"pmlb" <p...@d...com> writes:

>> W kazdym przypadku masz szczegolowe informacje na pierwszej stronie
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> wynikow. Czegos nie rozumiesz? Napisz konkretnie.
^^^^^^^^

> Tak, nie rozumiem. Bo ty dalej swoje! Zapytanie umiem podac w google
> (z tego co widze, nawet sprawniej niz ty) co mi z:
> Results 1 - 10 of about 104,000,000 for man in the middle

Nie napisalem o pierwszej stronie wynikow? Pierwszy link tez wystarczy.

> Ja chcialem JEDEN KONKRETNY PRZYPADEK KIEDY KTOS PODSLUCHUJE DANE I
> PRZEJMUJE DANE KLIENTA W TRAKCIE TRANSMISJI SZYFROWANEJ Z BANKIEM BEZ
> UDZIALU OFIARY I BANKU!
> Czy duzymi literami lepiej zrozumiesz?
> A co ty mi dajesz? Teorie czym cos jest... mam 104 000 000 przypadkow
> przegladnosc?
> Ty daj mi jeden konkretny - ok?
> Sam napisales, ze jest ich mnostwo wiec jak sadze jeden znajdzisz. A
> jesli nie znajdziesz nawet jednego, to przepros... Czy to trudno?

Napisales:
"Kilka hasel na zasadzie roznych pytan i odpowiedzi jest moim zdaniem
wystarczajacym zabezpieczeniem.
Nie ma juz chyba banku uzywajacego lacza mniej niz 128 bit klucz
szyfrowania. To praktycznie nie do zlamania..."

O tym, ze to sa tylko bajki, wie kazdy, kto mial chocby przelotny styk
z bezpieczenstwem komputerow. Teraz żądasz dowodu (zapewne z
"prasowki"), ze ktos konkretny przejal sesje SSL klient-bank. Wszyscy
doskonale wiedza, ze banki (i nie tylko) ukrywaja wszelkie tego typu
zdazenia, nawet do tego stopnia, ze w przypadku napadu "z bronia" na
bank pomija sie jego nazwe. Dodatkowo stwierdzenie, ze to wlasnie SSL
(PKI itd) zostal zlamany (niekoniecznie w sensie samego algorytmu
szyfrujacego symetrycznie) jest mozliwe w praktyce glownie poprzez
namierzenie atakujacego i przeszukanie jego komputera, a wykrywalnosc
takich rzeczy jest prawie zadna. Ten Twoj "dowod" ma sie dokladnie nijak
do tego, czy typowy SSL z bankiem jest bezpieczny czy nie - to co ma
znaczenie to jest wlasnie to, co wypunktowalem (w przeciwnym przypadku
dowodem na brak napadow byloby to, ze Ciebie przeciez nikt nie napadl,
jak to zreszta sugerowales).

Ale nic to, sprobujmy poszukac (tak jak napisalem, nie czerpie wiedzy
z "prasowek", musze poszukac). Jak widac czasem namierzaja takich
"wlamywaczy" (raczej amatorow, a moze tylko narzedzia wlamywaczy?), np.
http://tech.wp.pl/kat,1009785,title,Polska-policja-i
-FBI-zatrzymaly-hackera-zlodzieja-bankowego,wid,1179
6359,wiadomosc.html?ticaid=1959c
http://wiadomosci.gazeta.pl/Wiadomosci/1,80708,58361
31,Aresztowano_podejrzanych_o_wlamanie_na_konto_Sark
ozy_ego.html
http://tech.wp.pl/kat,1009791,title,Hakerzy-ukradli-
miliony-dolarow-z-jednego-z-bankow,wid,11801969,wiad
omosc.html
http://latviantelecoms.blogspot.com/2005/01/man-in-m
iddle-reported-busted-in.html

Brak szczegolow? Spodziewales sie ich? To i tak wyjatek, bo zwykle nie
ma zadnej informacji.

Mozesz tez przejrzec np. program jednego z bardzo wielu szkolen dla osob
"po drugiej stronie":
http://www.securitum.pl/oferta/szkolenia/bezpieczens
two-sieci-szkolenie-10-12_03_2010
(nie zebym mial z tym cos wspolnego albo zebym polecal itp.)

"W trakcie trzydniowego szkolenia warsztatowego:
* Wykonasz atak klasy MitM w środowisku switchowanym - na serwis chroniony przez
SSL.
* Wykonasz przechwycenie i modyfikację (niemal) dowolnej komunikacji sieciowej.
* Wykonasz atak na protokół routingu." itd.


Jesli caly czas uwazasz ze korzystanie przez typowego uzytkownika
z typowego banku z uzyciem SSL jest do tego stopnia bezpieczne, ze
wykluczony jest choc jeden przypadek ataku zakonczonego powodzeniem, to
wspolczuje.


