Użytkownik "Jurek Zielinski" <j...@t...debica.pl> napisał w wiadomości
news:slrnb18mit.i7k.jurekz@canin.tel.debica.pl...
> Dnia czw, 02 sty 2003 at 09:15 GMT,
> anda <a...@p...fm> napisał(a):
> > jet calkowicie bezpieczne !!!
> > jesli masz hasla jednorazowe!!!! - warunek
> > nawet gdyby ktos podejzal troje haslo i identyfikator to tylko moglby
sobie
> > popatrzec na stan twojego konta
>
> eeee.... a porawili juz w mbanku aby raz zażądane hasło jednorazowe
> potem omijane? Nie? no to robi sie tak (też już taka koncepcja była)
>
> Logujesz się (snifer łapie uzytkownika i hasło)
> wklepujesz przelew, żądanie hasła jednorazowego,
> Wpisujesz hasło jednorazowe(snifer łapie) - a tu pech zawiesza się

zeby snifer zlapal to haslo to musisz go wyslac -- klikajac dalej i przelew
poszedl
a po wyslaniu nie ma mozliwosci uzycia drugi raz tego samego hasla

teoretycznie mozna to zrobic ale nie sniferem ;)
i to za bardzo skapilkowane jak na kafejke


> komputer (to znaczy tak miało być),
> Zanim się zresetuje i spróbujesz wejść ponownie - z innego
> stanowiska już poszedł przelew z tym hasłem jednorazowym,
> Potem jeszcze kilka razy błedne hasło i zanim odblokujesz może już być
> po wszystkim.
>
> To już lepszy token.
>
> --
> ------------------------------
> Jurek

do góry

Dnia czw, 02 sty 2003 at 16:23 GMT,
anda <a...@p...fm> napisał(a):
> zeby snifer zlapal to haslo to musisz go wyslac -- klikajac dalej i przelew
> poszedl
> a po wyslaniu nie ma mozliwosci uzycia drugi raz tego samego hasla

Myślałem o sniferze około klawiaturowym (niejasno sie
wyraziłem - musiał by to byc specjalny program uczulony niejako na
banki, i to specyficznie reagujący na pewne działania)

> teoretycznie mozna to zrobic ale nie sniferem ;)
> i to za bardzo skapilkowane jak na kafejke

I dzieki Bogu. Zresztą jak się dobry hacker za cos weźmie to
indywidualny sie nie obroni. Inststytucje mają z tym czesto problem.

--
------------------------------
Jurek

do góry

Dnia czw, 02 sty 2003 at 15:55 GMT,
Adam Płaszczyca <_...@i...pl> napisał(a):
>> Więc nie ma możliwości zaatakować takiego połączenia.
>
> Tylko zauważ, że masz systuację taką, że przeglądarka łączy się do
> podstawiinego serwera, a ten do właściwego. I teraz serwer podstawiony
> udziela przeglądarce takich samych odpowiedzi jak serwer prawdziwy. Ma
> je od prawdziwego serwera, tylko przekazuje dalej.
>
> Czyli masz tak:
>
> Serwer banku <===== SSL ======> podstawiony INT0 <===nieszyfrowane==
> ===>podstawiony INT1 <==== SSL ===> przeglądarka.

To niemożliwe. Aby to było możliwe INT1 musiał by posiadać certyfikat
banku potwierdzony przez CA. Nie sądzisz chyba że Thawte wystawi ci
certyfikat na https://www.mbank.com.pl bez sprawdzenia kto, co i jak.

Nie ma możliwości przekazywać odpowiedzi od banku do przeglądarki - bo
są zaszyfrowana (to znaczy przekazywać możesz ale bez możliwości
poznania treści)

Nie ma możliwości rozbic transmisje SSL tak aby odpowiedzi z banku szły
zaszyfrowane tranzytem przez twoje maszyny INT0 i INT1. Transmisja zaś w
drugą stronę była odszyfrowana pomiędzy INT0 a INT1. Dlaczego? Klucze
się weryfikują trochę bardziej skomplikowanie, nie tylko czy on to
rzeczywiście on ale równiez potwierdzają sobie czy naprawdę rozmawiają
ze sobą bez pośredników. Wcięcie się w połączenie tylko z jednej strony
rozerwie to potwierdzenie. Kiedyś były dosyć szczegółowe dyskusje na ten
temat na pl.comp.security

>> albo udaje serwer banku - ale nie ma prawidłowego certyfikatu - więc
>> zdradzi ją alarm przeglądarki
>
> Udaje i serwer banku (dla przeglądarki) i przeglądarkę (dla serwera
> banku).
>
>> Podtrzymuje - tylko pewna przeglądarka może nas ochronić przed atakiem
>> na połączenie internetowe.
>
> NA powyższe żaden SSL nie pomoże.

Nieprawda - SSL to jeden z bezpiecznijszych i bardo dopracowanych
pomysłów. Z realizacją czasem bywa gorzej.

Jeśli cie nie przekonałem zrób followup-to pl.comp.security, może się
spece wypowiedzą.


--
------------------------------
Jurek

do góry

Jurek Zielinski <j...@t...debica.pl> writes:
> To już lepszy token.

Tez nie rozwiazuje problemu, przeciez latwo mozna podmienic dane
w formularzu.

Szczerze mowiac, jakbym byl wlascicielem kafeiki, i chcialbym sie pobawic
w takie cos, to zrobilbym skrypt, ktory analizowalby wszelkie formularze
i wybieralby z nich takie wygladajace na ebankowe. Nastepnie dorabialbym
drugi skrypt, ktory podmienialby dane w locie. Technicznie jest to
trywialne i uzytkownik nie ma szans na zauwazenie tego, zwlaszcza, jesli
skrypt poprawialby takze dane o wykonanych przelewach (choc to juz i tak
po fakcie).

Problemow upatrywalbym raczej w dziwnej zbieznosci faktow wychodzenia
lewych przelewow z mojej kafejki (fizycznie, bo w sieci mogloby to
wygladac zupelnie inaczej) oraz w tym, ze przelewu nie mozna wykonac
w proznie, a trzeba jakos te pieniadze wyplacic/uprac - zwlaszcza, jesli
sa to wieksze kwoty, a dla malych chyba nikt by nie ryzykowal.


W kazdym razie moim zdaniem uzywanie jakichkolwiek "przygodnych"
komputerow do takich zastosowan to ruska ruletka. Jesli ktos ma 500 zl
na rachunku, to pewnie moze sobie na to pozwolic.
--
Krzysztof Halasa
Network Administrator
Happy New Year!

do góry

Użytkownik "Krzysztof Halasa" <k...@d...pm.waw.pl> napisał w wiadomości
news:m33cobt85z.fsf@defiant.pm.waw.pl...

> W kazdym razie moim zdaniem uzywanie jakichkolwiek "przygodnych"
> komputerow do takich zastosowan to ruska ruletka. Jesli ktos ma 500 zl
> na rachunku, to pewnie moze sobie na to pozwolic.

no ale jesli tak, jak w mbanku sa potrzebne jednorazowe hasla, to
niebezpieczenstwo tez jest takie duze?

do góry

"rena" <r...@p...pl> writes:

> no ale jesli tak, jak w mbanku sa potrzebne jednorazowe hasla, to
> niebezpieczenstwo tez jest takie duze?

Niebezpieczenstwo dostepu do rachunku osoby nieupowaznionej jest tak
samo duze. Jesli nie chcesz przelewac pieniedzy (z cafe), a tylko np.
przejrzec operacje, to oczywiscie nie ma niebezpieczenstwa, ze ktos
zleci dowolny przelew (bo nie bedzie mial kodu). Moze oczywiscie
zlecic przelew zdefiniowany.
--
Krzysztof Halasa
Network Administrator

do góry

Dnia pią, 03 sty 2003 at 18:57 GMT,
Krzysztof Halasa <k...@d...pm.waw.pl> napisał(a):
> "rena" <r...@p...pl> writes:
>
>> no ale jesli tak, jak w mbanku sa potrzebne jednorazowe hasla, to
>> niebezpieczenstwo tez jest takie duze?
>
> Niebezpieczenstwo dostepu do rachunku osoby nieupowaznionej jest tak
> samo duze. Jesli nie chcesz przelewac pieniedzy (z cafe), a tylko np.
> przejrzec operacje, to oczywiscie nie ma niebezpieczenstwa, ze ktos
> zleci dowolny przelew (bo nie bedzie mial kodu). Moze oczywiscie
> zlecic przelew zdefiniowany.

Ja bym poszedł nawet dalej. Te wszystkie rozważania teoretyczne wymagają
naprawdę dobrej znajomości zagadnień sieciowych, bezpieczeństwa - trzeba
napisac kawałek własnego oprogramowania i to nietrywialnego.
W 99% kafejek nikt tego nie zrobi. Potem trzeba jeszcze wymyslić sposób
aby te pieniądze wyprowadzić z systemu bankowego. Tego nie opłaca się
robić dla 500zł. Tak więc niebezpieczeństwo jest - ale jest niewielkie.
Jak masz na koncie 100 000zł to raczej nie łączył bym sie z caffe - po
co kusic licho.

--
------------------------------
Jurek

do góry