eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiRzepa idzie w zaparte ;-)
Ilość wypowiedzi w tym wątku: 12

  • 1. Data: 2003-03-20 12:30:41
    Temat: Rzepa idzie w zaparte ;-)
    Od: "Glenn" <g...@g...pl>

    http://www.rp.pl/dodatki/pieniadze_030320/pieniadze_
    a_1.html

    I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie" ;)))) -
    czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)

    --
    Pozdrowienia,
    Glenn



    --
    Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 2. Data: 2003-03-20 14:25:48
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: "olo" <n...@d...pl>

    > I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie" ;)))) -
    > czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)

    to oczywiście była śmieszna zabawa, wiesz o tym Ty, wiem o tym ja, wiedzą o
    tym również ludzie którzy czytają tą grupę a także zdecydowana większosć
    klientów mBanku którzy mają jakiekolwiek pojęcie o internecie

    dasz sobie jednak głowę uciąć że 100% klientów mbanku jest tego świadoma ?

    skoro głupi prymitywny email wysyłany w milionach sztuk przez jakichś
    Nigeryjczyków ma piorunujące działanie i pełno ludzi dało się na to oszukać
    ?
    oczywiście że 99,99% odbiorców poprostu skasowało takiego maila - jednak
    jakiś promil dał się oszukać - tu jest podobnie - jeśli prowadzisz bank dla
    kilkuset tysięcy klientów to takie nawet drobne bzdurki należy błyskawicznie
    wykluczać, tymczasem mBank wiedział o tym od ponad roku a ruszył 4 litery
    dopiero wtedy gdy ktoś napisał niezbyt zresztą dobry artykuł w RP


  • 3. Data: 2003-03-20 15:18:16
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: Marcin Kasperski <M...@s...com.pl>

    "olo" <n...@d...pl> writes:

    > > I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie" ;)))) -
    > > czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)
    >
    > to oczywiście była śmieszna zabawa, wiesz o tym Ty, wiem o tym ja, wiedzą o
    > tym również ludzie którzy czytają tą grupę a także zdecydowana większosć
    > klientów mBanku którzy mają jakiekolwiek pojęcie o internecie

    A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
    pojęcie nieco większe niż jakiekolwiek.

    Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
    maila o treści:

    Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
    przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij

    https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
    234

    (przykłady że w zepsutym linku nie musi być widać słowa error rzucał
    np. pjo)

    Klikniesz? Sądzę że tak, przecież to strona w mbanku. Po kliknięciu
    zobaczysz stronę logowania do mbanku. Zalogujesz się? Pewnie
    też. Dostaniesz potem może stronę z tekstem typu "MBank-Money zostało
    wycofane przez nadawcę z komentarzem 'Poprawa pomyłki, zły
    odbiorca'". Nabierzesz natychmiastowych podejrzeń? Też niekoniecznie.

    A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    serwer i zostaną przez kogoś zapisane, cóż...


    Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
    'śmiesznej zabawy'.


  • 4. Data: 2003-03-20 16:06:05
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: "olo" <n...@d...pl>

    > A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
    > pojęcie nieco większe niż jakiekolwiek.
    >
    > Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
    > maila o treści:
    >
    > Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
    > przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij
    >
    > https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
    234
    >
    > (przykłady że w zepsutym linku nie musi być widać słowa error rzucał
    > np. pjo)

    sorki ale nie łapię - ten przykład o którym mówisz przeniesie mnie na stronę
    mBanku gdzie zostałby wygenerowany błąd o nazwie takiej jaką ty kodami asci
    czy czym innym spreparujesz

    ale to w dalszym ciągu tylko strona mbanku (a nie jakaś twoja)

    możesz mi też ewentualnie zasugerować żebym wszedł następnie na inną strone
    (treścią komunikatu) ale to już nie działa jak automat


    > Klikniesz? Sądzę że tak, przecież to strona w mbanku. Po kliknięciu
    > zobaczysz stronę logowania do mbanku. Zalogujesz się? Pewnie
    > też. Dostaniesz potem może stronę z tekstem typu "MBank-Money zostało
    > wycofane przez nadawcę z komentarzem 'Poprawa pomyłki, zły
    > odbiorca'". Nabierzesz natychmiastowych podejrzeń? Też niekoniecznie.
    >
    > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    > serwer i zostaną przez kogoś zapisane, cóż...

    no ale w jaki sposób ?


  • 5. Data: 2003-03-20 17:04:46
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: Marcin Kasperski <M...@s...com.pl>

    "olo" <n...@d...pl> writes:

    > > A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
    > > pojęcie nieco większe niż jakiekolwiek.
    > >
    > > Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
    > > maila o treści:
    > >
    > > Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
    > > przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij
    > >
    > > https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
    234
    > >
    > > (przykłady że w zepsutym linku nie musi być widać słowa error rzucał
    > > np. pjo)
    >
    > sorki ale nie łapię - ten przykład o którym mówisz przeniesie mnie na stronę
    > mBanku gdzie zostałby wygenerowany błąd o nazwie takiej jaką ty kodami asci
    > czy czym innym spreparujesz
    >
    > ale to w dalszym ciągu tylko strona mbanku (a nie jakaś twoja)

    Swoją mogę w to zaembedować. Patrz przykład zrobiony przez pjo, który
    nie robił śmiesznych napisów tylko ... włożył tam stronę logowania
    inteligo. Równie dobrze mógłby włożyć stronę 'logowania' wyglądającą
    jak logowanie mbanku ale przesyłającą po zatwierdzeniu dane na inny
    serwer.

    Polecam lekturę:
    http://www.cgisecurity.com/articles/xss-faq.shtml


  • 6. Data: 2003-03-21 06:50:14
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: "Slawek Kos" <s...@p...gazeta.pl>

    Użytkownik "Marcin Kasperski" <M...@s...com.pl> napisał w
    wiadomości news:87he9yvzgn.fsf@cauchy.softax.local...
    > "olo" <n...@d...pl> writes:
    >
    > > > I tak z niewinnej zabawy linkami zrobiło się "poważne zagrożenie"
    ;)))) -
    > > > czy ktoś powstrzyma te bzdury ? (pytanie retoryczne)
    > >
    > > to oczywiście była śmieszna zabawa, wiesz o tym Ty, wiem o tym ja,
    wiedzą o
    > > tym również ludzie którzy czytają tą grupę a także zdecydowana większosć
    > > klientów mBanku którzy mają jakiekolwiek pojęcie o internecie
    >
    > A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
    > pojęcie nieco większe niż jakiekolwiek.
    >
    > Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
    > maila o treści:

    [...]
    > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    > serwer i zostaną przez kogoś zapisane, cóż...
    >
    > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
    > 'śmiesznej zabawy'.

    I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
    placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
    odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
    banku, koncie mojej karty kredytowej oraz ......;-)))

    Weezcie sobie chlopaki zimny prysznic, co....

    --
    Pozdrowienia
    ---
    Slawek Kos --> s...@p...com



    --
    Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 7. Data: 2003-03-21 07:31:19
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: "bwwald" <b...@w...onet.pl>


    Użytkownik "Slawek Kos" <s...@p...gazeta.pl> napisał w wiadomości
    news:b5ecm9$9hd$1@inews.gazeta.pl...
    > Użytkownik "Marcin Kasperski" <M...@s...com.pl> napisał w
    > wiadomości news:87he9yvzgn.fsf@cauchy.softax.local...

    > > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    > > serwer i zostaną przez kogoś zapisane, cóż...
    > >
    > > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
    > > 'śmiesznej zabawy'.
    >
    > I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
    > placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
    > odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
    > banku, koncie mojej karty kredytowej oraz ......;-)))

    oraz koncie (wpisz dowolne konto) w przypadku chocby mTransferu z uzyciem
    TAN'a? ;-))) Jeśli oczywiscie ktos dalby sie nabrac na scenariusz opisany
    poprzednio.

    Waldek



  • 8. Data: 2003-03-21 09:00:59
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: "Slawek Kos" <s...@p...gazeta.pl>

    Użytkownik "bwwald" <b...@w...onet.pl> napisał w wiadomości
    news:b5ef48$pj9$1@flis.man.torun.pl...
    >
    > Użytkownik "Slawek Kos" <s...@p...gazeta.pl> napisał w wiadomości
    > news:b5ecm9$9hd$1@inews.gazeta.pl...
    > > Użytkownik "Marcin Kasperski" <M...@s...com.pl> napisał w
    > > wiadomości news:87he9yvzgn.fsf@cauchy.softax.local...
    >
    > > > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    > > > serwer i zostaną przez kogoś zapisane, cóż...
    > > >
    > > > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
    > > > 'śmiesznej zabawy'.
    > >
    > > I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
    > > placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
    > > odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
    > > banku, koncie mojej karty kredytowej oraz ......;-)))
    >
    > oraz koncie (wpisz dowolne konto) w przypadku chocby mTransferu z uzyciem
    > TAN'a? ;-))) Jeśli oczywiscie ktos dalby sie nabrac na scenariusz opisany
    > poprzednio.

