Co? Kurňa, jak minimální?
"Možnosti správců uživatelských PC a samotných uživatelů postupovat proti pharmingu založenému na napadení DNS serveru jsou v podstatě minimální."
- A co upozornění na neplatnost certifikátu SSL? Když nějaký trubky klikaj na "ANO, PEČU NA TO, ŽE BANKA MÁ NEPLATNEJ CERTIFIKÁT" i při vstupu do banky...
To je sice pravda, ale ktery domaci uzivatel nepracuje jako administrator nebo clen skupiny administrator? Myslim si, ze v tomhle je ten hlavni rozdil.
Problém je v tom, že ve Windows bez administrátorských oprávnění prakticky neuděláte nic... takže většina lidí musí být administrátory ať chce nebo ne.
Nejlepší je, když se přihlašovací a potvrzovací údaje dynamicky mění - OTP, "kalkulačka", SMSky... pak si ani pharming neškrtne.
Jo a samozřejmě NIKDY po mně žádná banka nebude chtít poslat, zadat či jakkoliv "sdělit" ani jméno, ani heslo, ani PIN karty, prostě nic. A když jo, tak jim ho neřeknu a nenapíšu a sám aktivně zavolám na infolinku a poptám se, komu ruplo v šišce.
Pod Windows bez administrátorských práv uděláte přesně to co si předtím pod administrátorskými právy ve Windows nastavíte a povolíte... takže je rozdíl mezi tím co pod Windows nejde a co Windows neumožňuje a tím co pod Windows neumím nastavit.
To neni pravda. Ja vim, ze se to casto tvrdi, ale staci si to vyzkouset a s uzasem zjistite, ze znacna cast aplikaci se da bez omezeni (!) provozovat i pod Userem. Dalsi aplikace staci relativne jednoduse nastavit (vesmes si vystacite s povolenim zapisu pro jednotlive soubory nebo prinejhorsim nejaky ten pracovni adresar). Jen velmi malo aplikaci se prinutit neda, a ty je vzdycky mozne spoustet pod jinym uzivatelskym uctem...
Hmm, tohle by vysvetlovalo dnesni ranni problemy eBay.de - pulka veci nefungovala a kazdou chvilku na me vyskakovalo okno o certifikatu vyprsenym pred ctrnacti dnama :-)
Není. Je jenom otázka, jaké aplikace používáte. Já jsem chtěl používat aplikace vcelku běžné. Pod uživatelem to nainstalovat nešlo. Pod adminem šlo, ale uživatel to zase nemohl používat. Aaach jo. Tak jsem to zabalil.
V tomto (a nejen v tomto) je linux řešený o hodně lépe.
Napr. ja mám TV kartu Pinnacle PCTV/Pro, ktorá ide len pod administrátorom. AK sa prihlásim, ako iný užívateľ, tak mi nejde. Výrobca o tom vie, ale ovládače už neaktualizuje. To je u mňa hlavný dôvod, prečo pracujem pod administrátorom.
Až na zcela vzácné výjimky jde jen o prasácky napsané aplikace, které se snaží zapisovat do registry nebo na disk tam kam nesmějí. Pomocí filemonu a regmonu od Sysinternals jde vysledovat kam a povolit zápis do určitého klíče nebo adresáře. Dá to práci, ale když už se to jednou udělá, lze pracovat pod Userem celkem v pohodě.
Prave, da to praci. Docela dost prace. A ktery bezny uzivatel to zvladne? Deda ma nainstalovane Kubuntu, dela na nem bez problemu a vite co? Nemusim ho kazdy mesic odvirovavat, jako predtim u Windows 98. Jisteze i na Windows se lze chovat bezpecne. Ale neni to tak jednoduche jako na Linuxu. A to je ten rozdil - ne ze by to neslo, ale na Linuxu je to jednodussi.
První metoda je nezávislá na klientských počítačích, nicméně je potřeba zdolat ochranu DNS serveru. Vzhledem k tomu, že DNS tvoří páteř Internetu, jsou tyto servery jedny z nejvíce chráněných. Objevit v nich zneužitelnou chybu a využít ji, aniž by si toho správci všimli, je extrémně obtížná záležitost. A tak se útočníci uchylují ke druhé metodě.
