Vlákno názorů k článku
DNS cache poisoning útoky
od Pavel F. - Útočník pravděpodobně nikdy nezíská webový certifikát od uznávané...
-
Pavel F. (neregistrovaný)Útočník pravděpodobně nikdy nezíská webový certifikát od uznávané certifikační autority, které jsou standardně v systému, takže základní pravidlo by mělo stačit - při přihlašování na citlivé servery (ať už banky či své systémy) zkontrolovat, zda server má v liště "zámeček". Pokud útočník použije certifikát s jiným Common Name, tak browser obvykle zařve.
-
nevim jak by utocnici vygenerovali SMS, kterou posila prvni nase banka (uz 10 let) komunikujici prostrednictvim Internetu. Do te doby se utocnik nedozvi nic krome cislicka ktere neslouzi jako heslo. Takze pouzivejme "bezpecne" komunikacni kanaly a nechodme do bank, ktere je nechteji vytvorit. Nic neni uplne bezpecne ale neminimalizovat riziko je veci kazdeho uzivatele. Kdo jde za cenou a ne za bezpecnosti zrejme nema co ztratit. Je to svobodne rozhodnuti kazdeho obcana. -
Karl von ... (neregistrovaný)ano, ale clovek pred vami nemluvil o parodii na banku jmenem Ceska Siditelna... nybrz o te jedine a nej bance, ktera ma takove a mnohe lepsi vychytavky jiz 10let ;)
takze male "surprise" pro vas:
- sms prijde a je pouzitelna jednou jedinkrat (pro prihlaseni/transakci), takze se utocnik prihlasi a vidi vas zustatek - OK souhlasim
- utocnik si chce zridit prikaz - posle si dalsi SMS a kam ji zadate? - pokud si chcete zalozit transakci vy, a utocnik vam podstrci jinou sumu nebo ucet, tak to v SMS vidite...
(jeste podotykam, ze pokud zde chcete spekulovat o tom, ze vlastne utocnik je schopen poslat jine udaje vam a jine udaje sobe, tak to bohuzel nejde, jiste chapete - prisly by vam 2 sms) ;)
takze se ptam: ktery dobrodruh je ochoten pouzivat tu zasr. parodii na banku jmenem Ceska Siditelna?? :-D -
anonymníCeska Siditelna, to je ta nechutně drahá banka, jak teď zrovna všechny její klienty pěkně napálili, když banku zlikvidovali a ony klienty přehráli pod die flugel úplně jiné?
Snad jen pro informaci, popsaným způsobem fungují autorizace transakcí také u jiných bank, neznalost reálné situace nijak nezavdává k oprávnění prohlášení, že tomu tak není.
No a konečně, člověk, kterého nezastaví informace webového prohlížeče o fujtajbl certifikátu, nezastaví ani nějaká nesmyslná čísla v sms, kterou nutně potřebuje pro zaplacení účtu za telefon, nájmu, nebo čehokoli jiného...
Nezbývá než doufat, že drtivá většina lidí se řadí do skupiny, jež si čte dialogy dříve než stiskne tlačítko "Ok", "Yes", "Ano", "Sere pes"... Takovou naději ovšem trochu kazí skutečnost, že i někteří IT profesionálové mají mnohdy problémy pochopit, že podle názvu, IP adresy, MAC či čehokoli podobného není možné jednoznačně a bezpečně identifikovat zařízení v síti. ;-)
