Użytkownik RysioPysio napisał:
>
>>Wycofałem się z tego. Ponownie wypelnilem formularz juz z ustawianiem
>>daty i zoztalem poproszony o ten sam numer hasła
>>co poprzednio.
>>Najlepiej najpierw sam sprobuj a nie głoś niesprawdzonych teorii.
>>Tak ze sposob z keyloggerem jest mozliwy wbrew Twym wątpliwościom.
>
> Oz kurde! Wlasnie sprawdzilem i rzeczywiscie chce to samo haslo.... No
> to system hasel jednorazowych jest nieco skompromitowany w zaistnialej
> sytuacji... Ale kila...
> Masz racje.

A skad niby system ma wiedziec, ze wpisales haslo, jesli go do systemu
nie wystalas potwierdzajac dane z formularza? Wszystko jest dobrze.

Co do przechwytywania tego typu danych, to przechwytujacy musialby miec
nieskonczona cierpliwosc, liczac na to ze kiedys przypadkiem sie
cofniesz. Takie polowanie na czyjas kase zupelnie sie nie oplaca, tym
bardziej, ze przechwytujacy dane musialby stale obserwowac Twoje
dzialania i byc bardzo szybki, zeby zlecic przelew zanim Ty potwierdzisz
swoj. No, chyba ze przy kazdym przelewie wpisujesz kod i zanim
potwierdzisz transakcje cofasz sie do poprzedniej strony. W co mimo
wszystko watpie.

Bartol

do góry

> A skad niby system ma wiedziec, ze wpisales haslo, jesli go do systemu
> nie wystalas potwierdzajac dane z formularza? Wszystko jest dobrze.
>
> Co do przechwytywania tego typu danych, to przechwytujacy musialby miec
> nieskonczona cierpliwosc, liczac na to ze kiedys przypadkiem sie
> cofniesz. Takie polowanie na czyjas kase zupelnie sie nie oplaca, tym
> bardziej, ze przechwytujacy dane musialby stale obserwowac Twoje
> dzialania i byc bardzo szybki, zeby zlecic przelew zanim Ty potwierdzisz
> swoj. No, chyba ze przy kazdym przelewie wpisujesz kod i zanim
> potwierdzisz transakcje cofasz sie do poprzedniej strony. W co mimo
> wszystko watpie.


nie bardzo zrozumiales dyskusje.

chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
przechwyci haslo jednorazowe a nastepnie zamknie Ci sesje _uniemozliwiajac_
wykonanie przelewu.
potem to haslo moze wykorzystac, ze wzg. na zle skonstruowany system
transakcyjny mbanku, ktory spyta o nie raz jeszcze.
ja pracuje w duzej miedzynarodowej korporacji i wiem ze u nas takie rzeczy sa
praktycznie nie mozliwe, ale w malych firemkach - kto wie...

(oczywiscie wczesniej trzeba zalozyc konto poslugujac sie falszywym dowodem
osobistym itd)

nie trzeba na nic czekac ani miec cierpliwosci.
pzdr,
rafal urbanelis
http://szus.info

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik n...@o...pl napisał:
>>A skad niby system ma wiedziec, ze wpisales haslo, jesli go do systemu
>>nie wystalas potwierdzajac dane z formularza? Wszystko jest dobrze.
>>
>>Co do przechwytywania tego typu danych, to przechwytujacy musialby miec
>>nieskonczona cierpliwosc, liczac na to ze kiedys przypadkiem sie
>>cofniesz. Takie polowanie na czyjas kase zupelnie sie nie oplaca, tym
>>bardziej, ze przechwytujacy dane musialby stale obserwowac Twoje
>>dzialania i byc bardzo szybki, zeby zlecic przelew zanim Ty potwierdzisz
>>swoj. No, chyba ze przy kazdym przelewie wpisujesz kod i zanim
>>potwierdzisz transakcje cofasz sie do poprzedniej strony. W co mimo
>>wszystko watpie.
>
> nie bardzo zrozumiales dyskusje.

Zrozumialem, zrozumialem.

> chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
> przechwyci haslo jednorazowe a nastepnie zamknie Ci sesje _uniemozliwiajac_
> wykonanie przelewu.

OK.

> potem to haslo moze wykorzystac, ze wzg. na zle skonstruowany system
> transakcyjny mbanku, ktory spyta o nie raz jeszcze.

Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
wiedziec, ze je podales? Jasnowidz, czy co? Jesli Ci proxy uwali sesje,
to haslo do banku nie dojdzie i bedzie dla banku mialo flage "nastepne w
kolejnosci".

Czy jesli uwali Ci sie sesja podczas wykonaywania przelewu dajesz sobie
spokoj, czy probojesz jeszcze raz? Sadze ze prawdziwa jest odpowiedz nr
2. W tej sytuacji przechwytujacy ma bardzo malo czasu na wykorzystanie
hasla, wobec czego musialby caly czas Ciebie kontrolowac.

Jesli bedzie Ci uwalal kazda sesje, to bardzo szybko dojdziesz do
wniosku ze z firmy nie da sie zlecic przelewu i przestaniesz tego probowac.

> ja pracuje w duzej miedzynarodowej korporacji i wiem ze u nas takie rzeczy sa
> praktycznie nie mozliwe, ale w malych firemkach - kto wie...

I co proxy wpuszcza Cie do banku? ;-)

> nie trzeba na nic czekac ani miec cierpliwosci.

IMHO trzeba.

Bartol

do góry

n...@o...pl wrote:
[....]




>
> nie bardzo zrozumiales dyskusje.
>
> chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
E-e, nie na proxy a na komputerze ofiary, przez proxy już wszystko idzie
szyfrowane. Napisanie takiego programiku nie jest(podobno) trudne pod
winXX to prawda.
> przechwyci haslo jednorazowe a nastepnie zamknie Ci sesje _uniemozliwiajac_
> wykonanie przelewu.
> potem to haslo moze wykorzystac, ze wzg. na zle skonstruowany system
> transakcyjny mbanku, ktory spyta o nie raz jeszcze.
> ja pracuje w duzej miedzynarodowej korporacji i wiem ze u nas takie rzeczy sa
> praktycznie nie mozliwe, ale w malych firemkach - kto wie...
No właśnie w dużych korporacjach mniej ufałbym sieci niż w "małych
firemkach" - ze względu na liczbę komputerów tam często instaluje się
soft do zdalnego zarządzania stacją który .... dużo potrafi.
[...]
KJ

>

do góry

> Użytkownik n...@o...pl napisał:

> Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
> wiedziec, ze je podales? Jasnowidz, czy co? Jesli Ci proxy uwali sesje,
> to haslo do banku nie dojdzie i bedzie dla banku mialo flage "nastepne w
> kolejnosci".

rozwiazanie jest b.proste: wystarczy ze mbank bedzie tylko raz pytal o kazde
haslo (niezaleznie czy je dostanie, czy nie)

> Czy jesli uwali Ci sie sesja podczas wykonaywania przelewu dajesz sobie
> spokoj, czy probojesz jeszcze raz? Sadze ze prawdziwa jest odpowiedz nr
> 2. W tej sytuacji przechwytujacy ma bardzo malo czasu na wykorzystanie
> hasla, wobec czego musialby caly czas Ciebie kontrolowac.

w momencie jesli juz modyfikujesz proxy - nie widze problemu zeby wpisac kod
uniemozliwiajacy dostep do strony mbanku przez np. godzine. (moze zwracac 404
error i ofiara ataku niczego sie nawet nie domysli - szczegolnie w odniesieniu
do ostatnich problemow mbanku)

> I co proxy wpuszcza Cie do banku? ;-)

:-)

> > nie trzeba na nic czekac ani miec cierpliwosci.
> IMHO trzeba.

wystarczy srednio zdolny programista i kod zrodlowy proxy, czego nie brak w
internecie.
nie wymaga to wiele pracy ani specjalnych zdolnosci.

jest to moim zdaniem problem i mbank powinien to zmienic.

pzdr,
rafal urbanelis
http://szus.info

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> n...@o...pl wrote:
> [....]
> > chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
> E-e, nie na proxy a na komputerze ofiary, przez proxy już wszystko idzie
> szyfrowane. Napisanie takiego programiku nie jest(podobno) trudne pod
> winXX to prawda.

mi chodzilo troche o inne scenariusze:

1) proxy dostaje sygnal ze stacji roboczej (z keyloggera) ze wlasnie zostalo
wpisane haslo jednorazowe i trzeba odciac sesje.
od tej pory blokuje dostep do strony mbanku przez np. godzine.
(haslo jednoraznowe jest caly czas aktualne i moze byc wykorzystane przez
atakujacego)

nie wiem czy to mozliwe, ale jest jeszcze drugi scenariusz (bardziej
wyrafinowany) - byc moze gdzies jest luka logiczna:
2) proxy zglasza sie klientowi jak by bylo mbankiem i daje mu inny klucz do
sesji SSL i jednoczesnie zglasza sie do mbanku jakby bylo normalnym klientem.
ofiara myslac ze wyswietlaja sie jej strony mbanku tak naprawde dogaduje sie
tylko z proxy'm ktory wyswietla jej strony (w zaleznosci od potrzeby
zmodyfikowane) o ktore sam pyta mbanku.
w tym momencie proxy ma pelna kontrole nad procesem komunikacji.
daje to jeszcze wieksze pole do popisu atakujacemu.

> No właśnie w dużych korporacjach mniej ufałbym sieci niż w "małych
> firemkach"  - ze względu na liczbę komputerów tam często instaluje się
> soft do zdalnego zarządzania stacją który .... dużo potrafi.

nie do konca.
1) my jestesmy regularnie audytowani jesli chodzi o wszystkie poziomy
bezpieczenstwa.
2) na wszelkie czynnosci istnieja sprawdzone procedury i nad bezpieczenstwem
czuwa sztab ludzi a nie jeden administrator
3) administratorzy zarabia tyle, ze nie beda ryzykowali utraty doskonalej pracy
dla kilku tysiecy ktore zdolaja wyplacic z bankomatu
last but not least:
4) nasze proxy stoja w stanach - a tam nawet nie slyszeli o mbanku.

pzdr,
rafal urbanelis
http://szus.info

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

On Mon, 05 May 2003 11:20:46 +0200, Bartol Partol <b...@p...c>
wrote:

>Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
>wiedziec, ze je podales?
System nie musi wiedziec czy je podales - wie ze o nie spytal i
chodzilo o to (imho) ze wiecej o nie pytac nie powinien.