Tak nevim ... Doslo autorovi, ze nemusi utocit na root DNS nebo ccTLD, ale taky DNS server cilove organizace? Pripadne otravit kes DNS serveru u nejakeho vetsiho ISP?
Pokud jsem si stihl vsimnout, moc zon zatim podepsanych neni :-)
to je ve windows taky, ale nejsem si jisty, zda-li si muzete ve win vybrat poradi rezoluce - jestli prvni brat hosts a pak DNS nebo naopak, tak jako v /etc/resolv.conf:
order hosts, bind
existuje nejaky program, tusim runasspc sa vola, co umozni zadefinovat konkretne aplikacie, ktore sa spustaju pod admin pravami - ako klasicky RunAs vo win, len netreba zadavat heslo, lebo je kryptovane v specialnom certifikate...
No, to s tou IP adresou me hned napadlo taky a nevim, proc to neni v clanku; Asi to neni moc elegantni. Ostatne bezny uzivatel asi netusi, jak IP cislo zjistit.
Jinak bych navrhoval, aby cislo mobilu neslo zmenit pres internet, ale jen telefonicky a jest hotovo. Pharming si neskrta. Nechapu, proc vsichni hledaji nejake sofistikovane reseni v ramci IT, kdyz nejbezpecnejsi je otevrit druhy komunikacni kanal, ktery neni IT - treba telefon. Ten musi byt tvrde oddenel od IT. Microsoft a nejen on, si samozrejme relizuje svou nejcitlivejsi komunikaci na siti, ktera je fyzicky odriznuta od jakychkoliv dalsich siti.
Nejde ta karta a primo jeji ovladace nebo dodany ovladaci software? Zkousel jste nejaky jiny?
Je samozrejme mozne i pod windows spoustet ruzne aplikace s jinymi pravy cili udelat zastupce (pripad skript), ktery spusti aplikaci pod uzivatelem s vyssimi pravy zatimco beznou praci provadite jako uzivatel s nizsimi pravy.
A vi se alespon, proc a k cemu potrebuje admin prava? K zapisu do registru? K zapisu do adresaru? Pokud vite, co chce delat, melo by to jit nastavit.
Ale samozrejme ze toto je chyba vyrobce softwaru. I kdyz u TV karet je dodavany software vetsinou tak strasny, ze jste rad, kdyz ho rozjedete vubec nejak.
1) ktere bezne aplikace to byly?
2) jake jejich nahrady pouzivate na linuxu?
3) a on muze uzivatel v linuxu neco do systemu instalovat (napr. v balickovacim systemu, nikoliv pouze kopirovat) bez rootovskych prav?
Proc by jim provoz klesal? Pharmer jim provoz propusti (pote, co uzivateli da hlasku, ze neco nejde).
Nechtel jsem zpochybnovat zabezpeceni DNS nejake konkretni banky. Jen jsem chtel poukazat na to, ze utocnik nema povinnost utocit na nejsilnejsi misto systemu.
Proc prepisovat chraneny soubor, kdyz muzu podvrhnout funkci prekladajici hostname na IP? (Resolver byva obvykle v dynamicke knihovne, takze LD_PRELOAD=oskliva_knihovna_s_falesnym_gethostbyname prohlizec, je take cesta.)
Pod inymi uzívatelmi ide pozerat TV, ale len jeden program. Ostatne nejdu naladit. Pod adminom je vsetko OK. Vyrobca o tom vie, ale uz neaktualizuje softver pre tento typ TV karty, aj ked je pre Win XP. Inak som so softverom spokojny (nahravanie, scheduler, TXT a pod.).
Neviete odkaz na nejaký web, kde je info, ako spustit u inych uzivatelov nejaký program, ktorý je funkcny pod adminom?
Nasel bych si ve Windowsech v menu start polozku Run a napsal bych tam "ping URL". Doporucuju to udelat ne az pred pouzitim banky pres internet, kdy uz DNS muze byt "uneseno".
a kdo říkal, že jiná ip adresa není v pořádku? např. ebanka používá nejmíň 4 a ty se střídavě používají všechny (alespoň pro veřejnou část webu)
$ host www.ebanka.cz
www.ebanka.cz A 195.250.142.3
www.ebanka.cz A 212.67.66.162
www.ebanka.cz A 62.168.6.2
www.ebanka.cz A 194.228.112.55
docela by ale pomohlo cachování klíčů ala ssh - privátní ssl klíč nepůjde jednoduše napodobit. jen by se to muselo vypořádat s jeho platností a pravidelným obnovováním..
Ne, rozdil je v tom, ze pod Linuxem po vas zadna standardni aplikace nechce, aby ste neco resil jako root, kdezto pod win musite chte nechte 90% aplikacim pridelovat nejaka extra prava, napr pro zapis do /win/system32. Kdyz budete 3 hodiny pridelovat prava jedne podelane aplikaci, tak se prihlasite jako admin a vyprdnete se na to.
Jasne a nejlepsi jsou v tomhle ohledu aplikace od M$, ktere v klidu a pohode prepisou 1/2 OS. Preji prijemne nastavovani.
Mimochodem, to neplati jen pro vas, ale i pro ostatni, nastavovat aplikaci vyssi prava nez ma uzivatel je uplne totez jako kdyz se jako ten uzivatel prihlasim.
Jasne, takze misto aby ch jako admin pustil zavirovanou aplikaci, tak ji pustim jako user a pridelim ji adminitratorsky prava. Bezva, tomu rikam reseni zabezpeceni. To uz je logictejsi postup opacny, pracovat jako admin a pripadne rizikove aplikace poustet s pravy usera. Urcite to bude znamenat min nastavovani nez opacne.
Sranda je, ze kdyz zavolate do banky, ze ma sice podepsany, ale jiz neplatny certifikat, teknou vam "tak kliknete na OK". To je moje osobni zkusenos s komercni a obchodni bankou (v obou pripadech jsem resil ucty znamych, sam bych si u nich po tomto pristupu ucet neudelal).
Spíš jde o to, že zaútočit se dá i na DNS server firmy, z jejíž LAN se nějaký zaměstnanec k elektronickému bankovnictví přihlašuje. A všechny firmy jak známo nejsou zdaleka zabezpečené tak dobře jako třeba banky...
90% to rozhodně není, takovou aplikaci už jsem docela dlouho nepotkal. Proč by měl nějaký program chtít zapisovat do system32? (samozřejmě kromě instalace). Tohle už prostě dávno není pravda, to je jako odmítat linux s argumentem, že uživatelé si nechtějí každou chvíli kompilovat jádro.
Takže, aniž bych chtěl být cool linuxák, i já mám zkušenosti s omezeními useru ve Windows. Instaloval jsem onehdá starší verzi AutoCADu, což jde ve Windows 2000 pouze pod adminem. Posléze nešel CAD spustit, když byl člověk přihlášený jako user.
Nejsem žádný expert na Windows, ale o to by v tomto threadu nemělo jít. Pharming není zaměřený na geeks jako jste vy. Jeho cílem jsou obyčejní uživatelé.
A než začne někdo řvát, že mám spálit instalačku Win2000 a nainstalovat linux, tak to nebyl můj počítač. Linux mám, používám, a nemyslím si, že by šlo o nejdokonalejší systém na světě. Pro cokoliv kromě programování a běžných kancelářských aplikací používám raději Windows a kupované programy.
1. Uzivate nekdo DNS cache? Je to nejlepsi prevence pred poisoned / compromissed name servery
2. Pokud si do /etc/hosts priradite napevno alias (IP adresu a domenu), tak se vzdy pouzije Vami specifikovana IP adresa pro specifikovanou domenu. V pripade online bankovnictvi je to perfektni reseni, neni?
Kdyz nam stroj patrici ISP vrati faked stranku, muzeme se pouze spolehat na certifikat, ktery ani za standardnich okolnosti nemusi byt platny (zmenit banku?) :-/
Pouzit elite proxy server popr. the onion router (tor) je riziko, nepouzit proxy server je take riziko...
Mozna by kazdy ISP mel mit ulozeno zakonem, ze bude splnovat jiste bezpecnostni normy a jejich dodrzovani ze strany ISP by se mohlo namatkove, pravidelne overovat formou penetracnich testu (zdrazovani pripojeni?)
Bohužel je to i problém systému Windows a jeho aplikací, příliš mnoho aplikačního softwaru vyžaduje admina pro instalaci i běh a přepnout se do kontextu admina je ve Windows větší problém, než v Linuxu, proto prostě většina uživatelů Windows pracuje pod účtem s Administrátorskými právy, my to tak máme i v práci.
Spíš by si banky měly uvědomit, že internet je nezabezpečený a podle toho postavit svojí bezpečnost, eBanka má od začátku zabezpečení postavené tak, aby takovýto útok nemohl být účinný.
Vítej, KOKOTipaři. Nechceš se pochlubit, kolik českých plátků, chatů a internetových diskusí jsi už obdařil svým neuvěřitelně zoufalým a k popukání snaživým pokusem o to, jak se zbavit předražených akcií Vítkovic? No jo, ono když to roste a roste, tak se ale pak taky musí najít nějakej debil, kterej by to od tebe koupil, jinak vyděláš leda prd!
Tak dík za tu trochu zábavy. A akciovým ležákům zdar! :)))))
Před časem jsem navrhoval raději používat "ribaření" nebo "rybarzení" (jakože podle Polštiny, kterou většina z nás vyslovit dokáže) - protože o to tady jde: O shodné znění odlišných termínů.
Souhlas. U nás v práci jsme všichni povinně lokální adminstrátoři, a to od té doby, co jeden windows update, který se snažil nainstalovat pod user oprávněním, nakopnul 90% počítačů.
Ano, pod Linuxem lze řadu aplikací instalovat jsa přihlášen jako uživatel s uživatelskými právy a to pouze do svého home. Např. všechny hry od Id Software a naprostou většinu toho, co si stáhnu ve zdrojácích a zkompiluju s --prefix=/home/menousera/aplikace ... není problém. Dejme tomu, že normální jouda potřebuje instalovat tak akorát ty hry, ale to je přesně to co jde a netřeba být root. Root bych musel být pouze v případě, že bych takovou aplikaci instalovat všem uživatelům, nikoliv jen sobě.
A nebylo by jednodušší vykašlat se zcela na připitomělé napodobování amerických termínů? Proč danému útoku například neříkat "podvodné přesměrování", "falšování ip adresy" atd... možná moje nápady nejsou dokonalé, ale jde mi o to, že by z termínu měl i trouba pochopit o co jde. Když sekretářce řeknu, že si má dávat pozor na nějaký "fišink" tak nechápe nic, když jí řeknu, že si má dávat pozor na "podvodné ...", "falešné ..." tak jí to trkne a zpozorní "podvodné co ??" a i když nepochopí smysl, tak vnímá nebezpečí = je opatrnější a o to jde.
Přesně jak říká první reagující - ony na to dost často pečou i ty banky.
Nebo ještě jinak: Mám službu MojeBanka a kdykoliv na ni lezu, stupidní WinXP zobrazí ŽLUTÝ štít u zprávy "Aktuální stránka se pokouší otevřít server ze seznamu důvěryhodných serverů. Chcete tuto akci povolit?" a vedle toho štítu je mi tvrzeno, že akce může být nebezpečná - tak co to má být?
Není divu, že si lidi navyknou, že žlutý štít vlastně vůbec neznamená nebezpečí, a že se naučí to rychle odklikávat. Mimoto pro farmarzící web přece není absolutně žádný problém zobrazit Javascriptem okénko, které bude vypadat úplně stejně jako tohle, ne? Exploreru ani nezežloutne adresní řádek, jestliže je použit https místo http; bohužel některé banky prostě Firefox nepodporují.
Aniž bych chtěl alibisticky svádět vinu na kohokoliv jiného, tak tohle vše je důsledek především Amerického systému žalování kohokoliv za cokoliv, kvůli kterému musíme mít všude EULY, AULY a mraky dalších potvrzení a souhlasů "Ano, chci se podrbat na zadku i když vím, že si tím můžu způsobit hemeroidy." Kdybych měl úplně všechny zprávy, které mi počítače zobrazují, podrobně přečíst, nestihl bych dělat nic jiného.
A tohle [Senzace RM-Systému? Vítkovice] už jste četli?! Pěkné shrnutí! K tomu oprava: 829,20
Senzace RM-Systému? Vítkovice
Praha, 15. 12. 2006
Hitem RM-Systému se letos staly akcie Vítkovic. Jejich cena od ledna vyskočila o téměř 140 procent. A od loňského srpna, kdy byl titul uveden na trh, stouply Vítkovice o neuvěřitelných 1180 procent.
"Vítkovice patří mezi senzace letošního roku, ve zhodnocení za poslední rok se jim nevyrovná žádný z českých blue-chips," říká analytik RM-Systému Roman Jandík. Když se Vítkovice začínaly na volném trhu RM-Systému loni v srpnu obchodovat, daly se koupit za 55 korun. Minulý týden se jejich cena vyšplhala na rekordních 719 korun [K tomu oprava: dosažitelné intaredenní maximum bylo 829,20! 719 je nejvyšší denní dosažený závěrečný kurz v roce 2006!], tuto středu stály 625 korun. Ke koupi je přitom jen malý balík akcií, 78 procent firmy totiž ovládá mateřský Vítkovice Holding.
Rekordman RM-Systému byl přitom před šesti lety zralý na bankrot, zachránilo ho jen soudní vyrovnání s věřiteli a prodej nejcennější části - hutí Vítkovice Steel. V samotných Vítkovicích zbylo strojírenství, zaměřené na energetiku a velké technologie. Odborníci mu nedávali velké šance na přežití.
Když v roce 2003 firmu kupoval od státu za 400 miliónů korun ostravský průmyslník Jan Světlík, plánoval, že část výroby bude muset zavřít. Jenomže pak strojírenský trh nečekaně ožil a následoval boom v energetice, který obrat v hospodaření dovršil. Klíčová část společnosti - Vítkovice Heavy Machinery, kterou Světlík přebíral se 700miliónovou ztrátou, letos čeká zisk přes 800 miliónů korun, roční obrat Vítkovic stoupl z deseti na téměř 100 miliard korun.
"Za růstem akcií Vítkovic určitě jsou hlavně dobré výsledky a velké zakázky z poslední doby," říká Jandík. Jen ČEZ si letos u Vítkovic objednal pro své elektrárny kotle za 15 miliard korun. "Zájem o vítkovické akcie ale může souviset i se sporem o jejich mateřskou společnost Vítkovice Holding," upozorňuje analytik.
V mateřském Holdingu Vítkovice drží Světlík jen poloviční podíl, druhou půli má finančník David Beran. Ten akcie před rokem nabídl skupině KKCG miliardáře Karla Komárka. Proti Komárkovu vstupu do Vítkovic se ale staví Světlík - tvrdí, že má na společníkův podíl předkupní právo.
Obchod mezi Beranem a Komárkem se zadrhl i z jiného důvodu: oba muži se přou o kontrolu nad dalšími třemi továrnami. Vzájemně se obviňují z nedodržování smluv a podávají na sebe žaloby o miliardy korun.
Na trhu kolují spekulace, podle nichž Komárek ve snaze zlepšit své pozice ve sporu o Holding skoupil z veřejného trhu desetiprocentní balík akcií dceřiných Vítkovic. To mohlo vyvolat zvýšenou poptávku a tím i růst jejich ceny. Mluvčí KKCG Dan Plovajko nákupy nepopírá, tvrdí však, že dnes Komárek žádné podíly ve Vítkovicích nedrží: "V minulosti jsme tyto akcie nakupovali, ale jen pro naše klienty," tvrdí.
Analytik Komárkovy firmy Atlantik FT Milan Vaníček připouští, že by miliardářská válka o Vítkovice mohla zvýšit jejich hodnotu, ale ne podstatně. "Někteří investoři mohou kvůli sporu o Holding akcie Vítkovic spekulativně nakupovat, ale za růstem jsou spíš jejich hospodářské výsledky," řekl.
Podobně vidí situaci i Beran. Zda sám vítkovické akcie kupuje, tají. "Pan Beran zásadně nezveřejňuje informace o svých nákupech a prodejích akcií, dokud nejde o hotové obchody," řekl Beranův mluvčí Jiří Hrabovský.
Také vítkovický šéf Světlík soudí, že růst ceny Vítkovic je dán hlavně růstem jejich zisků, připouští ale i vliv "spekulativních nákupů určitých investičních skupin." Také on popírá, že by akcie skupoval a v nejbližší době s tím ani nepočítá - už kvůli vysoké ceně.
