Thu, 12 May 2005 15:55:11 +0200, w <d5vn7v$piq$1@korweta.task.gda.pl>, Karol S
<k...@z...pl> napisał(-a):

> > Oczywiście trojan powinien być bardziej skomplikowany, np. wykonywać te
> > działania przy wysokiem saldzie :). Nie opłaca się okradać klienta ze 100zł na
> > koncie. Zysk mały, na dodatek wałek szybko może zostać wykryty :)
>
> Zaraz zaraz, przecież połączenie z bankiem jest szyfrowane. Nie sposób
> podsłuchać transmisji, a więc nie dowiesz się nawet na jakiej stronie
> jest uzytkownik, nie wspominając o saldzie konta. A z samego tylko

Szyfrowanie zabezpiecza transmisję _pomiędzy_ komputerami (podsłuch). Co ci po
szyfrowaniu jak trojan jest zainstalowany na komputerze szyfrującym? Po co ją
podsłuchiwać.
Najprostszy sposób to chyba wyłączenie niezapisywania stron szyfrowanych na
dysk i czytanie z katalogu cache IE ;).

do góry

Użytkownik <r...@a...net.pl> napisał w wiadomości
news:mfq681hei9kp5g4o3e1go9bq882cn87527@4ax.com...


bla bla bla nastoletnie madrosci i inne z palca ssane bzdety...

mnie sie wydawalo ze transmisja jest "otwarta" jesli chodzi o "podsluch".
Sek w tym ze nic ci po sieczce danych nie posiadajac klucza.

do góry

Thu, 12 May 2005 20:45:26 +0200, w <d6088f$7da$1@news.onet.pl>, "some1"
<t...@p...onet.pl> napisał(-a):

> Użytkownik <r...@a...net.pl> napisał w wiadomości
> news:mfq681hei9kp5g4o3e1go9bq882cn87527@4ax.com...
>
> bla bla bla nastoletnie madrosci i inne z palca ssane bzdety...
>
> mnie sie wydawalo ze transmisja jest "otwarta" jesli chodzi o "podsluch".
> Sek w tym ze nic ci po sieczce danych nie posiadajac klucza.

Ech, kolejny "informatyk" po kursie dla Opornych. Pomyśl, to nie boli.
Jeżeli to niewykonalne, to w ramach zajęć domowych możesz poszukać programów do
automatycznej obsługi mBanku czy Inteligo. Jeżeli to nie pomoże, to ja już nie
jestem w stanie ci pomóc...

Pa.

do góry

some1 napisał(a):
> Użytkownik <r...@a...net.pl> napisał w wiadomości
> news:mfq681hei9kp5g4o3e1go9bq882cn87527@4ax.com...
>
>
> bla bla bla nastoletnie madrosci i inne z palca ssane bzdety...
>

Czas iść na emeryturkę "dziadku" !

Wiedzy nie staje albo koncentracja już nie ta i nie rozumiemy tego co
czytamy.

> mnie sie wydawalo ze transmisja jest "otwarta" jesli chodzi o "podsluch".
> Sek w tym ze nic ci po sieczce danych nie posiadajac klucza.
>
>

Do przechwycenia informacji przed zaszyfrowaniem a do tego nie są
potrzebne żadne klucze, nie podsłuchujemy kanału a dane mamy plain.

do góry

r...@a...net.pl wrote:
> Thu, 12 May 2005 20:45:26 +0200, w <d6088f$7da$1@news.onet.pl>, "some1"
> <t...@p...onet.pl> napisał(-a):
>
>
>>Użytkownik <r...@a...net.pl> napisał w wiadomości
>>news:mfq681hei9kp5g4o3e1go9bq882cn87527@4ax.com...
>>
>>bla bla bla nastoletnie madrosci i inne z palca ssane bzdety...
>>
>>mnie sie wydawalo ze transmisja jest "otwarta" jesli chodzi o "podsluch".
>>Sek w tym ze nic ci po sieczce danych nie posiadajac klucza.
>
>
> Ech, kolejny "informatyk" po kursie dla Opornych. Pomyśl, to nie boli.
> Jeżeli to niewykonalne, to w ramach zajęć domowych możesz poszukać programów do
> automatycznej obsługi mBanku czy Inteligo. Jeżeli to nie pomoże, to ja już nie
> jestem w stanie ci pomóc...
>

akurat to o czym mówisz ma się nijak do podsłuchu po SSL i posiadania
klucza.
Bo programy do automatycznej obsługi mBanku współpracują z przeglądarką,
czyli analizują html przysłany z serwera i wysyłają kod taki jak wysłała
by sama strona "kliknięta" ludzką ręką.
Czyli już dawno po odszyfrowaniu danych. Więc kolega po kursie dla
Opornych akurat tutaj ma rację.

do góry

Witam!

witek napisał(a):

> Bo programy do automatycznej obsługi mBanku współpracują z przeglądarką,
> czyli analizują html przysłany z serwera i wysyłają kod taki jak wysłała
> by sama strona "kliknięta" ludzką ręką.

No nie do końca jest tak jak piszesz. Te programy nie "współpracują"
tylko symulują przeglądarkę. Co do reszty to zgoda.

> Czyli już dawno po odszyfrowaniu danych. Więc kolega po kursie dla
> Opornych akurat tutaj ma rację.

Te programy same sobie muszą coś odszyfrować lub zaszyfrować. Oczywiście
w dziesiejszych czasach nikt już nie pisze całych tych procedur od ręki.
Najczęściej korzysta się z gotowców w stylu OpenSSL.

BTW: Jakby się okazało, że w OpenSSL jest jakieś tylne wejście to by się
chyba pół cywilizowanego świata rozsypało. :)

Pozdrawiam!

do góry

Łukasz Cielecki wrote:
>
>
> No nie do końca jest tak jak piszesz. Te programy nie "współpracują"
> tylko symulują przeglądarkę. Co do reszty to zgoda.

Symulują przeglądarkę w sensie analizy przysłanego html i generowania
html, bo to muszą zrobić, bo o to w tym programie chodzi.
Natomist na 100% nie mają w sobie renderingu html, tylko korzystają z
tego co oferuje w sobie windows.


>
>> Czyli już dawno po odszyfrowaniu danych. Więc kolega po kursie dla
>> Opornych akurat tutaj ma rację.
>
>
> Te programy same sobie muszą coś odszyfrować lub zaszyfrować. Oczywiście
> w dziesiejszych czasach nikt już nie pisze całych tych procedur od ręki.
> Najczęściej korzysta się z gotowców w stylu OpenSSL.

No właśnie, czyli nic nie muszą szyfrować, tylko wywołać odpowiednią
funkcję z odpowiedniej bibliteki.

do góry

W artykule <4...@n...vogel.pl> Łukasz Cielecki napisal(a):

> BTW: Jakby się okazało, że w OpenSSL jest jakieś tylne wejście to by się
> chyba pół cywilizowanego świata rozsypało. :)

Oj chyba miewał, może nie od razu backdoory ale jakieś słabości implementacji.
A świat to by sie posypał jakby ta cała teoria wielkich liczb na której opiera się
szyfrowanie padła.

do góry

witek napisał(a):

> Natomist na 100% nie mają w sobie renderingu html, tylko korzystają z
> tego co oferuje w sobie windows.

Aaa... o to chodzi. To oczywiście prawda. Tego typu programy korzystają
z reguły z modułu Internet Explorera. Inna sprawa, że program do
obsługi rachunku, który ja widziałem nic nie renderował w HTMLu tylko
wypisywał wszystko w typowych komponentach Windowsowych (pola edycyjne,
listy itp.).

do góry

Łukasz Cielecki wrote:
> witek napisał(a):
>
>> Natomist na 100% nie mają w sobie renderingu html, tylko korzystają z
>> tego co oferuje w sobie windows.
>
>
> Aaa... o to chodzi. To oczywiście prawda. Tego typu programy korzystają
> z reguły z modułu Internet Explorera. Inna sprawa, że program do
> obsługi rachunku, który ja widziałem nic nie renderował w HTMLu tylko
> wypisywał wszystko w typowych komponentach Windowsowych (pola edycyjne,
> listy itp.).

No zgadza się, bo kto powiedział, że program musi wyświetlić ten html,
który przysłał serwer bankowy.
Wystarczy, że go zrozumiał, czyli zwykły parsing strony html jest
wystarczający. Wystarczy do tego zwykły automat skończony.
Wyświetlić może co chce, a potem ma wysłać do serwera coś co by ten
serwer zrozumiał.
Równie dobrze można to zaimplenetować w jakieś grze, byleby w tej grze
nazwa użytkownika i haslo bylo takie samo jak do logowania się do mBanku
( o przepraszam ,BPH) a do zestrzelenia kolejnego pojazdu kosmicznego
należało podać kolejny kod z karty kodów jednorazowych.

do góry