WAM

do góry

Uz.ytkownik WAM napisa?:
>
>>Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
>>wiedziec, ze je podales?
>
> System nie musi wiedziec czy je podales - wie ze o nie spytal i
> chodzilo o to (imho) ze wiecej o nie pytac nie powinien.

Chyba ze tak. Ale wtedy moga zbankrutowac na wydawaniu kart z haslami,
szczegolnie jesli system bedzie im sie walil tak jak ostatnio. :-P

Bartol

do góry

n...@o...pl wrote:
>>n...@o...pl wrote:
>>[....]
>>
>>>chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
>>
>>E-e, nie na proxy a na komputerze ofiary, przez proxy już wszystko idzie
>>szyfrowane. Napisanie takiego programiku nie jest(podobno) trudne pod
>>winXX to prawda.
>
>
> mi chodzilo troche o inne scenariusze:
>
> 1) proxy dostaje sygnal ze stacji roboczej (z keyloggera) ze wlasnie zostalo
> wpisane haslo jednorazowe i trzeba odciac sesje.

> od tej pory blokuje dostep do strony mbanku przez np. godzine.
> (haslo jednoraznowe jest caly czas aktualne i moze byc wykorzystane przez
> atakujacego)

po co to robić jeśli już na stacji można odciąć dostęp ?

> nie wiem czy to mozliwe, ale jest jeszcze drugi scenariusz (bardziej
> wyrafinowany) - byc moze gdzies jest luka logiczna:
> 2) proxy zglasza sie klientowi jak by bylo mbankiem i daje mu inny klucz do
> sesji SSL i jednoczesnie zglasza sie do mbanku jakby bylo normalnym klientem.

> ofiara myslac ze wyswietlaja sie jej strony mbanku tak naprawde dogaduje sie
> tylko z proxy'm ktory wyswietla jej strony (w zaleznosci od potrzeby
> zmodyfikowane) o ktore sam pyta mbanku.
> w tym momencie proxy ma pelna kontrole nad procesem komunikacji.
> daje to jeszcze wieksze pole do popisu atakujacemu.


Jeśli tylko ofiara ma przyzwoitą przeglądarkę (czyli nie IE[1] ) to
raczej nie ma szans na taki atak

>
>
>>No właśnie w dużych korporacjach mniej ufałbym sieci niż w "małych
>>firemkach" - ze względu na liczbę komputerów tam często instaluje się
>>soft do zdalnego zarządzania stacją który .... dużo potrafi.
>
>
> nie do konca.
> 1) my jestesmy regularnie audytowani jesli chodzi o wszystkie poziomy
> bezpieczenstwa.
Hmm,
> 2) na wszelkie czynnosci istnieja sprawdzone procedury i nad bezpieczenstwem
> czuwa sztab ludzi a nie jeden administrator
Hm.
> 3) administratorzy zarabia tyle, ze nie beda ryzykowali utraty doskonalej pracy
> dla kilku tysiecy ktore zdolaja wyplacic z bankomatu
to jest akurat dobry argument
> last but not least
> 4) nasze proxy stoja w stanach - a tam nawet nie slyszeli o mbanku.
ale nie trzeba proxy jeśli się opanuje komputer ofiary - odpowiedź bez
związku .


KJ
[1] - czy jest już patch który wymusza przez IE sprawdzanie certyfikatów ?

>
> pzdr,
> rafal urbanelis
> http://szus.info
>

do góry

> > 2) proxy zglasza sie klientowi jak by bylo mbankiem i daje mu inny klucz do
> > sesji SSL i jednoczesnie zglasza sie do mbanku jakby bylo normalnym
klientem.
> > ofiara myslac ze wyswietlaja sie jej strony mbanku tak naprawde dogaduje
sie
> > tylko z proxy'm ktory wyswietla jej strony (w zaleznosci od potrzeby
> > zmodyfikowane) o ktore sam pyta mbanku.
> > w tym momencie proxy ma pelna kontrole nad procesem komunikacji.
> > daje to jeszcze wieksze pole do popisu atakujacemu.
>
>
> Jeśli tylko ofiara ma przyzwoitą przeglądarkę (czyli nie IE[1] ) to
> raczej nie ma szans na taki atak

byc moze sie myle. (nie siedzialem gleboko nigdy w SSL'u).
ale:
ZADNA przegladarka na komputerze ofiary NIE MA MOZLIWOSCI rozpoznac ze rozmawia
z proxy a nie z mbankiem, przy scenariuszu jaki zamiescilem powyzej.

poprawcie mnie, jesli jestem w bledzie. i argumentujcie please.
pzdr,
rafal urbanelis
http://szus.info


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry