Metafizyka: - Poznaj, proszę, to jest
Fizyk, a to jego Meta...

1. no tak to podstawa :) , DmK 19/11/07 12:28
   jw.

o roztramtajdany charkopryszczańcu...

1. ale tak pracujesz , DmK 19/11/07 12:32
   czy sugerujesz? Bo pomysł ciekawy ale dla samego wykonania przelewu czasochłonny.
   1. tak. , Ranx 19/11/07 13:10
      uruchomienie vsystemu zajmuje mniej niz 2 kompa bo nie ma tam za wiele softu poza winda i przegladarka (av odpada bo nie zdazy sie zaktualizowac). sam system jest maly w sensie obrazu/pliku. a niezapisywanie zmian daje nam pewnosc tego ze nic sie nie zmienilo wzgledem poczatku. oczywiscie paranoicy moga miec watpliwosci wiec mozna zrobiony gotowy plik z systemem po prostu kopiowac i odpalac z kopii dla wiekszej pewnosci. plik ma jakis 1GB.

      o roztramtajdany charkopryszczańcu...

Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie!

Komisarz, Blimek, Bart - nie odpowiadajcie w wątkach, które zakładam.
Odpowiedzi oleję.
THX!

Barbossa: You're supposed to be dead!
Jack Sparrow: Am I not?

1. to nie chroni , j23 19/11/07 12:56
   przed atakiem MiM...

   Dumny nosiciel moherowego beretu!
   Me gustan tomar mis copas
   Żubrówka es lo mejor!

   1. a jak , Bergerac 19/11/07 13:25
      temu zapobiec?

      Barbossa: You're supposed to be dead!
      Jack Sparrow: Am I not?

      1. jak pisałem: , j23 19/11/07 14:19
         sprawdzać za każdym razem certyfikat i odcisk klucza. Choć i to niestety nie zapobiega w 100%... Ale na 99% takich ataków pomaga, bo jak pisałem-sprawdzanie certyfikatów i odcisku klucza jest tak rzadkie (po za własną osobą, nie znam nikogo, kto tak robi...) że większość włamywaczy się nawet nie stara przeprowadzać trudniejszych ataków, woli szukać kogoś innego...

         Dumny nosiciel moherowego beretu!
         Me gustan tomar mis copas
         Żubrówka es lo mejor!

.:Pozdrowienia:.

Dumny nosiciel moherowego beretu!
Me gustan tomar mis copas
Żubrówka es lo mejor!

1. ale wybierasz hasła jednorazowe , DmK 19/11/07 13:06
   bo są lepsze od haseł smsowych(jeżeli chodzi o mBank)? Czy po prostu są dla Ciebie wygodniejsze?
   1. i wygodniejsze i bezpieczniejsze , j23 19/11/07 14:24
      (komórki np. klonują..., albo ustawią przekazywanie wiadomości czy coś podobnego). Po za tym nie lubię Big Brother'a i uważam, że mój operator telefoniczny nie musi wiedzieć gdzie mam rachunek (wystarczy, że wie, gdzie się poruszam i do kogo dzwonię), a bank jaki jest mój numer komórki... Po za tym bumaga, to bumaga, a sms istnieje tylko wirtualnie i trudno, w razie postępowania reklamacyjnego, udowodnić jego istnienie, albo co gorsza NIE ISTNIENIE... Doświadczenie życiowe z III/IV/III bis RP uczy mnie, że przez telefon nie da się tu nic wiarygodnie załatwić...

      Dumny nosiciel moherowego beretu!
      Me gustan tomar mis copas
      Żubrówka es lo mejor!

2. mbank ma hasla jednorazowe , biEski 19/11/07 13:32
   cos sie j tym razem nie przygotowales :P
   1. ty sie nie przygotowales , biEski 19/11/07 13:33
      albo ja nie czytam ze zrozumieniem :)
      chyba moj mozg dzisiaj wolniej pracuje

1. taa... Ktoś ustawia klona strony banku , j23 19/11/07 14:29
   gdy usiłujesz się z bankiem połączyć, bierze Twoje jednorazowe hasło z tokenu i wpisuje na Twoim prawdziwym koncie w banku, tyle że zamiast Twojego zlecenia zapłaty za np. wodę, przelewa wszystko co masz na jakieś konto w Osetii Południowej... Ale grunt, że się nie przejmujesz, bo masz token... :-)))

   Dumny nosiciel moherowego beretu!
   Me gustan tomar mis copas
   Żubrówka es lo mejor!

   1. wtedy pojawia się błąd zabezpieczeń , m_aczo 19/11/07 14:47
      i przeglądarka mnie o tym informuje.
      1. Jaki "błąd zabezpieczeń"? , j23 19/11/07 15:01
         Możesz to rozwinąć? Chętnie się dowiem czegoś nowego np. jaka przeglądarka potrafi rozpoznać spoofingowaną stronę, która ma prawidłowy (tyle, że na swoją, a nie bankową stronę) certyfikat... :-)))

         Dumny nosiciel moherowego beretu!
         Me gustan tomar mis copas
         Żubrówka es lo mejor!

         1. no dobrze sam się zapętliłem. , m_aczo 19/11/07 15:17
            Zostańmy przy tokenie. Chcąc się zalogować muszę podać hasło z tokena, które zmienia się co minutę. Jeśli będę logował się na zespoofingowanej stronie to podam im prawidłowe hasło na które napastnicy będą mogli się zalogowac na moje konto w banku. Niestety hasło traci ważność po pierwszym użyciu (w tym momencie zalogowanie do banku) albo po minucie. Także najwyżej będą mogli pooglądać historię na moim koncie :)
            1. ale , Bergerac 19/11/07 15:42
               jeżeli zrobi to automat i zajmie mu to sekundkę... myślisz, że system wykryje podwójne logowanie? a czy są techniki przejęcia twojego IP? i podłożenia jako swoje? wówczas nie będzie podwójnego logowania

               Barbossa: You're supposed to be dead!
               Jack Sparrow: Am I not?

   2. i jeszcze może pod tym samym adresem www :o) , Jolo 19/11/07 16:19
      ja wiem że wiele osób tak wpada, ale sorry... sami są sobie winni. Równie dobrze ktoś im może wyrwać portfel, albo zakosić numer karty kredytowej.
      Tokeny mają imho taką samą siłę jak lista haseł jednorazowych. A już np hasła SMS są przypisane do konkretnej transakcji, i nie ma szans na takie przekręty.

      jest tak nudno, że zaczyna to być
      ciekawe...

      1. Rzecz jasna, że POD TYM SAMYM ADRESEM! , j23 19/11/07 16:29
         Po to robi się spoofing DNS czy wpisy w pliku host... Jak nie mniej niż 50% osób w tym wątku, najwyraźniej nie rozumiesz, na czym polega atak MiM. Żadne tokeny, hasła jednorazowe i SMS-y przed tym atakiem NIE CHRONIĄ! JEDYNYM zabezpieczeniem przed takim atakiem jest certyfikat, siła kryptograficzna jego podpisu i poprawność algorytmu szyfrującego (a z tym, jak uczy historia, są największe problemy...). Niestety, by ta JEDYNA ochrona działała, należy sprawdzać podpis i odcisk klucza, ale prawie nikt tak nie robi...

         Dumny nosiciel moherowego beretu!
         Me gustan tomar mis copas
         Żubrówka es lo mejor!

         1. wytłumacz mi proszę , Jolo 19/11/07 16:32
            jak można zrobić taki przekręt, np robię przelew na dowolne konto, i dostaję hasło SMSowe na tą konkretną transakcję. I co? Jeśli ktoś chce zrobić inny przelew, nie wykorzysta tego hasła. Jeśli ktoś wykorzysta to hasło, będzie mógł jedynie zakończyć moje zlecenie przelewu.

            jest tak nudno, że zaczyna to być
            ciekawe...

            1. Hasło jednorazowe nie jest generowane w jakimś kontekście. , Rhobaak 19/11/07 16:37
               Jeśli ktoś przechwyci Twoje hasło jednorazowe, to będzie mógł wykonać dowolną operację wymagającą potwierdzenia hasłem jednorazowym.

               Kor2dual3,2hZ overkloc,4Gbit Ram
               G-forc 460 gietex,barakudy
               Children of Neostrada Association MVP

            2. Poziom oświaty leży... Zero samodzielności , j23 19/11/07 16:44
               (takie ataki są opisane np. w wikipedii) w poszukiwaniach, zero samodzielności w wyobraźni...
               
               W takim wypadku Tobie się tylko WYDAJE że robisz przelew: MiM przechwytuje Twoje zlecenie przelewu i podstawia bankowi własne (Tobie na ekranie wyświetlając oczekiwane dane) do np. Osetii Południowej, potem dostajesz SMS czy hasło z tokena zatwierdzające przelew DO OSETII, który wklepujesz włamywaczowi, a on ochoczo przesyła je do Twojego banku, by zatwierdzić przelew do Osetii...

               Dumny nosiciel moherowego beretu!
               Me gustan tomar mis copas
               Żubrówka es lo mejor!

               1. otóż jednorazowe hasło smsowe (przynajmniej w mBanku) , Jolo 19/11/07 17:31
                  jest generowane w kontekście transakcji i pasuje tylko do konkretnej transakcji.
                  To niektórym się wydaje, że poczytają trochę o technikach włamań, znają skróty typu MiM i mogą uczyć innych. Trochę więcej dystansu do własnej wiedzy Panowie. Wielki jest ten kto wie, czego nie wie :o)

                  jest tak nudno, że zaczyna to być
                  ciekawe...

                  1. OK: , j23 19/11/07 17:40
                     jeśli ktoś czyta takiego SMS i sprawdza nr rachunku w SMSie, a nie klepie automatycznie hasło, to ma szanse wykryć oszustwo. O ile przestępcy nie sklonowali komórki lub nie podmienili w ustawieniach konta bankowego jej numeru na własną...

                     Dumny nosiciel moherowego beretu!
                     Me gustan tomar mis copas
                     Żubrówka es lo mejor!

                  2. OK, widzę, że mBank przemyślał sprawę. Jeśli jednak hasło jednorazowe... , Rhobaak 19/11/07 18:08
                     ...bierze się z listy lub z tokena, to jest możliwość przechwycenia go i wykorzystania. Hasło sms jest może bezpieczniejsze, ale można sklonowac kartę SIM lub podsłuchać transmisję (zabezpieczenia GSM są obecnie niewystarczające).

                     Kor2dual3,2hZ overkloc,4Gbit Ram
                     G-forc 460 gietex,barakudy
                     Children of Neostrada Association MVP

               2. ok... , Grocal 19/11/07 17:37
                  Tak wyglada SMS z mBanku:
                  
                  "Operacja nr 1 z dn. 19-11-2007 Przelew z rach.: ...12349876 na rach.: 7211...621144 kwota: 100,00 PLN haslo: 12345678"
                  
                  Czyli w SMSie dostane informacje o przelewie na konto w OSETII a nie o przelewie na konto, na ktore faktycznie chce przelac srodki.

                  Na pewno, na razie, w ogóle...
                  Naprawdę, naprzeciwko, stąd...
                  Ortografia nie gryzie!

1. chodzi o hasło do logowania się , DmK 19/11/07 13:10
   bo powyżej mogło być to trochę niejasne.
   1. Wcale... , Dexter 19/11/07 13:27
      123

      Komisarz, Blimek, Bart - nie odpowiadajcie w wątkach, które zakładam.
      Odpowiedzi oleję.
      THX!

2. jak się zablokuję :) , Darek K. 19/11/07 17:43
   to muszę zmienić

   Everything that has a beginning has an end

jest tak nudno, że zaczyna to być
ciekawe...

Największą sztuczką Szatana jest to,
że ludzie w niego nie wierzą.

Kor2dual3,2hZ overkloc,4Gbit Ram
G-forc 460 gietex,barakudy
Children of Neostrada Association MVP

1. Jakoś mi nie przychodzi do głowy , JOTEM 19/11/07 18:55
   jak ktoś włamuje mi się na konto - a nie sprawdzam nigdy żadnych certyfikatow.
   Żeby zrealizować jakiekolwiek (!) polecenie na stronie muszę dwa razy użyć tokena. Drugi raz jest kontekstowy. Sprawdzam tylko, czy numer dla tokena zgadza się z oczekiwanym (!). Jeśli ktoś to przełamie, to moje pieniądze mu się należą ;-)
   A korzystam na dowolnych systemach, zawirusowanych czy nie - g... mnie to obchodzi, a jeszcze nigdy podstawionej strony nie miałem. Jak będę miał, to to jako ciekawostkę potraktuję. Z resztą osoba, która tak podstawi stronę, żeby wygenerować na niej hipotetyczne transakcje, które musiały zajść i które kontroluję po logowaniu, doliczy procenty do lokat, które z przyjemnoscią za każdym razem oglądam - za takie zaangażowanie wybaczę jej podstawienie strony, które i tak g... jej da.
   Z tego się powoli paranoja robi - nie uważajcie hackerów/crackerów za nadludzi - ta profesja też na psy zeszła.
   Z reszta główne pieniądze są na kontach, na których nie dokonuję żadnych operacji poza kontrolą wyciągów przysyłanych pocztą - to najlepsze zabezpieczenie.
   Pozdrawiam.

   Poryjemy..zrobaczymy

2. a co to jest atak MiM?? , metacom 20/11/07 21:10
   ...bo jakoś nie mogę sobie wyobrazić, że ktoś przelewa moje pieniądze w momencie, kiedy to JA dostaję SMSa z kodem potwierdzającym...

   Największą sztuczką Szatana jest to,
   że ludzie w niego nie wierzą.

   1. Man In the Middle , Bergerac 20/11/07 21:17
      jak by to powiedzieć... pośrednik :)

      Barbossa: You're supposed to be dead!
      Jack Sparrow: Am I not?

Nie ma piekła poza tym światem, on nim
jest, nie ma diabła poza człowiekiem,
on nim jest!

1. na to się ludzie chyba najczęściej łapią , DmK 19/11/07 18:23
   ale to jest o tyle ciekawe, że osoba korzystająca z bankowości elektronicznej nie powinna się łapać na taki podstawowy chwyt. Jednocześnie może jest to związane ze słabą polityką informacyjną banków. Powinna być wielka karta A4 z informacją, że bank nigdy nie prosi o podanie swoich haseł i loginów w mailach...
   1. Ludzie strasznie się łapią na proste chwyty psychologiczne: , j23 19/11/07 22:35
      nie zliczę ile piw wygrałem w zakładach na obozie żeglarskim, kiedy zakładałem się, że zapytam się wskazanej osoby ile nóg miał admirał Nelson i że zapytana osoba odpowie, że jedną... Nelson oczywiście miał obie nogi (choć tylko jedno oko), ale prawie każdy sobie wyobraża, że jak ktoś nosi admiralski kapelusz, to pewnie ma jedną nogę, jak piraci w Hollywoodzkich produkcjach... :-)))

      Dumny nosiciel moherowego beretu!
      Me gustan tomar mis copas
      Żubrówka es lo mejor!

      1. chyba raczej , Bergerac 19/11/07 22:42
         każdy pamiętał, że Nelson miał coś nie do kompletu, ale zasugerował się pytaniem :)

         Barbossa: You're supposed to be dead!
         Jack Sparrow: Am I not?

   2. eee tam , Dabrow 19/11/07 22:48
      wiesz, jeśli widziałem na własne oczy kolesia z zapisanym na karcie bankomatowej pinem do tej karty to już nic mnie nie zdziwi w temacie ludzkiej naiwności i głupoty (-;

      !!!!!TO JEST SPARTA!!!
      !Tu się nic nie zmienia!
      ------dabrow.com------