-
61. Data: 2005-06-09 07:14:48
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Thu, 9 Jun 2005 05:31:58 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):
>>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.
>> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
>> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.
> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
> siebie.
Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
napracować ale jest to do zrobienia i pozwala na późniejsze spokojne
załatwienie transakcji... Tymczasem podstawienie "lewego" konta w locie jest
bez porównania trudniejsze, trzeba przejąć komunikację przeglądarki z
serwerem banku - a w zasadzie to wręcz jakoś zapanować nad wyświetlaniem
danych przez przeglądarkę.
A co do "wirtualnej klawiaturki" - to dopiero jest pokaz indolencji!
Cholernie niewygodna i pięknie umożliwia podejrzenie hasła osobie
postronnej. Dużo gorsze rozwiązanie od maskowanego hasła...
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
-
62. Data: 2005-06-09 07:14:49
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Thu, 9 Jun 2005 06:06:15 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 09:44:50 +0000 (UTC),
> osoba podpisana: Jacek Osiecki <j...@c...pl>
> napisała:
> [...]
>> Przed keyloggerem karta kryptograficzna nie zabezpieczy. Dlatego najlepsze
>> właśnie jest urządzenie całkowicie od komputera niezależne - token.
> Dlaczego ?
Bo np. pin do karty kryptograficznej wprowadzasz na klawiaturze komputera.
Wystarczy że trojan dostanie ten pin, a potem to zanim się wylogujesz z
banku - porobi wszystkie transakcje na jakie ma ochotę :)
Token - zwłaszcza dobrze użyty - jest doskonałym zabezpieczeniem. Jak już
pisałem: jako "hasło" do potwierdzenia transakcji można dać 8 ostatnich
cyfr z numeru konta na które przelewamy pieniądze - i czegoś takiego w
zasadzie już złodziej nie ma jak przechytrzyć. Tylko czemu bankowcy tego nie
robią? Cóż... :(
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
-
63. Data: 2005-06-09 07:16:47
Temat: Re: BPH - czy warto ?
Od: Marcin Nowakowski <m...@U...net.pl>
Bartol Partol napisał(a):
> moja konta). Wejscie w posiadanie jednego i drugiego wymaga wiekszych
> nakladow, wiec lepiej wlamac sie do BePeHahahaha, bo szybko i latwo.
Włamiesz się na moje konto w BPH? Sugerujesz że większego nakładu wymaga
fizyczne wyciągnięcie od ciebie zdrapek niż skopiowanie ode mnie flash'a
klucza, tak?
--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+
-
64. Data: 2005-06-09 07:23:41
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Wed, 08 Jun 2005 20:01:30 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Cóż z tego, skoro oni to olewają? Mojej daaaaaawnej sugestii, by w
>> informacji o logowaniu podawany był numer IP (w końcu żaden problem) nawet
>> nie skomentowali...
> Jest to podane, wprawdzienie w powiadomieniu, ale w historii logowań w
> sez@mie.
Tylko że powiadomienia od razu by zwróciły uwagę - dostaję SMSa i widzę że
IP z którego się ktoś loguje nie ma nic wspólnego z "legalnymi"...
W historii logowań to tylko musztarda po obiedzie :(
>> Usunęli powiadomienia dla kart kredytowych - i tyle je widzieliśmy :)
>> O niemożności sprawdzenia blokad na KK szkoda w ogóle mówic...
> Karty to osobna sprawa, funkcjonalność delikatnie mówiąc "tak sobie" :)
Właśnie, w dodatku to zwiększenie środków dostępnych dzień po przelewie
nieco boli :-/
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
-
65. Data: 2005-06-09 07:23:41
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Thu, 9 Jun 2005 06:12:08 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 07:55:16 +0000 (UTC),
> osoba podpisana: Jurek Zielinski <c...@t...debica.pl>
>> A skąd wiesz co karta podpisuje?
>> Snifer zczytuje pin do karty kryptograficznej i kawałęk programu podpisuje
>> sobie twoją kartą co chce. Albo kawałek programu który podmieni transakcję
>> pomiędzy twoją akceptacją a podpisaniem przez kartę i po wszystkim.
