Użytkownik Paweł napisał:

>>Powiem tak. To jest praktycznie nie do zrobienia.
>
> od ilu lat piszesz programy ?

W ogole nie pisze programow. Ja mysle. :-P

> powiedz co konkretnie jest niewykonalne w tym schemacie :
>
> - uruchomisz trojana połaczonego z keylogerem
> - następnie zalogujesz się do mbanku ,
> - zaczniesz definiować nowy przelew + użyjesz kodu jednorazowego
> -trojan zczyta z klawiatury wpisany numer klienta, hasło, z analizy strony
> wyswietlonej w przeglądarce stwierdzi że robisz przelew jednorazowy, poczeka
> na wypełnienie odpowiedniego pola kodem jednorazowym po czym zamknie
> aktualną sesję banku, a zdobyte dane wysle złodziejowi

OK

> dowcip polega na tym że każdy z elementów składowych jest znany,
> - są keylogery zczytujące dane z klawiatury i wysyłające to na wybranego
> maila czy inną metodą
> -są trojany działające w tle przeglądarki analizujące wyświetlaną treść
>
> w sumie można tylko czekać kiedy ktoś połączy to w jedną działającą całość
> nakierowaną na któryś z polskich banków

Dalej sie upieram, ze to jest calkowicie nieoplacalne.

>>W tym, ze dziennikarze czesto pisza jeszcze wieksze bezsensy niz Ty.
>
> łatwo rzucasz mocnymi hasłami - znajdź lukę logiczną lub niewykonalną
> technicznie - wtedy przestanę uważać że poprostu bełkoczesz bo nie masz nic
> do powiedzenia

Nic z tego, jeszcze nikt tutaj nie opisal _z_sensem_ jak mialaby
wygladac cala procedura. Krok po kroku.

>>Jeszcze raz przechwycenie i wykorzystanie kodu jednorazowego jest
>>praktycznie nie do zrobienia.
>
> o widzę kolejna silna merytorycznie, poparta wnikliwą analizą riposta
> czy masz może tak duzy autorytet w środowisku programistów że samo takie
> zdanie ma powalić na kolana ?
> pytam bo nie widziałem żadnego Twojego posta na grupach pl.comp.lang.*

Naucz sie czytac. Przechwycenie ok, niech bedzie, wykorzystanie jest
praktycznie nie do zrobienia. Zauwaz, ze nie pisze ze w ogole nie jest
do zrobienia. _Praktycznie_ jest nie do zrobienia. To pewna roznica.

>>Co wiecej nie ma sensu.
>
> a tu się róznię i to bardzo, znając Twój login, hasło i kod jednorazowy to
> już można coś zdziałac

Tylko Ty masz na wykorzystanie tych danych tak malo czasu, ze sobie z
tym nie poradzisz. I tutaj lezy problem.

>>Ale roboty tyle, ze sie nie oplaca. Tym bardziej, ze robota i tak
>>pojdzie sie je^%$.
>
> wiesz zależy na kogo trafi, nie oceniaj wszystkich wg siebie,
> u Ciebie znajdzie dziurę w kieszeni a u innego pare milionów
> byle tylko średnia mu wyszła dobrze

Jesli chcesz wydac 1 mln zl po to zeby ukrasc 1 tys. to gratuluje
pomyslu. Jasne, ze sie da, tylko po co?

Bartol

do góry

> W ogole nie pisze programow. Ja mysle. :-P

to wiele wyjaśnia

widzisz pisanie programów to jest myślenie - tyle że myślenie w dość
precyzyjny, logiczny, wręcz matematyczny sposób

powiem Ci tyle że widze tutaj na grupie pare osób które pojawiają się na
grupach programistycznych
i żadna z nich nie powie Ci ot tak poprostu tego sie nie da zrobić

bo niby dlaczego miałoby się nie dać ?

mam tylko nadzieję że nie pracujesz w banku - bo jako klient możesz wierzyć
w co chcesz, w św Mikołaja , sierotkę Marysię czy to że pewne rzeczy są
niewykonalne

natomiast mam nadzieję że Ci którzy pracują w bankach a szczególnie w
działach IT i bezpieczeństwa mają troche wiecej wiedzy i są otwarci na to
czego może nie ma dzisiaj ale jest jak najbardziej prawdopodobne że wystąpi
jutro

ci z BPH jak widać mysleli w podobny do Ciebie sposób - ich rzecznik do dziś
twierdzi że jest super więc o co chodzi ?

> Dalej sie upieram, ze to jest calkowicie nieoplacalne.

dobra o pisaniu programów nie masz pojęcia - zakłądając że masz odrobinę
pojęcia o ekonomii -
wiesz że jest duże bezrobocie i nawet dość zdolny programista po studiach
wcale nie ma łatwo na rynku pracy ??

jak myślisz, czy zakładając że można z czegoś takiego wyciągnąc np kilkaset
tysięcy złotych przy odrobinie szczęścia i trafieniu na naiwnych i bogatych
klientów banku - czy to dalej nie ma sensu ?
za parę miesięcy pracy ?

nie wiem ile zarabiasz miesięcznie ale zapewniam że ludzie robią
przestępstwa dużo gorsze - typu napad z użyciem niebezpiecznego narzędzia by
zyskać głupi telefon komórkowy wart 300 zł na giełdzie

>
> >>W tym, ze dziennikarze czesto pisza jeszcze wieksze bezsensy niz Ty.
> >
> > łatwo rzucasz mocnymi hasłami - znajdź lukę logiczną lub niewykonalną
> > technicznie - wtedy przestanę uważać że poprostu bełkoczesz bo nie masz
nic
> > do powiedzenia
>
> Nic z tego, jeszcze nikt tutaj nie opisal _z_sensem_ jak mialaby
> wygladac cala procedura. Krok po kroku.


ale po co skoro i tak nie jesteś go w stanie zrozumieć bo nie programujesz
- to co wyżej mogłeś przeczytać jest pewnym ogólnym zarysem - jak rozumiem
nie widzisz niczego co stałoby w rażącej sprzeczności z możliwościami
wykonania ?
ja np widzę pare problemów technicznych - ale tak zgrubsza oceniając żaden z
nich nie jest "nie do przejścia"

>
> >>Jeszcze raz przechwycenie i wykorzystanie kodu jednorazowego jest
> >>praktycznie nie do zrobienia.
> >
> > o widzę kolejna silna merytorycznie, poparta wnikliwą analizą riposta
> > czy masz może tak duzy autorytet w środowisku programistów że samo takie
> > zdanie ma powalić na kolana ?
> > pytam bo nie widziałem żadnego Twojego posta na grupach pl.comp.lang.*
>
> Naucz sie czytac. Przechwycenie ok, niech bedzie, wykorzystanie jest
> praktycznie nie do zrobienia. Zauwaz, ze nie pisze ze w ogole nie jest
> do zrobienia. _Praktycznie_ jest nie do zrobienia. To pewna roznica.


pewnie to bardzo bardzo subtelna różnica bo jej nie rozumiem
czyli już zaczynasz zakładać że można przechwycić ale jeszcze nie możesz
założyć że uda się wykorzystać :-)


>
> >>Co wiecej nie ma sensu.
> >
> > a tu się róznię i to bardzo, znając Twój login, hasło i kod jednorazowy
to
> > już można coś zdziałac
>
> Tylko Ty masz na wykorzystanie tych danych tak malo czasu, ze sobie z
> tym nie poradzisz. I tutaj lezy problem.


bredzisz i to śmiesznie, ile razy czytałem na tej grupie o osobach którym
skradziono kartę i złodzieje w kilkanaście minut byli w stanie zrobić zakupy
w sklepie

zakładając że ktoś jest przygotowany do tego numeru, ma założone lewe konta
na które chce przelać kasę i tylko czeka na naiwnego który się nawinie -
kilka minut i gotowe - przelew zrobiony
na tego posta odpisałeś po paru minutach a przecież nikt Ci za niego nie
płaci
gdybyś mógł zarobić na tym sporo kasy - poprostu siedziałbyś grzecznie i
czekał ...


>
> >>Ale roboty tyle, ze sie nie oplaca. Tym bardziej, ze robota i tak
> >>pojdzie sie je^%$.
> >
> > wiesz zależy na kogo trafi, nie oceniaj wszystkich wg siebie,
> > u Ciebie znajdzie dziurę w kieszeni a u innego pare milionów
> > byle tylko średnia mu wyszła dobrze
>
> Jesli chcesz wydac 1 mln zl po to zeby ukrasc 1 tys. to gratuluje
> pomyslu. Jasne, ze sie da, tylko po co?

a skąd wziąłeś kwotę 1 mln ?

póki co ci co zrobili BPH skosili prawie milion a ich koszty ? może kilkaset
godzin przy komputerze
to nie ameryka - i nie film gdzie złodzieje planują skok na kasyno w las
vegas :-)
>
> Bartol

do góry

Paweł napisał(a):
>
> po 1-sze - żona ze swojej pracy, ja ze swojej wiele razy logowaliśmy się
> równocześnie i przynajmniej mbank nie robił z tego powodu problemu
>
> po drugie logowanie nie musi być jednoczesne - znając wcześniej z klawiatury
> Twój login i hasło, można przecież Twoją sesje zakończyć i otworzyć nową +
> skorzystać z wpisanego przed momentem hasła jednorazowego do jakiegoś
> przelewu
>
>
>
>>A poza sa naprawde 3 proste sposoby na 99% zabezpieczenie dostepu do konta
>>i to ze banki tego nie wprowadzaja to chyba jakas zmowa idiotow ktorzy tam
>>siedza:
>>- wirtualna klawiatura do wpisywania wszelkich hasel (100% zabezpieczenie
>>przed keylogerami)
>>- mozliwosc zastrzezenia dostepu z wybranych IP (np. dom, praca)
>>- wykrywanie zmian danych przegladarki (co ile zmieniamy przegladarke??) i
>>dodatkowa autentyakcja przez e-mail, telefon lub sms w takim przypadku
>>- korespondecja podpisywana PGP z prosta weryfikacja na stronie banku
>>
[ciach]
>
> a to fakt, to podniosłoby calkiem nieźle bezpieczeństwo
>

BPH ma klawiatury wirtualne. Zarówno przy logowaniu, jak i przy
podpisywaniu zlecenia.
Tyle, że prawdopodobnie mało kto z tego korzysta...

Pozdrawiam

PshemeK

do góry

Bartol Partol napisał(a):
> Użytkownik Miroo napisał:
>
>>> Powiem tak. To jest praktycznie nie do zrobienia.
>>
>>
>> Czy jesteś programistą? Chyba nie...
>> Nie ma rzeczy nie do zrobienia. Kwestią jest jedynie
>> nakład środków i czasu.
>
>
> OK. Z ekonomicznego punktu widzenia jest to calkowicie bez sensu. Lepiej?
>

Ile może kosztować napisanie takiego programu wg Ciebie ? Więcej niż pół
dużej bańki ?
Bo jak nie, to poczytaj sobie ten artykuł.... I przeczytaj, ile
(prawdopodobnie) ukradli.

A potem sobie poodejmuj spokojnie...

Pozdrawiam

PshemeK

do góry

PshemeK napisał(a):

> BPH ma klawiatury wirtualne. Zarówno przy logowaniu, jak i przy
> podpisywaniu zlecenia.
> Tyle, że prawdopodobnie mało kto z tego korzysta...

Tak jak mało kto zapewne ma różne hasła, klucz trzyma u siebie i
korzysta z powiadomień.

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Paweł napisał(a):

>
> a skąd wziąłeś kwotę 1 mln ?
>
Bartol dużo wydaje na klapki na oczy...

Pozdrawiam

PshemeK

do góry

Marcin Nowakowski napisał(a):
> RBproof napisał(a):
>
>> zastanawiam się tylko dlaczego zrezygnowano z hasła maskowanego
>> (wydaje mi
>> się, że z punktu widzenia bezpieczeństwa było ono dużo lepsze)
>
>
> Ciekawe jak wiele z tych osób posiadało jednakowe hasła do logowania i
> klucza i jak wielu z nich nie trzyma klucza lokalnie. Pomijając już
> fakt, że można sobie ustawić powiadomienia o logowaniu itp.
>

Do listy można prawdopodobnie dopisać posiadanie haseł do logowania i do
klucza takich samych jak nazwa tegoż klucza. A także podawanie ich na
prośbę kogoś zupełnie obcego podającego się za przedstawiciela banku.
Albo trzymanie zapisanych na karteczce w portfelu albo w pliku na dysku.

Co do hasła maskowanego zgadzam się w zupełności. Rezygnacja z niego to
nie był najszczęśliwszy pomysł....

Pozdrawiam

PshemeK

do góry

> Bartol dużo wydaje na klapki na oczy...

A niektórzy na różowe okulary :-)

Pozdrawiam
Jacek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

>
> > W ogole nie pisze programow. Ja mysle. :-P
>
> to wiele wyjaśnia
>
> widzisz pisanie programów to jest myślenie - tyle że myślenie w dość
> precyzyjny, logiczny, wręcz matematyczny sposób
>
> powiem Ci tyle że widze tutaj na grupie pare osób które pojawiają się na
> grupach programistycznych
> i żadna z nich nie powie Ci ot tak poprostu tego sie nie da zrobić
> bo niby dlaczego miałoby się nie dać  ?

Nikt (nawet Bartol;-)) nie twierdzi, że się nie da.
Tylko który "logiczny, precyzyjnie myślący" programista
będzie się niepotrzebnie męczył z włamywaniem do banku
wymagającego haseł jednorazowych, skoro pod nosem ma
takie kfiatki jak BPH czy Citi?

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

S.T. napisał(a):

> Nikt (nawet Bartol;-)) nie twierdzi, że się nie da.
> Tylko który "logiczny, precyzyjnie myślący" programista
> będzie się niepotrzebnie męczył z włamywaniem do banku
> wymagającego haseł jednorazowych, skoro pod nosem ma
> takie kfiatki jak BPH czy Citi?

To ja ci podpowiem - sani hasło możesz co najwyżej w wordzie wysłać jako
laurkę.
Jakby, poza programistami, byli logiczni i precyzyjnie myślący
użytkownicy, to problem byłby zdecydowanie mniejszy.

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry