W dniu wtorek, 16 maja 2017 20:18:36 UTC+2 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> >> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
> >> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
> >> oprogramowanie, to niczego nie możemy być pewni.
> >
> > Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.
>
> Nie, nie jest to potrzebne.
> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
> CA" (zawierający w szczególności root CA, od którego zaczyna się
> "ścieżka").
>

Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to robią. Malware
tez to moze zrobic.

> > Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
> > widzisz scieżkę i wszystko jest zielnie i wogóle cacy.
>
> Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
> może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.
>

Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie musi byc on
poprawny i taki sam jak wystawiany przez bank.
Wtedy dobrze jest móc znaleźć poprawny ciąg certyfikacji którego malware nie
podmieni.

> > Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
> > wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
> > zrobiony ale oszukany.
>
> https://pl.wikipedia.org/wiki/Infrastruktura_klucza_
publicznego
> https://pl.wikipedia.org/wiki/Certyfikat_klucza_publ
icznego
>

No i co z tego?

Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?


> > Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
> > certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
> > powinno być widoczne w przeglądarce.
> > Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc
trudne...
>
> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
>

poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i umiescila
na imgurze.
Tego wirus nie podmieni...

> > No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
> > wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
> > niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
> > są hackowane i po bezpieczeństwie nici.
>
> Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
> samego komputera, o którym wiemy, że jest "zawirusowany".
>

Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi środkami na koncie.

> > W takim wypadku tylko hasla jednorazowe i token.
>
> Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
> token.
> Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
> bardziej bezpieczny.
>

Ano. Taki urok chyba kazdej uslugi ze "man in the middle" narobi problemów. Czy to
ludzik z pałką czy z hakerskim komputerem...

> > Tak czy siak, mialem taki problem i szukalem na stronie banku
> > opublikowanych certyfikatów aby je porównać z tymi widzianymi w
> > komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
> > zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...
>
> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
> czegokolwiek tego typu na stronie banku to nieporozumienie
> (niezrozumienie idei PKI).
>

Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.
A PKI jest fajne o ile nie masz po drodze firmowego proxy czy antywirusa.

http://www.thesafemac.com/avasts-man-in-the-middle/

Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie bedzie widać ze
są podmienione. Idea PKI tu nie pomaga o ile nie jest wsparta mozliwoscia
zewnetrznego sprawdzenia - recznie. Co da sie zrobic ale albo trzeba miec zaufany
komputer i przepatrzec czy sie numery seryjne i modulo zgadzaja albo miec mozliwosc
uzyskania lancucha certyfikacyjnego w sposob który moze nie byc kontrolowany przez
malware...