http://www.rp.pl/dodatki/pieniadze_030320/pieniadze_
a_1.html

I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie" ;)))) -
czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)

--
Pozdrowienia,
Glenn



--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

> I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie" ;)))) -
> czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)

to oczywiście była śmieszna zabawa, wiesz o tym Ty, wiem o tym ja, wiedzą o
tym również ludzie którzy czytają tą grupę a także zdecydowana większosć
klientów mBanku którzy mają jakiekolwiek pojęcie o internecie

dasz sobie jednak głowę uciąć że 100% klientów mbanku jest tego świadoma ?

skoro głupi prymitywny email wysyłany w milionach sztuk przez jakichś
Nigeryjczyków ma piorunujące działanie i pełno ludzi dało się na to oszukać
?
oczywiście że 99,99% odbiorców poprostu skasowało takiego maila - jednak
jakiś promil dał się oszukać - tu jest podobnie - jeśli prowadzisz bank dla
kilkuset tysięcy klientów to takie nawet drobne bzdurki należy błyskawicznie
wykluczać, tymczasem mBank wiedział o tym od ponad roku a ruszył 4 litery
dopiero wtedy gdy ktoś napisał niezbyt zresztą dobry artykuł w RP

do góry

"olo" <n...@d...pl> writes:

> > I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie" ;)))) -
> > czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)
>
> to oczywiście była śmieszna zabawa, wiesz o tym Ty, wiem o tym ja, wiedzą o
> tym również ludzie którzy czytają tą grupę a także zdecydowana większosć
> klientów mBanku którzy mają jakiekolwiek pojęcie o internecie

A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
pojęcie nieco większe niż jakiekolwiek.

Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
maila o treści:

Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij

https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
234

(przykłady że w zepsutym linku nie musi być widać słowa error rzucał
np. pjo)

Klikniesz? Sądzę że tak, przecież to strona w mbanku. Po kliknięciu
zobaczysz stronę logowania do mbanku. Zalogujesz się? Pewnie
też. Dostaniesz potem może stronę z tekstem typu "MBank-Money zostało
wycofane przez nadawcę z komentarzem 'Poprawa pomyłki, zły
odbiorca'". Nabierzesz natychmiastowych podejrzeń? Też niekoniecznie.

A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
serwer i zostaną przez kogoś zapisane, cóż...


Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
'śmiesznej zabawy'.

do góry

> A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
> pojęcie nieco większe niż jakiekolwiek.
>
> Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
> maila o treści:
>
> Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
> przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij
>
> https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
234
>
> (przykłady że w zepsutym linku nie musi być widać słowa error rzucał
> np. pjo)

sorki ale nie łapię - ten przykład o którym mówisz przeniesie mnie na stronę
mBanku gdzie zostałby wygenerowany błąd o nazwie takiej jaką ty kodami asci
czy czym innym spreparujesz

ale to w dalszym ciągu tylko strona mbanku (a nie jakaś twoja)

możesz mi też ewentualnie zasugerować żebym wszedł następnie na inną strone
(treścią komunikatu) ale to już nie działa jak automat


> Klikniesz? Sądzę że tak, przecież to strona w mbanku. Po kliknięciu
> zobaczysz stronę logowania do mbanku. Zalogujesz się? Pewnie
> też. Dostaniesz potem może stronę z tekstem typu "MBank-Money zostało
> wycofane przez nadawcę z komentarzem 'Poprawa pomyłki, zły
> odbiorca'". Nabierzesz natychmiastowych podejrzeń? Też niekoniecznie.
>
> A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
> serwer i zostaną przez kogoś zapisane, cóż...

no ale w jaki sposób ?

do góry

"olo" <n...@d...pl> writes:

> > A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
> > pojęcie nieco większe niż jakiekolwiek.
> >
> > Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
> > maila o treści:
> >
> > Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
> > przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij
> >
> > https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
234
> >
> > (przykłady że w zepsutym linku nie musi być widać słowa error rzucał
> > np. pjo)
>
> sorki ale nie łapię - ten przykład o którym mówisz przeniesie mnie na stronę
> mBanku gdzie zostałby wygenerowany błąd o nazwie takiej jaką ty kodami asci
> czy czym innym spreparujesz
>
> ale to w dalszym ciągu tylko strona mbanku (a nie jakaś twoja)

Swoją mogę w to zaembedować. Patrz przykład zrobiony przez pjo, który
nie robił śmiesznych napisów tylko ... włożył tam stronę logowania
inteligo. Równie dobrze mógłby włożyć stronę 'logowania' wyglądającą
jak logowanie mbanku ale przesyłającą po zatwierdzeniu dane na inny
serwer.

Polecam lekturę:
http://www.cgisecurity.com/articles/xss-faq.shtml

do góry

Użytkownik "Marcin Kasperski" <M...@s...com.pl> napisał w
wiadomości news:87he9yvzgn.fsf@cauchy.softax.local...
> "olo" <n...@d...pl> writes:
>
> > > I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie"
;)))) -
> > > czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)
> >
> > to oczywiście była śmieszna zabawa, wiesz o tym Ty, wiem o tym ja,
wiedzą o
> > tym również ludzie którzy czytają tą grupę a także zdecydowana większosć
> > klientów mBanku którzy mają jakiekolwiek pojęcie o internecie
>
> A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
> pojęcie nieco większe niż jakiekolwiek.
>
> Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
> maila o treści:

[...]
> A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
> serwer i zostaną przez kogoś zapisane, cóż...
>
> Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
> 'śmiesznej zabawy'.

I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
banku, koncie mojej karty kredytowej oraz ......;-)))

Weezcie sobie chlopaki zimny prysznic, co....

--
Pozdrowienia
---
Slawek Kos --> s...@p...com



--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik "Slawek Kos" <s...@p...gazeta.pl> napisał w wiadomości
news:b5ecm9$9hd$1@inews.gazeta.pl...
> Użytkownik "Marcin Kasperski" <M...@s...com.pl> napisał w
> wiadomości news:87he9yvzgn.fsf@cauchy.softax.local...

> > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
> > serwer i zostaną przez kogoś zapisane, cóż...
> >
> > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
> > 'śmiesznej zabawy'.
>
> I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
> placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
> odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
> banku, koncie mojej karty kredytowej oraz ......;-)))

oraz koncie (wpisz dowolne konto) w przypadku chocby mTransferu z uzyciem
TAN'a? ;-))) Jeśli oczywiscie ktos dalby sie nabrac na scenariusz opisany
poprzednio.

Waldek

do góry

Użytkownik "bwwald" <b...@w...onet.pl> napisał w wiadomości
news:b5ef48$pj9$1@flis.man.torun.pl...
>
> Użytkownik "Slawek Kos" <s...@p...gazeta.pl> napisał w wiadomości
> news:b5ecm9$9hd$1@inews.gazeta.pl...
> > Użytkownik "Marcin Kasperski" <M...@s...com.pl> napisał w
> > wiadomości news:87he9yvzgn.fsf@cauchy.softax.local...
>
> > > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
> > > serwer i zostaną przez kogoś zapisane, cóż...
> > >
> > > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
> > > 'śmiesznej zabawy'.
> >
> > I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
> > placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
> > odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
> > banku, koncie mojej karty kredytowej oraz ......;-)))
>
> oraz koncie (wpisz dowolne konto) w przypadku chocby mTransferu z uzyciem
> TAN'a? ;-))) Jeśli oczywiscie ktos dalby sie nabrac na scenariusz opisany
> poprzednio.

Co ty p$%^&*%#sz? ;-) Wez sie facet obudz.
A tego TANA to niby skad wezmie?
Przeczytaj sam napisany przez siebie scenariusz - mozna (o ile rzeczywiscie
mozna, bo zdania uczonych w tej kwestii sa podzielone) poznac haslo i login.
Na tym koniec. Znajac te dane mozesz przelewac z mojego rachunku na... inne
moje rachunki. Tyle.

--
Pozdrowienia
---
Slawek Kos --> s...@p...com



--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

> > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
> > serwer i zostaną przez kogoś zapisane, cóż...
> >
> > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
> > 'śmiesznej zabawy'.
>
> I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
> placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
> odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
> banku, koncie mojej karty kredytowej oraz ......;-)))
>
> Weezcie sobie chlopaki zimny prysznic, co....

Tia... To po cholerę właściwie te id i hasło, może należałoby od razu
wpuszczać po imieniu i nazwisku?

Ale dobrze, wykażmy dobrą wolę.

1) Czym grozi ujawnienie id/hasła

Otóż załóżmy że jestem złodziejem i poznałem Twoje id i hasło. Cóż
robię? Ano, loguję się, klikam sobie 'Przelew do US' albo 'Przelew do
ZUS' i mam już także Twoje imię, nazwisko i dokładny adres. Sprawdzam
też oczywiście czy w ogóle masz pieniądze i warto się Tobą
zajmować. Oglądam historię i widzę kiedy i ile pieniędzy dostajesz a
także kiedy - a po części i na co - masz zwyczaj je wydawać.

No ale to tylko zbieranie informacji. Ale jeśli jesteś atrakcyjnym
kąskiem, cóż mi szkodzi wyklikać 'zamów kartę TAN' a potem przez kilka
dni przyglądać się Twojej skrzynce pocztowej (lub wejść w układ z
listonoszem) - patrz wyżej, adres mam. Albo podejść z zupełnie innej
beczki: spróbować w jakiś sposób doprowadzić do sytuacji, w której
zdefiniujesz płatność na jakiś mój rachunek (np. zaoferować Ci jakiś
przedmiot lub usługę). Albo przelać Ci wszystko z emaxa na ekonto po
czym wybrać się na 'osobiste spotkanie' z zaproszeniem na wspólną
wizytę w bankomacie. Itd, itp...

2) Dlaczego ta sprawa jest ważna

Dla mnie bardziej nawet niż sama potencjalna możliwość ataku, ważne
było zachowanie mbanku. Wystąpienie tego problemu świadczy o bardzo
niskiej jakości projektu i audytu bezpieczeństwa systemu
transakcyjnego (ataki cross-site scripting nie są ani żadnym
super-nowym wynalazkiem ani też czymś co bardzo trudno zauważyć). Moje
zaufanie bardzo spadło. Skąd mam wiedzieć, czy w wyniku jakiegoś
innego błędu np. korygując submitowaną stronę nie zdołam zrobić
przelewu bez TANu?

Co gorsza, gdy już problem został ujawniony, bank rżnął głupa, zarazem
dalej wykazując się niewiedzą na temat bezpieczeństwa systemów
webowych. A za bankiem głupa rżnęli 'specjaliści', tacy jakich widać
w tym wątku.


Wot, tyle.

do góry

W wiadomości news:87znnpudrb.fsf@cauchy.softax.local,
Marcin Kasperski <M...@s...com.pl> napisał(a):
> Otóż załóżmy że jestem złodziejem i poznałem Twoje id i hasło. Cóż
> robię? Ano, loguję się, klikam sobie 'Przelew do US' albo 'Przelew do
[ciach]
> czym wybrać się na 'osobiste spotkanie' z zaproszeniem na wspólną
> wizytę w bankomacie. Itd, itp...

Nie boisz sie wychodzic z domu ? ;-)

Przemek

do góry