Nový dotaz do volného fóra

Chcete se zeptat ostatních uživatelů diskuzního fóra? Využijte zdarma obsahových rubrik.

Autor Téma: Lesk a bída AirBank  (Přečteno 292170 krát)

P2010

  • Host
Re:Lesk a bída AirBank
« Odpověď #15 kdy: 09. 01. 2012, 20:13:21 »
Citace
a sebrat vam pocitac i s tou javovskou aplikaci a tudiz nainstalovanym certifikatem nez se pokouset prolomit HTTPS :)
Jenze pro pouziti te podpisove aplikace je potreba heslo a to jine nez se pouziva pro prihlasovani. Odcizeni samotneho podpisoveho cetifikatu stale neznamena moznost provest operaci.

Reklama

  • Stálý člen
  • *****
  • Příspěvků: 0


WaxMax

  • Host
Re:Lesk a bída AirBank
« Odpověď #16 kdy: 09. 01. 2012, 21:16:49 »
  (klávesnici a obrazovku lze dnes bez problému zaznamenat a přenést na vzdálený počítač o nebezpečném přihlášení z internetové kavárny ani nemluvě, dále lze provést odposlech poskytovatel internetu - nezřídka lokální poskytovatel typu soused)

Pokud máte ztrach z keyloggeru, je možné použít virtuální klávesnici windows. A k nesmyslu o odposlechu typu soused se snad ani nebudu vyjadřovat, web je chráněn přes HTTPS šifrováním mezi serverem a vaším strojem, takže "na cestě" nikdo neuvidí nic. Souhlasím, že by bylo vhodné mít možnost přihlášení ještě přes sms autorizaci, ale vzhledem k tomu, že bez sms se stejně nedá žádná platba podat, nevidím v tom žádný problém.

No já se zase nebudu vyjadřovat k odborným doporučením zahrnujícím slovo 'windows'  ::)

K MITM útoku: nejdřív číst, pak mluvit! (pro nás asi nejzajímavější sekce 'Problém importu certifikátu').
http://cs.wikipedia.org/wiki/Man_in_the_middle
(proto to má soused velice jednoduché a elegantní - a 'běžný' uživatel NIC nepozná - ani v danou chvíli ani poté - pouze křičí na banku a ona na něj)

Ke zbytku doporučuji všem podobným teoretikům do svého oblíbeného vyhledávače (ehm možná i seznam to zvládne) zadat takové slovní spojení jako třeba 'comodo case' / 'případ comodo' - což je jeden z těch více popularizovaných (nikoli ojedinělých).

A myslím, že už pár webů typu ČS plagiát byl k dispozici také (včetně HTTPS šifrování - VeriSign nemá problém vyrobit certifikát třeba křečkovi - to je sice k smíchu, ale také bohužel pravda).

A jak jsem uvedl na začátku - keyloger neloguje pouze klávesy, ale take umí šikovné print screeny  ;)

Těm ostatním nevěřícím Tomášům (včetně špatných citací o vyhazování vrchního') - když mě číšník polije polévkou - proč bych se do restaurace vracel, když mohu jíst jinde?

Stále opakuji - zkušenosti jiných jsou možná lepší, ale bohužel mé nikoli - AirBank ukázka jak se to dělat nemá. Prostě nedosahuje principů jiných, kteří mají již léta v provozu.

 Apropos - ani 2. komunikační kanál není 100% jistota, ale přeci jen za dostupné peníze postačující  8)

W.


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #17 kdy: 09. 01. 2012, 22:51:57 »
K MITM útoku: nejdřív číst, pak mluvit! (pro nás asi nejzajímavější sekce 'Problém importu certifikátu').
http://cs.wikipedia.org/wiki/Man_in_the_middle
(proto to má soused velice jednoduché a elegantní

"Pokud z nich uživatel do svého prohlížeče bez ověření nainstaluje falešný kořenový certifikát certifikační autority"
Ano, to dokaze jednoduse a elegantne zaridit kazdy druhy cesky soused...  ;D


P2010

  • Host
Re:Lesk a bída AirBank
« Odpověď #18 kdy: 09. 01. 2012, 23:40:02 »
Crr...crrrr... "Dobry den, jsem vas soused a prinesl jsem vam falesny korenovy certifikat. Vemte si." :D


Alci

  • Host
Re:Lesk a bída AirBank
« Odpověď #19 kdy: 10. 01. 2012, 10:15:43 »
No já se zase nebudu vyjadřovat k odborným doporučením zahrnujícím slovo 'windows'  ::)
to delate dobre :)

K MITM útoku: nejdřív číst, pak mluvit! (pro nás asi nejzajímavější sekce 'Problém importu certifikátu').
http://cs.wikipedia.org/wiki/Man_in_the_middle
(proto to má soused velice jednoduché a elegantní - a 'běžný' uživatel NIC nepozná - ani v danou chvíli ani poté - pouze křičí na banku a ona na něj)
a porad by musel prolomit HTTPS komunikaci

Ke zbytku doporučuji všem podobným teoretikům do svého oblíbeného vyhledávače (ehm možná i seznam to zvládne) zadat takové slovní spojení jako třeba 'comodo case' / 'případ comodo' - což je jeden z těch více popularizovaných (nikoli ojedinělých).
no, mezi teoretikami byste mel byt jako ryba ve vode, tak o co jde? Popisujete tu pripady, kdy hacker vyuziva odposlechu komunikace... zneuzitim certifikatum... vyckavani na prvni SMS... a snad i odposlechu mobilu a jednoduchemu nahackovani BTS. A rikate si, ze to je naprosto normalni a ze to je duvod nesverit svych 5000 nejakemu ustavu? To myslite vazne?

98% bezpecnostnich incidentu je zpusobeno NEPOZORNOSTI uzivatele a pripady, kdyz uzivatel potrebne informace sam poskytne, nikoliv nejakym slozitym hackem HTTPS nebo WPA2 komunikace.

A myslím, že už pár webů typu ČS plagiát byl k dispozici také (včetně HTTPS šifrování - VeriSign nemá problém vyrobit certifikát třeba křečkovi - to je sice k smíchu, ale také bohužel pravda).
ale ma problem s vydanim certifikatu se stejnym jmenem. A vzhledem k tomu, ze HTTPS certifikat je vydavany na konkretni url, moznost omylu je opet mozny na strane uzivatele, ktery si nevsimne, ze se pripojuje na spatnou URL. Protoze pokud ma spravnou URL, nemuze mit zase falsovany certifikat. Pokud ovsem opet neignoruje bezpecnostni varovani a neodklikne vadny https certifikat.

AirBank ukázka jak se to dělat nemá. Prostě nedosahuje principů jiných, kteří mají již léta v provozu.
to mozne je, ale take se to netyka vas a me. Nizke zabezpeceni ji zarazuje POUZE do skupiny instituci, ktera bude mit statisticky vetsi mnozstvi neopravnenych pristupu. Nerekl jste bohuzel nic, co by se z hlediska bezpecnosti melo jakkoliv dotknout vas nebo me. Vsechny pripady naruseni bezpecnosti, ktere jste uvedl mohou vzniknout temer vyhradne VASI chybou a je ve vasich silach (i treba za zvyseneho usili) je eliminovat... v ramci moznosti samozrejme, ale povazujme pripojeni pres verejnou stranku za povolene riziko, nebot to i sam uznavate, ze jste ochoten pouzivat - znak, ze ono vam vlastne o bezpecnost az tak moc nejde.

Reklama

  • Stálý člen
  • *****
  • Příspěvků: 0


WaxMax

  • Host
Re:Lesk a bída AirBank
« Odpověď #20 kdy: 10. 01. 2012, 10:22:55 »
Crr...crrrr... "Dobry den, jsem vas soused a prinesl jsem vam falesny korenovy certifikat. Vemte si." :D

Crrr.. crrr... tak přecíst znova a znova a znova... stále nepochopeno '...poskytovatel internetu - nezřídka lokální poskytovatel typu soused..' ??? Pak znova číst a zase číst!!!   
Nic? Malá nápověda - kam asi půjde klepat, když má pod kontrolou traffic? A že si žádný ze zaměstnanců i těch většíh poskytovatelů netroufne? Ale no táák, opět zaměstnáme kamaráda Yahoo a pohledáme jak to vlastně bylo se čtením těch emailů právě u kolegy Google (neb ten šikovně filtruje obsah a toužená kauza by se nemusela objevit na 1. stránce).  ;)
Problém je, že během té doby co tu diskutujeme tečou guldeny nepozorovaně - opakuji NEPOZOROVANĚ - kam nemají. A po takové akci je téměř nemožné najít 2 skok k útočníkovi (který je za 5-6tým).

Ale zpět k věci - 2. ověřovací kanál - právě proto je ho využíváno, právě pro eliminaci výše zmíněného, ne proto, že máme vymoženost typu telefon, ale protože bezpečnost  8)   A že jsem paranoidní blázen? Ano jsem - jsem velice náročný co se týká peněz  ;D 
Na 2. stranu chápu, že člověku s průměrným měs. příjmem v ČR to může být jedno - resp. je to jedno, protože používá mnohdy tragická řešení bankovních ústavů  :'(

=========
Alci se stihl vyjádřit dříve než jsem postnul tento příspěvek - v podstatě souhlasím s většinou toho co uvedl - bohužel dnes nejde o teorii a pouhé selhání uživatele - můj původní článek poukazoval na liknavost AirBank a upozornění pro ostatní - z reakcí je ale jasně vidět, že uživatelé jsou neopatrní a tedy ANO jde o jejich chybu (ale stále připomínám, banky jim znatelně pomáhají!!).

Více asi nemá cenu psát, každý nechť si přebere po svém  8)
W.


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #21 kdy: 10. 01. 2012, 12:23:12 »
Crrr.. crrr... tak přecíst znova a znova a znova... stále nepochopeno '...poskytovatel internetu - nezřídka lokální poskytovatel typu soused..' ??? Pak znova číst a zase číst!!!   
Nic? Malá nápověda - kam asi půjde klepat, když má pod kontrolou traffic?
I kdyz ma pod kontrolou traffic, tim jeste nikomu zadny falesny korenovy cetrifikat do jeho pocitace nenainstaluje.

Pripominas mi takove ty uhrovite experty pred deseti lety, kdyz se zacinal rozsirovat internet banking, co do televize Nova sebevedome tvrdili jak by se mohli dostat k libovolnemu uctu kdyby teda chteli  ;D


WaxMax

  • Host
Re:Lesk a bída AirBank
« Odpověď #22 kdy: 10. 01. 2012, 13:41:15 »
Crrr.. crrr... tak přecíst znova a znova a znova... stále nepochopeno '...poskytovatel internetu - nezřídka lokální poskytovatel typu soused..' ??? Pak znova číst a zase číst!!!   
Nic? Malá nápověda - kam asi půjde klepat, když má pod kontrolou traffic?
I kdyz ma pod kontrolou traffic, tim jeste nikomu zadny falesny korenovy cetrifikat do jeho pocitace nenainstaluje.

Pripominas mi takove ty uhrovite experty pred deseti lety, kdyz se zacinal rozsirovat internet banking, co do televize Nova sebevedome tvrdili jak by se mohli dostat k libovolnemu uctu kdyby teda chteli  ;D

 ::)  Tady asi někdo někomu nerozumí, neb dané problematice 'vůbec nerozumí'.

Tedy jedna z mnoha imaginárních situací (nikoli jediná):
 Proč bych se namáhal někomu instalovat kořenový certifikát? Písnu si na VeriSign, ti mi vystaví cert na   ib.arbanka.cz  oh, dokonce na  *.arbanka.cz . Pak stačí abych rozeslal pár emailů od info@arbanka.cz (oh došlo k něčemu a přihlaste se na  ib.arbanka.cz)   - sledujete mě pozorně, že?  Pak jste si jistě všiml, že mluvím o zcela jiném cíli než o ib.airbank.cz (nebo airbanka.cz, ktera je rovnez registrována Jiříkem Malým). Po kliknutí uživatele na odkaz vedoucí na stránky plagiátora a následném přihlášení do fiktivního IB (které se zdaří, neb skutečné údaje půjdou redirectem opravdu na AirBank).

Pokud půjdeme dále, následně zobrazené sdělení o novém kořenovém certifikátu a step-by-step návod pro klikálisty nám zajistí... ale to už si doplníte sám, uhry již nemáte, tedy jste po základce a hledat googlem jistě umíte  :)
V době kdy zmizely uhry, mě jsem ukazoval kamarádům jak vypadá injection jejich supr PHP/MySQL aplikace - nápadně se tato situaco podobá - 2 strany, z nichž každá má svou pravdu 8)

Stále chcete tvrdit, že 2. komunikační kanál je zbytečný? A jak jinak mi zabráníte, abych podobnou akci nepodnikl?

Jinak zpět k úvodu - netvrdím, že každý soused/člověk je tohoto schopen (ať už z morálního hlediska nebo hlediska technického), já pouze tvrdím, že pokud někdo tvrdí, že 2. komunikační kanál je zbytečný, je:
a) nevzdělanec jenž za to nemůže a měl by brát zmíněná upozornění vážně
b) lump hodný žaláře, který demagogicky popírá fungující principy dneška
c) doplňte si sami vlastní výmluvu

Do které skupiny se řadí který odpůrce vážení oponenti?

Popravdě, dochází mi síla odporovat lidem, kteří opírají svá tvrzení o situaci - tohle se nestane, protože to nejde - vážně to jde a bohužel si o této nedávné historii můžeme přečíst - UTFG.

W.


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #23 kdy: 10. 01. 2012, 14:26:03 »

 Proč bych se namáhal někomu instalovat kořenový certifikát? Písnu si na VeriSign, ti mi vystaví cert na   ib.arbanka.cz  oh, dokonce na  *.arbanka.cz . Pak stačí abych rozeslal pár emailů od info@arbanka.cz (oh došlo k něčemu a přihlaste se na  ib.arbanka.cz)   - sledujete mě pozorně, že?  Pak jste si jistě všiml, že mluvím o zcela jiném cíli než o ib.airbank.cz (nebo airbanka.cz, ktera je rovnez registrována Jiříkem Malým). Po kliknutí uživatele na odkaz vedoucí na stránky plagiátora a následném přihlášení do fiktivního IB (které se zdaří, neb skutečné údaje půjdou redirectem opravdu na AirBank).


To ovsem zase skaces od MITM k socialnimu inzenyrstvi...


Arakain

  • Host
Re:Lesk a bída AirBank
« Odpověď #24 kdy: 10. 01. 2012, 14:36:31 »
A furt nevím, která že banka je tedy bezpečná ... zato technických obezliček přehršle. Hej, hoďte sem i něco pro prostý lid!


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #25 kdy: 10. 01. 2012, 15:09:00 »
A furt nevím, která že banka je tedy bezpečná ... zato technických obezliček přehršle. Hej, hoďte sem i něco pro prostý lid!

Štrozok  :D


Alci

  • Host
Re:Lesk a bída AirBank
« Odpověď #26 kdy: 11. 01. 2012, 02:19:43 »
A furt nevím, která že banka je tedy bezpečná ... zato technických obezliček přehršle. Hej, hoďte sem i něco pro prostý lid!
CSOB s prihlasovaci a overovaci cipovou kartou je dostatecne. Osobni certifikaty jsou vydavane take pro konkretni URL, takze jinde vam je to ani nenabidne.

A pokud budete trvat na tom, ze certifikat chcete prevzit osobne nebo doporucnym dopisem a NIKDY HO NENAINSTALUJETE DO POCITACE, ale budete ho mit na vlastnim nebo dodavanem kusu HW, ktery je nutne vzdy pripojit k pocitaci, vyresite naprostou vetsinu moznych problemu s velmi nizkym snizenim komfortu a minimem usili.


Offline Patrik Chrz

  • Moderátor
  • Profík
  • *****
  • Příspěvků: 3 131
    • Zobrazit profil
Re:Lesk a bída AirBank
« Odpověď #27 kdy: 11. 01. 2012, 03:49:09 »
To, ze neni certifikat na hdd pocitace jeste neznamena, ze ho neni mozne odcizit. Pri jeho pouzivani se nacita do pameti PC, odkud ho muze utocnik ziskat.
Nejbezpecnejsi je opravdu nezavisly kanal tedy mobil, nebo autentizacni kalkulacka. Na druhou stranu to snizuje komfort. Ja nejvice pouzivam FIO a to mimo jine proto, ze jejich IB me beha na cemkoliv, vcetne mobilniho telefonu.


Alci

  • Host
Re:Lesk a bída AirBank
« Odpověď #28 kdy: 11. 01. 2012, 08:48:42 »
To, ze neni certifikat na hdd pocitace jeste neznamena, ze ho neni mozne odcizit. Pri jeho pouzivani se nacita do pameti PC, odkud ho muze utocnik ziskat.
prave ze ne. Server v takovem pripade posila nahodne vygenerovany klic, ten se nahraje do HW tokenu, v tom HW tokenu se podepise tim certifikatem a vrati se podepsana verze a ta se odesila zpet na server. Pointa je prave v tom, ze certifikat neopousti HW token, stejne jako z nej jiz nejde vytahnout, nebot takovou akci zarizeni proste neumoznuje. Navic zarizeni odmitne pouzit certifikat, ke kteremu nedostane PIN. Cipove platebni karty vyuzivaji toho sameho principu. Certifikat samotny nikdy neopousti kartu a dostat ho z ni je prace nanejvys narocna a potrebuje k dispozici kartu samotnou, softwarove to proste nejde.


blechaluk

  • Host
Re:Lesk a bída AirBank
« Odpověď #29 kdy: 12. 01. 2012, 11:50:39 »
Pro pana radoby hackera - klikat na odkaz arbank.cz, ktery mi prisel mailem a nasledne na falesnem webu vyplnovat login udaje k bance - promin, ale pro me osobne tohle nepredstavuje absolutne zadne riziko. Takovy clovek je zkratka hlupak a driv nebo pozdeji o penize stejne prijde, ani to nemusi byt skrz internet banking.


 
Platby GoPay