"pmlb" <p...@d...com> writes:

> Szacowac... czyli wrozenbie z fusow.

Wybacz stary, jesli dla Ciebie szacowanie jest wrozeniem to co ja moge
poradzic?

> Generalnie jeszcze sie nie zdarzylo by ktos przeja dane klienta na
> zasadzie podsluchu transmisji, zdekodwania tej transmisji - to tylko w
> filmach mozliwe:)

Powtarzasz to w kolko, masz na to cos mocniejszego niz "wrozenie
z fusow", aka "silne wewnetrzne przekonanie"? Jest wiele
udokumentowanych przypadkow przechwycenia szyfrowanej transmisji przy
uzyciu ataku "man in the middle". To jest klasyka, wpisz w google.
W przeszlosci rutynowo byly lamane np. szyfrowania DESem (zwlaszcza
40-bitowym kluczem "eksportowym"). Sa oczywiscie takze inne mozliwe
ataki.

W bezpieczenstwie jest tak, ze kazdy znany nam dzialajacy atak jest
dzialajacym atakiem, natomiast brak znanego nam dzialajacego ataku nie
oznacza, ze taki nie istnieje. W szczegolnosci nie wiemy, czy ktos nie
zna skutecznego ataku np. na RSA-2048, na SHA-512 albo na inny AES-256.

> Snifing. "zalapanie" na zywo transmisji klient - bank i zwrotnej, bo
> jak inaczej wyobrazasz sobie przejecie danych klogowania, jesli
> eliminujemy fizyczny dostep do nich (zagladniecie przez ramie, uzycie
> falszywej strony wyludzajacej dane itp)

Sniffing to tylko element ataku, nie caly atak (chyba ze przesylasz
haslo clear tekstem). W przypadku SSL itp. atak jest zwykle nieco
bardziej zlozony, np. mozesz sobie poczytac o ostatniej podatnosci
zwiazanej z renegocjacja SSL (google "ssl renegotiation vulnerability).

> Byc moze, ja wiem, ze technicznie mozna "pdsluchac" kazda transmisje w
> necie, jesli idzie czystym tekstem nie ma problemu, ale jesli jest
> kodowana to pozostaje mi zyczyc powodzenia...

Bardzo naiwne.

>>> Ja nie pytam o mozliwosci - bo takie na pewno sa tylko o praktyke.
>>> 95% wlamu, to wejscia z wewnatrz.
>>
>> Podaj zrodlo tej informacji.
>
> W Polsce?:))
> UOP.

Bardzo smieszne. A cos konkretnie, czemu ktos o zdrowych zmyslach moglby
dac wiare?

> Jest:))
> Nadal ponad 95% atakow jest wenatrz sieci, te zewnetrzne to sa
> procenty, a skuteczne to dziesiate promila.

To juz pisales, ale wiesz, ja wolalbym cos konkretnego.

>> Jesli wyludzisz certyfikat (to nie jest zaden specjalny problem) oraz
>> masz mozliwosc przekierowania ruchu klienta do swojej maszyny, to typowo
>> jestes w stanie zrobic co chcesz z dostepem do konta klienta (+/- limity
>> itp). Ta mozliwosc ma kazdy provider w lancuchu klient-bank, dodatkowe
>> mozliwosci sa takze w przypadku np. wifi, niezabezpieczonych fizycznie
>> kabli, trucia DNSow falszywymi rekordami itd.
>
> Widzisz, gdyby to bylo takie realne,

To jest calkowicie realne. Ktory dokladnie krok (lub kroki) uwazasz za
nierealne? To sa normalnie uzywane mechanizmy prawdziwych atakow, zadna
tam tylko teoria.

> to juz dawno banki by zaniechaly
> e-kont. W obawie o masowe takie dzialania.

A myslisz ze po co banki wydaja tokeny, karty kodow jednorazowych itp?
Oraz np. monitoruja transakcje.

Gdyby bylo jak piszesz, to banki dawno przestalyby wydawac np. karty
platnicze, bo skopiowanie takiej (bez procesora) jest od dawna
trywialne nawet dla nudzacego sie gimnazjalisty.
W m.in. Europie przynajmniej w koncu pojawiaja sie karty procesorowe
(hybrydowe), w takich USA nie ma w ogole konkretnych planow wprowadzenia
kart chipowych.

Moze myslisz ze skopiowanie karty bez procesora jest trudne albo
np. kosztowne?

> To o czym, piszesz to czysta teoria, teoretycznie tez mozesz uzyskac
> wieksze predkosci niz swiatlo

Powaznie? Nie slyszalem o takiej teorii, pamietam ze jak chodzilem na
fizyke, to swiatlo w prozni bylo najszybsze.

> ale w praktyce?

Chwilowo praktyka jest zgodna z teoria chyba?

> Poza tym, by przekierowac ruch na swoja strone by wyludzic dane musisz
> miec dostep bezposredni do maszyny na ktorej dane te beda wprowadzane,
> jesli nie masz dostepu - zpaomnij.

