> n...@o...pl wrote:
> [....]
> > chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
> E-e, nie na proxy a na komputerze ofiary, przez proxy już wszystko idzie
> szyfrowane. Napisanie takiego programiku nie jest(podobno) trudne pod
> winXX to prawda.

mi chodzilo troche o inne scenariusze:

1) proxy dostaje sygnal ze stacji roboczej (z keyloggera) ze wlasnie zostalo
wpisane haslo jednorazowe i trzeba odciac sesje.
od tej pory blokuje dostep do strony mbanku przez np. godzine.
(haslo jednoraznowe jest caly czas aktualne i moze byc wykorzystane przez
atakujacego)

nie wiem czy to mozliwe, ale jest jeszcze drugi scenariusz (bardziej
wyrafinowany) - byc moze gdzies jest luka logiczna:
2) proxy zglasza sie klientowi jak by bylo mbankiem i daje mu inny klucz do
sesji SSL i jednoczesnie zglasza sie do mbanku jakby bylo normalnym klientem.
ofiara myslac ze wyswietlaja sie jej strony mbanku tak naprawde dogaduje sie
tylko z proxy'm ktory wyswietla jej strony (w zaleznosci od potrzeby
zmodyfikowane) o ktore sam pyta mbanku.
w tym momencie proxy ma pelna kontrole nad procesem komunikacji.
daje to jeszcze wieksze pole do popisu atakujacemu.

> No właśnie w dużych korporacjach mniej ufałbym sieci niż w "małych
> firemkach"  - ze względu na liczbę komputerów tam często instaluje się
> soft do zdalnego zarządzania stacją który .... dużo potrafi.

nie do konca.
1) my jestesmy regularnie audytowani jesli chodzi o wszystkie poziomy
bezpieczenstwa.
2) na wszelkie czynnosci istnieja sprawdzone procedury i nad bezpieczenstwem
czuwa sztab ludzi a nie jeden administrator
3) administratorzy zarabia tyle, ze nie beda ryzykowali utraty doskonalej pracy
dla kilku tysiecy ktore zdolaja wyplacic z bankomatu
last but not least:
4) nasze proxy stoja w stanach - a tam nawet nie slyszeli o mbanku.

pzdr,
rafal urbanelis
http://szus.info

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl