Dnia Tue, 18 Dec 2007 19:27:00 +0100, Krzysztof Halasa napisał(a):

> Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
> ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
> czytniki linii papilarnych tego nie zmienia.

Przeczytałeś w ogóle mój post? Jeśli nie ma obrazka, to wiadomo, że nie
łączysz się ze stroną banku tylko z jakąś podróbą.

Czytnik linii papilarnych łatwo oszukać domowymi sposobami, więc to akurat
nie jest najlepsze rozwiązanie.

> To, ze akurat istniejacy system podatny jest takze na inne "ataki"
> (jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
> ale nie zmienia glownego problemu.

Aczkolwiek bardzo mocno utrudnia podrobienie strony banku.

>> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
>> loginu oraz hasła. Teraz jest inaczej.
> Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.

Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
login/hasło. To nie jest bezpieczna forma logowania.

>> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
>> phising.
> Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
> w ktorym problem sie znajduje.

Wyjaśnij więc jak byś podrobił stronę banku w takim przypadku. Trzeba by
pobrać wszystkie dostępne obrazki logowania, następnie dowiedzieć się w
jakiś sposób który obrazek wybrał użytkownik (jak? rozpoznając po dokładnym
rozmiarze pliku?). Pozostaje nam jeszcze problem z podpisem obrazka. Aby go
poznać trzeba by użyć keyloggera ZANIM użytkownik ustanowi zabezpieczenie
dla konta, przechwytywać treść strony wysyłanej do użytkownika przez bank
zakodowanej w SSL, albo włamać się do bazy danych banku. Przy czym po
włamaniu do bazy banku sens traci pozyskiwanie danych konta pojedyńczego
użytkownika. Tak czy inaczej bez instalacji trojana na danym komputerze
raczej by się nie obeszło. No, ale to juz nie jest phishing.

> To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
> o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
> elektrycznych urzadzen).

MITM przy połączeniu kodowanym 128-bitowym SSLem? Jedynie jakiś bardzo
sprytny trojan na komputerze usera, ale to nie phishing.

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.