"Szymon" <n...@o...pl> writes:

> Swoją drogą osobiście od zawsze korzystałem w połączeniach bankowych z
> własnego kompa i dostępu do sieci, ale jeszcze 5-6 lat temu przewaga była
> osób, które miały dostęp np. w pracy. Wydaje mi się, iż największe
> zagrożenie jest jednak mimo wszystko w przypadku obcego komputera niż obcej
> sieci, aczkolwiek...

Oczywiscie, komputer, ktoremu mozemy zaufac, to podstawowa sprawa.
--
Krzysztof Halasa

do góry

Olgierd <n...@r...org> writes:

> Wszystko to prawda. Sądzę, że ustalenie MAC to 2 minuty, odnalezienie
> komputera o zadanym MAC -- jeśli akurat jest połączony -- kolejne 22
> minuty.

W rzeczywistosci jest "nieco" inaczej. Po pierwsze, nikt nie wie czy
nie ma wiecej niz jeden takich samych MACow. (Prawie) zawsze mozna
ustawic sobie dowolny adres MAC. MACe "widac" tylko w danej sieci np.
Wifi, nie widac ich z kilometrow.

> Można także użytkownika rozpoznać po analizie pakietów, jakie sobie on
> zażyczył z tej sieci. Zważ, że pytałeś o połączenie z bankiem ;-)
> Domyślnie: z Twoim bankiem ;-) i teraz już pytanie dla ekspertów: na ile
> zabezpieczenie transmisji SSL uniemożliwi podgląd pakietów na tyle
> dobrze, aby się nie udało sprawdzić, które akurat konto bankowe
> przeglądałem.

Zabezpieczy calkowicie. Tzn. bedzie wiadomo o jaki bank chodzi, i nic
wiecej. Oczywiscie, jesli stwierdzimy, ze dany user laczyl sie
z bankiem A, z serwerem usenetowym (NNTP) B (i pisal tam jako C), oraz
przez ssh z maszyna ddd.eee.fff.ggg - na ktorej dziala fingerd
i pokazuje pelne dane zalogowanych userow, lacznie z np. PESELami :-)
- to wtedy nie bedzie problemu z rozpoznaniem.
Tak czy owak, moze to byc jako jakas tam poszlaka, ale raczej nie jako
solidny dowod.

Natomiast bank wie kto i z jakiego IP laczyl sie z nim.
--
Krzysztof Halasa

do góry

Krzysztof Halasa pisze:
> "Szymon" <n...@o...pl> writes:
>
>> Swoją drogą osobiście od zawsze korzystałem w połączeniach bankowych z
>> własnego kompa i dostępu do sieci, ale jeszcze 5-6 lat temu przewaga była
>> osób, które miały dostęp np. w pracy. Wydaje mi się, iż największe
>> zagrożenie jest jednak mimo wszystko w przypadku obcego komputera niż obcej
>> sieci, aczkolwiek...
>
> Oczywiscie, komputer, ktoremu mozemy zaufac, to podstawowa sprawa.

No więc, sesja RDP na swój komputer w domu za pośrednictwem dowolnej
sieci powinno sprawę załatwić. Dla mocno zgrzanych, OpenVPN do siebie do
domu.

Oczywiście, przy założeniu, że komputer domowy jest czysty i jest z nim
wszystko ok...

Nie wiem, trudno chyba o lepsze rozwiązanie jeśli o korzystanie z
zupełnie otwartych sieci WiFi chodzi..

Pozdr,
Tomek

do góry

Tomek Głowacki <t...@t...o2.pl-invalid> writes:

>> Oczywiscie, komputer, ktoremu mozemy zaufac, to podstawowa sprawa.
>
> No więc, sesja RDP na swój komputer w domu za pośrednictwem dowolnej
> sieci powinno sprawę załatwić. Dla mocno zgrzanych, OpenVPN do siebie
> do domu.

Z niepewnego komputera? Nie daje zadnej gwarancji.
--
Krzysztof Halasa

do góry

> Stary, żaden z tych rozpakowanych z pudełka routerków
> serwujących niezabezpieczony WLAN nie ma włączonego logowania
> ruchu. MAC pojawia się w eterze przez 10-15 minut i znika.
> Leży jeszcze chwilę (rzędu minuty) w ARP cache i też znika.
> DHCP lease może dłużej wygasać, o ile użyszkodnik się
> nie rozłączył jak Bozia przykazała, z grzecznym zakończeniem
> lease'u. Cześć pieśni, szukaj wiatru w polu.

Myślę, że aby w ogóle można było mówić o konsekwencjach to musiałby lepszy
fachowiec ustawić całą sprawę. Natomiast... hmm... w sumie to ja też
wolałbym korzystać z pewnej sieci np. sygnowanej przez konkretną firmę czy
miasto, ale powstaje problem jak ją rozpoznać, skoro zdarzyło mi się już
łapać w jednym miejscu ok. 15-20 WLANów (łapać nie znaczy łączyć się, bo
sygnał niektórych oczywiście na to nie pozwalał).

> Jeśli już ktoś loguje ruch, to raczej *po* zabezpieczeniu
> sieci, na wszelki wypadek, gdyby ktoś się włamał. Tego
> przypadku nie rozpatrujemy w tym wątku.

Akurat całkowicie odwrotny - to ja, czyli klient sieci mam być bezpieczny ze
swoimi danymi.

>> Można także użytkownika rozpoznać po analizie pakietów,
>> jakie sobie on zażyczył z tej sieci.
>
> Czasem można. Wracamy do punktu 1. - brak logowania ruchu.

Teoretycznie tak, ale wydaje mi się, że to już wymaga serwera. Prosty router
z WLANem musiałby mieć solidną pamięć, aby zapisywać cały ruch.

> Jeżeli jest ostrożny i korzysta z szyfrowanych połączeń,
> tuneli itp. wówczas analiza ruchu będzie *ZNACZNIE*
> utrudniona. Nawet, jeśli ten otwarty jak wrota od stodoły
> WLAN loguje ruch, to sam MAC nic nie daje w pojedynczym
> przypadku skorzystania z sieci na cudzy koszt.

Oj tam zaraz cudzy koszt... wyślę mu te 50 groszy straty :-))
W McDonaldzie sa hot-spoty Ery. Ale aby dostać się do cennika... trzeba się
zalogować. Koło się zamyka. Oczywiście mógłbym sprawdzić na stronie McD
jakie są warunki korzystania, gdyby nie fakt, że znowu muszę się zalogować.

> "Poszkodowany" przez 15-minutowy nieautoryzowany dostęp
> po pierwsze go w 99.99% nie zauważy, a nawet jeśli zauważy,
> to jakie straty będzie mógł wykazać? Żadne. Jakie dowody
> przedstawić? Mizerne (o ile użyszkodnik sam mu się na
> tacy nie wystawił).

A nawet jeśli to cóż to za dowody - ściągnął 5MB danych? Trochę śmieszne.

>
> No chyba, że pechowy użyszkodnik trafi na prowokację CBA
> rozstawiającego po rynkach i placach "darmowe" hots^H^Hneypoty...

W kwestiach paranoi to zaczynam się zastanawiać czy wejście na blog Olgierda
nie jest skorzystaniem z części systemu informatycznego (wejście na serwer),
do którego nie jestem przekonany czy mam dostęp (publicznie dostępne nie
oznacza, że mogę tam wchodzić). To samo dotyczy zresztą większości stron
www.
Na koniec mały cytat odnośnie tej nowelizacji:
- To artykuł nieprecyzyjny i w praktyce będą problemy z jego interpretacją.
Sygnalizowałem to w opinii dla Sejmu - mówi prof. Andrzej Adamski,
wykładowca prawa karnego i komputerowego na UMK w Toruniu. - Ten przepis
może niepotrzebnie rozszerzyć sferę kryminalizacji zachowań użytkowników
komputerów. Problem w tym, że wiele stron ma złe zabezpieczenia lub nie ma
ich wcale. Może być tak, że zwykły śmiertelnik, bez złych intencji, otworzy
jakiś link, który np. podeśle mu haker, i zapozna się z informacją dla niego
"nieprzeznaczoną". A prokurator oskarży go o przestępstwo. - Tego nie można
wykluczyć, bo zapis jest niejasny - uważa prof. Adamski.

------------------

Chyba google ma teraz większy problem niż ja :-)

I jeszcze ad vocem słów Olgierda o świadomości/nieświadomości czy WLAN jest
publiczny czy nie:

- Z przestępstwem mamy do czynienia, gdy jest wina umyślna. Internauta,
który przypadkowo uzyska dostęp do informacji dla niego nieprzeznaczonej i
zostanie oskarżony, pewnie się wybroni. Ale zanim sprawa się wyjaśni, może
upłynąć dużo czasu - uważa prof. Adamski.

do góry

Szymon pisze:
> Ostatnimi czasy poruszam się sporo po okolicy z laptopem z WLANem. Często
> łapie mi jakieś sieci i spokojnie można korzystac z netu... Trudno mi jednak
> często ustalić cóż to za sieci - pewnie w dużej mierze prywatne. Stąd moje
> pytanie: czy korzystanie z usług bankowych przy połączeniu szyfrowanym
> (czyli które jest zawsze w przypadku serwisów transakcyjnych) poprzez sieć
> bezprzewodową niepewnego pochodzenia naraża mnie na przejęcie haseł czy też
> nie jest to możliwe z uwagi na szyfrowanie?
>

Istnieje oczywiscie mozliwosc przechwycenia wszystkich wysylanych przez
ciebie danych, jednak musialbys znalezc siec gdzie ktos z premedytacja
stosuje tak zwany atak Man in The Middle. Prawdopodobienstwo moim
zdaniem jest dosc male.

do góry

Krzysztof Halasa pisze:
> Tomek Głowacki <t...@t...o2.pl-invalid> writes:
>
>>> Oczywiscie, komputer, ktoremu mozemy zaufac, to podstawowa sprawa.
>> No więc, sesja RDP na swój komputer w domu za pośrednictwem dowolnej
>> sieci powinno sprawę załatwić. Dla mocno zgrzanych, OpenVPN do siebie
>> do domu.
>
> Z niepewnego komputera? Nie daje zadnej gwarancji.