    Co ty p$%^&*%#sz? ;-) Wez sie facet obudz.
    A tego TANA to niby skad wezmie?
    Przeczytaj sam napisany przez siebie scenariusz - mozna (o ile rzeczywiscie
    mozna, bo zdania uczonych w tej kwestii sa podzielone) poznac haslo i login.
    Na tym koniec. Znajac te dane mozesz przelewac z mojego rachunku na... inne
    moje rachunki. Tyle.

    --
    Pozdrowienia
    ---
    Slawek Kos --> s...@p...com



    --
    Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 9. Data: 2003-03-21 12:04:40
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: Marcin Kasperski <M...@s...com.pl>

    > > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    > > serwer i zostaną przez kogoś zapisane, cóż...
    > >
    > > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
    > > 'śmiesznej zabawy'.
    >
    > I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
    > placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
    > odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
    > banku, koncie mojej karty kredytowej oraz ......;-)))
    >
    > Weezcie sobie chlopaki zimny prysznic, co....

    Tia... To po cholerę właściwie te id i hasło, może należałoby od razu
    wpuszczać po imieniu i nazwisku?

    Ale dobrze, wykażmy dobrą wolę.

    1) Czym grozi ujawnienie id/hasła

    Otóż załóżmy że jestem złodziejem i poznałem Twoje id i hasło. Cóż
    robię? Ano, loguję się, klikam sobie 'Przelew do US' albo 'Przelew do
    ZUS' i mam już także Twoje imię, nazwisko i dokładny adres. Sprawdzam
    też oczywiście czy w ogóle masz pieniądze i warto się Tobą
    zajmować. Oglądam historię i widzę kiedy i ile pieniędzy dostajesz a
    także kiedy - a po części i na co - masz zwyczaj je wydawać.

    No ale to tylko zbieranie informacji. Ale jeśli jesteś atrakcyjnym
    kąskiem, cóż mi szkodzi wyklikać 'zamów kartę TAN' a potem przez kilka
    dni przyglądać się Twojej skrzynce pocztowej (lub wejść w układ z
    listonoszem) - patrz wyżej, adres mam. Albo podejść z zupełnie innej
    beczki: spróbować w jakiś sposób doprowadzić do sytuacji, w której
    zdefiniujesz płatność na jakiś mój rachunek (np. zaoferować Ci jakiś
    przedmiot lub usługę). Albo przelać Ci wszystko z emaxa na ekonto po
    czym wybrać się na 'osobiste spotkanie' z zaproszeniem na wspólną
    wizytę w bankomacie. Itd, itp...

    2) Dlaczego ta sprawa jest ważna

    Dla mnie bardziej nawet niż sama potencjalna możliwość ataku, ważne
    było zachowanie mbanku. Wystąpienie tego problemu świadczy o bardzo
    niskiej jakości projektu i audytu bezpieczeństwa systemu
    transakcyjnego (ataki cross-site scripting nie są ani żadnym
    super-nowym wynalazkiem ani też czymś co bardzo trudno zauważyć). Moje
    zaufanie bardzo spadło. Skąd mam wiedzieć, czy w wyniku jakiegoś
    innego błędu np. korygując submitowaną stronę nie zdołam zrobić
    przelewu bez TANu?

    Co gorsza, gdy już problem został ujawniony, bank rżnął głupa, zarazem
    dalej wykazując się niewiedzą na temat bezpieczeństwa systemów
    webowych. A za bankiem głupa rżnęli 'specjaliści', tacy jakich widać
    w tym wątku.


    Wot, tyle.


  • 10. Data: 2003-03-21 12:58:32
    Temat: Re: Rzepa idzie w zaparte ;-)
    Od: "Przemek Wrzesinski" <p...@n...gazeta.pl>

    W wiadomości news:87znnpudrb.fsf@cauchy.softax.local,
    Marcin Kasperski <M...@s...com.pl> napisał(a):
    > Otóż załóżmy że jestem złodziejem i poznałem Twoje id i hasło. Cóż
    > robię? Ano, loguję się, klikam sobie 'Przelew do US' albo 'Przelew do
    [ciach]
    > czym wybrać się na 'osobiste spotkanie' z zaproszeniem na wspólną
    > wizytę w bankomacie. Itd, itp...

    Nie boisz sie wychodzic z domu ? ;-)

    Przemek

strony : [ 1 ] . 2


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1