http://www.rp.pl/gazeta/wydanie_020817/ekonomia/ekon
omia_a_9.html

do góry

Viva Lukas, Viva Token z Lukasa :)


Pzd Travis
--
Sebastian Grabowski
Tel. 503 155 127
GG: 18584
"Nie kradnij - władza nie znosi konkurencji."

do góry

" Brak reakcji funkcjonujących w kraju instytucji, świadczących usługi
e-handlu i e-bankowości, oraz producentów przeglądarek skłonił spółkę AVET,
jednego z najdłużej działających polskich audytorów bezpieczeństwa
informacji elektronicznej, do poinformowania o tych faktach."

Niezle - 5 sierpnia, a oni juz by chcili nie wiem co :) Se zrobili publicity
za friko, udajac fachowciow. Tylko, ze co oni proponuja??? Strasza li
tylko - a o tych strachach bylo juz dawno slychac... Ech ta prasa ;)

do góry

> Viva Lukas, Viva Token z Lukasa :)

Taaaaak wierz dalej w token a .... okradną cię :)

Ta dziura (certyfikaty SSL) umożliwia atak polegający na tym że włamywacz jest
pomiędzy tobą a bankiem. Przed tobą udaje bank a przed bankiem ciebie. Ma
dostęp do wszystkiego co jest przesyłane pomiędzy tobą a bankiem. I to nie
tylko do odczytu. Może to również zmieniać. Wystarczy że w podczas
potwierdzania tokenem przelewu zmieni numer rachunku docelowego, kwote.
Ty sprawdzisz - jest dobrze. A do banku dojdzie już co innego.
Być może banki jakoś to wykryją, suma kontrolna zlecenia, wykrycie
potwierdzenia innego niż wcześniej wystawione itp.
Ale i tak dziura daje spore pole do popisu.

A w token to ja bym już tak ufnie nie wierzył.

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Zdaje sobie z tego sprawe. Ale zeby cos takiego zrobic naprawde trzeba sie
postarac, i strasznie malo czasu masz na wykonanie tych wszystkich
czynnosci max 40 sekund. Jezeli sie nie zmiescicsz kod bedzie nie aktualny.
A w tym czasie trzeba przechywcic polaczenie, wyciagnac dane, zmienic je i
wyslac dalej do banku. Wiadomosci nie ida otwartym tekstem ale jednak sa
kodowane. Wiec leszpy token w garsci jak Lepper jako prezydent :D


Pzd Travis
--
Sebastian Grabowski
Tel. 503 155 127
GG: 18584
"Nie kradnij - władza nie znosi konkurencji."

do góry

zdaje się, że nie do końca rozumiesz naturę problemu.
szyfrowanie danych nie ma tu nic do rzeczy, bo włamywacz
podszywając się pod bank będzie miał dane zdekodowane.
a podszywanie się i zmianę numeru konta w zleceniach można
zautomatyzować.

--
FP

do góry

W świetle tych informacji IMO stosunkowo najwyższy poziom bezpieczeństwa (choć
oczywiście niepełny) prezentują systemy wymagające podpisu elektronicznego.
Jeżeli tylko klucz prywatny w postaci jawnej nie wędruje po sieci (a nie znam
systemów gdzie by tak było) to wprawdzie dzięki dziurze w MSIE można uzyskać
informacje o rachunkach, ale w żadnym wypadku nie da się wyprowadzić kasy. Może
niewielka ale zawsze pociecha. Ale rzeczywiście jeśli tylko ma się taka
możliwość to lepiej nie korzystać z produktów pana Bila Gatesa.
Pozdrawiam

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry