Re: BPH - czy warto ? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Re: BPH - czy warto ? › Re: BPH - czy warto ?

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!feed.news.interia.pl!news.cyf-kr.edu
.pl!not-for-mail
From: Jacek Osiecki <j...@c...pl>
Newsgroups: pl.biznes.banki
Subject: Re: BPH - czy warto ?
Date: Thu, 9 Jun 2005 07:23:41 +0000 (UTC)
Organization: Academic Computer Center CYFRONET AGH
Lines: 49
Message-ID: <s...@p...ani>
References: <d81hgr$9n0$1@node2.news.atman.pl> <d81i42$81j$1@inews.gazeta.pl>
<s...@p...ani> <d8288l$im8$1@news.dialog.net.pl>
<d83ioi$hgl$2@nemesis.news.tpi.pl> <d83n2k$k4e$2@news.dialog.net.pl>
<s...@p...ani>
<s...@k...kjonca.bogus>
<d86894$932$1@inews.gazeta.pl>
<s...@k...kjonca.bogus>
Reply-To: j...@c...pl
NNTP-Posting-Host: mainframe.hybrid.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: srv.cyf-kr.edu.pl 1118301821 1842 62.121.130.26 (9 Jun 2005 07:23:41 GMT)
X-Complaints-To: n...@c...edu.pl
NNTP-Posting-Date: Thu, 9 Jun 2005 07:23:41 +0000 (UTC)
User-Agent: slrn/0.9.8.0 (Linux)
Xref: news-archive.icm.edu.pl pl.biznes.banki:352065
[ ukryj nagłówki ]
Dnia Thu, 9 Jun 2005 06:12:08 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 07:55:16 +0000 (UTC),
> osoba podpisana: Jurek Zielinski <c...@t...debica.pl>

>> A skąd wiesz co karta podpisuje?
>> Snifer zczytuje pin do karty kryptograficznej i kawałęk programu podpisuje
>> sobie twoją kartą co chce. Albo kawałek programu który podmieni transakcję
>> pomiędzy twoją akceptacją a podpisaniem przez kartę i po wszystkim.

> Przypuszczam że "równie trudno" jest napisac "kawałek" programu który
> zamieni to co "podisuje token" (Dla tych co nie mieli tokena w BZWBK:
> gdy robiłem przelew to aplikacja abankowa wyświetlała mi liczbę
> ("pytanie") . Ową liczbę należało wklepać do tokena, a token podawał
> odpowiedź, którą z kolei należało wpisać do przeglądarki.
> I o ile nic się nie zmieniło to "pytanie" zależało tylko od danych
> przelewu, a nie od np czasu.)

Po pierwsze: w tokenie masz jeden podpis na transakcję. Jeśli trojan ma Twój
pin do karty kryptograficznej, to sobie natrzaska ile bądź przelewów. Przy
tokenie może wykonać tylko jeden przelew.

Po drugie: jeśli token był taki sam jak w Pekao S.A. (Telepekao24), to jest
to zależne od czasu - wklepanie tego samego "pytania" już nawet parę minut
później daje inną odpowiedź (dawało - bo już nie mam tam konta ;).
Jeśli dorzucić jeszcze zasadę że "pytanie" stanowi ostatnich 8 cyfr konta na
które przelewamy pieniądze, to złodzieje mogą się obejść ze smakiem...

> Więc tu jak gdyby poziom trudności w złamaniu jest podobny.

Jak napisałem - jest trudniej. A gdyby tylko zrobić bezproblemową
modyfikację o której napisałem wyżej - wręcz uniemożliwia kradzież (chyba że
ktoś nie patrzy na jakie konto przelewa :)

Swoją drogą: w takim BPH zmiana danych przelewów zdefiniowanych i
kontrahentów niczym nie jest zabezpieczona - nie trzeba jej dodatkowo
podpisywać kluczem/hasłem... Więc wystarczy ofierze podmienić numery kont
na które najwięcej przelewają (np. karta kredytowa) i cierpliwie czekać na
prezent... :(

> Tokeny takie jak w lukasie możemy pominąć, co było napisane w innej
> gałęzi tego wątku :-)

Oczywiście - od tych już lepsze są listy haseł jednorazowych :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004