Vlákno názorů k článku Odposloucháváme data na přepínaném Ethernetu (6.) od Pepa - Jenže jak poznáte, že je to hash z...
-
mm (neregistrovaný)No, kontrola, zda SMS klic nalezi k transakci, kterou mam na monitoru je samozrejme velice dulezita.
Ale neni mne moc jasna ta myslenka s man-in-the-middle v souvislosti se SMS autorizaci.
Dejme tomu, ze jsem tak blbej, ze mne podstrci vlastni verze webu banky (viz. overovani certifikatu). Cela akce by pak ale byla pomerne slozita - musel by bance nejak emulovat uplne jinou transakci na mem uctu, zatimco ja bych na monitoru videl, ze delam neco uplne jineho...
Samozrejme by se melo dodat, ze sila celeho systemu SMS klicu je v tom, ze jsou pouzity ve spojeni s heslem a certifikatem. SMS klic podle me slouzi hlavne k tomu, aby s vasim uctem nemohl nikdo manipulovat jen na zaklade nejak zjisteneho jmena a hesla...A kontrola certifikatu banky JE ZAKLAD. -
Buki (neregistrovaný)teda nejsem odbornik, ale rekl bych, ze ten overovaci kod, ktery obdrzite v SMS, je nejaky hash, jehoz soli jsou i udaje o danem prevodu, takze utocnik nebude schopen prevest jinou castku na jiny ucet. Ale samozrejme si to muzu predstavovat prilis idealisticky a pravda je jinde ...
-
anonymníTohle všechno je hezké a mně i dávno známé. Útoku se říká MID, man-in-the-middle. Problém je jen v jednom: v těch certifikátech: zapnete online banking, nahodí se Java virtual machine a začne Vám hlásit, jestli chcete pokračovat, že podpis je OK atd., jen ta certifikační autorita je prostě nějaký "noname". Banka si prostě udělá svojí certifikační autoritu a není ochotná zaplatit těch pár desítek dolarů (ne-li stovek) za rozumný certifikát. Řeknete si, že to přeci není problém, stačí to naimportovat jen jednou - jenže tohle nedělá jen jedna banka (přehled ale o všech nemám) a za druhé - kdo má tohle kontrolovat (buď fingerprint či nějak podobně rozumným způsobem)... Takže 99% uživatelů je pak stejně nuceno odklepnout u své internetové banky, že je všechno OK - a to jedno procento, které si ověřilo fingerprint jsou holt paranoidní adminové... Dnes bych z toho důvodu ani omylem nešel do bankovnictví, které je čistě elektronické, tedy vše jede přes moje a bankovní privátní klíče. Jakmile je k tomu alespoň malá krabička (ani nemusí fungovat na principu veřejné kryptografie, jak to má u své krabičky Ebanka, stačí buď ten levný RSA generátor či cokoli podobného, co má např. HVB) - případně stejnou funkci splní i sekundární ověřování pomocí SMSky zaslané na předdefinovaný telefon. A klidně nezabezpečené (čili normální SMSka, ne v rámci SIM toolkitového bankingu). Pak jsou na mne celkem krátcí i všichni MID útočníci a všichni, co mi napíchli klávesnici, aby si přečetli heslo k mému privátnímu klíči (a dnešní viry jsou hlavně o tomhle a ne o zobrazování hlášky "dej mi sušenku")... Howgh...
-
Petr (neregistrovaný)SMS pomuze jen v pripade, ze je tam kompletne vypsana transakce. (Tj. zapomente na soukromi :-)) A ze si skutecne zkontrolujete, ze ten autorizacni kod nalezi k transakci, kterou chcete provadet.
Jinak man-in-the-middle porad muze fungovat: Vy mu pretukate ze sve SMS autorizacni klic do jeho okna, on ho preposle bance - a prave jste mu dal svoleni prevest vsechny sve penize na ucet bileho kone. -
Petr (neregistrovaný)Jadro meho argumentu je v tom, ze ve vetsine pripadu SMS autorizace man-in-the-middle neznemoznuje.
Obecne konstatovani je, ze uzivatele vetsinou certifikat nekontroluji. (To, ze ceske banky nemivaji certifikat podepsany nejakou defaultne instalovanou CA, tomu jeste napomaha.) Chyba "certifikat byl vystaven pro nekoho jineho" je natolik casta, ze hlasku o divnem certifikatu vsichnio odklikavaji automaticky.
Tento automatismus uzivatelu umoznuje man-in-the-middle proti https.
A pointa je v tom, ze SMS tomuto man-in-the-middle nezabrani.
Scenar:
1. Prihlasim se k podvrzenemu webu banky.
2. Server utocnika se prihlasi ke skutecnemu webu banky.
3. Prihlasim se (user id, PIN atd.). Utocnik to preda bance beze zmeny.
4. Zadam nejakou zajimavou transakci na webu utocnika (napr. v pripade CSOB bankingu hromadny prikaz k uhrade). Utocnik na webu banky zada hromadny prikaz na stejnou castku, ale na jina cisla uctu.
5. Prijde mi SMS, ktera obsahuje autorizacni kod. SMS rika, ze chci prevest X korun, jenze nerika kam.
6. Ja SMS nadatlim na web utocnika, ten ji preposle bance - a voila!
SMS klic nezabrani manipulaci s mym uctem jen na zaklade jmena a hesla, pokud ten utok probiha v dobe, kdy si ja myslim, ze jsem ja pripojeny.
ČLÁNKY DO MAILU