bo nie widziałem żadnego Twojego posta na grupach pl.comp.lang.*

>Co wiecej nie ma sensu.

a tu się róznię i to bardzo, znając Twój login, hasło i kod jednorazowy to
już można coś zdziałac



>
> > a co bandzior ma innego do roboty ? :-)
> > zresztą myślę że kwotą pare razy mniejszą też by nie pogardzili - ryzyko
> > wbrew pozorom i tak mniejsze niż głupi skok na kiosk a szansa na zysk
sporo
> > większa
>
> Ale roboty tyle, ze sie nie oplaca. Tym bardziej, ze robota i tak
> pojdzie sie je^%$.
>


wiesz zależy na kogo trafi, nie oceniaj wszystkich wg siebie,
u Ciebie znajdzie dziurę w kieszeni a u innego pare milionów
byle tylko średnia mu wyszła dobrze
> Bartol

Paweł

do góry

W artykule <X...@p...zuzel.org> Jacek Wojaczyński
napisal(a):

> Hm, nawet nieźle... ponoć zwinęli 1 000 000 zł.

Czy komuś stąd coś zginęło?

do góry