Dnia śro, 01 sty 2003 at 17:22 GMT,
Robert <s...@o...pl> napisał(a):
>
> https://193.41.230.81
>
we własnej sieci taki numerek mogę dać dowolnej maszynie, userzy z mojej
sieci będą się logowac jak bądź (nawet numerycznie) i tak trafią na nią.

Trzeba wierzyć certyfikatom - tylko one nam pozostają :)

--
------------------------------
Jurek

do góry

Jurek Zielinski <j...@t...debica.pl> writes:

> Tego typu podejścia powinna zdradzić przeglądarka - alarmem
> certyfikatów. Dlatego ważna jest pewna przeglądarka (połatana wszystkim

Skad w kawiarence wezmiesz pewna przegladarke?

MJ

do góry

Jurek Zielinski <j...@t...debica.pl> wrote:

> Tego typu podejścia powinna zdradzić przeglądarka - alarmem
> certyfikatów. Dlatego ważna jest pewna przeglądarka (połatana wszystkim
> czym potrzeba) oraz nie wciskaniem OK przed przeczytaniem ze
> zrozumienim komunikatu.

Nic z tego. Przeglądarka nie ma szans na stwierdznie, że pobiera dane
z niewłasciwego serwera. Nawet adres IP może się zgadzać. Podstawiony
serwer może po prostu przesyłać zapytania dalej. Tylko nie do końca
takie, jak przeglądarka.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

Michal Jankowski <m...@f...edu.pl> wrote:

>> Tego typu podejścia powinna zdradzić przeglądarka - alarmem
>> certyfikatów. Dlatego ważna jest pewna przeglądarka (połatana wszystkim

> Skad w kawiarence wezmiesz pewna przegladarke?

Nawet pewna przeglądarka korzysta z ustawionych w systemie serwisów DNS.
A te mogą rózne rzeczy pokazywać. Host pod stołem admina też może miec
takie samo IP jak serwer banku - od czego statyczny routing?
Dodajmy forwarding zapytań do właściwego serwera i masz w pieknym stylu
pełna kontrolę nad tym, co serwer banku dostaje.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

Robert <s...@o...pl> wrote:

> Pierwsze ryzyko juz nieco omowilismy. Jesli chodzi o drugie zagrozenie, to
> malo prawdopodobne jest, aby w kraju zagranicznym ktos wiedzial o mBanku i
> podstawial jego zapis DNS.

> To drugie ryzyko mozna zmniejszyc znacznie logujac sie na adres numeryczny
> mBanku:

> https://193.41.230.81

> (i potwierdzając alert bezpieczeństwa)

Kolega o statycznym routingu słyszał? Bo można bez problemu podstawić
równiez IP.


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

Jurek Zielinski <j...@t...debica.pl> wrote:

> Trzeba wierzyć certyfikatom - tylko one nam pozostają :)

Taaak? A co jeśli maszynka podstawiona przeforwarduje zapytanie do
właściwego serwisu?

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

jet calkowicie bezpieczne !!!
jesli masz hasla jednorazowe!!!! - warunek
nawet gdyby ktos podejzal troje haslo i identyfikator to tylko moglby sobie
popatrzec na stan twojego konta
hyba ze wykradl by ci te hasla wymienione wyzej
a kazde wejscie jest logowane i podawane tobie
jesli zobaczysz wejscie nie twoje - zmieniasz haslo i po sprawie
nie zrobi tego nikt inny nie majac hasel jednorazowych kazda operacja wymaga
podania tego hasla
anda

Użytkownik "Adam Płaszczyca" <_...@i...pl> napisał w wiadomości
news:auv7if$5i$1@news.tpi.pl...
> rena <r...@p...pl> wrote:
> > ...czy jest mniej bezpieczne, niz np. korzystanie z domu czy pracy?...
>
> Tak.
>
> --
> ___________ (R)
> /_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
> ___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
> _______/ /_ IRC: _555, http://mike.oldfield.org.pl/
> ___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

Dnia czw, 02 sty 2003 at 08:15 GMT,
Adam Płaszczyca <_...@i...pl> napisał(a):
> Jurek Zielinski <j...@t...debica.pl> wrote:
>
>> Trzeba wierzyć certyfikatom - tylko one nam pozostają :)
>
> Taaak? A co jeśli maszynka podstawiona przeforwarduje zapytanie do
> właściwego serwisu?
>

Hurtem do poprzednich postów również bo się nie rozumiemy

Jak działa szyfrowanie ssl
Pierwszym etapem nawiązywania połączenia ssl jest ustalenie certyfikatu
serwera. Certyfikat nie wywoła alarmu przeglądarki jeśli będzie się
zgadzał url, okres ważności oraz WYSTAWCA. Standardowo Przeglądarki mają
dodanych kilka centrów certyfikujących (np Thawte). Tylko certfikaty
wystawione przez te Centra nie będą wywoływały alarmu zabezpieczeń.
Po porawnym zweryfikowanu certyfikatów transmisja jest szyfrowana.

Więc nie ma możliwości zaatakować takiego połączenia.
Maszynka forwardująca nic ci nie da bo -
albo forwarduje dane zaszyfrowane (jak proxy) i nie wie nawet co
transmituje
albo udaje serwer banku - ale nie ma prawidłowego certyfikatu - więc
zdradzi ją alarm przeglądarki
(pomijam IE z dziurą na certyfikatach bo tam się da podstawić lewy
certyfiakt - były nawet przykłady z obrazkami w sieci)

Na potwierdzenie spróbuj wejśc na jakąkolwiek strone z tzw
samopodpisanym certyfikatem, lub certyfikatem którego wystawca nie jest
dodany do przeglądarki. (któryś bank ma certyfikat certum - pko chyba)
Przeglądarka od razu pyszczy.

Dlaczego pewna przeglądarka?
Wyobrażmy sobie kafejkę. Uruchamiamy sobie własne centrum autoryzacyjne,
wystawiamy sobie certyfikat i równocześnie dodajemy do przeglądarek że
moje Centrum Autoryzacyjne jest jak najbardziej prawidłowe. Potem już
tylko trywialne podstawieni IP i DNS i .....
(nie wiem czy taki scenariusz sie powiedzie - nie jestem specjalistą od
ssli i certyfiaktów - ale IMHO ma szanse sie udać)

Podtrzymuje - tylko pewna przeglądarka może nas ochronić przed atakiem
na połączenie internetowe.
(ssla można za to pieknie rozłożyc z jego końców - dlatego nie mam
zaufania do kafejkowych komputerów - wolał bym to robic z komórki przez
wap - nie mam tego problemu bo zwykle biorę laptopa)

--
------------------------------
Jurek

do góry

Dnia czw, 02 sty 2003 at 09:15 GMT,
anda <a...@p...fm> napisał(a):
> jet calkowicie bezpieczne !!!
> jesli masz hasla jednorazowe!!!! - warunek
> nawet gdyby ktos podejzal troje haslo i identyfikator to tylko moglby sobie
> popatrzec na stan twojego konta

eeee.... a porawili juz w mbanku aby raz zażądane hasło jednorazowe
potem omijane? Nie? no to robi sie tak (też już taka koncepcja była)

Logujesz się (snifer łapie uzytkownika i hasło)
wklepujesz przelew, żądanie hasła jednorazowego,
Wpisujesz hasło jednorazowe(snifer łapie) - a tu pech zawiesza się
komputer (to znaczy tak miało być),
Zanim się zresetuje i spróbujesz wejść ponownie - z innego
stanowiska już poszedł przelew z tym hasłem jednorazowym,
Potem jeszcze kilka razy błedne hasło i zanim odblokujesz może już być
po wszystkim.

To już lepszy token.

--
------------------------------
Jurek

do góry

Jurek Zielinski <j...@t...debica.pl> wrote:

> Więc nie ma możliwości zaatakować takiego połączenia.

Tylko zauważ, że masz systuację taką, że przeglądarka łączy się do
podstawiinego serwera, a ten do właściwego. I teraz serwer podstawiony
udziela przeglądarce takich samych odpowiedzi jak serwer prawdziwy. Ma
je od prawdziwego serwera, tylko przekazuje dalej.

Czyli masz tak:

Serwer banku <===== SSL ======> podstawiony INT0 <===nieszyfrowane==
===>podstawiony INT1 <==== SSL ===> przeglądarka.

> albo udaje serwer banku - ale nie ma prawidłowego certyfikatu - więc
> zdradzi ją alarm przeglądarki

Udaje i serwer banku (dla przeglądarki) i przeglądarkę (dla serwera
banku).

> Podtrzymuje - tylko pewna przeglądarka może nas ochronić przed atakiem
> na połączenie internetowe.


NA powyższe żaden SSL nie pomoże.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry