Jurek Zielinski wrote:

>>Na grupie jest nawet nowa "nazwa" tego banku: BePeHaHaHa. Chyba dobitnie
>>świadczy to o jakości "zabezpieczeń" w BPH (m.in. brak haseł jednorazowych)
>
> to hasła jednorazowe = bezpieczeństwo?
napewno lepiej to niz to co jest BPH

> ciekawe rzeczy prawicie. Znasz system BPHa czy tak sobie trolujesz?

Doprawdy nie wiem. Nie nasz konta w BPH ?, nie czytałeś wcześniejszych
postów? . Jedno praktycznie te samo hasło to w/g ciebie = bezpieczeństwo
I kto tu jest trolem ?. No powiedz kto.

--
jaToja

do góry

JatoJa said the following On 2005-05-27 14:59:
[...]

> Doprawdy nie wiem. Nie nasz konta w BPH ?, nie czytałeś wcześniejszych
> postów? . Jedno praktycznie te samo hasło to w/g ciebie = bezpieczeństwo
> I kto tu jest trolem ?. No powiedz kto.

bez przesady. O ile nic się nie zmieniło to w BPH jest klucz, co jest
dość bezpieczne. Ale jeśli ktoś trzyma klucz na serwerze banku to
niestety sam jest sobie winien, że bezpieczeństwo spada do 2 stałych
haseł....
KJ

--
Rowery treningowe, siłownie, sprzęt sportowy
http://strony.aster.pl/kjonca/#f4y
Kontakt JID: k...@j...aster.pl

do góry

W artykule <d...@b...kjonca.bogus> Kamil Jońca napisal(a):

> JatoJa said the following On 2005-05-27 14:59:
> [...]
>
>> Doprawdy nie wiem. Nie nasz konta w BPH ?, nie czytałeś wcześniejszych
>> postów? . Jedno praktycznie te samo hasło to w/g ciebie = bezpieczeństwo
>> I kto tu jest trolem ?. No powiedz kto.
>
> bez przesady. O ile nic się nie zmieniło to w BPH jest klucz, co jest
> dość bezpieczne. Ale jeśli ktoś trzyma klucz na serwerze banku to
> niestety sam jest sobie winien, że bezpieczeństwo spada do 2 stałych
> haseł....

Dokładnie. Jak do tego dołożymy, że ludzie stosują hasła w stylu ewa01
i to identyczne do klucza i do konta to dopełnia to obrazu typowego usera.
Bank powinien wymóc na klientach trzymanie klucza na dyskietce i sensowne hasła (te
już chyba wymusza).

Jurek

do góry

W artykule <d775sg$1d2$1@nemesis.news.tpi.pl> JatoJa napisal(a):

> Jurek Zielinski wrote:
>
>>>Na grupie jest nawet nowa "nazwa" tego banku: BePeHaHaHa. Chyba dobitnie
>>>świadczy to o jakości "zabezpieczeń" w BPH (m.in. brak haseł jednorazowych)
>>
>> to hasła jednorazowe = bezpieczeństwo?
> napewno lepiej to niz to co jest BPH

Mam ci opisać jak może wyglądać atak na hasła jednorazowe?

do góry

> Mam ci opisac jak moze wyglądac atak na hasla jednorazowe?

jak masz troche czasu to sprubuj

do góry

W artykule <d77e4j$dhf$1@nemesis.news.tpi.pl> Robert Gral napisal(a):

>> Mam ci opisac jak moze wyglądac atak na hasla jednorazowe?
>
> jak masz troche czasu to sprubuj

To już kilka razy było opisywane, i tu i na grupach security. Trojan
ściścle dedykowany pod konkretny bank (tak jak było to z BPH).

Łapie hasła z klawiatury i czeka na pytanie o hasło jednorazowe. Po
wprowadzeniu hasła jednorazowego, ale jeszcze przed wysłaniem go do banku
- wysyła komplet do swojego mastera, potem uszkadza system, eksplorera,
cokolwiek i zawiesza komputer.

Master (człowiek lub automat) loguje się na konto i robi przelew
gdziekolwiek.

Zabezpieczeniem przed tą metodą było by gdyby bank nigdy nie żądał dwa
razy tego samech hasła, trąbi się o tym już od jakiegoś czasu, ale ZTCW
mbank dalej nie poprawił swojego systemu. Inne banki - nie wiem.

Na to zresztą też jest metoda. Odpowiednia lewa łatka na IE i zupełnie
legalnie wypełnione przelewy będą w locie zmieniać konto docelowe i kwoty.
Hasło jednorazowe ci nie pomoże. A klucz BPH tak. Bo kluczem podpisujesz
transakcję. Jeśli zmienia się jakikolwiek element transakcji - transakcja
nie będzie się zgadzać z podpisem i zostanieiodrzucona.

I tak dalej, i dalej.

do góry

W artykule <d77e4j$dhf$1@nemesis.news.tpi.pl> Robert Gral napisal(a):

>> Mam ci opisac jak moze wyglądac atak na hasla jednorazowe?
>
> jak masz troche czasu to sprubuj

To już kilka razy było opisywane, i tu i na grupach security. Trojan
ściścle dedykowany pod konkretny bank (tak jak było to z BPH).

ech nie piszę więcej bo mnie zamkną :)

do góry

Jurek Zielinski <c...@t...debica.pl> wrote in
news:d77mao$67j$2@inews.gazeta.pl:


> ech nie pisz? wi?cej bo mnie zamkną :)

Zamk? - bez przesady, to niejest namawiane do przestepstwa :)

Masz na mysli cos takiego:

http://www.pogotovie.pl/encyklopedia_details.php?wir
us_id=930&page=pelnyopis

Jest kilka banków o gorszych zabespieczeniach nieden z
najwiekszych porazen to system gdzie login to numer karty
a chslo to PIN (do karty) i jestes zalogowany - mozesz robic co chcesz.
Wymazony sysem do kawiarni internetowej i rejestracji znaków z klawiatóry.
Hasla jednorazowe w takiej sytu?acji mog? by? bardziej uzyteczne niz
kluch na Serwerze w Banku (BPH ING ...)

Oba sytemy maja zalety i wady :( ale nie cofniesz sie do systemu sybir

do góry

> Lapie hasla z klawiatury i czeka na pytanie o haslo jednorazowe. Po
> wprowadzeniu hasla jednorazowego, ale jeszcze przed wyslaniem go do
> banku - wysyla komplet do swojego mastera, potem uszkadza system,
> eksplorera, cokolwiek i zawiesza komputer.
>
> Master (czlowiek lub automat) loguje sie na konto i robi przelew
> gdziekolwiek.
>

Ale bo "uszkodzeniu systemu" logujesz si? ponownie i sprawdzasz
stan konta jak jest ruznica to sprawdzasz przelewy oczekujace na
wys?anie i je anulujesz (przy za?orzeniu ze to przelew na
rachunek w innym Banku) - masz czas do najbiszej sesji wychodz?cej.

Chociaz i tak wiekszo?? uzytkowników niema bladego pojeciach o
sesjach przychodzacych i wych... KIR ... itd.


> ech nie pisz? wi?cej bo mnie zamkną :)

Warto informowac (np.: ze "zwis" systemu to nie b?ad MS tylko
potencjalie celowe dzialanie).

do góry

W artykule <d77nmq$4g4$1@nemesis.news.tpi.pl> Robert Gral napisal(a):
> Hasla jednorazowe w takiej sytu?acji mog? by? bardziej uzyteczne niz
> kluch na Serwerze w Banku (BPH ING ...)
>
> Oba sytemy maja zalety i wady :( ale nie cofniesz sie do systemu sybir

BPH ma o tyle dobrze ze kluczem (na dyskietce oczywiscie) podpisujesz cala
transakcje, wiec proba zmodyfikowania jej w locie (przed wyslaniem do
banku) nie powiedzie sie.

do góry