Re: BPH - czy warto ? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Re: BPH - czy warto ? › Re: BPH - czy warto ?

Data: 2005-06-09 07:23:41
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]

Dnia Thu, 9 Jun 2005 06:12:08 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 07:55:16 +0000 (UTC),
> osoba podpisana: Jurek Zielinski <c...@t...debica.pl>

>> A skąd wiesz co karta podpisuje?
>> Snifer zczytuje pin do karty kryptograficznej i kawałęk programu podpisuje
>> sobie twoją kartą co chce. Albo kawałek programu który podmieni transakcję
>> pomiędzy twoją akceptacją a podpisaniem przez kartę i po wszystkim.

> Przypuszczam że "równie trudno" jest napisac "kawałek" programu który
> zamieni to co "podisuje token" (Dla tych co nie mieli tokena w BZWBK:
> gdy robiłem przelew to aplikacja abankowa wyświetlała mi liczbę
> ("pytanie") . Ową liczbę należało wklepać do tokena, a token podawał
> odpowiedź, którą z kolei należało wpisać do przeglądarki.
> I o ile nic się nie zmieniło to "pytanie" zależało tylko od danych
> przelewu, a nie od np czasu.)

Po pierwsze: w tokenie masz jeden podpis na transakcję. Jeśli trojan ma Twój
pin do karty kryptograficznej, to sobie natrzaska ile bądź przelewów. Przy
tokenie może wykonać tylko jeden przelew.

Po drugie: jeśli token był taki sam jak w Pekao S.A. (Telepekao24), to jest
to zależne od czasu - wklepanie tego samego "pytania" już nawet parę minut
później daje inną odpowiedź (dawało - bo już nie mam tam konta ;).
Jeśli dorzucić jeszcze zasadę że "pytanie" stanowi ostatnich 8 cyfr konta na
które przelewamy pieniądze, to złodzieje mogą się obejść ze smakiem...

> Więc tu jak gdyby poziom trudności w złamaniu jest podobny.

Jak napisałem - jest trudniej. A gdyby tylko zrobić bezproblemową
modyfikację o której napisałem wyżej - wręcz uniemożliwia kradzież (chyba że
ktoś nie patrzy na jakie konto przelewa :)

Swoją drogą: w takim BPH zmiana danych przelewów zdefiniowanych i
kontrahentów niczym nie jest zabezpieczona - nie trzeba jej dodatkowo
podpisywać kluczem/hasłem... Więc wystarczy ofierze podmienić numery kont
na które najwięcej przelewają (np. karta kredytowa) i cierpliwie czekać na
prezent... :(

> Tokeny takie jak w lukasie możemy pominąć, co było napisane w innej
> gałęzi tego wątku :-)

Oczywiście - od tych już lepsze są listy haseł jednorazowych :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004