eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostępRe: mBank - zablokowany dostęp
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.chmurka.net!.POSTED.213.192.88.68!
    not-for-mail
    From: Piotr Gałka <p...@c...pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: mBank - zablokowany dostęp
    Date: Mon, 22 Jun 2020 14:06:19 +0200
    Organization: news.chmurka.net
    Message-ID: <rcq6ru$eav$1$PiotrGalka@news.chmurka.net>
    References: <rb2jmu$gsi$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <1wgzmwc2p2rb2.1w4yqapb3eqlv$.dlg@40tude.net> <m...@p...waw.pl>
    <rbleqn$r2f$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rblkij$ug5$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rbnlha$6o1$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rbocsu$kra$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rbvi1k$vn6$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rc2pum$189$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rc7hf1$cb$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rc86jv$en8$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rccmjd$d7d$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    NNTP-Posting-Host: 213.192.88.68
    Mime-Version: 1.0
    Content-Type: text/plain; charset=utf-8; format=flowed
    Content-Transfer-Encoding: 8bit
    Injection-Date: Mon, 22 Jun 2020 12:06:22 +0000 (UTC)
    Injection-Info: news.chmurka.net; posting-account="PiotrGalka";
    posting-host="213.192.88.68"; logging-data="14687";
    mail-complaints-to="abuse-news.(at).chmurka.net"
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0) Gecko/20100101
    Thunderbird/68.9.0
    In-Reply-To: <m...@p...waw.pl>
    Content-Language: pl
    Xref: news-archive.icm.edu.pl pl.biznes.banki:651988
    [ ukryj nagłówki ]

    W dniu 2020-06-20 o 15:10, Krzysztof Halasa pisze:

    >> Do AESa mają zastrzeżenie, że bazuje na jakiejś algebrze o której nie
    >> można być całkiem pewnym, czy kiedyś nie znajdzie się jakiś genialny
    >> matematyk, który rozwiąże problem ataku na algorytm od strony
    >> matematycznej.
    >
    > BTW o każdym algorytmie innym niż XOR można coś takiego powiedzieć.

    Może nie powinienem mówić algebra tylko jakoś inaczej. Chodziło o to, że
    opis reguł działania jest czysto matematyczny. Nie ma tam żadnego
    udziału elementów nie opisanych matematycznie (jak S-Boxy w DES-ie). Jak
    jakiś problem jest prosto zapisany matematycznie to łatwiej podejrzewać,
    że znajdzie się jakieś matematyczne rozwiązanie, niż gdy pewne fragmenty
    działania opierają się na losowych danych (lub przynajmniej udających
    losowe). Nie umiem ogarnąć tego matematycznie, ale z tego, że do S-Boxów
    wprowadzono jakieś poprawki, które jak się po latach okazało zapobiegły
    złamaniu DESa metodami, które były wtedy jeszcze nie znane kryptografii
    cywilnej by wynikało, że nawet takie 'losowe' wstawki dają się ogarniać
    matematycznie. A może to dotyczyło jakichś innych -boxów.
    Po prostu zbyt prosty opis algorytmu uznali, za jego potencjalną słabość.

    >> Teraz pomyślałem, że to się podłącza pod
    >> USB i ono wyrzuca odpowiednie hasło tak jakby ktoś je wklepywał na
    >> klawiaturze.
    >
    > Zwykle jest właśnie tak - trudno się przepisuje długie hasła.

    To co piszesz dalej, że być może jakiś plugin oznacza, że trochę inaczej
    rozumiemy swoje wypowiedzi. Dla mnie 'jakby ktoś wklepywał na
    klawiaturze' oznacza, że komputer nie potrafi (poza ustaleniem jakiegoś
    identyfikatora) rozróżnić źródła podrzucającego mu hasło od klawiatury
    marki "standardowa klawiatura USB".

    >> Czy przeglądarki mają w sobie coś, że jak system (np. banku) mówi im -
    >> otwieramy okienko logowania to one wiedząc, że jest takie urządzenie
    >> podłączone zamiast otwierać okienko logowania realizują połączenie
    >> między systemem banku a tym urządzeniem (to byłoby bezpieczne, że
    >> przeglądarka nie ma wglądu w sesję między bankiem a tym urządzeniem).
    >> Coś takiego istnieje i wszystkie systemy bankowe i sklepowe są
    >> przygotowane na takie połączenie?
    >
    > Nie, notatnik haseł przechowuje tylko hasła. Przeglądarka może go
    > zapytać o hasło do konkretnego serwisu (może być potrzebny odpowiedni
    > plugin do przeglądarki), a ten - po uzyskaniu akceptacji usera - może
    > odesłać hasło, które przeglądarka następnie wyśle np. bankowi.

    Jeśli plugin to już transmisja hasła nie musi być udawaniem klawiatury i
    teoretycznie może być jakoś zabezpieczona. Tylko, że jeśli efektem
    końcowym jest wpisanie hasła w okienko edycyjne to ja to określiłem jako
    miejsce w którym dane (hasło) są jawne. Jakiś program śledzący powinien
    być w stanie to hasło wyczytać.

    > Gdyby notatnik zajmował się całą sesją, to byłby przeglądarką, ze
    > wszystkimi wadami (i zaletami) tego rozwiązania.

