Dnia Thu, 9 Jun 2005 05:31:58 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):
>>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.

>> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
>> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.

> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
> siebie.

Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
napracować ale jest to do zrobienia i pozwala na późniejsze spokojne
załatwienie transakcji... Tymczasem podstawienie "lewego" konta w locie jest
bez porównania trudniejsze, trzeba przejąć komunikację przeglądarki z
serwerem banku - a w zasadzie to wręcz jakoś zapanować nad wyświetlaniem
danych przez przeglądarkę.

A co do "wirtualnej klawiaturki" - to dopiero jest pokaz indolencji!
Cholernie niewygodna i pięknie umożliwia podejrzenie hasła osobie
postronnej. Dużo gorsze rozwiązanie od maskowanego hasła...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Thu, 9 Jun 2005 06:06:15 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 09:44:50 +0000 (UTC),
> osoba podpisana: Jacek Osiecki <j...@c...pl>
> napisała:
> [...]
>> Przed keyloggerem karta kryptograficzna nie zabezpieczy. Dlatego najlepsze
>> właśnie jest urządzenie całkowicie od komputera niezależne - token.

> Dlaczego ?

Bo np. pin do karty kryptograficznej wprowadzasz na klawiaturze komputera.
Wystarczy że trojan dostanie ten pin, a potem to zanim się wylogujesz z
banku - porobi wszystkie transakcje na jakie ma ochotę :)

Token - zwłaszcza dobrze użyty - jest doskonałym zabezpieczeniem. Jak już
pisałem: jako "hasło" do potwierdzenia transakcji można dać 8 ostatnich
cyfr z numeru konta na które przelewamy pieniądze - i czegoś takiego w
zasadzie już złodziej nie ma jak przechytrzyć. Tylko czemu bankowcy tego nie
robią? Cóż... :(

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Bartol Partol napisał(a):
> moja konta). Wejscie w posiadanie jednego i drugiego wymaga wiekszych
> nakladow, wiec lepiej wlamac sie do BePeHahahaha, bo szybko i latwo.

Włamiesz się na moje konto w BPH? Sugerujesz że większego nakładu wymaga
fizyczne wyciągnięcie od ciebie zdrapek niż skopiowanie ode mnie flash'a
klucza, tak?

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Dnia Wed, 08 Jun 2005 20:01:30 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Cóż z tego, skoro oni to olewają? Mojej daaaaaawnej sugestii, by w
>> informacji o logowaniu podawany był numer IP (w końcu żaden problem) nawet
>> nie skomentowali...

> Jest to podane, wprawdzienie w powiadomieniu, ale w historii logowań w
> sez@mie.

Tylko że powiadomienia od razu by zwróciły uwagę - dostaję SMSa i widzę że
IP z którego się ktoś loguje nie ma nic wspólnego z "legalnymi"...
W historii logowań to tylko musztarda po obiedzie :(

>> Usunęli powiadomienia dla kart kredytowych - i tyle je widzieliśmy :)
>> O niemożności sprawdzenia blokad na KK szkoda w ogóle mówic...

> Karty to osobna sprawa, funkcjonalność delikatnie mówiąc "tak sobie" :)

Właśnie, w dodatku to zwiększenie środków dostępnych dzień po przelewie
nieco boli :-/

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Thu, 9 Jun 2005 06:12:08 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 07:55:16 +0000 (UTC),
> osoba podpisana: Jurek Zielinski <c...@t...debica.pl>

>> A skąd wiesz co karta podpisuje?
>> Snifer zczytuje pin do karty kryptograficznej i kawałęk programu podpisuje
>> sobie twoją kartą co chce. Albo kawałek programu który podmieni transakcję
>> pomiędzy twoją akceptacją a podpisaniem przez kartę i po wszystkim.

> Przypuszczam że "równie trudno" jest napisac "kawałek" programu który
> zamieni to co "podisuje token" (Dla tych co nie mieli tokena w BZWBK:
> gdy robiłem przelew to aplikacja abankowa wyświetlała mi liczbę
> ("pytanie") . Ową liczbę należało wklepać do tokena, a token podawał
> odpowiedź, którą z kolei należało wpisać do przeglądarki.
> I o ile nic się nie zmieniło to "pytanie" zależało tylko od danych
> przelewu, a nie od np czasu.)

Po pierwsze: w tokenie masz jeden podpis na transakcję. Jeśli trojan ma Twój
pin do karty kryptograficznej, to sobie natrzaska ile bądź przelewów. Przy
tokenie może wykonać tylko jeden przelew.

Po drugie: jeśli token był taki sam jak w Pekao S.A. (Telepekao24), to jest
to zależne od czasu - wklepanie tego samego "pytania" już nawet parę minut
później daje inną odpowiedź (dawało - bo już nie mam tam konta ;).
Jeśli dorzucić jeszcze zasadę że "pytanie" stanowi ostatnich 8 cyfr konta na
które przelewamy pieniądze, to złodzieje mogą się obejść ze smakiem...

> Więc tu jak gdyby poziom trudności w złamaniu jest podobny.

Jak napisałem - jest trudniej. A gdyby tylko zrobić bezproblemową
modyfikację o której napisałem wyżej - wręcz uniemożliwia kradzież (chyba że
ktoś nie patrzy na jakie konto przelewa :)

Swoją drogą: w takim BPH zmiana danych przelewów zdefiniowanych i
kontrahentów niczym nie jest zabezpieczona - nie trzeba jej dodatkowo
podpisywać kluczem/hasłem... Więc wystarczy ofierze podmienić numery kont
na które najwięcej przelewają (np. karta kredytowa) i cierpliwie czekać na
prezent... :(

> Tokeny takie jak w lukasie możemy pominąć, co było napisane w innej
> gałęzi tego wątku :-)

Oczywiście - od tych już lepsze są listy haseł jednorazowych :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki napisał(a):
> Tylko że powiadomienia od razu by zwróciły uwagę - dostaję SMSa i widzę że
> IP z którego się ktoś loguje nie ma nic wspólnego z "legalnymi"...
> W historii logowań to tylko musztarda po obiedzie :(

Zgadzam się z tym, że powinno być w powiadomieniu. Dodałem tylko info że
to "gdzieś tam już jest".

>>Karty to osobna sprawa, funkcjonalność delikatnie mówiąc "tak sobie" :)
>
>
> Właśnie, w dodatku to zwiększenie środków dostępnych dzień po przelewie
> nieco boli :-/

Ale to nie problem sez@ma. Ogólnie, mam nadzieję że kilka rzeczy
zostanie poprawionych :)

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Jacek Osiecki wrote:
[...]

> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
> nie zrobią czegoś tak banalnego... :(
>
No przecież token w BZWBK tak działa(ł?). Na podstawie danych przelewu
twrzyło się "pytanie" na które musiał odpowiedzieć token.

KJ

do góry

Dnia Thu, 09 Jun 2005 09:16:47 +0200, Marcin Nowakowski napisał(a):
> Bartol Partol napisał(a):
>> moja konta). Wejscie w posiadanie jednego i drugiego wymaga wiekszych
>> nakladow, wiec lepiej wlamac sie do BePeHahahaha, bo szybko i latwo.

> Włamiesz się na moje konto w BPH? Sugerujesz że większego nakładu wymaga
> fizyczne wyciągnięcie od ciebie zdrapek niż skopiowanie ode mnie flash'a
> klucza, tak?

Ech, jak do muru...

1. Nie "fizyczne wyciągnięcie zdrapek". Cały urok kradzieży z kont
internetowych polega na tym, że ofiara nawet nie wie kiedy ją okradziono.
Przy odrobinie "szczęścia" w ogóle nie zauważy tego że jest jeleniem,
jeśli tylko złodziej zachował umiar ;)
Jak mówimy o wyrwaniu zdrapek z portfela to równie dobrze możemy mówić
"włamania internetowe" o przypadkach gdy właściciel konta przelewa kasę
osobnikowi trzymającemu mu nóż na gardle ;)

2. Zmiana danych kontrahenta w BPH nie wymaga niczego poza zalogowaniem się
na konto. Złodziej może sobie wejść, pozmieniać dane najważniejszych
przelewów i spokojnie czekać na kasę :(

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Thu, 9 Jun 2005 07:06:54 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <s...@p...ani> Jacek Osiecki napisal(a):
>>> Co do karty kryptograficznej to aby była bezpieczna
>>> - wyświetlaczyk na którym pokaże konto docelowe i kwotę
>>> - klawiaturę na sobie wstukanie pinu podpisaną tą jedną transakcję
>>> wtedy można powiedziec że to jest bezpieczne, a przynajmniej ja nie widzę
>>> możliwości tego oszukać

>> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
>> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
>> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
>> nie zrobią czegoś tak banalnego... :(

> Słusznie - to mogło by zadziałać, a jest proste
> z transakcji jest generowany skrót cyfrowy, wklepujesz w token,
> odpowiedzią podpisujesz transakcję.

Właśnie nie skrót cyfrowy! Kazać jawnie: "wpisz ostatnich 8 cyfr konta, na
które przelewasz pieniądze". Jak będzie skrót cyfrowy, to klient banku nie
będzie w stanie stwierdzić czy faktycznie dotyczy on tego przelewu, który
chce dokonać. Jeśli zaś bank będzie na niego krzyczał: "wpisz 8 ostatnich
cyfr konta" - to jeśli przelewa często pieniądze jest szansa że zauważy
podmianę numeru konta.

> Bank wykonuje identyczną operację po swojej stronie. Jeśli zostanie
> podmieniony jakikolwiek element transakcji - kod nie zostanie
> potwierdzony.

Ale rzecz w tym, że można "podmienić" całą transakcję - przesłać do banku
zlecenie zupełnie innego przelewu i wyświetlić klientowi "jego" przelew, ale
ze "złodziejskim" skrótem. Dlatego właśnie jasne ustalenie że skrótem jest 8
ostatnich cyfr konta jest zdecydowanie lepszym zabezpieczniem.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Thu, 09 Jun 2005 09:14:20 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Jeszcze raz: obrobienie konta komuś kto używa tokena albo listy haseł
>> jednorazowych jest zdecydowanie trudniejsze - wymaga przygotowania parserów,
>> proxy, operowania na wszystkim w locie. Dużo prościej wybrać sobie za ofiarę
>> kogoś kto ma konto w banku bez takich zabezpieczeń.

> A przejęcie klucza przechowywanego na dysku usera to już problemem nie jest?

Jeśli na komputerze juzera jest trojan - to żaden problem... Zesniffować dwa
hasła, zapisać sobie gdzieś plik z kluczem... a potem wysłać wszystko do
swojego twórcy.

> zabezpieczenia". Poza tym, dla kogoś, komu na tym zależy nie ma rzeczy
> trudnych, są tylko takie, którym musi poświęcić kilka chwil dłużej :)

Ponownie: token, gdzie skrótem jest 8 ostatnich cyfr konta. Try this :>

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry