Názory k článku Trendy v internetové bezpečnosti: Většina českých bank není odolná proti ClickJackingu
-
Petr (neregistrovaný)Tam jde o to, ze mas v jednom okne otevreny tvuj ucet a v druhem klikas treba na stryptyz a kazdou akci zaroven listujes po svem uctu a preposilas nekomu data, ne ze platis. Treba se zjisti komu platis, jake mas prijmy, jestli si zajimavej pro vetsi utok apod. Takto to aspon chapu ja. Kdysi jsem delal ochranu proti teto srande, myslim ze v reklame se da podobneho principu take zneuzit.
-
Martin Straka (neregistrovaný)Nijak a take myslim ze to nelze. Zlehcim to, ale Rasto asi potreboval rict neco zajimaveho a tak si vymyslel toto tvrzeni:)
Taky by me zajimalo, jak napriklad v bankovnictvi eBanky docili jakekoliv akce (i napriklad pouze zmeny nastaveni, ktera nepotrebuje potvrzeni kodem ze SMS) pomoci clickjackingu.
Nektere aplikace jsou proti clickjackingu odolne i kdyz nezavedly zadnou dodatecnou ochranu - podle me mel na mysli to, ze u tech zminenych nejakou tuhle dodatecnou ochranu (pravdepodobne nejakou variantu frame busting kodu) nasel. -
banka a operátor (neregistrovaný)Ale pracoval jsem přímo na oddělení elektronického bankovnictví v centrále jedné z velkých bank a teď pracuji pro mobilního operátora...
No a nebudu zde popisovat jak, ale autorizaci SMS zprávami lze obejít velice jednoduše :-)
Ono vůbec elektronické bankovnictví není dost zabezpečené, nikdo o tom veřejně nemluví, ale v podstatě není zabezpečené prakticky vůbec - když někdo opravdu chce, dostane se do jakéhokoli účtu a převede kolik potřebuje.
Skutečnou ochranu tvoří jenom pojištění elektronických transakcí a detailní evidence - většinou není kam peníze převést, aby se na to nepřišlo a peníze do "daňových rájů" se pozdržují a ručně prověřují. -
anonymníA co brání počítači si tu sms přečíst? Čistě z prohlížeče asi ne, ale "aplikace" s trocohu štěstí může. Zvláště pokud se používají normální SMS a ne bankovní toolkit. A bude to ještě lepší než doteď, jak se stane micro USB normou pro nabíjení mobilů. Počkám si, až uživatel připojí mobil, přepnu do tichého režimu a pošlu si SMS a pak vyčtu a patřičně odešlu dál. V případě modrozubu a důvěrného párování je to další možnost.
-
anonymníNa vašem počítači, z kterého i sám obvykle provádíte operace s internetovým bankovnictvím (aby si zjistilo případně i heslo k certifikátu nebo pro přihlášení) a v době vaší neaktivity a dostupného darového spojení k mobilu zkrátka odešle klasicky požadavek do banky, vyzvedne si SMSku z mobilu a potvrdí, co potvrdit potřebuje, SMS smaže a odinstlauje se.
Tento koncept je výhodný i z toho důvodu, že z pohledu banky bude probíhat vše z počítače/místa odkud probíhají i vaše normální aktivity a žádné exotické destinace.
Ten micro/mini USB konektor bude funkční i pro data, takže pokud připojíte mobil s ním k počítači, tak se bude nabíjet také, což bude asi i dost lidí využívat a tím pádem dostupnost mobilu bez přítomnosti uživatele bude zase o něco pravděpodobnější. Další varianta je ten modrozub, ale to chce mít to důvěrné párování, aby to uživatele zbytečně neobtěžovalo.
Pokud mám mobil připojen k počítači, tak si z něj vyčíst SMSku je celkem bezproblémová záležitost, stejně jako odchycení interaktivního přihlášení i případného PINu k certifikátu (ani není překážkou, pokud je certifikát na čipové kartě, pokud teda nemá čtečka čipové karty samostatný keypad a nebo uživatel je paranoidní hňup, který pořád čipovku vyndává z čtečky a má ji tam jen po nezbytně nutnou dobu). -
:-) (neregistrovaný)Jak? No nechá si vystavit duplikát SIM karty! Jednoduché!
U dobíjecích karet k tomu stačí znám datum posledního dobití, nejčastěji volaná čísla, přibližný zůstatek kreditu atd. V podstatě co ví každý z okolí toho člověka, když trochu chce - dobíječky u nás má 60% obyvatel
No a 40% paušálů - přijdete na značkovku operátora, vytasíte falešnou občanku, kde si jen zaměstnanci ověří RČ a číslo OP a vystaví Vám duplikát SIM :-))
--
Mně na tom nic extra složitého nepřipadá. A navíc vystavením duplikátu SIM je ta původní nefunkční, takže kdo si myslí, že by mu v případě výběru z účtu přišla SMS - tak SMOLÍK PACHOLÍK, ta SMS přijde taky zloději :-)))
--
Ono je to není vinou operátorů, ale BANKY - zabezpečení GO karty určitě není navržené k tomu, aby chránilo miliony - že je banka schopná opřít zabezpečení účtu klienta o zabezpečení anonymní dobíjecí karty - to už je jiná věc :-)
Pak stačí nakráčet do O2, zahlásit např. PUK, poslední nabití, částku, datum, čas, kolik máte kredit a za 400Kč máte krásný duplikát SIMky asi za dvě minuty :-)))
Jsem jediný komu to přijde snadnější jak sebrat dítěti lízátko?
Když jsem byl u Vodafonu, tak tam po mně dokonce chtěli jen heslo do samoobsluhy a už jsem měl taky duplikát SIM...
Co chce při výměně SIM T-Mobile netuším, ale asi nějaký extra údaje to nebudou :-)))
--
Nejlepší zabezpečení je pomocí šifrovacích klíčů uložených v tokenu :-)
To je samozřejmě dražší a běžný uživatel BLB, by to nezvládl, takže se používá nulové zabezpečení přes SMS :-(( -
stoural (neregistrovaný)Jednoduche :) CHA CHA CHA :)
"U dobíjecích karet k tomu stačí znám datum posledního dobití, nejčastěji volaná čísla, přibližný zůstatek kreditu"
To zjistite jak?
"přijdete na značkovku operátora, vytasíte falešnou občanku"
Tu ziskate jak?
"A navíc vystavením duplikátu SIM je ta původní nefunkční"
Ano, v tom okamziku zakaznik vola na linku operatora.
"Mně na tom nic extra složitého nepřipadá."
Me teda ano. Narysovat teoreticky, jak by to slo, dokaze kazdy. Neni snadnejsi obraz nekoho, kdo si prave vybral penize z bankomatu?
"Pak stačí nakráčet do O2, zahlásit např. PUK, poslední nabití, částku, datum, čas, kolik máte kredit a za 400Kč máte krásný duplikát SIMky asi za dvě minuty :-)))"
Jak zjistite PUK? Jak zjistite posledni nabiti/datum/cas.
Proboha, predstavujete si to jako hurvinek VALKU. Ovladate telepatii? Zrejme ano. -
HaryFotr (neregistrovaný)Mě by spíše zajímalo, jestli se dá zfalšovat (podvrhnout) údaj o tom VeriSign certifikátu, co se dá zobrazit kliknutím na dolní lištu (ve FFoxu). Je to jedn věc, co si zobrazuju před zadáváním hesla do i-bankovnictví, akorát nevím je-li to k čemu.
Další věcí, co je možná dobré? je je spustit netstat a kouknout, kde všude je člověk připojen. Akorát localhost:port mi nic moc neříká o daném připojení, lze zjistit více podrobností?
ČLÁNKY DO MAILU