Bartol Partol napisał(a):
> Bo by bylo slychac. Chyba, ze Inteligo i mBank potrafia tak szybko
> dzialac, ze naprawia szkode zanim klient wrzasnie. Ale w to chyba nikt
> nie wierzy.

Myślisz że każdy klient mBanku i Inteligo jest subskrybentem p.b.b. albo
pierwsze co, to leci do tv/radia/internetu? To że o czymś nie
słychać/widać, nie oznacza że tego nie ma, prawda?:)

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Dnia Thu, 09 Jun 2005 11:44:54 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> A po co, jak można obić pysk i kazać wypłacić wszystko z bankomatu? :)
>> Włamy internetowe istnieją dlatego, że ciężej jest wykryć sprawcę (a bywa,
>> że i samo przestępstwo bywa niezauważone)...

> Wydaje mi się, że dla zdolnego elektronika podrobienie tokena nie jest
> czymś niemożliwym...

Rozumiem że sugerujesz ukradzenie komuś tokena i przerobienie go tak by przy
pytaniu wyświetlał konkretny numer konta (tzn. jego końcówkę), po czym
podrzucenie z powrotem? Zresztą - i tak użytkownik będzie się mógł wtedy
zorientować że coś jest nie tak, bo zawsze przelewając na KK wklepywał
8 cyfr a tym razem ma wklepać inne.

Nadal twierdzę że podana przeze mnie metoda praktycznie całkowicie likwiduje
możliwość obrobienia czyjegoś konta, jeśli pominąć sytuację gdy podmieniliśmy
komuś zdefiniowane konto i ofiara nawet nie zwróciła na to uwagi. Ale przed
czymś takim żadne zabezpieczenia nie pomogą - choć, jeśli przy ustawianiu
przelewów wzorcowych też byśmy musieli używać tokena, to już naprawdę nie
widzę szans dla złodzieja.

P.S. A przerobienie tokena może być rzeczą niezbyt prostą... Samego układu
nie zmienisz, jest raz na zawsze zalakowany. A zrobienie układu, który
wstawi się między chip a ekranik i w określonych sytuacjach będzie
wyświetlał inne liczby niż powinien (też nie bardzo wiem jakim cudem) to
banalne raczej nie będzie...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Thu, 09 Jun 2005 11:43:31 +0200, Marcin Nowakowski napisał(a):
> Bartol Partol napisał(a):
>> Jesli nigdy tej dyskietki nie wkladasz do kompa, to jak uzywasz tego
>> klucza?

> Wkładam, ale nie leży tam non stop, pomijając metodę "na dresa", to
> chyba nie takie proste ją przejąć...

A od czego trojan? Wchodzisz na stronę banku, trojan widzi że się łączysz
z ukochanym BPH i się uaktywnia. Zapisuje wszystkie wklepywane znaki, jeśli
chcesz to też zapisuje kliknięcia myszą żeby złapać hasła "wpisywane" tą
poronioną klawiaturką, a gdy jest odwołanie do pliku - sprawdza czy nie jest
to klucz i jeśli jest - odczytuje go i zapisuje w odpowiednim miejscu.
Gotowe. Chyba nie wyszarpujesz dyskietki z kluczem jak tylko skończy się
świecić dioda? Zresztą nie przestanie się świecić, bo trojan będzie czytał
klucz :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Bartol Partol wrote:
[...]

> Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
> uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
> posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
> wnaszacych do sprawy.

OIDP. Wyglądało tak:
1. należało przechwycić hasło do logowania (co jak wiemy jest możliwe)
2. Wychwycić moment logowania sie do banku
3. Wychwycic moment użycia hasła jednorazowego i je odczytać w tym
momencie przerwać transmisję.
4. Zalogować się do banku wpisać przelew i użyć właśnie zdobytego hasła.

Jak widać sposób przejdzie tylko w tych bankach które _żądają_ tego
samego hasła więcej niż jeden raz. Ze znanych mi robią tak m*banki, ale
już inteligo nie.

Ad 2 i 3 - można osiągnąć przez podstawienie lewego "serwera banku" i w
"hosts"[1] wpisując jako mbank nasz komputerek.


KJ

do góry

Użytkownik Marcin Nowakowski napisał:

>> Bo by bylo slychac. Chyba, ze Inteligo i mBank potrafia tak szybko
>> dzialac, ze naprawia szkode zanim klient wrzasnie. Ale w to chyba nikt
>> nie wierzy.
>
> Myślisz że każdy klient mBanku i Inteligo jest subskrybentem p.b.b. albo
> pierwsze co, to leci do tv/radia/internetu? To że o czymś nie
> słychać/widać, nie oznacza że tego nie ma, prawda?:)

Znajac polska mentalnosc (jak ja ukradne jest super, jak ktos mnie
okradnie to lece do telewizji) jestem pewien, ze tym wrednym obcym
bankom ;-) by sie dostalo. A do tego nasze banki wala leb w piach i
czekaja az problem przycichnie, jak nie przycichnie, to cos tam proboja
robic. Ot taka kultura.

Ale oczywiscie mogly byc rozne sytuacje, o ktorych nic na zwenatrz nie
wiadomo. To tylko dobrze swiadczy o takich bankach. Oczywiscie gdybym
mial bank, to bym zrobil wszystko, zeby informacja o wlamie nie
wyplynela w swiat.

Bartol

do góry

Użytkownik Kamil Jońca napisał:

>> Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
>> uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
>> posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
>> wnaszacych do sprawy.
>
> OIDP. Wyglądało tak:
> 1. należało przechwycić hasło do logowania (co jak wiemy jest możliwe)
> 2. Wychwycić moment logowania sie do banku
> 3. Wychwycic moment użycia hasła jednorazowego i je odczytać w tym
> momencie przerwać transmisję.
> 4. Zalogować się do banku wpisać przelew i użyć właśnie zdobytego hasła.

A do tego trzeba zbudowac kawalek porzadnej infrastruktury, zeby byc w
stanie sledzic non stop dzialania klientow i moc dzialac bardzo szybko
(w czasie od wprowadzania kodu do klikniecia przycisku zatwierdz). I tu
jest pies pogrzebany. Nie to, ze sie nie da, to sie najnormalniej nie
oplaca.

To jest tak jak z kodowaniem informacji. Wystarczy tak zakodowac, zeby
naklady na rozkodowanie byly wieksze niz korzysci z przechwycenia
informacji (w tym sie miesci rowniez wersja: zeby rozkodowanie trwalo
dluzej niz waznosc informacji).

> Jak widać sposób przejdzie tylko w tych bankach które _żądają_ tego
> samego hasła więcej niż jeden raz. Ze znanych mi robią tak m*banki, ale
> już inteligo nie.

No prosze.

> Ad 2 i 3 - można osiągnąć przez podstawienie lewego "serwera banku" i w
> "hosts"[1] wpisując jako mbank nasz komputerek.

Jak ktos lazi nie patrzac gdzie idzie, to nic mu nie pomoze.

Bartol

do góry

Bartol Partol wrote:
> Użytkownik Kamil Jońca napisał:
>
>>> Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
>>> uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
>>> posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
>>> wnaszacych do sprawy.
>>
>>
>> OIDP. Wyglądało tak:
>> 1. należało przechwycić hasło do logowania (co jak wiemy jest możliwe)
>> 2. Wychwycić moment logowania sie do banku
>> 3. Wychwycic moment użycia hasła jednorazowego i je odczytać w tym
>> momencie przerwać transmisję.
>> 4. Zalogować się do banku wpisać przelew i użyć właśnie zdobytego hasła.
>
>
> A do tego trzeba zbudowac kawalek porzadnej infrastruktury, zeby byc w
> stanie sledzic non stop dzialania klientow i moc dzialac bardzo szybko
> (w czasie od wprowadzania kodu do klikniecia przycisku zatwierdz). I tu
> jest pies pogrzebany. Nie to, ze sie nie da, to sie najnormalniej nie
> oplaca.
Nikt nie twierdził inaczej. Niemniej jednak się dało i (podobno) zostało
to zademonstrowane on line. A kod odpowiedniego trojana nie byłby
przypuszczalnie, aż tak mocno skomplikowany w porównaniu do takiego co
tylko hasła wykrada.
KJ

do góry

W artykule <s...@p...ani> Jacek Osiecki napisal(a):

> Dnia Thu, 9 Jun 2005 05:31:58 +0000 (UTC), Jurek Zielinski napisał(a):
>> W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):
>>>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>>>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.
>
>>> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
>>> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.
>
>> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
>> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
>> siebie.
>
> Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
> kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
> napracować ale jest to do zrobienia i pozwala na późniejsze spokojne
> załatwienie transakcji... Tymczasem podstawienie "lewego" konta w locie jest
> bez porównania trudniejsze, trzeba przejąć komunikację przeglądarki z
> serwerem banku - a w zasadzie to wręcz jakoś zapanować nad wyświetlaniem
> danych przez przeglądarkę.

Polemizował bym.
Łapanie zdarzeń od myszki kiedy nie możesz złapać w co klikneła (okno z
klawiaturką można przesówać) o odtworzenie z tego hasła nie jest sprawą
trywialną. Moim zdaniem porównywalną z podmianą konta w locie.

do góry

W artykule <s...@p...ani> Jacek Osiecki napisal(a):

> Dnia Thu, 09 Jun 2005 11:43:31 +0200, Marcin Nowakowski napisał(a):
>> Bartol Partol napisał(a):
>>> Jesli nigdy tej dyskietki nie wkladasz do kompa, to jak uzywasz tego
>>> klucza?
>
>> Wkładam, ale nie leży tam non stop, pomijając metodę "na dresa", to
>> chyba nie takie proste ją przejąć...
>
> A od czego trojan? Wchodzisz na stronę banku, trojan widzi że się łączysz
> z ukochanym BPH i się uaktywnia. Zapisuje wszystkie wklepywane znaki, jeśli

Trojan do zczytywania klucza mieści ci się w głowie a trojan do złapania
hasła jednorazowego już ci się w głowie nie mieści.

I ty mówisz że ja jestem napastliwy jak zarzucam ci stronniczość.

do góry

Dnia Thu, 9 Jun 2005 12:25:21 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <s...@p...ani> Jacek Osiecki napisal(a):

>> Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
>> kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
>> napracować ale jest to do zrobienia i pozwala na późniejsze spokojne

> Polemizował bym.
> Łapanie zdarzeń od myszki kiedy nie możesz złapać w co klikneła (okno z
> klawiaturką można przesówać) o odtworzenie z tego hasła nie jest sprawą
> trywialną. Moim zdaniem porównywalną z podmianą konta w locie.

Screenshot przy każdym kliknięciu? Jak klawiaturka jest aktywna, to ma swoje
okienko - które rezerwuje konkretny zasób o konkretnej nazwie. Właśnie
sprawdziłem - jest to zwykły js, żaden tam aplet ani inne cudo.
Wygląda na to że w buforze przechowywane jest hasło - jak się postarać, nie
będzie problemu z wczytaniem jego wartości.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry