Diskuze

Internet: Účty v zajetí útočníků

Komerční banka má problém. Někdo napadl internetové účty desítky jejích klientů. Tuto potíž nezaznamenala poprvé, několik případů neoprávněného čerpání peněz z klientských účtů řešila už v letech 2003 a 2004.
Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

art

29. 8. 2006 11:54
bláboly

Jako obvykle si stačí přečíst první větu "Majitelé internetových kont....." a je jasné jakou úroveň a cíl bude mít článek - postrašit pár pitomců aby měli u piva o čem blábolit.

0 0
možnosti

M

29. 8. 2006 9:55
Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

sdělit, jak silné je zabezpečení pomocí certifikátu uloženém v šifrovací kalkulačce?

Co když útočník třeba pomocí keyloggeru odchytí několik dvojic: otázka(např. 6-ti místné číslo), odpověď  opsaná z šifrovací kalkulačky (shluk, řekněme 8-mi znaků).

Je reálně možné aby útočník, když se dostane k několika takovýmto dvojicím (dotaz, odpověď) dovedl už dále odpovědi sám generovat pro každý nový dotaz?

Díky předem za případnou odpověď.

0 0
možnosti

Majklík

29. 8. 2006 11:37
Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

V té kalkulačce není certifikát ale jen sdílený klíč, které ví ta kalkulačka a bankovní systém.

Odpoveď je celkem složitá, protože těhto systému existuje celkem velká řada a některé jsou na tom hodně bídně. Třeba u systému postaveném kolem půvdní normy ANSI X9.9 potřebuji odchytit 3 sekvence výzva/odpověď, abych dokázel jednoznačně vypočítat sdílený klíč a pak si zautorizuji co chci. Tento výpočet jde  na menší farmě hlradlových polí provést v přijatelném čase za přijatelnou cenu (v řádu stovek tisíc Kč).

X9.9 tokeny se třeba používají i  jako jednorázové hesla pro přihlášení do systému, naší státní uředníci jich mají pěknou hromadu. Bezpečnost se trošku zvýší když se místo režimu výzva odpověď používá jednosměrná autorizace, kdy musí útočník zachytit někoik odpovědí jdoucí bezprostředně po sobě.

Předpokládám, že tokeny používané teď v bankovním sektoru u nás jsou trošku novější a nepoužívají původná specifikaci s DES šifrou, ale minimálně 3DES a AES, tak je to o řády bezpečnější.

0 0
možnosti

mmarek26

29. 8. 2006 9:39
dalsi docela slusne popleteny clanek

zase smichany tvrzeni odborniku z absolutne laickym pohledem redaktorky. Ja myslel ze pokud chce slecna / pani k tomu neco psat, tak ma tomu rozumet a ne plest dve na tri.

Stve me to, pracuji, podnikam v oblasti ICT a tohle vse z tim souvisi, akorat to nazenm lidem zbytecne neopravnene obavy typu - kazdy ucet i matky na materske je ohrozen. Ted zase budu muset vsem co tomu az tak nerozumi vysvetlovat jak a co. Kdyby idnes radsi vydala nejaky vzdelavaci magazin, kdy by bylo neco o tom jak to vse funguje (nemusi jit uplne fest do hloubky, staci par lekci - ono to zas tak super tezko komplikovane neni) a vysvetlit co znamena PC, co je OS, jak si ho zabezpecit, co je ISP, co je connect, jak funguji hacky z netu, co je FWRL, jak si ho nastavit, resp. kde si pozvat firmu co to udela. Treba se ozve nejaka firma, co prave toto dela, treba udelat pack za 2 - 3 tis, napise serial a bude nabyzet, ze to lidem zabezpeci a naco je nauci co z tym, jak si udrzovat PC z bezpecnem stavu.

0 0
možnosti