Mladina - Mladina je danes objavila pogovor z Robertom Škuljem, ki je napisal trojanskega konja za vdiranje v bančne račune uporabnikov KLIKa. Omenjeni osebek, ki se trenutno nahaja v predkazenskem postopku zaradi izslijevanja in hekanja in ga je policija že aretirala, zaslišala in izpustila, naj bi omenjeni "virus" in zdravilo zanj skušal prodati Ljubljanski banki za, reci in piši, debelega pol milijončka EUR.
Novinarjem revije Monitor je tudi demonstriral in razložil uporabo programa. Za kaj gre? Ne gre za to, da bi bila zaščita Klika slaba, pač pa zato, da je heker preprosto pogledal izven konceptov sedanje računalniške varnosti. Spremenil perspektivo, bi lahko rekli - in zaščito preprosto zaobšel.
Podrobnosti o programu sicer niso objavljene, vendar sem se s podobno idejo pred časom ukvarjal tudi sam in ugotovil, da obstaja nekaj zanimivih tehnologij. Naprimer firewall, ki zna ugotoviti, na kateri strežnik je MSIE povezan, funkcije za pisanje po zaslonu, keyloggerji, ki shranjujejo pritiske tipk, pa tudi programi, ki simulirajo pritiske tipk. Kako bi reč izgledala v praksi?
Virus (načini za razmnoževanje med owcami so znani) bi čakal, da bi se uporabnik povezal na Klik in ostal pritajen še toliko časa, dokler se uporabnik ne bi povsem legitimno identificiral in prišel do svojega bančnega računa (firewall). Potem bi s pomočjo funkcij za prikaz na zaslonu "zamrznil" zaslonsko sliko (funkcije za pisanje po zaslonu). Hkrati bi simuliral uporabnikovo tipkanje po tipkovnici (obratno od keyloggerya) - vtipkal bi nalog za prenos denarja na nek drug račun znotraj NLB. Na koncu bi MSIE zaprl in "odmrznil" zaslon.
Na strani banke bi izgledalo, kot da je uporabnik povsem zavestno prenesel nek znesek na drug račun, na strani uporabnika pa bi izgledalo, kot da se je MSIE že spet sesul.
Nekaj podobnega glede na opis dela tudi ta program. Seveda na srečo prenosa denarja med bankami KLIK ne omogoča, tako da so transakcije sledljive. Verjetno bi uporabniki tudi začeli sumiti da je nekaj narobe, da jim MSIE zamrzne vedno ob uporabi Klika (heker bi sicer lahko vsakega uporabnika okradel le enkrat...), virus pa bi bilo verjetno tudi težko tako razširiti, da bi kraje manjših zneskov pripeljale do večjega zaslužka. Vsekakor pa je zgodba le še en dokaz, da 100 % varnosti enostavno ni.
Sicer pa glejte danes ob 22:00 uri Odmeve na prvem nacionalnem TV programu. Presenečeni boste [:D].
Novice » Varnost » Klik.nlb shekan?
minmax ::
kaksen bullshit je nastal v medijih. totalni kretenizem.
logično je da če program prevzame nadzor nad računalnikom to pomeni natančno to. ko je uporabnik enkrat overil, da je on na drugi strani (vtipkal šifro), lahko prgraom naerdi karkoli hoče
btw: prenos med bankami je seveda mogoč, plačaš položnico pa je...
ni nobene potrebe da bi karkoli zamrznilo se ali karkoli, program lahko transakcije mirno izvaja v ozadju. lahko celo 'rewrita' nlbjeve htmlje, tako da uporabnik še vedno vidi kot da ima ves denar na računu. lahko se dela kot da vse deluje, hej.. tako bi uporabniki izvedeli šele ko bi jim poslali opomin da niso poslali elektrike.
ja seveda je treba precej dela da napišeš tak program, ampak ni pa nemogoče, sploh pa če je denarna nagrada (rop) primerno velika...
obstaja en sam način zaščite pred takšnimi zlorabami in to je zunanji overovilnik z DISPLAYEM. fora je v tem, da ti mora zunanja naprava prikazat transakcijo, ki jo potem potrdiš. ker se podpiše konkretna transakcija, se podpis transakcije, ki ga izvede zunanja naprava ne da uporabit za izvedbo druge transakcije. to je vse.
nimam pojma zakaj čitalniki pametnih kartic nimajo malih lcd displayev na katerih samo pokažejo katero transakcijo bodo overili (vsota in ciljni račun). z enim samim gumbom OK.
če pa delate brez takšne zunanje napreave, potem je pa kakršnakoli varnost le iluzija
logično je da če program prevzame nadzor nad računalnikom to pomeni natančno to. ko je uporabnik enkrat overil, da je on na drugi strani (vtipkal šifro), lahko prgraom naerdi karkoli hoče
btw: prenos med bankami je seveda mogoč, plačaš položnico pa je...
ni nobene potrebe da bi karkoli zamrznilo se ali karkoli, program lahko transakcije mirno izvaja v ozadju. lahko celo 'rewrita' nlbjeve htmlje, tako da uporabnik še vedno vidi kot da ima ves denar na računu. lahko se dela kot da vse deluje, hej.. tako bi uporabniki izvedeli šele ko bi jim poslali opomin da niso poslali elektrike.
ja seveda je treba precej dela da napišeš tak program, ampak ni pa nemogoče, sploh pa če je denarna nagrada (rop) primerno velika...
obstaja en sam način zaščite pred takšnimi zlorabami in to je zunanji overovilnik z DISPLAYEM. fora je v tem, da ti mora zunanja naprava prikazat transakcijo, ki jo potem potrdiš. ker se podpiše konkretna transakcija, se podpis transakcije, ki ga izvede zunanja naprava ne da uporabit za izvedbo druge transakcije. to je vse.
nimam pojma zakaj čitalniki pametnih kartic nimajo malih lcd displayev na katerih samo pokažejo katero transakcijo bodo overili (vsota in ciljni račun). z enim samim gumbom OK.
če pa delate brez takšne zunanje napreave, potem je pa kakršnakoli varnost le iluzija
minmax ::
aja, poročanje o tem dogodku je še en dokaz da je večina novinarjev ki o tem poroča čistih diletantov, mladina ima sedaj to prednost da je pod isto streho z monitorjem, kjer imajo precej pametnih ljudi...
medtem ko pa je bilo poročanje v financah in delu katastrofalno.
medtem ko pa je bilo poročanje v financah in delu katastrofalno.
poweroff ::
Ziggga bo danes na Odmevih. In v bistvu ga bom kar citiral: ko sva se prejle pogovarjala po IRCu je rekel "it is not a bug, it is a feature". Se pravi ne gre za malomarnost Zaslona, verjetno niti ne za napake v MSIEju, pač pa za... pač eno finto, ki je povsem logična.
Tip ni izumil ničesar novega, le sprogramiral je tisto, kar s(m)o se nekateri zavedali da je možno.
Da je pa izumil zaščito proti temu pa težko verjamem. Oziroma ne verjamem in se povsem strinjam z minmaxom. Malce mi je tudi sporno to da je zahteval tako vsoto. Po moje je skušal zaslužiti, ko pa to ni uspelo pa bo skušal medijsko zasloveti...
Tip ni izumil ničesar novega, le sprogramiral je tisto, kar s(m)o se nekateri zavedali da je možno.
Da je pa izumil zaščito proti temu pa težko verjamem. Oziroma ne verjamem in se povsem strinjam z minmaxom. Malce mi je tudi sporno to da je zahteval tako vsoto. Po moje je skušal zaslužiti, ko pa to ni uspelo pa bo skušal medijsko zasloveti...
para! ::
minmax: če se ne motim, so stranke pri Probanki opremljene s takšnimi zunanjimi napravami. Na LCD zaslončku vrh naprave se izpiše naključna koda ter še nekaj podatkov. Šele s potrditvijo na zunanji napravi lahko dokončaš transakcijo.
Death before dishonor!
Tomi ::
Hm, pa naj še kdo reče, da Slo-techovci niso znani
Sedaj pa veste, kdo vam piše novice..
Sedaj pa veste, kdo vam piše novice..
metrodusa.blogspot.com
Filo ::
ej, svaka mu čast modelu, če mu ni ratal denarja pobrt nc hudga si je pa vsaj ime naredu..., ki ga bo spremljlo do naslednjega intervijuja za službo....( ne take pa nočmo tuki ----tipična slovenska bi bla ta) hehehe..ne res vsaj določeni vejo česa je sposoben in da zna razmišljat in to tudi dejansko uresničit.....vsi govorite ja pa sej to smo v bistvu tud mi vedel -teorijo....ostalo je pa on spacal skup.... pa se masne denace...skor.. he he
jRk0 ::
Hehe:) Smo videli Ziggga.
Mene nekaj zanima. Zitriga:kak to da si ti tja sel? :)
Mene nekaj zanima. Zitriga:kak to da si ti tja sel? :)
You fuck up once, you loose two teeth.
YoYo ::
Ja, pa gume je treba redno menat.
Dva klika, pa so zamenjane.
ne, sej kul, ampak smesno mi je blo...
Dva klika, pa so zamenjane.
ne, sej kul, ampak smesno mi je blo...
Sergio ::
ker sem ga priporocil.
sicer pa - fotogenicen tale nas ziggga?
sicer pa - fotogenicen tale nas ziggga?
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.
če usoda ustavi mu korak,
on se ji zoperstavi.
ferdo ::
Kdo je ujeu zajca?...SKOREJ al KUMEJ?
če bi KUMEJ dubu ta dnar bi biu frajer, tko je pa en drnč ratu:)
sej tip zna, obvlada, sm ni tiste pike na i
če bi KUMEJ dubu ta dnar bi biu frajer, tko je pa en drnč ratu:)
sej tip zna, obvlada, sm ni tiste pike na i
.: w w w . s l o - t e c h . c o m :.
.: I can`t believe the news today :.
.: I can`t believe the news today :.
Murja ::
minmax podpišem se pod tvoj post...
zdej bo pa vsak debil, ki bo mel pet minut časa preveč, izumljal toplo vodo in pol iz tega delal big deal in "prodajal" pol to svojo "mojstrovino" za pol miliona evrov...
zdej bo pa vsak debil, ki bo mel pet minut časa preveč, izumljal toplo vodo in pol iz tega delal big deal in "prodajal" pol to svojo "mojstrovino" za pol miliona evrov...
Muflon1 ::
Citiram komentar iz Mladinine strani:
-----------------------------------------------------------------------------------------
2002-10-10 21:41:36.361351+02 by Chrom
No ja, Škulj tega gotovo ni sam naredil... Fante je bil z mano v vojski v Franc rozman Stane in verjemite, tega ni sposoben... Tudi v vojski je zaposlen le zaradi očeta, ji je šofer enega visokega oficirja... Enostavno niam pojma o računalništvu, mogoče se je v teh letih kaj priučil, a vendar... To je človek, iz katerega so se norčevali tako vojaki kot poveljniki...Poleg tega ima tudi govorno napako in tik...In res je gumarski tehnik...in nikjer ni mogel dobiti zaposlitve... Je pa dober po srcu...a ne preveč pameten....Nikakor na tem nivoju...bo treba počakat, da se predstavi programer...
P.S.
Tud men se zdi da tale model Škulj ni tolk brihtn da bi tole vse skup spacal (vsaj kolkr je blo videt po TV ), je en večji maher zadaj ki pa bo ostal anonimen ali pač ne?
Aja nekaj sem še pozabu tole bo tud zdle aktualno:
Ziggga for president!!!
-----------------------------------------------------------------------------------------
2002-10-10 21:41:36.361351+02 by Chrom
No ja, Škulj tega gotovo ni sam naredil... Fante je bil z mano v vojski v Franc rozman Stane in verjemite, tega ni sposoben... Tudi v vojski je zaposlen le zaradi očeta, ji je šofer enega visokega oficirja... Enostavno niam pojma o računalništvu, mogoče se je v teh letih kaj priučil, a vendar... To je človek, iz katerega so se norčevali tako vojaki kot poveljniki...Poleg tega ima tudi govorno napako in tik...In res je gumarski tehnik...in nikjer ni mogel dobiti zaposlitve... Je pa dober po srcu...a ne preveč pameten....Nikakor na tem nivoju...bo treba počakat, da se predstavi programer...
P.S.
Tud men se zdi da tale model Škulj ni tolk brihtn da bi tole vse skup spacal (vsaj kolkr je blo videt po TV ), je en večji maher zadaj ki pa bo ostal anonimen ali pač ne?
Aja nekaj sem še pozabu tole bo tud zdle aktualno:
Ziggga for president!!!
ferdo ::
veste KAJ!?#
dokler sm u minusu na banki se ni treba bat
dokler sm u minusu na banki se ni treba bat
.: w w w . s l o - t e c h . c o m :.
.: I can`t believe the news today :.
.: I can`t believe the news today :.
ferdo ::
potem je ta Šukl al škurlj, sej nima veze, no tale je pol vseen dobu neki keša, če je baje nekdo drug programer.
programer hoče bit anonimen, vendar more nekomu plačat da gre v tak biznis...dirty biznis
programer hoče bit anonimen, vendar more nekomu plačat da gre v tak biznis...dirty biznis
Thomas ::
Jah jest pa mislim o temle samo kot vsaka "zoprna stranka":
Varnosti mi NE garantirate, pa ste rekli DA JO. Me ne briga nič, sem plačal tale Klik, me ne briga nič Mikrosoft pa IE pa nevemkajše vse, da bom posodabljal pa to .... yada, yada ...
Denar nazaj!
Varnosti mi NE garantirate, pa ste rekli DA JO. Me ne briga nič, sem plačal tale Klik, me ne briga nič Mikrosoft pa IE pa nevemkajše vse, da bom posodabljal pa to .... yada, yada ...
Denar nazaj!
Man muss immer generalisieren - Carl Jacobi
Boeing ::
Ni kej, Ziga raztura... en velik bravo za Ziggga-ta!!!
Pa da se še kdaj zgodi kak tak intervju!
Pa da se še kdaj zgodi kak tak intervju!
Ko segaš po zvezdah ne skrbi, če kakšno zgrešiš... Morebiti ujameš Luno...
R50e AS355n, T-Rex600FBL, T-Rex500FBL, T-Rex450FBL, Futura + JetCat 200SX
R50e AS355n, T-Rex600FBL, T-Rex500FBL, T-Rex450FBL, Futura + JetCat 200SX
Sergio ::
Thomas: definitivno ... ampak, če pogledaš tako, garantirane varnosti enostavno ni. Tudi takrat, ko greš do bančnega okenca ter vplačaš račun za telefon. Do zlorab lahko prihaja kadarkoli. Na računalnikih pač malo enostavneje. No, okej, DOSTI enostavneje.
Sicer pa tudi minmaxova rešitev ni končna ter absolutna. Vsak hard-input se da ponarediti softversko do take mere, da OS "misli", da input prihaja iz hardvera - čeprav v resnici ne. Tuki je v fundamentu velika napaka, nekakšne vizije, da bi izginla, pa ni.
Nekako se pričakuje preskok v mentaliteti - tako uporabnikov kot razvijalcev programske opreme.
Odnos 95% pripadnikov OBEH skupin je, milo rečeno, jebiveterski. Razvijalci napišejo crap kodo, ki jo skrijejo pod EULO ter odvrnejo vso odgovornost.
Uporabniki se pa obnašajo po načelu "to se pa men ne more zgodit".
Kot da bi na parkirišču sredi Bronxa pustil Mercedes S 500 z odprtimi šipami ter ključem na sedežu. S tem, da bi proizvajalec avtomobila v primeru, da original ključ zgubiš, na podvozje našraufal "skrivnega", za katerega pa ve vsak, ki se malo spozna na Mercedese. Fuj fej. Ampak kaj hočemo...
Sicer pa tudi minmaxova rešitev ni končna ter absolutna. Vsak hard-input se da ponarediti softversko do take mere, da OS "misli", da input prihaja iz hardvera - čeprav v resnici ne. Tuki je v fundamentu velika napaka, nekakšne vizije, da bi izginla, pa ni.
Nekako se pričakuje preskok v mentaliteti - tako uporabnikov kot razvijalcev programske opreme.
Odnos 95% pripadnikov OBEH skupin je, milo rečeno, jebiveterski. Razvijalci napišejo crap kodo, ki jo skrijejo pod EULO ter odvrnejo vso odgovornost.
Uporabniki se pa obnašajo po načelu "to se pa men ne more zgodit".
Kot da bi na parkirišču sredi Bronxa pustil Mercedes S 500 z odprtimi šipami ter ključem na sedežu. S tem, da bi proizvajalec avtomobila v primeru, da original ključ zgubiš, na podvozje našraufal "skrivnega", za katerega pa ve vsak, ki se malo spozna na Mercedese. Fuj fej. Ampak kaj hočemo...
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.
če usoda ustavi mu korak,
on se ji zoperstavi.
Jebiveter ::
Ziggga: Ker nisem spremljal teme o NLBju mi ni ravno jasno zakaj si sploh prisu na TV? Si bom mogu pogledat temo se enkrat....
BTW: A je kdo posnel to stvar, ker sem jest vidu novico 20 min prepozno[:\]
BTW: A je kdo posnel to stvar, ker sem jest vidu novico 20 min prepozno[:\]
Certainty of death. Small chance of success. What are we waiting for?
Sergio ::
Lejte, prišel je na TV, ker piše kakovostne novice za dobro spletno stran. Referenca, fantje. Referenca. In ponosni smo na to
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.
če usoda ustavi mu korak,
on se ji zoperstavi.
Switch ::
Mi smo pa računalniška generacija, kakor so nas imenovali. Všeč mi je bilo, ko je Ziggga rekel, da so za posodobitve potrebna samo dva klika. Pomojem, da so vsi s.p.jevci in d.o.o.jevci kar u zrak poskočili, katera dva klika to sta
Grem pa stavit, da je bil Ziggga v tej obleki tudi na maturantskem plesu (čeprav ga poznam le posredno preko Slo-techa) Dober nastop, pa dobra reklama za Slo-tech-> bravo!
Grem pa stavit, da je bil Ziggga v tej obleki tudi na maturantskem plesu (čeprav ga poznam le posredno preko Slo-techa) Dober nastop, pa dobra reklama za Slo-tech-> bravo!
Dr_M ::
smeh :))
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Ziga Dolhar ::
6:30 jutri zjutraj, če prav vidim. Na ostalo odgovorim jutri... oz. danes kasneje :].
iration ::
Ice Man, pa bi blo tud fajn če bi še približn cajt povedu ... [:\]
Tudi jaz bi imel kakšno pravico rad v življenju. Npr. pravico do tega, da delam
12 ur na dan in sem za to nagrajen s strani delujočega ekonomskega prostora, ne
pa kaznovan s strani Salmoneličevih gremlinov. - NavadniNimda
12 ur na dan in sem za to nagrajen s strani delujočega ekonomskega prostora, ne
pa kaznovan s strani Salmoneličevih gremlinov. - NavadniNimda
City ::
Lahko bi pa dali posnetek na net v kakšni dvixx obliki za tiste ki delajo 25 ur na dan in zaradi firewolla ne morjo gledat preko neta
poweroff ::
Bravo Ziggga, dobro si se odrezal. Tista naprava, ki jo je nekdo omenjal je pa v bistvu en navaden kodirnik. SKB to uporablja... oni zgenerirajo neko cifro, ki se ti pokaze na zaslonu... ti cifro vtipkas v napravo, ki ti izracuna odgovor. Odgovor vtipkas na racunalnik, in ce je pravilen, se session odpre.
Gre torej samo za preprosto authentikacijo in Škuljev program bi ravno tako lahko počakal da se ta postopek izvede, nato pa vskočil.
Imamo še eno varianto.... podtaknemo BackOrifice, ukrademo certifikat in prestrezemo geslo... pa je stvar resena. Moznosti je veliko, proti nekaterim pa enostavno ni zascite.
Sicer je absolutno res, da je zadevo bistveno težje sprogramirati, ko si samo zamisliti po kakšnem principu naj bi delala, vendar Škulj ni odkril ničesar novega. Ja pa prvi, ki je stvar uresničil. Po eni strani je to dobro, se bo vsaj narod zavedel da 100% varnosti ni... (če se bo seveda...)
Gre torej samo za preprosto authentikacijo in Škuljev program bi ravno tako lahko počakal da se ta postopek izvede, nato pa vskočil.
Imamo še eno varianto.... podtaknemo BackOrifice, ukrademo certifikat in prestrezemo geslo... pa je stvar resena. Moznosti je veliko, proti nekaterim pa enostavno ni zascite.
Sicer je absolutno res, da je zadevo bistveno težje sprogramirati, ko si samo zamisliti po kakšnem principu naj bi delala, vendar Škulj ni odkril ničesar novega. Ja pa prvi, ki je stvar uresničil. Po eni strani je to dobro, se bo vsaj narod zavedel da 100% varnosti ni... (če se bo seveda...)
Airskull ::
Ziggga, sem glihkar pogledal, BRAVO!!!
Every word of this is a lie, and my readers should put no trust in it at all.
Sergio ::
odlično je speljal. res, vsa hvala.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.
če usoda ustavi mu korak,
on se ji zoperstavi.
JohhnyB ::
Samo dodatek k Minmaxovemu postu, s katerim se popolnoma strinjam.
Nova KBM ima podobno storitev kot Klik (Bank@Net ali nekaj takega), s tem da oni IMAJO zunanji LCD display, brez katerega ne moreš opraviti nobene transakcije.
Zadeva deluje podobno kot Klik, s to razliko, da je potrebno pred potrditvijo transakcije vpisati 6-številčno geslo, ki ga vsakih 60 sekund generira ena malo debelejša kreditna kartica z LCD displayem, ki jo uporabnik dobi ob sklenitvi pogodbe.V bistvu zahteva vsaka transakcija svoje geslo, zato noben keylogger ne pomaga. Zanimiva rešitev. Klik!
Nova KBM ima podobno storitev kot Klik (Bank@Net ali nekaj takega), s tem da oni IMAJO zunanji LCD display, brez katerega ne moreš opraviti nobene transakcije.
Zadeva deluje podobno kot Klik, s to razliko, da je potrebno pred potrditvijo transakcije vpisati 6-številčno geslo, ki ga vsakih 60 sekund generira ena malo debelejša kreditna kartica z LCD displayem, ki jo uporabnik dobi ob sklenitvi pogodbe.V bistvu zahteva vsaka transakcija svoje geslo, zato noben keylogger ne pomaga. Zanimiva rešitev. Klik!
MitjaM. ::
Ej folk ne nabijat kr neki. Una zascita z "kreditno kartico" je dosti slabsa kot PKI zascita ki jo ima klik... Ce ne verjames pobrskaj mal po netu... Tut generatorje gesl se da razbiti, verjetno se lazje kot certifikat nekomu iz racunalnika potegnt...
Sicer pa NLB garantira da ti vrne denar ce ti ga poberejo na tak nacin cetudi je tle napaka drugje in ne na strani nlbja...www.nlb.si
Sicer pa NLB garantira da ti vrne denar ce ti ga poberejo na tak nacin cetudi je tle napaka drugje in ne na strani nlbja...www.nlb.si
0oO0oO0oO0oO0oO0oO0oO
http://mitjam.4ever.cc
0oO0oO0oO0oO0oO0oO0oO
http://mitjam.4ever.cc
0oO0oO0oO0oO0oO0oO0oO
jype ::
One time password pomeni, da lahko geslo uporabis le enkrat, kar ti zagotavlja dovolj visoko stopnjo varnosti. Ce kdo potrebuje visjo stopnjo varnosti, potem lahko gre v banko, kjer se bo bankir zmotil v eni stevilki, in denar bo sel na napacen racun. To se zgodi redko, ampak se, in banka je v tem primeru odgovorna, na internetu pa zavracajo vso odgovornost za napake. Jebiga. Jaz bolj zaupam samemu sebi in SSL kot pa bancnim usluzbencem. S svojo banko tudi dovolj komuniciram, da priblizno vem, kaj se z njenim online banking sistemom dogaja (in imam torej dovolj dober obcutek kar se tice moznosti zlorab in podobnih reci). BTW, ce koga zanima: do zdaj sem nasel ze priblizno 150 zapuscenih Klik NLB certifikatov. Ker sem posten, neumen, ali pa kar oboje, sem jih poslal na banko, da so jih revokali. Lahko bi si nakazal kak tolar, pa ko sem ravno zato zaposlen da take reci preprecujem, si ga nisem.
Identifikacija s SSL certifikati je z varnostnega stalisca poden, razen, kadar je certifikatov privatni kljuc shranjen na smart kartici (ki ga ne bo pljunila ven za noben denar, ker smart kartice transakcije samo PODPISUJEJO, torej certifikata ne mores ukrast).
Da 100% varnosti ni je jasno: teorija pravi da so varni samo zaprti sistemi, a na zalost le-ti v nasem vesolju ne obstajajo. Ce je koga strah za njegov denar predlagam preprosto resitev: naj vsega lepo nakaze na moj racun, pa se bom potem jaz ukvarjal s tezavami okoli varnosti.
Identifikacija s SSL certifikati je z varnostnega stalisca poden, razen, kadar je certifikatov privatni kljuc shranjen na smart kartici (ki ga ne bo pljunila ven za noben denar, ker smart kartice transakcije samo PODPISUJEJO, torej certifikata ne mores ukrast).
Da 100% varnosti ni je jasno: teorija pravi da so varni samo zaprti sistemi, a na zalost le-ti v nasem vesolju ne obstajajo. Ce je koga strah za njegov denar predlagam preprosto resitev: naj vsega lepo nakaze na moj racun, pa se bom potem jaz ukvarjal s tezavami okoli varnosti.
jype ::
Da se da generatorje gesel razbiti? Ja, samo potem ne delujejo vec. Koscek hardvera je precej bolj zajebano prelisicit kot pa neumnega uporabnika. PKI je varen? In what sense? Storitev lahko uporabljas samo tam, kjer imas namescen privatni kljuc certifikata, ki ga je precej lazje iztrgati PCju kot pametni kartici. In glede na moj prejsnji post je veliko lazje priti do certifikata in gesla za klik, kot pa do generatorja gesel za enkratno uporabo.
Justy ::
Hehe, Ziggga tole je pa presenecenje v pozitivnem smislu ;). Namrec tako preko neta sem imel drugacno predstavo o tebi (ceprav tudi dobro). Bo si treba enkrat res cas vzet ko bo kako Slo-Tech druzenje, da malo bolj spoznam koga. Pohvalno. Si zdaj se bolj znan kot Skulj, sploh tu na Slo-Techu.
Drugace me pa se zanima kako to da si bil v odmevih, zanima me predvsem to, ker potem te najbrz ze poznajo od kod (Sergio pravi da te je on priporocil), ker ljudje te morajo poznat ane, ce nekoga ne poznas oziroma da ne ves da obstaja, ga najbrz bolj tezko najdes .
Malo se mi svita, Sergio je bil ze tud v nekih oddajah..... se mi zdi.... tud aktivno.....
Sedaj res vidimo da ima tudi slaba stvar dobro stran;), lepa reklama za Slo-Tech.
Drugace me pa se zanima kako to da si bil v odmevih, zanima me predvsem to, ker potem te najbrz ze poznajo od kod (Sergio pravi da te je on priporocil), ker ljudje te morajo poznat ane, ce nekoga ne poznas oziroma da ne ves da obstaja, ga najbrz bolj tezko najdes .
Malo se mi svita, Sergio je bil ze tud v nekih oddajah..... se mi zdi.... tud aktivno.....
Sedaj res vidimo da ima tudi slaba stvar dobro stran;), lepa reklama za Slo-Tech.
MitjaM. ::
Glede certifikatov k jih ljudje na public compih puscajo ne bi komentiral... Cloveska neumnost pac nima meja al kako ze gre
100% varnosti ni in je tudi nobeden ne garantira, ne glede kaksna je zascita, niti PKI niti generatorji gesel...Gre za to da je generator gesel pac en algoritem in algoritem se lahko razbije, je tako? PKI je sam po sebi varen, nevarni so samo nevedni uporabniki, kar pa je problem vseh zaščit in ne samo PKI-ja! Se vedno trdim da je PKI bolj napredna zascita kot vsak hardware generator gesel...
100% varnosti ni in je tudi nobeden ne garantira, ne glede kaksna je zascita, niti PKI niti generatorji gesel...Gre za to da je generator gesel pac en algoritem in algoritem se lahko razbije, je tako? PKI je sam po sebi varen, nevarni so samo nevedni uporabniki, kar pa je problem vseh zaščit in ne samo PKI-ja! Se vedno trdim da je PKI bolj napredna zascita kot vsak hardware generator gesel...
0oO0oO0oO0oO0oO0oO0oO
http://mitjam.4ever.cc
0oO0oO0oO0oO0oO0oO0oO
http://mitjam.4ever.cc
0oO0oO0oO0oO0oO0oO0oO
ToniT ::
Ma ja... To je približno tako, kot da imaš super vrata in ključavnice z ne vem kakšno varnostjo. Na koncu pa pustiš ključ pod predpražnikom.
poweroff ::
jype - Ce je koga strah za njegov denar predlagam preprosto resitev: naj vsega lepo nakaze na moj racun, pa se bom potem jaz ukvarjal s tezavami okoli varnosti. - hehe, ta izjave me je lepo nasmejala. Je pa v nekem smislu celo pravilna.
Da se da generatorje gesel razbiti? Ja, samo potem ne delujejo vec. Koscek hard - ni nujno... obstajajo poiskusi s tempestom: Differential Power Analysis in Timming Attack, ki delujejo približno tako, da skušaš s pomočjo porabljene energije ali časa ugotoviti katere operacije izvaja naprava. Recimo vpišeš PIN, potem pa ugotoviš, da je kartica PIN spoznala za napačen in kartico resetiraš še preden poveča števec neuspešnih poiskusov.
Je pa res, da imajo nekatere kartice tudi zaščito za skeniranje z rentgenskimi žarki, ohlajanje, itd. in se lahko samouničijo ob nenormalnih pogojih (ker takrat najbrž nekdo nekaj "heka").
Da se da generatorje gesel razbiti? Ja, samo potem ne delujejo vec. Koscek hard - ni nujno... obstajajo poiskusi s tempestom: Differential Power Analysis in Timming Attack, ki delujejo približno tako, da skušaš s pomočjo porabljene energije ali časa ugotoviti katere operacije izvaja naprava. Recimo vpišeš PIN, potem pa ugotoviš, da je kartica PIN spoznala za napačen in kartico resetiraš še preden poveča števec neuspešnih poiskusov.
Je pa res, da imajo nekatere kartice tudi zaščito za skeniranje z rentgenskimi žarki, ohlajanje, itd. in se lahko samouničijo ob nenormalnih pogojih (ker takrat najbrž nekdo nekaj "heka").
blue96 ::
na splošno dobro da ni bil na odmevih en starc z doktoratom in znanjem iz 15 let starih knjig.
ampak tale model robert je pa tud po svoje idiot: lahko bi "ta program" oz. skript poslal na tuje banke, odkoder bi šel denar k nam, meni nič tebi nič. sploh če bi šlo za kakšno državo, ki z nami sodeluje prav dobro (teh pa je kar nekaj)...
ampak tale model robert je pa tud po svoje idiot: lahko bi "ta program" oz. skript poslal na tuje banke, odkoder bi šel denar k nam, meni nič tebi nič. sploh če bi šlo za kakšno državo, ki z nami sodeluje prav dobro (teh pa je kar nekaj)...
.
minmax ::
fantje, mal ste falil s temi one time gesli,... da vam razložim:
tu sta dva problema: 1) verifikacija da ima nekdo pravico da izvede neko stvar/transakcijo in 2) dejstvo da mora temu ki izvaja transakcijo biti nedovmno zagotovljeno da se bo izvedla tocno tista transakcija ki jo je odobril...
prvo lepo pokriva Klik in PKI infrastruktura. zadeva je dovolj močna, da privatnega ključa NI MOGOČE odkriti (razen če ni namerno vgrajen backdoor v kar dvomim, ker ima banka itak vso kontrolo zase in ne rabi še ene). verjemite...
torej brez dostopa do vase pametne kartice ne bo nihce ugotovil vasega privatnega kljuca. ce pa ima dostop pa itak lahko izvede karkoli hoce...
torej, problem je, da mora uporabnik avtentificirat vsako transakcijo posebej, mora vedeti katera je transakcija in ko je enkrat transakcija avtentificirana potem mora biti zagotovljeno, da se ne da namesto te transakcije izvesti cesa drugega
to pa naredis preprosto tako, da s svojim privatnim (recimo PGP) kljucem podpises transakcijo. seveda racunalnik ni varen in zato vas privatni kljuc ne sme biti shranjen v racunalniku, prav tako racunalniku ne morete zaupat da bo podpisal enako transakcijo kot jo pokaze na zaslonu, kar pomeni da spet ne sme racunalnik posredovati informacij
zato je protkol tak:
racunalnik poslje zunanji napravi : hej, a mi lahko (z uporabnikovim kljucem) podpises to pa to transakcijo. vsaka transakcija ima seveda svoj podpis zato ce se podpise transakcijo za 100 sit ne mroes potem prenest 1000 sit (in seveda vsi ostali podatki v transakciji).
zunanja naprava stvar pokaze na zaslonu.
zdaj pa zunanja naprava, ki ve samo to katero transakcijo naj podpise in ima vtaknjeno pametno kartico z kljucem (recimo 2048 bitov), uporabniku prikaze stvar ki jo bo podpisala. ko uporabnik rece DA, ta naprava transakcijo podpise in poslje racunalniku podpis, zdaj pa lahko ta racunalnik podpis poslje naprej banki.
se pravi naprava dobi samo nekaj texta in vrne nekaj 'texta'. nima nobenega drugega interfacea z racunalnikom (kar je ful pomembno). tako je uporabnik lahko 100% varen da se bodo izvajale le transakcije ki jih je videl na lastne oci in podpisal s pomocjo 'varne' naprave..
to je edini sistem ki omogoca varnost, vse ostalo je bullshit.
mislim da je cas da v kiberpipi spet organiziramo eno predavanje na to temo... :)
tu sta dva problema: 1) verifikacija da ima nekdo pravico da izvede neko stvar/transakcijo in 2) dejstvo da mora temu ki izvaja transakcijo biti nedovmno zagotovljeno da se bo izvedla tocno tista transakcija ki jo je odobril...
prvo lepo pokriva Klik in PKI infrastruktura. zadeva je dovolj močna, da privatnega ključa NI MOGOČE odkriti (razen če ni namerno vgrajen backdoor v kar dvomim, ker ima banka itak vso kontrolo zase in ne rabi še ene). verjemite...
torej brez dostopa do vase pametne kartice ne bo nihce ugotovil vasega privatnega kljuca. ce pa ima dostop pa itak lahko izvede karkoli hoce...
torej, problem je, da mora uporabnik avtentificirat vsako transakcijo posebej, mora vedeti katera je transakcija in ko je enkrat transakcija avtentificirana potem mora biti zagotovljeno, da se ne da namesto te transakcije izvesti cesa drugega
to pa naredis preprosto tako, da s svojim privatnim (recimo PGP) kljucem podpises transakcijo. seveda racunalnik ni varen in zato vas privatni kljuc ne sme biti shranjen v racunalniku, prav tako racunalniku ne morete zaupat da bo podpisal enako transakcijo kot jo pokaze na zaslonu, kar pomeni da spet ne sme racunalnik posredovati informacij
zato je protkol tak:
racunalnik poslje zunanji napravi : hej, a mi lahko (z uporabnikovim kljucem) podpises to pa to transakcijo. vsaka transakcija ima seveda svoj podpis zato ce se podpise transakcijo za 100 sit ne mroes potem prenest 1000 sit (in seveda vsi ostali podatki v transakciji).
zunanja naprava stvar pokaze na zaslonu.
zdaj pa zunanja naprava, ki ve samo to katero transakcijo naj podpise in ima vtaknjeno pametno kartico z kljucem (recimo 2048 bitov), uporabniku prikaze stvar ki jo bo podpisala. ko uporabnik rece DA, ta naprava transakcijo podpise in poslje racunalniku podpis, zdaj pa lahko ta racunalnik podpis poslje naprej banki.
se pravi naprava dobi samo nekaj texta in vrne nekaj 'texta'. nima nobenega drugega interfacea z racunalnikom (kar je ful pomembno). tako je uporabnik lahko 100% varen da se bodo izvajale le transakcije ki jih je videl na lastne oci in podpisal s pomocjo 'varne' naprave..
to je edini sistem ki omogoca varnost, vse ostalo je bullshit.
mislim da je cas da v kiberpipi spet organiziramo eno predavanje na to temo... :)
Ziga Dolhar ::
Okej, odgovor na komentarje, počasi in po malem.
Boško: "lepo slovnično"? NE-jev je blo preveč... fejst.
Filo: "gosti" v oddajah nekako ne dobijo monet. Ne vem, nekako tega ni pričakovat.
Marjan: ViP vedno in povsod. v obliki telefonskih linij, poznavanja Slo-Techa kot neodvisne organizacije...
Thomas: niti ti ne garantira varnosti pred DRUGIMI programi. Back Oriffice, NetBus... ki so 'boljši'. Zaščita deluje pred njegovim programom. Kul :)
Switch: na maturantskem plesu sem imel drug reklc in hlače, zelo temne plave barve. Sem pa tega kupil na isti dan ;).
Justy: hvala (pa tudi vsem ostalim).
Sicer je pa tako... to je bil moj prvi tovrstni nastop, tremo sem imel še dve uri po snemanju (vprašite Sergeja; pri njem smo gledal ob 22:00 oddajo, cel kavč se je zarad mene tresel). Posledica tega je tudi to, da sem med snemanjem spregledal, da je voditelj, ko je spraševal, nekaj izpustil -- s tem sem žal "pozabil" omeniti nekaj, kar bi bilo pravzaprav "bistvo" mojega dela dialoga. Jeba -- napaka, zoprna. Zaradi tega sem izpadel 'rahlo' lamersko oz. sem sam pri sebi zelo nezadovoljen, a pozitivno presenečen nad pohvalami (Hvala vam.).
Napako kanim v bližnji prihodnosti odpraviti (ne na TV sicer , lol).
Boško: "lepo slovnično"? NE-jev je blo preveč... fejst.
Filo: "gosti" v oddajah nekako ne dobijo monet. Ne vem, nekako tega ni pričakovat.
Marjan: ViP vedno in povsod. v obliki telefonskih linij, poznavanja Slo-Techa kot neodvisne organizacije...
Thomas: niti ti ne garantira varnosti pred DRUGIMI programi. Back Oriffice, NetBus... ki so 'boljši'. Zaščita deluje pred njegovim programom. Kul :)
Switch: na maturantskem plesu sem imel drug reklc in hlače, zelo temne plave barve. Sem pa tega kupil na isti dan ;).
Justy: hvala (pa tudi vsem ostalim).
Sicer je pa tako... to je bil moj prvi tovrstni nastop, tremo sem imel še dve uri po snemanju (vprašite Sergeja; pri njem smo gledal ob 22:00 oddajo, cel kavč se je zarad mene tresel). Posledica tega je tudi to, da sem med snemanjem spregledal, da je voditelj, ko je spraševal, nekaj izpustil -- s tem sem žal "pozabil" omeniti nekaj, kar bi bilo pravzaprav "bistvo" mojega dela dialoga. Jeba -- napaka, zoprna. Zaradi tega sem izpadel 'rahlo' lamersko oz. sem sam pri sebi zelo nezadovoljen, a pozitivno presenečen nad pohvalami (Hvala vam.).
Napako kanim v bližnji prihodnosti odpraviti (ne na TV sicer , lol).
Justy ::
Ziggga, nikar, tvoj nastop je bil prav cool , se posebaj ce pravis da prvic na TV. Blo je prav zabavno, se posebaj takrat (kot je zgoraj omenil Switch) ko si omenil da za posodobitve pa res ni treba nic vec kot le dva klika . To je res tako pasalo da bolj ne bi moglo.
Drugace pa nikoli ne reci nikoli, kaj ves kdaj bo spet kdo heckal in mogoce te vidimo se celo v kakem eye-to-eye dvoboju z nepridipravi .
Drugace me pa zanima kaj si imel tisto v mislih...... ko pravis da si nekaj pozabil....
Drugace pa nikoli ne reci nikoli, kaj ves kdaj bo spet kdo heckal in mogoce te vidimo se celo v kakem eye-to-eye dvoboju z nepridipravi .
Drugace me pa zanima kaj si imel tisto v mislih...... ko pravis da si nekaj pozabil....
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Madžar si skušal naklikati pot do službe (strani: 1 2 )Oddelek: Novice / Varnost | 16321 (11926) | Looooooka |
» | Slovenija: Firefox prevzel vodstvo (strani: 1 2 3 )Oddelek: Novice / Brskalniki | 19472 (13487) | poweroff |
» | Klik.nlb shekan? (strani: 1 2 )Oddelek: Novice / Varnost | 13513 (10187) | Cokolesnik |
» | Firefox pospešuje (strani: 1 2 )Oddelek: Novice / Brskalniki | 9217 (7250) | Antares88 |
» | NLBjeva svninjarija (strani: 1 2 3 )Oddelek: Loža | 14534 (10658) | asPeteR |