Slo-Tech - Kot ste verjetno opazili, so nekatere slovenske banke v zadnjem času storitvi elektronskega bančništva dodale nov varnostnih element -- varnostno geslo. Glavna ideja tovrstne zaščite je, da geslo naključno poklikate na zaslonu in zato običajni keyloggerji ne morejo ugotoviti, kaj točno ste storili.
Odlična poteza -- leta 2005.
Konec leta 2008 pa na trgu obstajajo namenski trojanski konji, katerih glavni namen je kraja denarja. Tako na primer NetHell, Limbo, Zeus, WSNPoem ter zBot poleg prestrezanja relevantnih podatkov v HTTP(s) zahtevkih (GET/POST) -- gesla, kraje elektronskih ključev (bančni certifikat iz varne shrambe) omogočajo tudi shranjevanje uporabnikovih klikov po bančnih straneh skupaj z zaslonskimi slikami objektov, ki jih je uporabnik dejansko kliknil.
Na ta način v Sloveniji ponovno uvajamo dodatni varnostni mehanizem, ki pomaga samo ljudem, ki ga ne potrebujejo. Če imate popoln nadzor nad vašim računalnikom, potem certifikat in geslo popolnoma zadoščata. Če nadzora nad tem, kaj teče na vašem računalniku, nimate, potem vam ne pomaga niti varnostno geslo.
Ena izmed možnih rešitev je uvedba out-of-band verifikacije po nemškem zgledu (mTAN), kjer vam banka po vnosu zahtevka za prenos, na mobilni telefon sporoči podatke o transakciji: znesek, račun na katerega nakazujete ter avtorizacijsko številko, ki jo morate vpisati v sistem, da transakcijo dokončate.
Seveda pa to stane...
Novice » Varnost » Novi varnostni mehanizmi slovenskih bank
krho ::
Jaz sem od abanke v odgovor dobil standarni PR-crap. Saj moja tema na to tematiko je nekje na foumu.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
zee ::
Stane koliko? Ker je moc celoten proces totalno avtomatizirati, koncna cena tega limitira proti 0.00 €. Glede na cene storitev, ki jih banke zaracunavajo komitentom, mislim, da uvedba ne bi bila problem.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Highlag ::
To se je meni zdelo totalen bull že par mesecev nazaj, ko so to pričeli reklamirati. Kdor ne zna poskrbeti za varnosti na svoji strani mu ne pomaga nič.
Never trust a computer you can't throw out a window
ender ::
Za tiste, ki (še) imate A-banko (jaz sem zaradi uvedbe teh virtualnih varnostnih ukrepov zaprl svoj račun pri njej), in uporabljate Opero ali FireFox z GreaseMonkey, je tu skripta, ki omogoči uporabo navadne tipkovnice za vnos gesla.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
fiction ::
To, da geslo naklikas, namesto da ga napises s tipkovnico je pomoje security-through-obscurity. Uvedba je torej popolnoma nesmiselna, razen za pomirjanje strank.
V Sloveniji, kolikor vem, nekatere banke uporabljajo digitalna potrdila (pri cemer dobis pametno kartico in citalec). Pametna kartica je dobra, ker z nje ni mogoce prebrati zasebnega kljuca. Tudi v primeru, da je racunalnik okuzen. Po moznosti je treba pred uporabo vnesti nek PIN, tako da avtentikacija temelji na necem kar imas (kartica) in na necem kar ves (PIN).
Podoben princip imajo generatorji enkratnih gesel. Tam naprava na podlagi nekega PIN-a izracuna enkratno geslo za prijavo. To se lahko uporabi samo enkrat (vcasih se samo tocno dolocen cas). Stopnja varnosti je primerljiva. Razlika je samo v tem, da je v principu, ce racunalniku ni mogoce zaupati se vedno mozen napad. Trojanski konj prebere vneseno enkratno geslo in hkrati prepreci, da bi se to res poslalo banki. Zdaj lahko sam izvede prijavo in naredi kar hoce. Predpostavka tukaj je, da ima
napadalec nadzor nad brskalnikom (prenosa se res ne da prestreci).
V vsakem primeru pa lahko po prijavi zlobna koda v ozadju izvede doloceno transakcijo brez da bi uporabnik o tem kaj vedel. Nemski TAN princip (kjer avtoriziras vsako transakcijo posebej) je v tem smislu boljsa resitev. Samo se vedno vse skupaj ni varno izvedljivo na okuzenem racunalniku. Ta lahko prikazuje uporabniku poljubno stvar in lahko "prestreze" TAN tako kot prej enkratno geslo za svoje namene, mozno je izvesti neke vrste "phishing" za TAN stevilke itd.
Out-of-bound komunikacija omogoca, da kljub temu da ima napadalec nadzor na racunalnikom in ti vidis zamegljeno sliko, s pomocjo mobilnega telefona dobis jasno sliko o tem kaj naj bi se zgodilo in tisto potrdis ali zavrnes. Stvar deluje dokler telefoni niso dovolj pametni oz. dokler se tudi njih ne da okuziti.
V Sloveniji, kolikor vem, nekatere banke uporabljajo digitalna potrdila (pri cemer dobis pametno kartico in citalec). Pametna kartica je dobra, ker z nje ni mogoce prebrati zasebnega kljuca. Tudi v primeru, da je racunalnik okuzen. Po moznosti je treba pred uporabo vnesti nek PIN, tako da avtentikacija temelji na necem kar imas (kartica) in na necem kar ves (PIN).
Podoben princip imajo generatorji enkratnih gesel. Tam naprava na podlagi nekega PIN-a izracuna enkratno geslo za prijavo. To se lahko uporabi samo enkrat (vcasih se samo tocno dolocen cas). Stopnja varnosti je primerljiva. Razlika je samo v tem, da je v principu, ce racunalniku ni mogoce zaupati se vedno mozen napad. Trojanski konj prebere vneseno enkratno geslo in hkrati prepreci, da bi se to res poslalo banki. Zdaj lahko sam izvede prijavo in naredi kar hoce. Predpostavka tukaj je, da ima
napadalec nadzor nad brskalnikom (prenosa se res ne da prestreci).
V vsakem primeru pa lahko po prijavi zlobna koda v ozadju izvede doloceno transakcijo brez da bi uporabnik o tem kaj vedel. Nemski TAN princip (kjer avtoriziras vsako transakcijo posebej) je v tem smislu boljsa resitev. Samo se vedno vse skupaj ni varno izvedljivo na okuzenem racunalniku. Ta lahko prikazuje uporabniku poljubno stvar in lahko "prestreze" TAN tako kot prej enkratno geslo za svoje namene, mozno je izvesti neke vrste "phishing" za TAN stevilke itd.
Out-of-bound komunikacija omogoca, da kljub temu da ima napadalec nadzor na racunalnikom in ti vidis zamegljeno sliko, s pomocjo mobilnega telefona dobis jasno sliko o tem kaj naj bi se zgodilo in tisto potrdis ali zavrnes. Stvar deluje dokler telefoni niso dovolj pametni oz. dokler se tudi njih ne da okuziti.
poweroff ::
Verifikacija mora biti externa oz. rabiš zunanjo napravo, ki ti avtenticira celotno transakcijo.
sudo poweroff
fiction ::
Problem komunikacije po drugi poti je visja cena (recimo za posiljanje SMS-ov). Banke imajo ze nacin, da dobis sporocilo po tem ko se nekaj zgodi, to je samo se razsiritev, katere razvoj pa spet dodatno stane.
Idealna resitev bi bila posebna zaupanja vredna strojna oprema. Recimo v stilu naprave z ekranckom in tipkovnico, ki jo lahko prikljucis na lokalno omrezje. Naprava bi bila zapecatena in dovolj preprosta, da bi se cim bolj zmanjsalo moznosti za ranljivosti programske opreme. Vse kar bi delala je, da bi tudi sama kriptirano komunicirala z bancnim streznikom (pri cemer bi imela svoj zasebni kljuc). Sama koda bi seveda morala biti odprta, tajen bi bil samo kljuc na napravi. Poleg tega bi morala bit zasnovana tako, da bi se v primeru odpiranja ohisja unicila.
