Vlákno názorů k článku Ako oklamať keylogger od anonym - chcete se bezpecne prihlasit? - noste si certifikat...
-
MR (neregistrovaný)Obavam sa ze ani to by Vam v pripade pocitaca na ktorom je mozne spustit keylogger nepomohlo. Ak dokazete spustit keylogger mozno totiz predpokladat ze dokazete spustit prakticky cokolvek teda lahko moze byt kompromitovany Vas sukromny kluc ktory pouzivate pri prihlaseni, je sice pravda ze je to o cosi tazsie ale v ziadnom pripadne nemozne.
-
Petr (neregistrovaný)naivko ...
1) vetsina verejne pristunych compu ma usb a cd/dvd/floppy mechaniky odpojene
2) kdyz je nema odpojene ma je sledovane na viry, trojany atd
3) neni problem zaridit automatickou akci "zkopirovani flasdisku"
fakt neni rozdil mezi certifikatem na cd/dvd/floppy/flash , akorat ta flaska je asi nejlip prenosna. I kdyz vizitkove cd v dokladech se mi zda prenosnejsi ;) -
jojoii (neregistrovaný)nechcem rypat, ale ked uz sa bojis toho keylogera, tak by si sa mal bat akehokolvek sw nainstalovaneho na tom pc. aku mas zaruku, ze tam nie je nainstalovana vec, ktora miesto toho aby poslala klucu na zasifrovanie data potrebne na prihlasenie, mu posle data na bankovy prevod? mas pravdu: kluc nikdy neopusti token, ale aj ten token je zavisli na tom, co mu posle obsluzna aplikacia na zasifrovanie. v podstate si aj v pripade tokenu zavisli na tom ci nie je zelezo do ktoreho ten token strcis skompromitovane. NIKDY nepouzivat tokeny v nedoveryhodnom prostredi. X509 v tom pripade opat raz straca zmysel.
-
jojoii (neregistrovaný)oprav ma ak sa mylim, ale v konecnom dosledku je to OBYCAJNA aplikacia (povedzme browser) ktora posle data na zasifrovanie/podpisanie. to ze na to vyuziva rozne Crypto API. Co aj je tam nejaky blby zakerny kod, ktory infiltroval logiku browsra a miesto TVOJICH dat poslal tokenu VLASTNE data. Cesta akou to uz potom prejde, nie je podstatna, ked hned na zaciatnu sa poslali modifikovane data. Pointa ktoru som nacrtol je, ze mas 3 "autonomne" role: clovek, pocitac a token. Clovek nieco povie pocitacu. Pocitac posle data tokenu. Token zasifruje a posle spat PC. Ale co ak si pocitac povie ze "nebude posluchat cloveka" a posle si co on bude chciet? Ber to tak, ze ak je to PC kompromitovane, de facto moze robit co chce(co mu kompromitovany kod prikaze) a na svoje interfaces posielat tiez co chce. Na obrazovne uvidis nieco uplne ine ako sa v skutocnosti podpise.
-
jojoii (neregistrovaný)nebud az taky pesimista. :-) preco si myslis, ze si "nikdy nemozes byt isty"? mozes mat napriklad "dedikovany" notebook, ktory nebudes pouzivat nikdy inak, ako na taketo veci. ziadne instalovanie dalsieho sw, nic. bloknute vsetky veci zvonka. samozrejme nepouzitelne na normalnu pracu, ale preto som povedal dedikovany. existuju postupy, ako mozes kludne spavat.
a btw. preco si myslis, ze popisany utok je az taky komplikovany? ak niekto zvladne keyloger, citanie clipboardu a pod. potom ma asi dost potencialu ist dalej. toto uz je len o fantazii, nie o programatorskych skills. nastastie nedostatok security expertov je na oboch stranach barikady. :-) -
Ano. Dedikovany notebook je ale pomerne draha sranda (aby se vsechny ty AJAXove portaly hybaly ;)
Nanestesti MIM utoky jsou vetsinou 'nekde na siti' a pak uz jen najit chybicku v browseru (nebo cemkoliv jinem, co mas v systemu), ktera mu dovoli Tvuj browser ovladat vzdalene.
Keylogger/cteni clipboardu je pomerne trivialni zalezitost. Mas pravdu, nejde o programatorske skills. Ale te fantazie je potreba mnohem vic, nez na keylogger ;) -
Zero (neregistrovaný)Ani nie, staci mu obycajny sniffing na sieti... odchyti pakety a aj tak si v ...
a to ze ty posles nejake zasifrovane data??? nejaky cas mu sice potrva desifrovanie, ale nakoniec to desifruje. Najvecsie nebezpecenstvo je v tom, ze ty ani nevies ze ti odchytil komunikaciu a veselo pouzivas heslo dalej... ale to je uz podla mna dost OT... -
jojoii (neregistrovaný)nech si snifuje. trusted certifikaty uz mam u seba, tie mi pomocou MIM nepodhodi. ano, moze desifrovat co som poslal. vsetko sa da zlomit, otazka je ako dlho potrebujem, aby mu to trvalo => podla toho pouzijem silnu sifru. ale ked uz raz bankovy transfer bude vykonany, je mu to zbytocne. znova tie udaje pouzit na novy (nim podvrhnuty) transfer nemoze. potrebuje na to moj kluc, ktory mam na nb/tokene. ssl/tls je bezpecne (dostatocne na dany ucel) ak zabezpecis tie veci okolo utajenia privatneho kluca a trusted autority. a nemam heslo. mam certifikat, a na autentizaciu/autorizaciu pouzivam diffie-hellman. nema co odchytit tak aby mu to bolo na nieco.
-
jojoii (neregistrovaný)jop, len si neviem celkom dobre predstavit jednu vec: predstavte si, ze chcete podpisat dokument. pre zopakovanie: vezme sa dokument, vypocita sa hash (sha1, md5), ten sa zasifruje privatnym klucom v certifikate, t.j. posle sa tokenu na zasifrovanie. token zasifruje, posle spat, software pripoji zasifrovany hash k dokumentu, este to trocha pozuje (prezvika - cz, myslim ze tak sa to povie po cesky :-) ) a elektronicky podpisany dokument je na svete.
chcem vsak vidiet toho pouzivatela, ktory si kukne PDF a v hlave si vypocita sha1 aby si to mohol skontrolovat s tym sha1 na display tokenu. ked chcete porovnavat hodnotu na display, z principu musite mat nieco s cim to porovnate. a to nieco vam na monitor moze byt opat podhodene kompromitovanym sw.
ee. tadialto cesta nevedie.