    Nie całą sesją tylko dodatkową sesją utworzoną tylko w celu przekazania
    danych logowania.
    Według mnie nie byłaby to przeglądarka.
    Urządzenie od przeglądarki różniło by się przede wszystkim brakiem
    możliwości uruchamiania na nim jakiegokolwiek innego oprogramowania
    które w normalnym PC działając 'obok' przeglądarki ma potencjalną
    możliwość podglądnąć 'co się dzieje'.
    Wydaje mi się, że jedyną możliwością bezpiecznego przekazania hasła
    przez taki notatnik do serwera jest utworzenie sesji między serwerem a
    notatnikiem.
    Przekazywanie tego hasła jakiemukolwiek programowi działającemu na PC
    jest według mnie przekazaniem tego hasła do środowiska, które nie
    zapewnia bezpieczeństwa.

    >> Czytałem kiedyś coś, z czego wynikało, że to jest mierzalne. Czyli w
    >> skasowanym flash podłączając się analogowo da się z dużym
    >> prawdopodobieństwem stwierdzić co było przed kasowaniem.
    >
    > Pytanie tylko, czy ktoś potrafi to pokazać w sposób powtarzalny? Nie
    > słyszałem, ale oczywiście kto wie.

    Przypuszczam, że potrafi. Jeśli nawet uzyskane w ten sposób dane nie
    mają 100% pewności, a 'jedynie' np. o każdym bicie wiemy że z
    prawdopodobieństwem 80% ma taką wartość jak nam się wydaje to choć nie
    znamy żadnego bitu 'na pewno' to jednak ta informacja na pewno ułatwi
    atakującemu (choć ja nie umiałbym tego wykorzystać).

    >> Jeśli przeglądarka na komputerze jest w stanie dowiedzieć się od
    >> urządzenia o hasło to i jakiś inny program powinien być w stanie się
    >> dowiedzieć.
    >
    > Może tak, może nie, ale przecież atakujący nie może sobie wedle woli
    > uruchamiać wszystkiego na tym komputerze. Jeśli może, to istotnie
    > w takich okolicznościach jest już "pozamiatane".

    Ja uważam, że mając możliwość tworzenia sesji między notatnikiem a
    serwerem można by traktować komputer do którego podpięty jest notatnik
    jak całą resztę wrogiego środowiska. Z tym, że aby korzystać z
    przeglądarki na komputerze i notatniku do logowania i potwierdzania to
    notatnik musiałby pozwalać na zaprezentowanie użytkownikowi kluczowych
    informacji (to co przychodzi w sms z pinem) i ich potwierdzenie. Te
    kluczowe informacje nie mogłyby być przesyłane z przeglądarki tylko
    musiały być przesyłane z serwera w sesji.

    > No ale ono nie jest jawne, nie jest po prostu zaszyfrowane. Tak jak
    > hasło na kartce w sejfie: nie jest normalnie jawne.

    Znów używamy nieco innego języka. Hasło na kartce mimo, że jest
    informacją tajną to na samej kartce jest zapisane w sposób jawny - jak
    ktoś wejdzie w jej posiadanie to już je zna.
    Dlatego jak notatnik wyśle to hasło tak jakby to była klawiatura to ja
    przesłane tak dane nazwałem jawne bo dla każdego obserwującego ten
    strumień stają się one jawne.
    Formalnie zapewne prawidłowo rzeczy nazywasz Ty.
    Ja po prostu o krypto rozmawiam tylko z bratem i w naszym wewnętrznym
    'slangu' dane zaszyfrowane są tajne, a dane nie zaszyfrowane (nawet jak
    to jest tajne hasło) są jawne. Osobny podział danych na tajne/jawne i
    zabezpieczone/nie zabezpieczone nie jest nam zazwyczaj potrzebny do tego
    abyśmy się rozumieli.

    > No pewnie że można tak zrobić. Jest wiele miejsc w komputerze, z których
    > można uzyskać hasła. Podobnie, mając kontrolę nad komputerem, możemy
    > następnie przejąć sesję takiego usera itd. Notatniki haseł nie są
    > panaceum na wszystkie problemy - one służą tylko do zapamiętywania
    > haseł, by user nie musiał sam ich pamiętać.

    W tej rozmowie po raz pierwszy usłyszałem o notatnikach haseł i
    zakładałem, że być może to jest coś lepiej zrobione i stara się zrobić
    coś więcej niż tylko pomóc zapamiętać hasła.
    Myślałem, że być może przeglądarki są dostosowane do tego, że bardziej
    wymagający użytkownicy stosują urządzenia, które mają im zapewnić
    znacznie wyższy poziom bezpieczeństwa.
    Uważam, że uzupełniając komputer urządzeniem podłączonym pod USB, które
    miałoby maleńki wyświetlacz + czytnik kart (lub klawiaturę) dałoby się
    zrobić bankowanie niepodatnym na wirusy itp.
    Jadąc dalej tym tropem to sesja mogłaby być nie między tym urządzeniem a
    serwerem a między kartą zbliżeniową a serwerem tylko karta powinna mieć
    wyświetlacz + co najmniej chyba 1 klawisz. Szczegóły trzeba by
    przemyśleć. Podłączany pod USB czytnik stawałby się też fragmentem
    wrogiej infrastruktury. Nadal uważałbym, że na komputerze jest
    przeglądarka a tutaj tylko 'potwierdzarka'.


    > Hasła może będą lepszej
    > jakości i może nieco łatwiej będzie zrobić OTP, ale bez (jakiegoś)
    > bezpiecznego komputera nie można mówić o bezpieczeństwie.

    Wydaje mi się, że przeglądarka może chodzić na niebezpiecznym komputerze
    pod warunkiem, że mamy jakiś mały bezpieczny komputerek :)
    P.G.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1