Ko bi ti na webinterfacu zakljucil nakazilo, bi dobil na ekrancku naprave podatke o tem nakazilu. Seveda ne direktno s tvojega racunalnika, ampak z bancnega streznika. Za potrditev bi enostavno s tipkovnico na napravi vpisal svoj PIN. Naprava bi tisto prebrala in v primeru, da je PIN pravilen preko kriptiranega komunikacijskega kanala poslala naprej "da", sicer pa "ne". Na koncu bi stvar odklopil od omrezja. Rezultat je enostavna uporaba za uporabnika (odpadejo razne obskurnosti kot to, da moras z misko naklikati geslo, imas samo 30 sekund v katerih se lahko prijavis itd) ob visji stopnji varnosti. Vse kar bi uporabnik moral vedeti je samo PIN. In tudi ce bi ga izvedel napadalec si brez naprave ne bi mogel pomagati. Odpade tudi cena za dodatno komunikacijo z banko (ta zaradi kriptografije sploh nikoli ni bila problematicna). Problem je samo "ranljivost" ene strani.
Pri izpisku na koncu meseca, bi recimo dobil vse transakcije, ki niso bile avtorizirane. (Teh ne bi nujno videl takoj ker ne bi imel stalno priklopjene namenske naprave.) Ce bi recimo videl, da si poskusal nakazati 2000 EUR v Rusijo bi iz tega lahko ugotovil tudi, da imas okuzen racunalnik.
Idealna resitev bi bila posebna zaupanja vredna strojna oprema. Recimo v stilu naprave z ekranckom in tipkovnico, ki jo lahko prikljucis na lokalno omrezje. Naprava bi bila zapecatena in dovolj preprosta, da bi se cim bolj zmanjsalo moznosti za ranljivosti programske opreme. Vse kar bi delala je, da bi tudi sama kriptirano komunicirala z bancnim streznikom (pri cemer bi imela svoj zasebni kljuc). Sama koda bi seveda morala biti odprta, tajen bi bil samo kljuc na napravi. Poleg tega bi morala bit zasnovana tako, da bi se v primeru odpiranja ohisja unicila.
Ko bi ti na webinterfacu zakljucil nakazilo, bi dobil na ekrancku naprave podatke o tem nakazilu. Seveda ne direktno s tvojega racunalnika, ampak z bancnega streznika. Za potrditev bi enostavno s tipkovnico na napravi vpisal svoj PIN. Naprava bi tisto prebrala in v primeru, da je PIN pravilen preko kriptiranega komunikacijskega kanala poslala naprej "da", sicer pa "ne". Na koncu bi stvar odklopil od omrezja. Rezultat je enostavna uporaba za uporabnika (odpadejo razne obskurnosti kot to, da moras z misko naklikati geslo, imas samo 30 sekund v katerih se lahko prijavis itd) ob visji stopnji varnosti. Vse kar bi uporabnik moral vedeti je samo PIN. In tudi ce bi ga izvedel napadalec si brez naprave ne bi mogel pomagati. Odpade tudi cena za dodatno komunikacijo z banko (ta zaradi kriptografije sploh nikoli ni bila problematicna). Problem je samo "ranljivost" ene strani.
Pri izpisku na koncu meseca, bi recimo dobil vse transakcije, ki niso bile avtorizirane. (Teh ne bi nujno videl takoj ker ne bi imel stalno priklopjene namenske naprave.) Ce bi recimo videl, da si poskusal nakazati 2000 EUR v Rusijo bi iz tega lahko ugotovil tudi, da imas okuzen racunalnik.
Zgodovina sprememb…
- spremenil: fiction ()
Slo-One ::
Tale ta zadnja je še najboljša. Edino cena bi bila morda velika oziroma prevelika. Kaj pa da dobiš TAN + USB ključek, ki bi bil narejen tako, da se ne da spreminjat in bi se vtaknil stvar v računalnik in se preko tistega prijavil. Poleg tega bi bil vsak ključek uporaben le za določen račun in še imel bi posebaj TAN. Samo pol če ti ukradejo potem pa je ...
fiction ::
Jah to z USB ne vem kako je kaj varno pri kompromitiranem racunalniku. TAN je v bistvu precej beden, ker zakomplicira stvar za uporabnike, poleg tega pa je z njim mogoce narediti eno _poljubno_ transakcijo (in ne tocno dolocene). Nek zunanji ekran (ali kaj podobnega) rabis zato, da lahko prikazes za katero transakcijo gre (tistemu kar vidis na monitorju pa v principu ni mogoce zaupati).
Sej taka posebna embedded naprava najbrz ne bi bila precej draga. Recimo ene 100 EUR, kar je primerljivo s stroski za pametne kartice (tisto je v principu tudi svoj racunalnik).
Sej taka posebna embedded naprava najbrz ne bi bila precej draga. Recimo ene 100 EUR, kar je primerljivo s stroski za pametne kartice (tisto je v principu tudi svoj racunalnik).
krho ::
edino obvezno geslo za virtualno tipkovnico je tisto za max dnevno porabo. Tam ga moraš naklikati.
A-banka drugače nekaj groz, da bo ista zadeva obvezna tudi pri prvem geslu za vstop, ko storijo to se od njih posolovim.
A-banka drugače nekaj groz, da bo ista zadeva obvezna tudi pri prvem geslu za vstop, ko storijo to se od njih posolovim.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Zgodovina sprememb…
- spremenil: krho ()
Primoz ::
fiction ... nemci imajo sedaj mTAN, kjer dobiš SMS z avtorizacijsko kodo vezano na posamezno transakcijo ter podatke o tej transakciji.
Kar pomeni, da operacija "trojanec na vsak računalnik" kar naenkrat postane "pohekaj računalnik IN mobitel" (in pravilno poveži zadevo). Oz. pohekaj računalnik in ukradi mobitel. Kar je še vedno izvedljivo, ampak precej težje.
Kar pomeni, da operacija "trojanec na vsak računalnik" kar naenkrat postane "pohekaj računalnik IN mobitel" (in pravilno poveži zadevo). Oz. pohekaj računalnik in ukradi mobitel. Kar je še vedno izvedljivo, ampak precej težje.
There can be no real freedom without the freedom to fail.
b0j3 ::
Čista neumnost.
Samo banke si umivajo roke, da so storile vse za varnost posameznika.
Še večja neumnost pa je omejitev dnevnega limita, ki si ga zaščitiš z geslom.
Sem jim poslal (Abanki) kritiko in so me klicali nazaj in razlagali zakaj je to uvedeno.
To sem jim napisal:
http://bojerko.blog.siol.net/2008/10/01...
Samo banke si umivajo roke, da so storile vse za varnost posameznika.
Še večja neumnost pa je omejitev dnevnega limita, ki si ga zaščitiš z geslom.
Sem jim poslal (Abanki) kritiko in so me klicali nazaj in razlagali zakaj je to uvedeno.
To sem jim napisal:
http://bojerko.blog.siol.net/2008/10/01...
bbf ::
men se zdi Klikova varjanta s certifikatom + 20 mestnim geslom + pozdravnim sporočilom + potrditvenim geslom (2 znaka od 8mih poklikat na random key grafično tipkovnico; za nakazovanje na neshranjene transakcije; brez gesla ne morš shranit nakazila) + informativnim SMSom ter klicnim centrom za blokiranje nevtentičnih transakcij (seveda z drugim glasovnim geslom) dovolj dobra zaščita.
če vse to nekdo poheka in mi na komp naloži še odjemalec slike (za tipkovnico) in se prebije preko ruterja in avasta, mu dam pa za gajbo pera še zravn!
če vse to nekdo poheka in mi na komp naloži še odjemalec slike (za tipkovnico) in se prebije preko ruterja in avasta, mu dam pa za gajbo pera še zravn!
Primoz ::
Te zgoraj omenjene zadeve pridejo okoli klika (naredi screenshot tipkovnice ko klikaš ... sicer moraš plačat par položnic preden lahko nakazujejo keš, ampak ok).
Informativni SMS je ok. Samo, ko ga dobiš je transakcija že mimo. Če narediš "nujni nalog" --- TARGET2 nakazilo, se zadeve naknadno ne da več preklicat. Pač veš, da so te okradli ... so what. Če si nesposoben, pa gre zadeva v kliring ... potem lahko banka morda še kaj zmuti... ampak vseeno. Super varnost.
Informativni SMS je ok. Samo, ko ga dobiš je transakcija že mimo. Če narediš "nujni nalog" --- TARGET2 nakazilo, se zadeve naknadno ne da več preklicat. Pač veš, da so te okradli ... so what. Če si nesposoben, pa gre zadeva v kliring ... potem lahko banka morda še kaj zmuti... ampak vseeno. Super varnost.
There can be no real freedom without the freedom to fail.
Bistri007 ::
To dodatno varnostno geslo je brez veze. Komu pa se da to tipkati? Kaj ga boš imel napisanega zraven kompjutra? In še NLB je napisala, da ti ne krijejo zlorab, če nimaš vklopljene te bedarije.
Če že treba, naj bi rajši uvedli CAPTCHA, ampak takega bolj lahkega.
Če že treba, naj bi rajši uvedli CAPTCHA, ampak takega bolj lahkega.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
|SNap| ::
S to glupo virtualno tipkovnico so se drugi problemi:
- vedno moras cez ramo gledat, da ti kdo ne vidi v monitor (ce npr. placujes v predavalnici ali pa v avli faksa). Saj pri tipkovnici je podobno, a zloraba je _VELIKO_ tezja.
- smotano za kaksne babice, ki malo tezje nisanijo z misko
- ker je vnos gesla pocasen, uporabnike naravnost spodbuja, da je geslo kratko.
- vedno moras cez ramo gledat, da ti kdo ne vidi v monitor (ce npr. placujes v predavalnici ali pa v avli faksa). Saj pri tipkovnici je podobno, a zloraba je _VELIKO_ tezja.
- smotano za kaksne babice, ki malo tezje nisanijo z misko
- ker je vnos gesla pocasen, uporabnike naravnost spodbuja, da je geslo kratko.
fiction ::
fiction ... nemci imajo sedaj mTAN, kjer dobiš SMS z avtorizacijsko kodo vezano na posamezno transakcijo ter podatke o tej transakciji.Ce dobis povratno informacijo o tem za kaksno transakcijo gre in tisti TAN deluje samo za _tocno tisto_ transakcijo potem je kul.
Problem je samo, da SMS stane pa da mogoce noces da mobilni operater v clear-textu bere kaj nabavljas oz. komu nakazujes denar. Tvoj internetni ponudnik takih podatkov npr. ne more dobiti ker se uporablja SSL/TLS.
Kar pomeni, da operacija "trojanec na vsak računalnik" kar naenkrat postane "pohekaj računalnik IN mobitel" (in pravilno poveži zadevo). Oz. pohekaj računalnik in ukradi mobitel. Kar je še vedno izvedljivo, ampak precej težje.Se strinjam, zadeva rata malo bolj komplicirana. Ampak ne pa tako nemogoca. Ce je en del pohekan, lahko hitro pade se drug del. Telefon pogosto priklopis na racunalnik. Tam uporabis nek poseben program zato da namestis na telefon software (Nokia PC Suite recimo). Ta lahko poskrbi za namestitev zlobne kode na telefon, uporabnik mora samo parkrat potrditi zadevo. Ampak z dobrim social engineeringom to ni problem. Ali pa razni programi, ki jih instaliras na PC in telefon. Na pamet mi pride recimo SmartMovie, kjer instaliras converter na PC, na telefonu imas pa predvajalnik. Trojanski konj je lahko v obeh delih.
če vse to nekdo poheka in mi na komp naloži še odjemalec slike (za tipkovnico) in se prebije preko ruterja in avasta, mu dam pa za gajbo pera še zravn!Brezskrbi, ce komu to uspe si bo sam kupil gajbo pira. S tvojim denarjem seveda.
R33D3M33R ::
Preden bo tak trojanec poslal tiste slike z mojega računalnika (imam dialup) bom že zdavnaj prekinil povezavo
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
blackbfm ::
Krneki. Če nekdo ni sposoben imet čistega sistema, potem naj ima dodaten komp, ki ga uporablja izključno za elektronsko bančništvo in to je to. Ne pa neke naprave ki jih je predlagal fiction wtf, da navš mel res cele procedure za eno nakazilo no
Phoebus ::
Najbrž je govora o navadnem kliku in NLB, ki sta itak u kurcu.
Poglejte še malo na kako drugo banko- osebno imam za poslovni račun čitalec pametnih kartic (plus seveda kartico in geslo), za navaden račun pa "digitronček" v katerega vtaknem kartico (ba), vtipkam PIN in dobim one-time-code za prijavo.
Ni vse tako grozno, samo kake banke so pač...no, ja...
Poglejte še malo na kako drugo banko- osebno imam za poslovni račun čitalec pametnih kartic (plus seveda kartico in geslo), za navaden račun pa "digitronček" v katerega vtaknem kartico (ba), vtipkam PIN in dobim one-time-code za prijavo.
Ni vse tako grozno, samo kake banke so pač...no, ja...
fiction ::
Krneki. Če nekdo ni sposoben imet čistega sistema, potem naj ima dodaten komp, ki ga uporablja izključno za elektronsko bančništvo in to je to. Ne pa neke naprave ki jih je predlagal fiction wtf, da navš mel res cele procedure za eno nakazilo noJah sej ta hipoteticna naprava je poceni alternativa za se en racunalnik. Ce si preprican o tem, da je tvoj racunalnik cist pa tega pac ne rabis. Samo potem ne rabis tudi slikic na katere klikas, CAPTCH-ja, SMS obvestil o nakazilu in podobne navlake.
GBX ::
bbf:
Za gajbo si bo tisti ruski heker že sam vzel, ne skrbi ...
Sicer pa je fiction že vse napisal: če vztrajaš pri banki, ki ima certifikat+geslo, potem si kupi zunanji čitalec in spravi ključ s certifikatom nanj. Če pa menjaš banko, naj bo faktor tudi to, ali imajo kalkulatorčke za enkratna gesla ali ne. To je trenutna izbira na trgu, ko bo pa kaj drugače, bomo pa naprej filozofirali, a ne?
če vse to nekdo poheka in mi na komp naloži še odjemalec slike (za tipkovnico) in se prebije preko ruterja in avasta, mu dam pa za gajbo pera še zravn!
Za gajbo si bo tisti ruski heker že sam vzel, ne skrbi ...
Sicer pa je fiction že vse napisal: če vztrajaš pri banki, ki ima certifikat+geslo, potem si kupi zunanji čitalec in spravi ključ s certifikatom nanj. Če pa menjaš banko, naj bo faktor tudi to, ali imajo kalkulatorčke za enkratna gesla ali ne. To je trenutna izbira na trgu, ko bo pa kaj drugače, bomo pa naprej filozofirali, a ne?
Bakunin ::
NLB ni edina banka v Sloveniji.
Je pa edina, ki ji uspe obdrzati stranke, ceprav delajo z njimi najslabse.
Malo si oglejte IT resitve pri "konkurenci".
Je pa edina, ki ji uspe obdrzati stranke, ceprav delajo z njimi najslabse.
Malo si oglejte IT resitve pri "konkurenci".
poweroff ::
Problem je samo, da SMS stane pa da mogoce noces da mobilni operater v clear-textu bere kaj nabavljas oz. komu nakazujes denar.
Saj to že tako ali tako, če dobivaš "varnostna SMS obvestila".
Tvoj internetni ponudnik takih podatkov npr. ne more dobiti ker se uporablja SSL/TLS.
Odkar imamo Comodo CA je tudi ta problem rešljiv. :-)
sudo poweroff
poweroff ::
če vse to nekdo poheka in mi na komp naloži še odjemalec slike (za tipkovnico) in se prebije preko ruterja in avasta, mu dam pa za gajbo pera še zravn!
Če bi prebral novico, bi videl, da je že najmanj 5 točno takih trojancev "v divjini".
In ja, antivirus software ti pri metamorfnih virusih ne pomaga. Preko routerja se pa jaz z malo pameti prebijem v manj kot minuti - saj izhodnega prometa na port 80 ne blokiraš, ne?
sudo poweroff
Senitel ::
Preden bo tak trojanec poslal tiste slike z mojega računalnika (imam dialup) bom že zdavnaj prekinil povezavo
Niti ne... Trojancu ni treba prenest slike celotnega ekrana v miljonih barv. Prenesejo lahko samo del zaslona, recimo gumbek ali kontrolo s tipkovnico. Nadalje je tudi povsem brezveze prenašat sliko take tipkovnice v miljonih barvah, povsem enostavno lahko preneseš samo razlike v konstrastu. In tako gledaš na stvar < 10KB, ki se tudi na dial up prenese dovolj hitro.
Naslednji korak v varnsoti bo pa kaj... Barvne tipkovnice z 10x več številk, od katerih jih bo 9 ponovitev prečrtanih, obenem bodo pa številke lepo zvalovljene in pixelirane do onemoglosti? Ne hvala!
balkanec ::
Eh, če se komu zdi taka kriza potem naj "peš" hod na banko pa je
Jest mam za take opravke kr zensko. Trenutno se vredna zaupanja :)
Ti si ziher pozigalec !!!
bbf ::
mu dam ŠE za gajbo pera, sm napisu! poleg tega kr mi ukrade. ne znate brat!
port 80 je forvardan na drugo mašino kjer lavfa apache.
port 80 je forvardan na drugo mašino kjer lavfa apache.
bbf ::
drgač pa, lepo bi blo, da bi kdo dejansko kake izkušnje imel, ne pa da vsi neki kolk je simpl, pa take.
ajde, naj eden da primer vdora na domač komp in posledično škodo na bančnem računu. pa seveda opis zaščit, ki jih je mogu heker zaobit.
ajde, naj eden da primer vdora na domač komp in posledično škodo na bančnem računu. pa seveda opis zaščit, ki jih je mogu heker zaobit.
ender ::
bbf: en primer imaš tu (klikni na link na PDF v sporočilu).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
techfreak :) ::
drgač pa, lepo bi blo, da bi kdo dejansko kake izkušnje imel, ne pa da vsi neki kolk je simpl, pa take.
ajde, naj eden da primer vdora na domač komp in posledično škodo na bančnem računu. pa seveda opis zaščit, ki jih je mogu heker zaobit.
Torej ti dejansko ne verjameš, da je kaj takšnega mogoče, kaj šele, da bi se to vsak dan dogajalo?
R33D3M33R ::
Niti ne... Trojancu ni treba prenest slike celotnega ekrana v miljonih barv. Prenesejo lahko samo del zaslona, recimo gumbek ali kontrolo s tipkovnico. Nadalje je tudi povsem brezveze prenašat sliko take tipkovnice v miljonih barvah, povsem enostavno lahko preneseš samo razlike v konstrastu. In tako gledaš na stvar < 10KB, ki se tudi na dial up prenese dovolj hitro.
Kako bi pa trojanec prepoznal, da obiskujem ravno spletno banko?
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
ender ::
R33D3M33R: preprosto - že po hostnamu se to vidi.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
R33D3M33R ::
Aha, in ti trojanci imajo za vse spletne banke na svetu shranjene hostname?
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
bbf ::
@ender: ta prezentacija ne govori o napadu na bančni sistem.
@dejanl15: nisem mnenja, da je nemogoče, ampak da je zelo zajebano to narest. rabiš kup stvari iz različnih sourcov, da lahko ukradeš kaj, pa še to je možno stornirat.
@dejanl15: nisem mnenja, da je nemogoče, ampak da je zelo zajebano to narest. rabiš kup stvari iz različnih sourcov, da lahko ukradeš kaj, pa še to je možno stornirat.
Zgodovina sprememb…
- spremenilo: bbf ()
ender ::
R33D3M33R: ne, imajo hoste za določene banke. Pa ne se zanašat na to, da so naše banke premajhne.
bbf: govori pa o tem, kako se okužiš s trojancem.
bbf: govori pa o tem, kako se okužiš s trojancem.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
blackbfm ::
Heh, najbolše so une fore, ko je računalnik neki ultra ibr zaščiten z nevem čem vsem potem ga pa lastnik da v popravilo in ne zbriše certifikata
techfreak :) ::
Heh, najbolše so une fore, ko je računalnik neki ultra ibr zaščiten z nevem čem vsem potem ga pa lastnik da v popravilo in ne zbriše certifikata
Je malo težko brisati certifikat, če ti je računalnik crknil. Se ti ne zdi?
Drugače pa saj imaš na servisu pravico zahtevati disk oz. oni nimajo pravice brskati po tvojih zasebnih datotekah.
poweroff ::
mu dam ŠE za gajbo pera, sm napisu! poleg tega kr mi ukrade. ne znate brat!
port 80 je forvardan na drugo mašino kjer lavfa apache.
Ne govorim o incoming, pač pa o outgoing portih.
Heker pač posluša na poljubnem serverju na portu 80 in čaka, da mu tvoj trojanec pošlje podatke.
sudo poweroff
poweroff ::
Aha, in ti trojanci imajo za vse spletne banke na svetu shranjene hostname?
Ja, že par let nazaj se je pojavil trtojanec, ki je imel vgrajeno prepoznavo za (če se ne motim) 49 najbolj znanih spletnih bank. Seznam se je vmes gotovo že dopolnil.
sudo poweroff
Ziga Dolhar ::
Ma, že pred sedmimi-šestimi leti je bil izdelan [prirejen] trojanec, ekskluzivno namenjen komitentom NLB... :)
https://dolhar.si/
fiction ::
port 80 je forvardan na drugo mašino kjer lavfa apache.Tukaj tudi. Ampak kaj ima to veze pri napadih na brskalnik oz. tvoj workstation?
Bank ni neskoncno, tako da je precej enostavno shraniti vse hoste. Dejansko, ce smo zlobni, lahko celo recemo, da njihovo stevilo pada. :)
Lahko pa samo pogledas ali niz vsebuje *bank* ali *banc* pa je. Pri cemer potem trojanec ne more biti costumizan za doloceno banko. Samo, da se ne bo potem kaksna banka spomnila nov "varnostni mehanizem" in svoj portal postavila na nedolzno_ime.si. :)
Saj to že tako ali tako, če dobivaš "varnostna SMS obvestila".Ja, sej nisem rekel, da je tisto bolje. Mobilni operater vseeno ve vse, ti pa lahko ukrepas sele, ko je (mogoce ze) prepozno, namesto da bi potrjeval stvari sproti.
Odkar imamo Comodo CA je tudi ta problem rešljiv. :-)Hehe, ja. Samo v teoriji je se vedno prenosna pot varna. Ce ne drugega se lahko ze, ko obisces poslovalnico (zato da odpres racun, narocis ebancnistvo ali karkoli) izmenjas z banko digitalna potrdila. Sploh ni treba da zaupanje temelji na nekem CA-ju. Lahko si recimo shranis fingerprint njihovega potrdila in potem preverjas, ce je tisto na strezniku res pravo potrdilo. V kolikor ni takoj prekines povezavo in poklices na banko kaj je.
Hm a pri Kliku uporaba pametnih kartic ni obvezna? V idealnem primeru ne bi smel nikoli svojega zasebnega kljuca shraniti na disk (ampak bi se moral samo uporabljati). Ce se tega ne da prebrati ti tudi noben ne more ukrasti certifikata, brez da bi ti fizicno odnesel kartico.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | NLB klik amaterji? (strani: 1 2 )Oddelek: Omrežja in internet | 15091 (5666) | branc |
» | Spletno bančništvo in varčevalni računi.Oddelek: Omrežja in internet | 3663 (3213) | branc |
» | Internetno bančništvo (strani: 1 2 )Oddelek: Loža | 19707 (15393) | Tilen |
» | Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )Oddelek: Novice / Varnost | 12084 (8575) | CaqKa |
» | NLB tarča phishing-a (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 21840 (10279) | Poldi112 |