> Przypuszczam że "równie trudno" jest napisac "kawałek" programu który
> zamieni to co "podisuje token" (Dla tych co nie mieli tokena w BZWBK:
> gdy robiłem przelew to aplikacja abankowa wyświetlała mi liczbę
> ("pytanie") . Ową liczbę należało wklepać do tokena, a token podawał
> odpowiedź, którą z kolei należało wpisać do przeglądarki.
> I o ile nic się nie zmieniło to "pytanie" zależało tylko od danych
> przelewu, a nie od np czasu.)
Po pierwsze: w tokenie masz jeden podpis na transakcję. Jeśli trojan ma Twój
pin do karty kryptograficznej, to sobie natrzaska ile bądź przelewów. Przy
tokenie może wykonać tylko jeden przelew.
Po drugie: jeśli token był taki sam jak w Pekao S.A. (Telepekao24), to jest
to zależne od czasu - wklepanie tego samego "pytania" już nawet parę minut
później daje inną odpowiedź (dawało - bo już nie mam tam konta ;).
Jeśli dorzucić jeszcze zasadę że "pytanie" stanowi ostatnich 8 cyfr konta na
które przelewamy pieniądze, to złodzieje mogą się obejść ze smakiem...
> Więc tu jak gdyby poziom trudności w złamaniu jest podobny.
Jak napisałem - jest trudniej. A gdyby tylko zrobić bezproblemową
modyfikację o której napisałem wyżej - wręcz uniemożliwia kradzież (chyba że
ktoś nie patrzy na jakie konto przelewa :)
Swoją drogą: w takim BPH zmiana danych przelewów zdefiniowanych i
kontrahentów niczym nie jest zabezpieczona - nie trzeba jej dodatkowo
podpisywać kluczem/hasłem... Więc wystarczy ofierze podmienić numery kont
na które najwięcej przelewają (np. karta kredytowa) i cierpliwie czekać na
prezent... :(
> Tokeny takie jak w lukasie możemy pominąć, co było napisane w innej
> gałęzi tego wątku :-)
Oczywiście - od tych już lepsze są listy haseł jednorazowych :)
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
-
66. Data: 2005-06-09 07:30:02
Temat: Re: BPH - czy warto ?
Od: Marcin Nowakowski <m...@U...net.pl>
Jacek Osiecki napisał(a):
> Tylko że powiadomienia od razu by zwróciły uwagę - dostaję SMSa i widzę że
> IP z którego się ktoś loguje nie ma nic wspólnego z "legalnymi"...
> W historii logowań to tylko musztarda po obiedzie :(
Zgadzam się z tym, że powinno być w powiadomieniu. Dodałem tylko info że
to "gdzieś tam już jest".
>>Karty to osobna sprawa, funkcjonalność delikatnie mówiąc "tak sobie" :)
>
>
> Właśnie, w dodatku to zwiększenie środków dostępnych dzień po przelewie
> nieco boli :-/
Ale to nie problem sez@ma. Ogólnie, mam nadzieję że kilka rzeczy
zostanie poprawionych :)
--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+
-
67. Data: 2005-06-09 07:33:39
Temat: Re: BPH - czy warto ?
Od: Kamil Jońca <k...@p...onet.pl>
Jacek Osiecki wrote:
[...]
> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
> nie zrobią czegoś tak banalnego... :(
>
No przecież token w BZWBK tak działa(ł?). Na podstawie danych przelewu
twrzyło się "pytanie" na które musiał odpowiedzieć token.
KJ
-
68. Data: 2005-06-09 07:59:48
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Thu, 09 Jun 2005 09:16:47 +0200, Marcin Nowakowski napisał(a):
> Bartol Partol napisał(a):
>> moja konta). Wejscie w posiadanie jednego i drugiego wymaga wiekszych
>> nakladow, wiec lepiej wlamac sie do BePeHahahaha, bo szybko i latwo.
> Włamiesz się na moje konto w BPH? Sugerujesz że większego nakładu wymaga
> fizyczne wyciągnięcie od ciebie zdrapek niż skopiowanie ode mnie flash'a
> klucza, tak?
Ech, jak do muru...
1. Nie "fizyczne wyciągnięcie zdrapek". Cały urok kradzieży z kont
internetowych polega na tym, że ofiara nawet nie wie kiedy ją okradziono.
Przy odrobinie "szczęścia" w ogóle nie zauważy tego że jest jeleniem,
jeśli tylko złodziej zachował umiar ;)
Jak mówimy o wyrwaniu zdrapek z portfela to równie dobrze możemy mówić
"włamania internetowe" o przypadkach gdy właściciel konta przelewa kasę
osobnikowi trzymającemu mu nóż na gardle ;)
2. Zmiana danych kontrahenta w BPH nie wymaga niczego poza zalogowaniem się
na konto. Złodziej może sobie wejść, pozmieniać dane najważniejszych
przelewów i spokojnie czekać na kasę :(
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
-
69. Data: 2005-06-09 08:10:28
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Thu, 9 Jun 2005 07:06:54 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <s...@p...ani> Jacek Osiecki napisal(a):
>>> Co do karty kryptograficznej to aby była bezpieczna
>>> - wyświetlaczyk na którym pokaże konto docelowe i kwotę
>>> - klawiaturę na sobie wstukanie pinu podpisaną tą jedną transakcję
>>> wtedy można powiedziec że to jest bezpieczne, a przynajmniej ja nie widzę
>>> możliwości tego oszukać
>> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
>> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
>> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
>> nie zrobią czegoś tak banalnego... :(
> Słusznie - to mogło by zadziałać, a jest proste
> z transakcji jest generowany skrót cyfrowy, wklepujesz w token,
> odpowiedzią podpisujesz transakcję.
Właśnie nie skrót cyfrowy! Kazać jawnie: "wpisz ostatnich 8 cyfr konta, na
które przelewasz pieniądze". Jak będzie skrót cyfrowy, to klient banku nie
będzie w stanie stwierdzić czy faktycznie dotyczy on tego przelewu, który
chce dokonać. Jeśli zaś bank będzie na niego krzyczał: "wpisz 8 ostatnich
cyfr konta" - to jeśli przelewa często pieniądze jest szansa że zauważy
podmianę numeru konta.
> Bank wykonuje identyczną operację po swojej stronie. Jeśli zostanie
> podmieniony jakikolwiek element transakcji - kod nie zostanie
> potwierdzony.
Ale rzecz w tym, że można "podmienić" całą transakcję - przesłać do banku
zlecenie zupełnie innego przelewu i wyświetlić klientowi "jego" przelew, ale
ze "złodziejskim" skrótem. Dlatego właśnie jasne ustalenie że skrótem jest 8
ostatnich cyfr konta jest zdecydowanie lepszym zabezpieczniem.
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
-
70. Data: 2005-06-09 08:10:28
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl>
Dnia Thu, 09 Jun 2005 09:14:20 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Jeszcze raz: obrobienie konta komuś kto używa tokena albo listy haseł
>> jednorazowych jest zdecydowanie trudniejsze - wymaga przygotowania parserów,
>> proxy, operowania na wszystkim w locie. Dużo prościej wybrać sobie za ofiarę
>> kogoś kto ma konto w banku bez takich zabezpieczeń.
> A przejęcie klucza przechowywanego na dysku usera to już problemem nie jest?
Jeśli na komputerze juzera jest trojan - to żaden problem... Zesniffować dwa
hasła, zapisać sobie gdzieś plik z kluczem... a potem wysłać wszystko do
swojego twórcy.
> zabezpieczenia". Poza tym, dla kogoś, komu na tym zależy nie ma rzeczy
> trudnych, są tylko takie, którym musi poświęcić kilka chwil dłużej :)
Ponownie: token, gdzie skrótem jest 8 ostatnich cyfr konta. Try this :>
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004