witek pisze:

> a zmiana w routerze nie załatwi?
> Tak samo skutecznie.

Na którym routerze i jak ta zmiana ma wyglądać?
Dobra bo dyskusja brnie w nieznane. Powiem tylko tyle, że aktualnie na
topie jest phishing. Dlaczego? Bo jest maksymalnie prosty do
zrealizowania i można go wykonywać masowo z automatu, bez hackowania po
drodze routerów brzegowych ISP or sth. To samo jest z zatruwaniem DNSa
na pewno jest to łatwiej wykonalne i można się pokusić, o pewne chociaż
częściowe automatyzowanie procesu, a tylko o to chodzi atakującym.


--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

"Bartosz 'xbartx' Nowakowski" <b...@h...net> wrote in message
news:f6jj0e$os8$1@sunflower.man.poznan.pl...
> witek pisze:
>
>> a zmiana w routerze nie załatwi?
>> Tak samo skutecznie.
>
> Na którym routerze i jak ta zmiana ma wyglądać?

Wszystko jedno na którym.
Wystarczy zmodyfikować tablicę routingu tak aby pakiety idące do serwera
banku poszły po podstawionej ścieżce do fałszywego serwera. Wówczas i z
niego tez bez problemu wrócą.

do góry

MarcinF pisze:

> nie rozumiem, chcesz powiedziec ze laczenie sie po adresie
> IP daje wieksza pewnosc polaczenia z wlasciwym serwerem niz
> uzywanie certyfikatow ?

Chcę powiedzieć, że IMO mam większą pewność gdy łączę się do serwera po
IP niż gdy po nazwie.

--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

witek pisze:

> Wszystko jedno na którym.

Mi chodziło o praktyczne masowe akcje, które przyniosą zamierzone
efekty. Gdzie mam tę tablicę routingu zmienić i gdzie podstawić serwer?
Za mydelniczką na wyjściu z domu gdzie wgram swój developersko-hackerski
firmware czy może mam się włamywać do sieci jakiegoś ISP, który jest na
drodze? Nie mówię, że to jest nierealne, ale opłacalność takich sztuczek
zaczyna się w okolicach zdobycia mln $. Dlatego o wiele prostszy jest
phishing lub zatrucie DNSa.




--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

Bartosz 'xbartx' Nowakowski wrote:
>
> MarcinF pisze:
>
> > nie rozumiem, chcesz powiedziec ze laczenie sie po adresie
> > IP daje wieksza pewnosc polaczenia z wlasciwym serwerem niz
> > uzywanie certyfikatow ?
>
> Chcę powiedzieć, że IMO mam większą pewność gdy łączę się do serwera po
> IP niż gdy po nazwie.

mysle ze to nie jest takie oczywiste, poza tym moznaby o tym
dyskutowac w kontekscie serwerow nie autentykowanych certyfikatem,
a takich ten watek nie dotyczy

do góry

Bartosz 'xbart' Nowakowski <b...@h...net> writes:

> Namieszanie w tablicy
> routingu nic raczej nie pomoże, no może tyle że połączenia nie
> uzyskam.

Bajkujesz, jesli ktos kto chce to zrobic ma dostep do jakiegos routera
miedzy Toba i bankiem, to zrobienie tego jest trywialne. Jesli nie
ma dostepu do routera, ale np. wlamal sie do studzienki pod serwerem
banku, to nie jest to takze takie bardzo trudne.

> Tak z tym, że atakującemu wystarczy zatruć cache tylko Twojego
> pierwszego serwera DNS co jak napisałem w innym poście jest sprawą
> znacznie prostszą niż zabawy w Man in the Middle i niby to "grzebanie w
> routerach" po drodze, które nie wiem do czego na doprowadzić.

Wpisz sobie lepiej a.b.c.d www.mbank.com.pl do /etc/hosts jesli sie
boisz cache poisoningu. System certyfikatow z pewnoscia nie jest
calkiem bezpieczny, ale na pewno jest o rzedy wielkosci
bezpieczniejszy niz routing IP w publicznej sieci.
--
Krzysztof Halasa

do góry

"Bartosz 'xbartx' Nowakowski" <b...@h...net> wrote in message
news:f6jljb$q5c$2@sunflower.man.poznan.pl...
> witek pisze:
>
>> Wszystko jedno na którym.
>
> Mi chodziło o praktyczne masowe akcje, które przyniosą zamierzone efekty.
> Gdzie mam tę tablicę routingu zmienić i gdzie podstawić serwer?

