eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiCała ta panika i SSLCała ta panika i SSL
  • Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
    ews.man.poznan.pl!newsfeed.tpinternet.pl!news.tpi.pl!not-for-mail
    From: Celina Sienkiewicz <c...@p...onet.pl>
    Newsgroups: pl.biznes.banki
    Subject: Cała ta panika i SSL
    Date: Sun, 01 Sep 2002 19:30:34 +0200
    Organization: tp.internet - http://www.tpi.pl/
    Lines: 100
    Message-ID: <p...@p...onet.pl>
    NNTP-Posting-Host: pc65.gniezno.sdi.tpnet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-1
    Content-Transfer-Encoding: 8bit
    X-Trace: news.tpi.pl 1030901346 890 217.98.166.65 (1 Sep 2002 17:29:06 GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Sun, 1 Sep 2002 17:29:06 +0000 (UTC)
    X-Comment-To: ALL
    User-Agent: Pan/0.11.3 (Unix)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:200951
    [ ukryj nagłówki ]

    Witam,

    Po ostatnich wydarzeniach wracam, i mam zamiar na
    pocz?tek podsumowaae (oczywi?cie z mojego punktu widzenia) problematyk?
    dziurawego ssl-a.
    Dla tych którym wci?? obca jest ta problematyka proponuj? wst?pnie
    zaznajomiae sie z http://arch.ipsec.pl/inteligo.var
    Dla tych, którzy zrozumieli dalsza lekutra jest tylko formalno?ci?.

    Ów b??d (mowa o b?ednym interpretowaniu bezpiecze?stwa ssl-a przez
    MSIE) w uogólnieniu dotyczy wszystkich - ale to jak z wirusem HIV, nie
    oznacza ?e ka?dy zostanie okradziony w wyniku tego b?edu.
    Atak MITM polega na tym ?e na trasie pomi?dzy serwerem Banku a komputerem
    Klienta jest odpowedni program, który:
    a) nabiera nas ?e po??czenie SSL jest bezpieczne
    b) wyci?ga informacje przesy?ane sieci?, oraz ma mo?liwo?ae bezpiecznego
    modyfikowania tych danych (np zmiana polecenia przelewu a dok?adniej
    odbiorcy pi?ni?dzy) lub poprostu zebraae informacje na temat naszego konta
    (co jak niektórzy twierdz? jest bardziej dochodowe, w przypadku VIP-ów)

    Osobi?cie wyodr?bni?am nast?puj?c? grup? w której ryzyko jest niewielkie
    - U?ytkownicy, którzy bezpo?rednio ??cz? sie przez modem i posiadaj?
    zaufanie do swojego operatora. Czyli mamy pewno?ae, ?e nikt nie
    pods?uchuje naszej lini telefonicznej oraz ?e powy?szego ataku nie
    dokonuje np. sam operator (ale taka tpsa to ma bardziej sprawdzone metody
    wyci?gania z nas pieni?dzy)
    W?a?ciwie to niewielki procent niebezpiecze?stwa powstaje w momencie
    zmasowanego ataku na urz?dzenia dost?powe tepsa i instalowanie na nim
    stosownego oprogramowania (tutaj teoretycznie admini powinni zalarmowaae).
    Ale, osoba która u?ywa modemu przez 0202122 musi mieae swiadomo?ae tego ?e
    jest wci?? nara?ona na ten atak, i mo?e on byc przeprowadzony z jej
    w?asneog komputera mianowicie problem pojawia si? w przypadku trojanów i
    wirusów które na naszym komputerze bezpo?rednio modyfikuj? te dane. Tutaj
    odnosze do mojego poprzedniego posta (okolice lipca) w którym t?umaczy?am
    zwi? 1/4 le jak unikaae trojanów.

    Zatem teraz b?dziemy mówiae o tych którzy s? najbardziej nara?eni na atak:
    - u?ytkownicy którzy l?cz? si? przy pomocy karty sieciowej na tzw.
    sieciach osiedlowych, poczynaj?c od sieci prywatnych i sieci
    komercyjnych, czyli takich które dzier?awi? szybkie ??cze, buduj? sieae
    ethernetow? i najcz??ciej stawiaj? router i maja g??boko gdzie? co sie
    dzieje na sieci a interesuje ich tylko fakt czy liczba u?ytkowników
    zgadza si? z liczb? abonentów (to akurat znam z w?asnego do?wiadczenia -
    pracowa?am swojego czasu w jednej z wi?kszych firm internetowych - no
    comments). No i dochodz? do tego sieci w pracy, szko?ach, kawiarenkach
    internetowych i uczelniach.

    Najwa?niejsze jest to, ?e osob? atakuj?c? nie musi byae operator a np nasz
    s?siad lub osoba na dziko wpinaj?ca si? w sieae. Dzia?anie polega na
    spoofowaniu (czyli robieniu w butelk?) ruchu sieciowego. Czyli my
    "??czymy" sie z bankiem, a dok?adnie to z?odziej ??czy nas z bankiem za
    po?rednictwem swojego komputera. Metoda ta opiera sie na tzw DNSSpoofingu
    czyli podszywaniu sie pod adres serwera zbieraniu danych ich modyfikacji
    i wysy?aniu do banku.

    Zatem skoro czujesz si? w grupie ryzyka! Proponuje ci kilka czynno?ci
    które powiniene? zrobiae aby mieae ?wiadomo?ae ?e nie da?e? si? biernie
    okra?ae:
    - Dowiedz si? jaki jest adres IP twojego banku ( jest to numer
    sk?adajacyc sie z 4 liczb które mog? mieae maksymalnie warto?ae od 0 do 255) ,
    poniewa? powy?szy atak
    wykorzystuje DNS do przekierowania ruchu, najlepiej dowiedzieae sie na
    infolini banku jaki jest adres ip serwera i wpisywaae go w oknie
    przegl?darki:
    np.: adres ip dla onet.pl ma postaae: 213.180.130.200 i jesli wpiszemy ten
    numer to pojawi sie nam strona onet.pl. Numer o podobnej budowie b?dzie
    mia? serwer bankowy.
    Jak ju? zdob?dziemy adres ip. to wpisujemy w przegl?darce:
    https://ip-serwera
    nale?y pami?taae ?e je?eli adres zaczyna sie od https:// oznacza ?e
    korzysta on z po??czenia kodowanego SSL
    Tak?e mo?emy sprawdziae, czy kto? w danym momencie nie u?ywa DNSSpoofa,
    pinguj?c serwer banku (start uruchom -> command.com wpisujemy ping
    nazwaserwera)
    np:
    ping onet.pl
    I powini?my uzyskaae co? podobnego do tego poni?ej, przy czym wa?ne jest, aby adres
    podany
    w pierwszym nawiasie (onet.pl) zgadza? sie z numerem przypisanym obok w
    polu from b?dzi podany nasz ip adres
    Ping (onet.pl) 213.180.130.200 from 10.0.0.10 : 56 (84) bytes of data

    Czasami jednak dost?p do internetu jest za pomoc? serwera proxy i
    nieb?dzie mo?liwe pingowanie takiego hosta konczy si? to z regu?y
    komunikatem Destination host is unreachable. Wtedy mo?emy zrobiae to co
    powinien robiae ka?dy i zawsze:
    SPRAWDZIAE WYSTAWCE CERTYFIKATU
    czyli zanim powiemy TAK na certyfikat kliknijmy w przycisk WY?WIETL i
    porównajmy dane z tymi które dostaniemy na infolini banku (pytaae si?
    poprostu o dane i wystawce certyfikatu ssl).
    A je?li ju? damy tak to zanim dokonamy przelewu kliknijmy w "k?ódke" i
    sprawd 1/4 my czy te dane nie uleg?y modyfikacji i je?li mamy cie?
    w?tpliwo?ci dzwo?my na infolinie poniewa? oni od tego tam s? by
    odpowiedzieae na twoje pytania. W ostateczno?aei je?li nie jeste?my pewni
    wy??czmy przegl?darke i kontaktujmy si? z kim? kompetentym.

    Pozdrawiam Celinka.
    Ps. Powy?sze metody nie eliminuj? ryzyka ale pozwalaj? rzetelnie si? o nim
    dowiedzieae

    Ps2. Pieni?zki tak poprostu nie wsi?kaj?, sprawdzajcie wydruki operacji
    tam jest konto docelowe z?odzieja!

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1