Witam,

Po ostatnich wydarzeniach wracam, i mam zamiar na
pocz?tek podsumowaae (oczywi?cie z mojego punktu widzenia) problematyk?
dziurawego ssl-a.
Dla tych którym wci?? obca jest ta problematyka proponuj? wst?pnie
zaznajomiae sie z http://arch.ipsec.pl/inteligo.var
Dla tych, którzy zrozumieli dalsza lekutra jest tylko formalno?ci?.

Ów b??d (mowa o b?ednym interpretowaniu bezpiecze?stwa ssl-a przez
MSIE) w uogólnieniu dotyczy wszystkich - ale to jak z wirusem HIV, nie
oznacza ?e ka?dy zostanie okradziony w wyniku tego b?edu.
Atak MITM polega na tym ?e na trasie pomi?dzy serwerem Banku a komputerem
Klienta jest odpowedni program, który:
a) nabiera nas ?e po??czenie SSL jest bezpieczne
b) wyci?ga informacje przesy?ane sieci?, oraz ma mo?liwo?ae bezpiecznego
modyfikowania tych danych (np zmiana polecenia przelewu a dok?adniej
odbiorcy pi?ni?dzy) lub poprostu zebraae informacje na temat naszego konta
(co jak niektórzy twierdz? jest bardziej dochodowe, w przypadku VIP-ów)

Osobi?cie wyodr?bni?am nast?puj?c? grup? w której ryzyko jest niewielkie
- U?ytkownicy, którzy bezpo?rednio ??cz? sie przez modem i posiadaj?
zaufanie do swojego operatora. Czyli mamy pewno?ae, ?e nikt nie
pods?uchuje naszej lini telefonicznej oraz ?e powy?szego ataku nie
dokonuje np. sam operator (ale taka tpsa to ma bardziej sprawdzone metody
wyci?gania z nas pieni?dzy)
W?a?ciwie to niewielki procent niebezpiecze?stwa powstaje w momencie
zmasowanego ataku na urz?dzenia dost?powe tepsa i instalowanie na nim
stosownego oprogramowania (tutaj teoretycznie admini powinni zalarmowaae).
Ale, osoba która u?ywa modemu przez 0202122 musi mieae swiadomo?ae tego ?e
jest wci?? nara?ona na ten atak, i mo?e on byc przeprowadzony z jej
w?asneog komputera mianowicie problem pojawia si? w przypadku trojanów i
wirusów które na naszym komputerze bezpo?rednio modyfikuj? te dane. Tutaj
odnosze do mojego poprzedniego posta (okolice lipca) w którym t?umaczy?am
zwi? 1/4 le jak unikaae trojanów.

Zatem teraz b?dziemy mówiae o tych którzy s? najbardziej nara?eni na atak:
- u?ytkownicy którzy l?cz? si? przy pomocy karty sieciowej na tzw.
sieciach osiedlowych, poczynaj?c od sieci prywatnych i sieci
komercyjnych, czyli takich które dzier?awi? szybkie ??cze, buduj? sieae
ethernetow? i najcz??ciej stawiaj? router i maja g??boko gdzie? co sie
dzieje na sieci a interesuje ich tylko fakt czy liczba u?ytkowników
zgadza si? z liczb? abonentów (to akurat znam z w?asnego do?wiadczenia -
pracowa?am swojego czasu w jednej z wi?kszych firm internetowych - no
comments). No i dochodz? do tego sieci w pracy, szko?ach, kawiarenkach
internetowych i uczelniach.

Najwa?niejsze jest to, ?e osob? atakuj?c? nie musi byae operator a np nasz
s?siad lub osoba na dziko wpinaj?ca si? w sieae. Dzia?anie polega na
spoofowaniu (czyli robieniu w butelk?) ruchu sieciowego. Czyli my
"??czymy" sie z bankiem, a dok?adnie to z?odziej ??czy nas z bankiem za
po?rednictwem swojego komputera. Metoda ta opiera sie na tzw DNSSpoofingu
czyli podszywaniu sie pod adres serwera zbieraniu danych ich modyfikacji
i wysy?aniu do banku.

Zatem skoro czujesz si? w grupie ryzyka! Proponuje ci kilka czynno?ci
które powiniene? zrobiae aby mieae ?wiadomo?ae ?e nie da?e? si? biernie
okra?ae:
- Dowiedz si? jaki jest adres IP twojego banku ( jest to numer
sk?adajacyc sie z 4 liczb które mog? mieae maksymalnie warto?ae od 0 do 255) ,
poniewa? powy?szy atak
wykorzystuje DNS do przekierowania ruchu, najlepiej dowiedzieae sie na
infolini banku jaki jest adres ip serwera i wpisywaae go w oknie
przegl?darki:
np.: adres ip dla onet.pl ma postaae: 213.180.130.200 i jesli wpiszemy ten
numer to pojawi sie nam strona onet.pl. Numer o podobnej budowie b?dzie
mia? serwer bankowy.
Jak ju? zdob?dziemy adres ip. to wpisujemy w przegl?darce:
https://ip-serwera
nale?y pami?taae ?e je?eli adres zaczyna sie od https:// oznacza ?e
korzysta on z po??czenia kodowanego SSL
Tak?e mo?emy sprawdziae, czy kto? w danym momencie nie u?ywa DNSSpoofa,
pinguj?c serwer banku (start uruchom -> command.com wpisujemy ping
nazwaserwera)
np:
ping onet.pl
I powini?my uzyskaae co? podobnego do tego poni?ej, przy czym wa?ne jest, aby adres
podany
w pierwszym nawiasie (onet.pl) zgadza? sie z numerem przypisanym obok w
polu from b?dzi podany nasz ip adres
Ping (onet.pl) 213.180.130.200 from 10.0.0.10 : 56 (84) bytes of data

Czasami jednak dost?p do internetu jest za pomoc? serwera proxy i
nieb?dzie mo?liwe pingowanie takiego hosta konczy si? to z regu?y
komunikatem Destination host is unreachable. Wtedy mo?emy zrobiae to co
powinien robiae ka?dy i zawsze:
SPRAWDZIAE WYSTAWCE CERTYFIKATU
czyli zanim powiemy TAK na certyfikat kliknijmy w przycisk WY?WIETL i
porównajmy dane z tymi które dostaniemy na infolini banku (pytaae si?
poprostu o dane i wystawce certyfikatu ssl).
A je?li ju? damy tak to zanim dokonamy przelewu kliknijmy w "k?ódke" i
sprawd 1/4 my czy te dane nie uleg?y modyfikacji i je?li mamy cie?
w?tpliwo?ci dzwo?my na infolinie poniewa? oni od tego tam s? by
odpowiedzieae na twoje pytania. W ostateczno?aei je?li nie jeste?my pewni
wy??czmy przegl?darke i kontaktujmy si? z kim? kompetentym.

Pozdrawiam Celinka.
Ps. Powy?sze metody nie eliminuj? ryzyka ale pozwalaj? rzetelnie si? o nim
dowiedzieae

Ps2. Pieni?zki tak poprostu nie wsi?kaj?, sprawdzajcie wydruki operacji
tam jest konto docelowe z?odzieja!