>> Wiesz, jakbym potrzebowal miec zawsze tylko 20 funtow, to tez bym kart
>> nie uzywal.
>
> Ile z bankomatu mozesz dziennie wyplacic?

A jakie to ma znaczenie, jesli mialbym nie uzywac kart?

> Za ile dokonujesz codziennie zakupow w sklepie?

Codziennie nie robie zakupow.

> Chcesz powiedziec, ze dziennie obracasz 20 000 funtow na karcie?

Nie wiem w jaki sposob z tego, co napisalem, doszedles do tej tezy, ale
z logika to nie ma raczej wiele wspolnego.

Przyznaje ze dosc czesto robie zakupy drozsze niz kwota fraudu, na ktora
moze mnie obciazyc bank w przypadku utraty karty.

> Kazdy bank ktory udzieli pozyczki, wlasnie wypuszcza nowe pieniadze na
> rynek, upraszczajac, zleca do NBP dodruk tych pieniedzy. Naturalnie to
> sie tak prosto nie dzieje, bo obecnie glownie dokonuje sie obrotu
> bezgotowkowego. Jesli bys karty nie mial, bank musial by zapewnic ci
> gotowke.

Tez ogladales ten film? Wspolczuje.
Mozesz przejrzec archiwum tej grupy, tezy tego filmu byly juz tu
wielokrotnie wyjasniane.

>> Przyznaje ze rzeczywiscie nie slyszalem o "klazurze niejawne". Natomiast
>> to, ze bezpieczenstwo takich rzeczy jest dla Ciebie bardzo niejawne, to
>> nie jest nic wyjatkowego. Problem lezy w czyms innym - typowo ludzie
>> akceptuja to, ze nie wszystko jest dla nich jawne, i nie staraja sie
>> udowadniac ze jest inaczej, zwlaszcza wbrew oczywistym faktom.
>
> Kompletnie cie tu nie zrozumiamem?

Nie rozumiesz co to znaczy ze nie slyszalem o "klazurze niejawne". No
nie slyszalem. Nie wiem jak to prosciej wytlumaczyc.

Nie masz bladego pojecia o bezpieczenstwie komputerow, sile szyfrowania
okreslasz na podstawie tylko dlugosci klucza, starasz sie walczyc
z wieloma rzekomo moimi tezami, ktorych jednak nigdy nie napisalem
(i ktore sa generalnie smieszne). I wszystko tylko dlatego, zeby "miec
racje". Jesli bardzo chcesz miec to poczucie, droga wolna - ja juz nie
bede odpowiadal na Twoje rewelacje.

> Jestes jakims poczatkujacym informatykiem, ktory poczytal cos w
> poradnikach, nie potrafisz wskazac konkretnego jednego przypadku
> takiego wlamu z sukcesem.
> Naogladales sie filmow i sadzisz, ze to proste i latwe.
> Napisalem ci, ze dam ci siec wifi NIEZABEZPIECZONA - wlam sie i
> przechwyc transmisje szyfrowana a potem ja zdekoduj - wycofales sie...

Przeciez napisalem - takie rzeczy kosztuja, nie robie ich dla
przyjemnosci (zreszta to zadna przyjemnosc). Wyslij mi zapytanie
ofertowe, moze cos z tego bedzie (aczkolwiek, przy tym "profilu
klienta", raczej nastaw sie na sensowna zaliczke). Tylko najpierw popros
kogos, zeby napisal o co dokladnie chodzi, bo "wlam sie i przechwyc
transmisje szyfrowana" to nie jest cos, na co mozna w sposob powazny
odpowiedziec.

> Ja ci konkrety a ty mi teorie

Nie. Ty mi swoje wyobrazenia o zelaznym wilku, a ja Ci okreslilem
konkretnie (choc selektywnie) aktualna teoretyczna oraz praktyczna
wiedze na ten temat. Dobra rada: jesli nie rozumiesz informacji na tym
poziomie (nic dziwnego, to skomplikowane dla kogos, kto nie ma pojecia o
kryptografii ani bezpieczenstwie komputerow), to musisz zaczac od rzeczy
bardziej podstawowych. Moze od klasyfikacji roznych algorytmow krypto,
podstaw kryptografii asymetrycznej, funkcji skrótow, podstaw SSL? Wez
jakas ksiazke, moze niekoniecznie dla opornych (przynajmniej sprobuj),
np. rozdzialy "Handbook of applied cryptography" sa dostepne w sieci.
Polecana zwykle w takich przypadkach jest tez "Applied cryptography"
Schneiera. Po tej lekturze bedzie juz zapewne rozumial co jest napisane
na stronach, ktorych miales szukac w google.

Fakt, musisz zainwestowac w to troche czasu. Bez tego jednak nie mamy
po prostu o czym rozmawiac.

Prasowka to zdecydowanie nie jest wlasciwe zrodlo takiej wiedzy.
--
Krzysztof Halasa