>> Wszytko pieknie, tylko podaj prosze do wiadomosci ile w ten sposob
>> perzejeto hasel do bankow?
>> Sa takie dane?
>
> Mozna szacowac. Bylo sporo przypadkow dosc niedawno, mechanizm nieco
> inny.

Szacowac... czyli wrozenbie z fusow.
Generalnie jeszcze sie nie zdarzylo by ktos przeja dane klienta na zasadzie
podsluchu transmisji, zdekodwania tej transmisji - to tylko w filmach
mozliwe:)

>> Zludzenia?
>> Napisalem, podaj przypadek przejecia konta poprzez "pdsluchanie"
>> transmisji szyfrowanej.
>
> A co to jest podsluchanie? Jakie znaczenie ma samo "podsluchanie"?

Snifing. "zalapanie" na zywo transmisji klient - bank i zwrotnej, bo jak
inaczej wyobrazasz sobie przejecie danych klogowania, jesli eliminujemy
fizyczny dostep do nich (zagladniecie przez ramie, uzycie falszywej strony
wyludzajacej dane itp)

> Realny problem to np. atak na dostep internetowy do banku, zakladajac
> uzycie typowej i typowo skonfigurowanej przegladarki, "publicznego"
> dostepu do sieci itd. Samo "podsluchanie" transmisji np. ADSL albo
> Ethernet to jest tylko czesc metody, wazne sa zalozenia i cel, nie
> metoda.

Byc moze, ja wiem, ze technicznie mozna "pdsluchac" kazda transmisje w
necie, jesli idzie czystym tekstem nie ma problemu, ale jesli jest kodowana
to pozostaje mi zyczyc powodzenia...

>> Ja nie pytam o mozliwosci - bo takie na pewno sa tylko o praktyke.
>> 95% wlamu, to wejscia z wewnatrz.
>
> Podaj zrodlo tej informacji.

W Polsce?:))
UOP.

> Owszem, kiedys bylo tak, ze wiekszosc atakow pochodzila z wnetrza sieci,
> ale nie wiem czy to bylo 95%, oraz to dotyczylo raczej innych atakow.
> Nie ma zadnej uniwersalnej zasady na ten temat.

Jest:))
Nadal ponad 95% atakow jest wenatrz sieci, te zewnetrzne to sa procenty, a
skuteczne to dziesiate promila.

>> Nie mam na mysli wyludzenia certyfikatow, ale ich konkretnego
>> zastosowania.
>> Najslabsze ogniow to sam bank wewnatrz.
>
> Niekoniecznie.
> Jesli wyludzisz certyfikat (to nie jest zaden specjalny problem) oraz
> masz mozliwosc przekierowania ruchu klienta do swojej maszyny, to typowo
> jestes w stanie zrobic co chcesz z dostepem do konta klienta (+/- limity
> itp). Ta mozliwosc ma kazdy provider w lancuchu klient-bank, dodatkowe
> mozliwosci sa takze w przypadku np. wifi, niezabezpieczonych fizycznie
> kabli, trucia DNSow falszywymi rekordami itd.

Widzisz, gdyby to bylo takie realne, to juz dawno banki by zaniechaly
e-kont. W obawie o masowe takie dzialania.
To o czym, piszesz to czysta teoria, teoretycznie tez mozesz uzyskac wieksze
predkosci niz swiatlo ale w praktyce?
Poza tym, by przekierowac ruch na swoja strone by wyludzic dane musisz miec
dostep bezposredni do maszyny na ktorej dane te beda wprowadzane, jesli nie
masz dostepu - zpaomnij.
Same pakiety sie nie przekieruja:)
Wychodzi wiec, ze to od uzytkowika zalezy jak bezpieczne jest korzystanie z
e-bankingu. Jesli nie otwiera przypadkowych maili, nie daje sie zrobic na
podroboione strony, to dzialajac na zwyklym hasle nic mu nie grozi...
Najslabsze ogniwo na lini bezpieczenstwa to wlasnie uzytkownik i sec
wewnetrzna ta zewnetrzna jest bardzo mocno chroniona.


> Bank moze byc najslabszym ogniwem w porownaniu do dobrze zarzadzanej
> sieci (terminala), z zabezpieczonym odpowiednio DNSem, z zupelnie inna
> niz domyslna konfiguracja przegladarki itd. Wtedy tak. Natomiast
> porownywanie do tzw. Kowalskiego z Windows XP OEM i neostrada jest
> nieporozumieniem.

Ale w banku kazdy osobnik na pozycji kasjera w gore ma dostep do twoich
danych:) Ba! W odziale gdzie skladales papiery ma dostep nawet do twojego
wzoru podpisu...
Czy problem jest dla kogos w banku "dorobic" karte?:)
Byc moze wiekszosc ludzi mysli, ze tak, ze pracownik nie moze, ze sa
zabezpieczenia ect... otoz nie ma!
A potem do prasy idzie notka, ze hakerzy sie wlamali albo ktos zamontowal
kamere w bankomacie:)))
Zrozum, pracownik banku moze nawet kompletnie zniesc limit z karty i
wyplacic wszystko z konta nieomal jednorazowo. Wierz mi, ze moze:)))
Naprawde zapamietaj: pracownik banku ma FIZYCZNY dostep do twoich danych - i
to jest najslabsze ogniwo, a ze nie ma o tym w prasie? A jak sadziesz
dlaczego:)))? Czy ty bys dal do banku oszczednosi zycia powiedzmy 500 000
majac swiadomosc, ze pracownicy banku moga to w kazdym momencie zwinac:)?
Zrozum, wszelkiego rodzaju ograniczenia, limity nie sa by ciebie chronic!
Limity, ograniczenia, blokady sa po to by bank ochronic. A nie posiadacza
kasy, o takowego banki zadko dbaja i to na calym swiecie, bo tak naprawde,
jak juz jestemy przy systemach bankowych, to moze nie wiesz, ale zanoszac do
banku kase oddajesz 100% kontroli nad nia bankowi. Bank staje sie
wlascicielem twoje kasy i jedynie obiecuje ci wypate twoich srodkow (nawet
nie nazywa sie to pieniedzmi tylko srodki):))
Wszelkie tokeny, czytniki, hasla sms-owe itp... maja dac ci poczucie
bezpieczenstwa tylko i wylacznie.