Vítkovice navíc manažersky bezpečně ovládá, jeho společník v Holdingu - ať Beran či Komárek, nemá na řízení dceřiné firmy žádný vliv. http://ihned.cz/?&p=000000_d&article[id]=19986570&artic le[area_id]=10073040
Zajímavé novinky ve Vítkovicích, zhodnocení za uplynulý rok o 135 % a co dál?
Vypichuji:
Hospodaření společnosti za uplynulý rok by mělo skončit na úrovni zisku před zdaněním kolem hodnoty 1,5 mld. Kč, což je růst o více než 72 % proti roku 2005. Na jednu akcii tvoří zisk před zdaněním 115 Kč a výhled na rok 2007 hovoří o 127 Kč/akcie. Podle vyjádření společnosti bude celý zisk použit na investice. Kurz akcie v průběhu týdne opět překonal hranici 700 Kč a v pátek uzavřel na 702,50 Kč.
Shrneme-li události, které stojí za takto interesantním nárůstem, jedná se především o zakázku na kompletní renovaci elektráren Tušimice a Prunéřov pro společnost ČEZ v celkové výši 15 mld. Kč. Dále projekt logistického centra za 0,5 mld. Kč poblíž Moskvy a v neposlední řadě velká investiční pobídka pro sesterskou společnost Vítkovice Cylinders. Z té by měla profitovat i společnost Vítkovice Heavy Machinery, která již spadá přímo do Skupiny Vítkovice, a.s.
Sečteme-li plánovaný hrubý zisk v osmi nejdůležitějších společnostech Skupiny Vítkovic, a.s., dostáváme se k hodnotě 1,38 mld. Kč. To činí přibližně 104 Kč hrubého zisku na akcii. Tento hospodářský výsledek prezentovala společnost na červnové konferenci RM SYSTÉMu a zdá se, že některé společnosti ve Skupině ho pravděpodobně překročí. Společnost Vítkovice Heavy Machinery již prezentovala překročení plánovaného hrubého zisku o 50 mil. Kč na celkových 850 mil. Kč.
S hrnutí zajímavostí roku 2006 a zhodnocení výkonnosti českých akcií obchodovaných na trhu RM-SYSTÉM http://www.rmsystem.cz/inf/Akt2.asp?xjak=2520
Aneb do čeho měl český občan v loňském roce své finanční prostředky dát:
Vítkovice, a.s.
Zhodnocení
134,7%
a poté dlouho nic.
...
se dalo na titulu vydělat až 336 % (viz níže)
...
největší radost svým majitelům udělaly akcie Vítkovice, a.s. Za celý rok si připsaly velmi solidních 135 %, ale možný výnos byl i mnohem vyšší. Nejlevněji se dal titul nakoupit v průběhu května za 190 Kč a nejlepší prodej za 829 Kč byl v průběhu prosince, tedy teoreticky
se dalo na titulu vydělat až 336 %.
Růst titulu odstartoval po oznámení zakázky pro společnost ČEZ na kompletní renovaci tušimické elektrárny za 7 mld. Kč s opcí na další zakázku v podobné hodnotě. V druhé polovině roku k růstu přispěly další kontrakty, za všechny zmiňme výstavbu logistického centra poblíž Moskvy za 0,5 mld. Kč.
...
Co se zakázek a kontraktů týče, daří se Vítkovicím v posledním období poměrně dobře. Strategie do roku 2010 je zaměřená na lodní hřídele a v dalších letech se chce společnost věnovat především energetice, kde se již dnes uskutečňuje referenční zakázka pro ČEZ. V brzké době by měl být oznámen další větší kontrakt v hodnotě srovnatelné s moskevskou zakázkou ...
No, doufam ze DNS server banky je taky slusne chraneny, ale hlavne by si toho asi rychle vsimli, ne? Provoz bu jim klesl behem vteriny na 10 procent. :-)
Nechapu kdo ty ceske terminy vytvari, ale kdyz uz se divite ze se neujimaji, tak si uvedomte ze jdou naprosto proti duchu cestiny. Pravopis cestiny az na vyjimky (dub - dup, banka ..) presne zpisuje zvukovou podobu slova. Anglictina je uplne jina a tam si hratky jako phishing mohou dovolit. Jak ale vyslovujete rhybareni?