Hlavní navigace

Vlákno názorů k článku Je šifrování českých bank bezpečné, nebo je to jen iluze? od Vít Šesták (v6ak) - Pochybuji, že běžný uživatel do adresy zadá na...

Článek je starý, nové názory již nelze přidávat.

  • 26. 7. 2010 17:41

    Vít Šesták (v6ak)

    Pochybuji, že běžný uživatel do adresy zadá na začátek i „https://“, když to přece „funguje úplně stejně i bez toho“. A když třeba *** (jméno vynecháno) ve své příručce píše adresu bez protokolu… (Již jsem nejmenovaným psal, odpověděli mi něco ve smyslu, že děkují za zajímavý námět, více nevím.)
    K přesměrování na https verzi sice dojde, ale samotné přesměrování probíhá nezabezpečenou cestou (http). V této chvíli má útočník nejjednodušší šanci. Pokud uživatel po zadání adresy ji již dále kontrolovat nebude anebo si nevšimne, že spojení najednou není šifrované, je jakékoli SSL bezpředmětné.
    Že je tu ještě SMS? To považuji za takovou druhou linii, která by neměla být potřeba. Má-li to být stavebním kamenem zabezpečení (nechtěl bych), pak nevidím smysl v SSL.
    Nechápu, proč je tomuto problému věnováno tak málo pozornosti.
    Já si třeba pro ebanking vytvořil speciální profil prohlížeče s domovskou stránkou ebankingu, čímž:
    * řeším problémy se špatnou adresou (překlep) a řeším relativně málo (pro bankovní účely) zabezpečenou synchronizaci záložek, kterou by šla (v případě použití záložek) podstrčit jiná adresa
    * řeším CSRF, clickjacking a případně další útoky mezi stránkami (jasně, toto by měla řešit banka, toto je spíše pojistka)
    * možná odstíním část nepříliš do detailů (kvůli 20/80) navržených útoků na prohlížeč od bankovního účtu.

  • 31. 7. 2010 8:49

    Vít Šesták (v6ak)

    Tak fajn, tak nejsem první, koho to napadlo. Bohužel jsem ale asi stále jeden z mála, kdo to řeší. Chtělo by to na tento problém nějak dobře upozornit. Do akce se až tak nehrnu – na domácí síti by to nemělo až takový efekt a na univerzitní síti by takovéto aktivity měly prý velmi rychlý efekt, kterého ale nechci dosáhnout. Navíc by se to dalo asi klasifikovat jako získání neoprávněného přístupu k cizímu počítačovému systému.
    K SMS jasně, v praxi by to ale asi nebylo až tak jednoduché. Teoreticky, pokud by SMS z banky byly posílány bezdrátově z jednoho místa, dalo by se dekódovat velké množství dat a získat tu SMS. Asi by potřebný HW poskytující dostatečný výkon nebyl úplně levný. A pokud to budou posílat třeba přímo operátorovi zabezpečenou cestou, je tato možnost vyloučena. Druhá možnost by bylo zjistit, kde jsem já, a sniffovat tam. Zjistit to by ale taky nebylo zrovna jednoduché.
    Navíc nevím, jak jde identifikovat konkrétního příjemce, možná by tu byl taky problém vyžadující dekódovat vše…
    Samozřejmě, jak jsem psal, SMS považuji za takovou druhou linii, na které zabezpečení nestojí, ale která útok dovede znesnadnit.

  • 1. 8. 2010 6:36

    Jenda (neregistrovaný) ---.net.upc.cz

    Stačí sniffovat GSM provoz někde, kde chodí bankovní SMS často. Centrum města například.
    Osobně odhaduji, že alespoň třetina Windows počítačů v sobě má nějakého červa. Pak je pravděpodobnost, že jsem chytnul SMS a zároveň je počítač, na kterém je vykonávána ta transakce, děravý, docela vysoká.
    Ale přiznám se, že kdybych chtěl rychle nelegálně získat peníze, tak radši napíšu nějaký phishing, který bude konečně správně česky a vůbec vypadat důvěryhodně.

  • 1. 8. 2010 8:56

    Vít Šesták (v6ak)

    Možná by to šlo, ale je to přinejmenším komplikace. Bylo by asi potřeba sniffovat větší provoz, což by mohlo být HW náročné. Ale přesně to neřeknu, nevyznám se v tom nějak extrémně dobře.
    S UMTS je to asi lepší, ale to používám jen občas, ono zase více žere.