Jacek Osiecki <j...@c...pl> writes:

> Co by nie mówić, to przy zachowaniu odpowiedniej ostrożności hasła SMSowe
> zawierające podstawowe informacje o autoryzowanej operacji są odporne na
> sprytne ataki MITM.

O odpornosci na MITM mozna mowic wtedy, gdy dzialanie prawdziwego
klienta jest potrzebne do zatwierdzenia operacji. W przypadku SMSow
klient wraz z jego komorka moga spac, a i tak taki atak jest mozliwy
do przeprowadzenia.

Pomysl chwile, powiedzmy ze jestes operatorem telekomunikacyjnym
swiadczacym uslugi dostepu do Internetu oraz uslugi GSM (lub tylko
np. udostepniasz swoje lacza szkieletowe dla takich zastosowan, to
moze nawet lepiej). Powiedzmy ze dzialasz tylko na niewielkim
terenie, albo po prostu dorobiles sobie klucz do studzienki :-)

Widzisz jakis problem w zleceniu dowolnych operacji na kontach ludzi,
ktorzy akurat sa obslugiwani przez Twoja czesc infrastruktury?

a) SSL pokonujesz metoda lewego certyfikatu (poza przypadkami
"paranoicznymi", ktore maja puste lub prawie puste listy CA
w przegladarkach). Przy odpowiednim wysilku - nie widze problemu
w uzyskaniu takiego certyfikatu (spojrz na typowa liste CA).
To oczywiscie inna sprawa i nie bede wnikal, z zalozenia SSL nie
jest wystarczajaca ochrona, bo gdyby byl, nie byloby hasel
jednorazowych (choc oczywiscie poprawnie skonfigurowany SSL moze
byc ochrona nie do zlamania nawet bez jakichkolwiek hasel...
w znikomej czesci przypadkow).

b) korzystajac z MITM SSL podsluchujesz loginy i hasla

c) czekasz do 3 w nocy, logujesz sie do bankow, te wysylaja SMSy do
potwierdzenia przelewow itp.

d) tresc SMSow dostajesz jak na tacy od operatora GSM (albo sam nim
jestes), potwierdzasz, userzy oczywiscie wcale nie musza tych SMSow
dostac.

Trudne? Wymaga troche przygotowan, ale mozliwe do zrobienia.

Mozna oczywiscie napisac, ze listonosz tez moze przeczytac hasla, ale
one maja jedna krytyczna zalete - sa przesylane przy uzyciu innego
agenta, nie ma pojedynczego punktu, ktory mozna wykorzystac,
i znacznie trudniej jest nie pozostawic sladow.
--
Krzysztof Halasa