Wszystko jedno gdzie. Któryś po drodze do banku.

> Za mydelniczką na wyjściu z domu gdzie wgram swój developersko-hackerski
> firmware czy może mam się włamywać do sieci jakiegoś ISP, który jest na
> drodze?

Po co się włamywać, wczesniej czy później znajdzie się admin, który da się
skusić.



> Nie mówię, że to jest nierealne, ale opłacalność takich sztuczek zaczyna
> się w okolicach zdobycia mln $. Dlatego o wiele prostszy jest phishing lub
> zatrucie DNSa.

Ty się rzucasz na każdy komputer oddzielnie. Z czego tylko ułamek procenta
będzie pozytywne.
A ja jedną zmianą w tablicy routingu mam miliony ludzi przekierowanych do
fałszywego serwera.
Pytanie jaki procent nie zignoruje komunikatu, że coś z certyfikatem jest
nie tak. Niestety tylko ułamek.
A jak na dodatek jeszcze wpiszesz adres ip, zamiast nazwy to wogóle nie
dostaniesz żadnego komunikatu dopóki nie otworzysz certyfikatu i nie
zorientujesz się, że jesteś na serwerze mblank.com.pl a nie mbank.com.pl
Jedyny problem w tym, że admini nie są aż tak pazerni na pieniądze, a włamać
się tez nie jest tak prosto.

do góry

Dnia Thu, 05 Jul 2007 18:54:44 -0500, witek napisał(a):

> A ja jedną zmianą w tablicy routingu mam miliony ludzi przekierowanych do
> fałszywego serwera.

Tylko jest jedno małe "ale" - przy takiej zmianie o jakiej mówisz, to
raczej będziesz musiał ja rozgłościć, więc daje góra kilka minut, że to
podziała i zaczną się problemy, a jeżeli mówimy o mln to
zmiany trzeba dokonać możliwie najbliżej serwera docelowego, albo na
wyjściu z sieci TP (odnosząc się do serwerów w .pl) - to już chyba
lepiej zacząć próbować włamać się od razu do banku :)

PS Jeżeli loguje się do banku po IP to zawsze sprawdzam certyfikat z
racji tego, że przeglądarka się buntuje ot takie małe usprawnienie.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

do góry

Dnia Thu, 05 Jul 2007 23:40:42 +0200, Krzysztof Halasa napisał(a):

> Bajkujesz, jesli ktos kto chce to zrobic ma dostep do jakiegos routera
> miedzy Toba i bankiem, to zrobienie tego jest trywialne. Jesli nie
> ma dostepu do routera, ale np. wlamal sie do studzienki pod serwerem
> banku, to nie jest to takze takie bardzo trudne.

Ja nigdzie nie twierdziłem, że się nie da, wszystko się da. Pytanie
tylko o czas, koszty i skomplikowanie operacji? A nam chodzi o przypadek
zwykłego usera. IMO prościej jest zatruć DNSa (albo np zmienić DNSy, na
swoje, w jakiejś mydelniczce na wyjściu z małej sieci) niż mątować
się do studzienki w okolicach kolokacji bankowych serwerów.

> Wpisz sobie lepiej a.b.c.d www.mbank.com.pl do /etc/hosts jesli sie
> boisz cache poisoningu. System certyfikatow z pewnoscia nie jest
> calkiem bezpieczny, ale na pewno jest o rzedy wielkosci
> bezpieczniejszy niz routing IP w publicznej sieci.

Mowa była o mBank (w Multi to samo pewnie jedna kolokacja), który ma
tylko jeden adres IP i praktycznie z wszystkich sieci, z których się
łącze mam dosłownie kilka hopów, więc szanse maleją dosyć poważnie.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

do góry

Bartosz 'xbart' Nowakowski wrote:
>
> PS Jeżeli loguje się do banku po IP to zawsze sprawdzam certyfikat z
> racji tego, że przeglądarka się buntuje ot takie małe usprawnienie.

a co takiego sprawdzasz czego przegladarka nie sprawdza sama przy
polaczeniu po nazwie serwera ? co takiego zyskujesz laczac sie
po IP poza tym ze wyskakuje okno komunikatu o niezgodnosci
nazwy serwera z ta w certyfikacie ?

do góry