Z pewnego, twojego własnego, zakładam że równorzędnie zabezpieczonego
jak domowy notebooka czy innego przenośnego urządzenia. Bo o tym raczej
mowa - mój komp, ale sieć dowolna. Kafejki to jakby odrębna historia, bo
tam może być dosłownie wszystko, łącznie ze sprzętowymi keyloggerami...


Pozdr,
Tomek

do góry

Piotr Wojcicki <drak99@NO_SPAM_gmail.com> writes:

> Istnieje oczywiscie mozliwosc przechwycenia wszystkich wysylanych
> przez ciebie danych, jednak musialbys znalezc siec gdzie ktos z
> premedytacja stosuje tak zwany atak Man in The Middle.
> Prawdopodobienstwo moim zdaniem jest dosc male.

Taki atak jest niemozliwy przy poprawnym zastosowaniu np. SSLa.
--
Krzysztof Halasa

do góry

Tomek Głowacki <t...@t...o2.pl-invalid> writes:

> Z pewnego, twojego własnego, zakładam że równorzędnie zabezpieczonego
> jak domowy notebooka czy innego przenośnego urządzenia. Bo o tym
> raczej mowa - mój komp, ale sieć dowolna.

Trudno powiedziec co jest mniej korzystne. W przypadku zdalnego
terminala atakujacy wie, na jaka maszyne ktos sie zalogowal (co moze
byc jednoznaczne z uzyskaniem pelnych danych uzytkownika). W przypadku
sesji z bankiem - wie o jaki bank chodzi i ew. moze wyciagnac
potrzebne dane od banku (zakladajac ze to nie jest jakis wielki proxy
SSL bez logowania klientow, wtedy nieco trudniej ze wzgledu na mozliwa
duza ilosc jednoczesnych klientow banku z danego IP).
--
Krzysztof Halasa

do góry

"Szymon" <n...@o...pl> wrote in message
news:giotsn$rk1$1@news.dialog.net.pl...
>> Nie zawsze, nie wszędzie. Standardowo jest właśnie *nieszyfrowane* -
>> interia, onet, gmail, o2 i wiele innych. Musisz ustawić szyfrowanie -
>> przy logowaniu (interia), w ustawieniach konta (gmail) itd.
>
> Z tego co widzę na wp i o2 można wybrać opcję szyfrowania przy logowaniu z
> poziomu www.
>
>> Tak samo protokół POP3 standardowo jest nieszyfrowany - większość
>> dostawców poczty nawet nie obsługuje szyfrowanego POP3 (POP po SSL).
>
> W Outlook Expressie miga mi kłódeczka przy łączeniu z o2.pl

Kłódeczka może migać, ale to Ty musisz ustawić szyfrowanie połączenia (SSL)
w ustawieniach danego konta. W przeciwnym razie połączenie będzie
nieszyfrowane, bez względu na to co miga. Hasło też jest wtedy przesyłane
"czystym tekstem" (plain text) i byle packet sniffer może je odczytać.


>> Najprawdopodobniej tak. Ludzie kupują router, który w zasadzie działa od
>> razu po wyjęciu z pudełka, więc po co grzebać w konfiguracji.
>
> Tak też sądzę, choćby po nazwach sieci.
>
>> Niektóre mogą być widoczne jako niezabezpieczone, ale mieć włączone
>> filtrowanie MAC (np. moja sieć).
>
> Oczywiście wyszukanie sieci to jedno, a stabilne z nią połączenie to
> drugie. Niemniej udało mi się już kilkakrotnie nawiązać połączenia z
> różnymi sieciami, więc wydaje mi się, iż przy odrobinie cierpliwości i np.
> w okolicach większego osiedla zawsze się na jakąś trafi. Zresztą ostatnio
> czekając na film w Multikinie całkiem "oficjalnie" przeglądałem strony
> będąc połączonym z WLANem kawiarenki.

Ta kawiarenka może celowo udostępnia darmową sieć? Wiem że kiedyś np.
niektóre kawiarnie z sieci Coffee Haven udostępniały darmowy WLAN, żeby
przyciągnąć klientów.

k.

do góry