Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Diskuse k článku

Internet: Účty v zajetí útočníků

Komerční banka má problém. Někdo napadl internetové účty desítky jejích klientů. Tuto potíž nezaznamenala poprvé, několik případů neoprávněného čerpání peněz z klientských účtů řešila už v letech 2003 a 2004.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

art

bláboly

Jako obvykle si stačí přečíst první větu "Majitelé internetových kont....." a je jasné jakou úroveň a cíl bude mít článek - postrašit pár pitomců aby měli u piva o čem blábolit.

0/0
29.8.2006 11:54

M

Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

sdělit, jak silné je zabezpečení pomocí certifikátu uloženém v šifrovací kalkulačce?

Co když útočník třeba pomocí keyloggeru odchytí několik dvojic: otázka(např. 6-ti místné číslo), odpověď  opsaná z šifrovací kalkulačky (shluk, řekněme 8-mi znaků).

Je reálně možné aby útočník, když se dostane k několika takovýmto dvojicím (dotaz, odpověď) dovedl už dále odpovědi sám generovat pro každý nový dotaz?

Díky předem za případnou odpověď.

0/0
29.8.2006 9:55

Majklík

Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

V té kalkulačce není certifikát ale jen sdílený klíč, které ví ta kalkulačka a bankovní systém.

Odpoveď je celkem složitá, protože těhto systému existuje celkem velká řada a některé jsou na tom hodně bídně. Třeba u systému postaveném kolem půvdní normy ANSI X9.9 potřebuji odchytit 3 sekvence výzva/odpověď, abych dokázel jednoznačně vypočítat sdílený klíč a pak si zautorizuji co chci. Tento výpočet jde  na menší farmě hlradlových polí provést v přijatelném čase za přijatelnou cenu (v řádu stovek tisíc Kč).

X9.9 tokeny se třeba používají i  jako jednorázové hesla pro přihlášení do systému, naší státní uředníci jich mají pěknou hromadu. Bezpečnost se trošku zvýší když se místo režimu výzva odpověď používá jednosměrná autorizace, kdy musí útočník zachytit někoik odpovědí jdoucí bezprostředně po sobě.

Předpokládám, že tokeny používané teď v bankovním sektoru u nás jsou trošku novější a nepoužívají původná specifikaci s DES šifrou, ale minimálně 3DES a AES, tak je to o řády bezpečnější.

0/0
29.8.2006 11:37

M

Re: Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

Díky za odpověď.

Jenže, 3DES, AES, apod nejspíš bude potřebovat o dost výkonější procesor, než jaký je nejspíš implementován v šifrovací kalkulačce. Šifrovací kalkulačka bude nejspíš pracovat jen s nějakým dost primitivním algoritmem, jinak by to nemohlo být jen takové udělátko, ve kterém dvě peckové baterie vydrží po dobu několika let.... Aspoň se to tedy domnívám.

0/0
29.8.2006 14:13

Majklík

Re: Re: Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

Domnívat se je jedna věc, nabídka těchto tokenů je věc druhá. A třetí věc je, co opravdu banky z toho používají.

Aktuální tokeny umí opravdu většinou  DES, 3DES a AES (128, 192, 256 bitů). Implementace v HW je v pohodě, pracujete s malým množstvím dat a je jedno, že to bude ta kalkulačka chroupat sekundu.

Jinak ani použití čipové karty pro uložení certifikátu není úplně bezpečné. Zneužití je o něco těžší, ale kdo vám dokázal vyfouknout soubor s certifikátem z počítače a odposlechnout heslo k němu, tak zvládne i zneužít toto, je to jen o trošku víc práce a výhoda je, že se to bude ještě hůře prokazovat, že šlo o podvod, pokud se to udělá pačlivě. :-)

0/0
29.8.2006 16:30

mmarek26

Re: Re: Re: Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

jen dodavam, ze tokenove baterky vydrzi jen cca 0,75roku pri obcasnem pouzivani ... dejme tomu ze jsme to pouzival 5-7x mesicne. Ted to mam pres mobil, neni to nikterak bezpecne, ale nemam tam velke castky a nechtelo se mi platit az 90,-/mesicne za token.

BTW: veci na cteni cipovek najdes napr tady http://www.elatecworld.com/rfid-125-readermodules.htm- zhodou okolnosti vim ze precist cipovku (a zrovna tu co ma CS) neni tak tezke. Kolegove mi udelali klon platebni karty za par sekund (je pravda ze to je jen tupe Hi LO-CO)

0/0
29.8.2006 17:18

lolek77

Re: Re: Re: Re: Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

Tato diskuze byla pro mne prospěšnější než celý článek a díky za ni.

0/0
29.8.2006 18:22

mmarek26

dalsi docela slusne popleteny clanek

zase smichany tvrzeni odborniku z absolutne laickym pohledem redaktorky. Ja myslel ze pokud chce slecna / pani k tomu neco psat, tak ma tomu rozumet a ne plest dve na tri.

Stve me to, pracuji, podnikam v oblasti ICT a tohle vse z tim souvisi, akorat to nazenm lidem zbytecne neopravnene obavy typu - kazdy ucet i matky na materske je ohrozen. Ted zase budu muset vsem co tomu az tak nerozumi vysvetlovat jak a co. Kdyby idnes radsi vydala nejaky vzdelavaci magazin, kdy by bylo neco o tom jak to vse funguje (nemusi jit uplne fest do hloubky, staci par lekci - ono to zas tak super tezko komplikovane neni) a vysvetlit co znamena PC, co je OS, jak si ho zabezpecit, co je ISP, co je connect, jak funguji hacky z netu, co je FWRL, jak si ho nastavit, resp. kde si pozvat firmu co to udela. Treba se ozve nejaka firma, co prave toto dela, treba udelat pack za 2 - 3 tis, napise serial a bude nabyzet, ze to lidem zabezpeci a naco je nauci co z tym, jak si udrzovat PC z bezpecnem stavu.

0/0
29.8.2006 9:39

mmarek26

Re: dalsi docela slusne popleteny clanek

 

Ale takoveto lamariny me fakt dostavaji, slecno / pani redaktorko stydte se

0/0
29.8.2006 9:39

Horv

Re: dalsi docela slusne popleteny clanek

Nemůžu jinak než souhlasit s tímto názorem. jsem programátor a když jsem si přečetl tento článek poměrně jsem se divil. Nepopírám, že dostat se k špatnému uživateli do PC je nějak velký problém, ale dnes již i windows má poměrně dobrý firewall a strašit běžného uživatele, který je rád že posílá emaily a surfuje na netu mi připadá zbytečné. Je dobré vědět o tomto riziku, které se může teoreticky týkat všech, ale mnohem užitečnější by mi přišlo kdyby se pod článek dal odkaz jak nastavit bezpečnost PC než strašit řadového uživatelé, který určitě nevím, že má ve svém AP určitě další firewall.

0/0
29.8.2006 10:37

petr

Re: Re: dalsi docela slusne popleteny clanek

Na obranu tohoito clanku, v dnesni dobe je lepsi lidi trochu strasit, aspon si daji pozor, neb der v pececkach a v systemech je fura....;-) Argumentace typu (bez urazky) v tomto oboru podnikam, nebo jsem programator neni zarukou, ze tomu dotycny rozumi ...

0/0
29.8.2006 22:11

DarkLogic

Re: dalsi docela slusne popleteny clanek

Delam ve firme zabyvajici se telekomunikacemi a poskytovanim internetu zvlaste. Musim potvrdit, ze slecna redaktorka opravdu dava dohromady jabka a hrusky. Pokud si tohle precte hodne lidi, tak zase budeme muset klientum vysvetlovat, jak to je doopravdy. Chjo, takove redaktory to chce vyhazovat, nez zpusobi nejakou skodu.

0/0
29.8.2006 23:11





Finance.iDNES.cz radí

Víte, že půjčku můžete vyřídit kompletně on-line?

Další rady k nezaplacení

Dopřejte si vše a přesto utrácejte chytře!

V sekci osobni.finance.idnes.cz naleznete výhodné nabídky finančních produktů, energií a telefonování.

Vstupte do obchodu

Poraďte se s odborníkem

Nevíte si rady s finančními otázkami? Naši odborníci vám vždy poradí v každé životní situaci.

Vstoupit do poradny

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.