Użytkownik Marcin Nowakowski napisał:

>> A jak sprytny zlodziej wlezie Ci do kompa, to pewnie nawet klucz na
>> dyskietce nie pomoze.
>
> Tzn jak ma przelać kasę (nie mam listy stałych odbiorców itp.) bez
> fizycznego użycia pliku, który jest na nośniku dla Ciebie niedostępnym?

Jesli nigdy tej dyskietki nie wkladasz do kompa, to jak uzywasz tego klucza?

Bartol

do góry

Użytkownik Marcin Nowakowski napisał:

>> Jeśli na komputerze juzera jest trojan - to żaden problem...
>> Zesniffować dwa
>> hasła, zapisać sobie gdzieś plik z kluczem... a potem wysłać wszystko do
>> swojego twórcy.
>
> Analogicznie można przechwycić hasła jednorazowe...(było to tym już).

Do znudzenia. Jeszcze nikt nie przedstawil w sposob szczegolowy i przede
wszystkim sensowny jak cos takiego zrobic. Z tego wnosze, ze problem
jest bardzo nietrywialny, a kradziez w ten sposob nieekonomiczna.

Bartol

do góry

Użytkownik Marcin Nowakowski napisał:

>> I dobrze. Ale z jakiegos powodu wlamano sie do BePeHahahaha, a nie
>> Inteligo, mBanku, czy gdzie indziej, gdzie sa tokeny/hasla jednorazowe.
>
> Bo znaleźli się pewnie tacy, co to mieli dwa takie same hasła i takie
> tam inne rzeczy.

Wlasnie o to chodzi. Wymuszenie stosowania tokena/hasel jednorazowych
powoduje zwiekszenie bezpieczenstwa niejako wbrew wygodnictwu klientow.

> BTW - skąd wiesz, że do Inteligo, mBanku nikt się nie włamał?

Bo by bylo slychac. Chyba, ze Inteligo i mBank potrafia tak szybko
dzialac, ze naprawia szkode zanim klient wrzasnie. Ale w to chyba nikt
nie wierzy.

Bartol

do góry

Dnia Thu, 09 Jun 2005 10:54:21 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> 2. Zmiana danych kontrahenta w BPH nie wymaga niczego poza zalogowaniem się
>> na konto. Złodziej może sobie wejść, pozmieniać dane najważniejszych
>> przelewów i spokojnie czekać na kasę :(

> Hm, tego nie sprawdzałem...

Ja też sobie to dopiero dzisiaj/wczoraj uświadomiłem - że naprawdę nie
trzeba robić niesamowitych mygry-mygry z podkradaniem klucza i hasła do
klucza - wystarczy jedno główne hasło, obejrzenie historii przelewów i
podmiana numerów kont tam gdzie jest to warte zachodu :(

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Bartol Partol wrote:
[...]

> Do znudzenia. Jeszcze nikt nie przedstawil w sposob szczegolowy i przede
> wszystkim sensowny jak cos takiego zrobic. Z tego wnosze, ze problem
> jest bardzo nietrywialny, a kradziez w ten sposob nieekonomiczna.

Poszukaj w archiwum z hasłami "niemiecka telewizjia" lub podobnie.
Wiem że o takiej publicznej demonstracji czytałem jakiś czas temu.
KJ

do góry

Dnia Thu, 09 Jun 2005 09:33:39 +0200, Kamil Jońca napisał(a):
> Jacek Osiecki wrote:
> [...]

>> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
>> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
>> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
>> nie zrobią czegoś tak banalnego... :(

> No przecież token w BZWBK tak działa(ł?). Na podstawie danych przelewu
> twrzyło się "pytanie" na które musiał odpowiedzieć token.

Ale użytkownik nie miał możliwości zweryfikowania, czy "pytanie" które widzi
faktycznie dotyczy jego transakcji. Rozwiązanie proponowane przeze mnie daje
zdecydowanie większą pewność, że podpisujemy taki przelew jaki chcieliśmy...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Thu, 09 Jun 2005 10:50:43 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Jeśli na komputerze juzera jest trojan - to żaden problem... Zesniffować dwa
>> hasła, zapisać sobie gdzieś plik z kluczem... a potem wysłać wszystko do
>> swojego twórcy.

> Analogicznie można przechwycić hasła jednorazowe...(było to tym już).

>>>zabezpieczenia". Poza tym, dla kogoś, komu na tym zależy nie ma rzeczy
>>>trudnych, są tylko takie, którym musi poświęcić kilka chwil dłużej :)

>> Ponownie: token, gdzie skrótem jest 8 ostatnich cyfr konta. Try this :>

> I zamiast informatyków do dzieła przystąpią elektronicy...:)

A po co, jak można obić pysk i kazać wypłacić wszystko z bankomatu? :)
Włamy internetowe istnieją dlatego, że ciężej jest wykryć sprawcę (a bywa,
że i samo przestępstwo bywa niezauważone)...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Bartol Partol napisał(a):
> Jesli nigdy tej dyskietki nie wkladasz do kompa, to jak uzywasz tego
> klucza?

Wkładam, ale nie leży tam non stop, pomijając metodę "na dresa", to
chyba nie takie proste ją przejąć...

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Jacek Osiecki napisał(a):
> A po co, jak można obić pysk i kazać wypłacić wszystko z bankomatu? :)
> Włamy internetowe istnieją dlatego, że ciężej jest wykryć sprawcę (a bywa,
> że i samo przestępstwo bywa niezauważone)...

Wydaje mi się, że dla zdolnego elektronika podrobienie tokena nie jest
czymś niemożliwym...

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Użytkownik Kamil Jońca napisał:

>> Do znudzenia. Jeszcze nikt nie przedstawil w sposob szczegolowy i
>> przede wszystkim sensowny jak cos takiego zrobic. Z tego wnosze, ze
>> problem jest bardzo nietrywialny, a kradziez w ten sposob nieekonomiczna.
>
> Poszukaj w archiwum z hasłami "niemiecka telewizjia" lub podobnie.
> Wiem że o takiej publicznej demonstracji czytałem jakiś czas temu.

Telewizji nie wierze. Tu na tej liscie jest kilku magikow, ktorzy
uwazaja, ze cos takie cos mozna zrobic. Ale jakos zaden z nich nie
posunal sie dalej niz do walniecia kilku trywialnych tekstow nic nie
wnaszacych do sprawy.

Bartol

do góry