Zartujesz? Przeciez napisalem jak mozna to zrobic: DNS poisoning
(klasyka, wpisz w google), przejecie kontroli nad dowolnym routerem
miedzy klientem i bankiem, praca w wifi tez bardzo takie rzeczy ulatwia.
Sieci kablowe (np. Ethernet) tez nie sa bezpieczne, istnieja rozne
rodzaje atakow zwiazanych np. z ARP (google "arp spoofing"), z
przepelnianiem tablic MAC switchow Ethernet (google "MAC table
overflow), oczywiscie wszelkie metody dostepu do fizycznych kabli (np.
do szafy TPSA w piwnicy itd). Kombinacje z dynamicznym routingiem, itd.
itd. Jest bardzo wiele mozliwosci, szansa ze zadnej z nich nie da sie
zastosowac w konkretnym przypadku jest bliska zeru.

> Wychodzi wiec, ze to od uzytkowika zalezy jak bezpieczne jest
> korzystanie z e-bankingu.

A to jest akurat prawda, ze wzgledu na SSL, ktory prawidlowo zastosowany
zabezpiecza nas przed wieloma atakami. Tyle ze zupelnie "prawidlowo
zastosowany" to on niestety nie jest prawie nigdy.

> Jesli nie otwiera przypadkowych maili, nie
> daje sie zrobic na podroboione strony, to dzialajac na zwyklym hasle
> nic mu nie grozi...

Jaasne jaasne. Nooo chyba ze ktos wyludzi certyfikat (google "hijacked
microsoft certificates") albo np. zlamie certyfikat CA z MD5 (google
"breaking MD5 CA certificate")?

> Najslabsze ogniwo na lini bezpieczenstwa to wlasnie uzytkownik i sec
> wewnetrzna ta zewnetrzna jest bardzo mocno chroniona.

Sa pewne instalacje, w ktorych to moze byc prawda. Typowo jednak to jest
tylko zludzenie.

>> Bank moze byc najslabszym ogniwem w porownaniu do dobrze zarzadzanej
>> sieci (terminala), z zabezpieczonym odpowiednio DNSem, z zupelnie inna
>> niz domyslna konfiguracja przegladarki itd. Wtedy tak. Natomiast
>> porownywanie do tzw. Kowalskiego z Windows XP OEM i neostrada jest
>> nieporozumieniem.
>
> Ale w banku kazdy osobnik na pozycji kasjera w gore ma dostep do
> twoich danych:) Ba! W odziale gdzie skladales papiery ma dostep nawet
> do twojego wzoru podpisu...

Cos takiego. Prowadzacy jednoosobowe firmy to w ogole stracency,
przeciez kazdy klient moze zażądać faktury i tam beda dane i podpis.
Same dane to nawet moze uda sie przez Internet uzyskac anonimowo,
np. z REGONu?

> Czy problem jest dla kogos w banku "dorobic" karte?:)

Wiekszy niz przy skimmingu, bo w banku zostaje slad.

> Zrozum, pracownik banku moze nawet kompletnie zniesc limit z karty i
> wyplacic wszystko z konta nieomal jednorazowo. Wierz mi, ze moze:)))

Tylko w ramach tego, co mu umozliwia system. Ale rzeczywiscie,
odpowiedni typ karty i moze.

> Naprawde zapamietaj: pracownik banku ma FIZYCZNY dostep do twoich
> danych - i to jest najslabsze ogniwo,

Stary - jest zdecydowanie wiecej osob, ktorzy maja dostep do Twoich
danych. O istnieniu wiekszosci tych osob nawet nie masz pojecia.

> Czy ty bys dal do banku oszczednosi zycia
> powiedzmy 500 000 majac swiadomosc, ze pracownicy banku moga to w
> kazdym momencie zwinac:)?

A czym sie Twoim zdaniem rozni tu bank od dowolnego innego kontrahenta?
Pomijajac bankowy tytul egzekucyjny moze.

> Zrozum, wszelkiego rodzaju ograniczenia, limity nie sa by ciebie
> chronic! Limity, ograniczenia, blokady sa po to by bank ochronic. A
> nie posiadacza kasy, o takowego banki zadko dbaja i to na calym
> swiecie, bo tak naprawde, jak juz jestemy przy systemach bankowych, to
> moze nie wiesz, ale zanoszac do banku kase oddajesz 100% kontroli nad
> nia bankowi. Bank staje sie wlascicielem twoje kasy i jedynie obiecuje
> ci wypate twoich srodkow (nawet nie nazywa sie to pieniedzmi tylko
> srodki):))

To dopiero rewelacje. Mam nadzieje ze nie dowiedziales sie o tym zbyt
pozno.

> Wszelkie tokeny, czytniki, hasla sms-owe itp... maja dac ci poczucie
> bezpieczenstwa tylko i wylacznie.

Nie. One maja spowodowac, ze jeden ze scenariuszy ataku na Twoje
oszczednosci zmieni sie z trywialnie prostego w wymagajacy odrobine
wiedzy i celowania (np. trudno go bedzie zastosowac jednoczesnie
przeciwko wszystkim).


Moze spojrz na to od innej strony: Twoj bank jest jeden, zatrudnia
wzglednie niewielka liczbe pracownikow, i typowy fraud dokonany przez
nich obciazy w rezultacie bank, bo Ty udowodnisz swoja racje
w ostatecznosci przed sądem.

Natomiast potencjalnych zrodel ataku przez np. Internet nie jestes
w stanie policzyc.

Zapusc moze google na podane przeze mnie okreslenia.
--
Krzysztof Halasa