"RobertS" <r...@g...pl> wrote in message news:3D60B8A3.D33DB085@go2.pl...

> kolega ma kafejke - z nudow snifuje wszystko co mu w siec wpadnie


akurat sniffing nic nie daje przy szyfrowanym połączeniu :)

pozdrawiam
Piotr Orzechowski

do góry

> > Tak więc rada jest taka: z kafejki do e-banku: NIE, zadzwoń i zrób przelew
> > albo odpytaj z operacji przez telefon, będzie na pewno bezpieczniejsze !
> W razie skorzystania z kafejki może na koniec zablokować kanał internetowy
> albo po wyjściu z kafejki koniecznie, przez telefon, zmienić hasło dostępu
> do kanału internetowego.

no, jest to sposób, ale troszeczke śmiesznie by to wyglądało,
blokujesz - bo boisz się że właśnie przekazałeś swoje hasło
"hakerom" z kafejki.
Pozatym jeżeli ten "haker" z kafejki okazałby się - troszeczkę
bardziej sprytny i ogranięty - mógłby "namieszać" w sesji ssl'owej
i udając klienta - pozmieniać dane w przelewie który właśnie
wykonujesz. Trudne - ale możliwe !!!
Więc rada jest taka żeby nie korzystać z nieznanego kompa.

Karol Żwiruk

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

"Karol Żwiruk" <k...@N...gazeta.pl> wrote in message
news:ajqhqr$23$1@news.gazeta.pl...
> > W razie skorzystania z kafejki może na koniec zablokować kanał
internetowy
> > albo po wyjściu z kafejki koniecznie, przez telefon, zmienić hasło
dostępu
> > do kanału internetowego.
> no, jest to sposób, ale troszeczke śmiesznie by to wyglądało,
> blokujesz - bo boisz się że właśnie przekazałeś swoje hasło
> "hakerom" z kafejki.

Może i śmiesznie, ale wychodząc z kafejki należy się bać
albo mieć zero na koncie.
Przed "Chackerami", to się obronię.

> Pozatym jeżeli ten "haker" z kafejki okazałby się - troszeczkę
> bardziej sprytny i ogranięty - mógłby "namieszać" w sesji ssl'owej
> i udając klienta - pozmieniać dane w przelewie który właśnie
> wykonujesz. Trudne - ale możliwe !!!

Zależy jaki przelew. (zdefiniowany raczej trudno zmienić bez TAN-a).

> Więc rada jest taka żeby nie korzystać z nieznanego kompa.

To jest nalepsze rozwiązanie.
Szukamy raczej metody postepowania gdy "musimy".

BAH

do góry

Piotr Orzechowski napisał(a):
> akurat sniffing nic nie daje przy szyfrowanym połączeniu :)
pozwala wykryc, ktora stacja w kafejce laczy sie do banku

koles ma podciagniete do swojego biurka wszystkie kable od myszek i
klawiatur po to aby przelacznikiem blokowac prace osobie, ktora
przekroczy czas - przy okazji kupil rozdzielacz do klawiatury, tak ze
moze odczytywac nacisniete klawisze na innym komputerze
--
roberts
c:\Program Files\Netscape\sygnatura.txt

do góry

"Karol Żwiruk" <k...@N...gazeta.pl> wrote in message
news:ajq74d$jm$1@news.gazeta.pl...

> Jeżeli nawet na komputerze z którego logujesz się do e-banku nie ma
żadnego
> procesu zapisującego to co klepiesz w klawiaturkę, to jest mnóstwo softu
> który pozwala właścicielowi kafejki podglądać to co leci ssl'em.
> Sam byłem zdziwiony jak widziałem to na prezentacji w pewnej firmie
> komputerowej zajmującej się zabezpieczeniami.

nie można podsłuchać tego co idzie SSLem, bo to co jest pomiędzy
przeglądarką a serwerem jest zaszyfrowanie, a rozszyfrowanie zajęłoby zbyt
dużo czasu -
patrz
http://stats.distributed.net/team/tmsummary.php?proj
ect_id=5&team=6481(
może to nie SSL, ale zbliżone)
lub
http://www.distributed.net



a jeśli może podsłuchiwać, to znaczy, że jest jakiś proces na komputerze,
który modyfikuje tak przeglądarkę, aby zanim zaszyfruje, wysyłała też jawnym
tekstem (w co raczej wątpię)

pozdrawiam
Piotr Orzechowski

do góry

Użytkownik "Piotr Orzechowski" <news@USUN_SPAMpiotrorzechowski.com> napisał
w wiadomości news:ajq1n9$3ti$1@news2.tpi.pl...
dostęp do skrzynki telefonicznej
>
> albo na centrali


na dobra sprawe to wystarczy dostep do kabla i dwa krokodylki ;)

Pozdrawiam
Rafal M



--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik "Rafal M" <markii@NO_SPAMpoczta.gazeta.pl> napisał w wiadomości
news:ajrj0a$ct6$1@news.gazeta.pl...
> na dobra sprawe to wystarczy dostep do kabla i dwa krokodylki ;)

Ale najpierw trzeba chcieć i wiedzieć kogo da się oskubać.
Posiadaczy kont bankowych z dostępem telefonicznym jest mało.
Ci co mają korzystają z tego sporadycznie.
A jeszcze rzadziej aby dokonać jakiegokolwiek przelewu z podawaniem haseł.
Może raz w życiu ???
Długo trzeba by prowadzić nasłuch, zaangażować wielu ludzi. A i tak sukces
wątpliwy.
Łatwiej poderżnąć gardło pracownikowi banku, który nie chce sam podać haseł
swoich bogatych klientów.
-------------------
Co innego kafejka.
Tu "spec" program ma czas. Jak coś "złapie", to sam oczyści konto
delikwenta(ów), zanim ten zdąży się zorientować albo zablokować dostęp.
I stworzenie takiego programu to idealna zabawa dla młodych, znudzonych
miłośników komputerów.
Niepowtarzalna okazja, by wysiłek zaowocował dużą "nagrodą" z oczyszczonych
kont bankowych.
---
Na dobrą sprawę to prostszy od podsłuchu telefonu krokodylkami jest ARGUMENT
typu nóż, kij bejsbolowy.
Wystarczy zlokalizować ofiarę i zaprosić do oddania portfela, wycieczki do
bankomatu, odbicie jego galerii wypukłych kart w imprinterze, błyskawiczne
zrobienie zakupów w Internecie na pozyskane numery tych kart.
-----------
Dlatego stary, skromny, bylejaki, wiejski, cudzy telefon nie znajdzie w
orbicie zainteresowania "opróżniacza obcych kont bankowych"
-----
Co innego jak to jest prywatny numer bogatego człowieka, wtedy ten jeden
jedyny analogowy numer może warto sprawdzać?(podsłuchiwać)???
Jeśli delikwent taki głupi, że nie używa do łączności z bankiem telefonu
komórkowego czy ISDN, to Jego problem. Głupota kosztuje.
Bo normalnego VIPa w marmurowym banku poznają po głosie i "lekko" nie
zautoryzują transakcji
W mbanku bogacz trzyma najwyżej nieistotny kawałek swoich oszczędności
--------
Dla średniego salda 8 tys. nakłady na pozyskanie prawidłowego numeru
telefonicznego hasła mbanku są nieopłacalne.

Mnie nikt nie przekona, że ogólnodostępny komputer w kafejce, akademiku,
dużej firmie nadaje się do wykonywania operacji bankowych.
I można gadać o szyfrowaniu , tokenach, TANach do znudzenia.
Niech złodzieje okradają tych co w to bezpieczeństwo wierzą. Ja nie
skorzystam.
Mi trzeba by podkraść mój prywatny komputer. Tu wierzę, że zainstalowanie
spec programu przyniesie efekt.
--------

do góry

On Sun, 18 Aug 2002 20:13:59 +0200, "Piotr Orzechowski" >
>a jeśli chcesz być całkowicie bezpieczny, to należy jeszcze sprawdzić jakie
>procesy sa uruchomione.
>chociaż na dobrze "spreparowanym" komputerze może być proces rejestrujący
>wszystko co wklepujesz z klawiatury i tego nie zauważysz :(


Całkowicie bezpieczny, to nie będzie nigdy ale
np. w mBanku to może dodatkowo zablokować
(ale nie przez błędne wprowadzanie hasła)
kanał internetowy (odblokowanie wymaga oddzwaniania)
albo przez telefon zmienić hasło dostępu

BAH

do góry