Vlákno názorů k článku Rhybaření střídá pharming od jozka - Dotaz - muze pomoci, kdyz si pred vstupem...

Dotaz - muze pomoci, kdyz si pred vstupem na stranky moji banky na ni napred pingknu? napr. si dam ping www.ebanka.cz
a kdyz mi to hodi spravnou ip adresu, tak vim, ze je vse v poradku?

To ano, pokud znáte správne IP adresy eBanky stačí je porovnat s pingem. WIN totiž hldají IP adresu v souboru HOSTS, teprve až pak se ptají DNS ....

Asi ano, pokud znate spravnou IP adresu, tak ji muzete porovnat s tou, kterou Vam vypise ping.

Jednodussi cestou je zabezpecit PC, aby Vam nikdo na nej nemohl vlezt a podvrhnout hosts - vetsina antispywarovych programu umi zabezpecit hosts proti zapisu.

V pripade eBanky by pripadny utocnik nic neziskal - jejich bankovnictvi vyuziva autorizacni kalkulator, takze by ziskal jen Vase klientske cislo.

Autor clanku nezminil jednu vec - kdyz uz se vam nekdo do Windows dostal, aby mohl zmenit hosts, tak tam taky mohl nechat nejaky keylogger a ty prihlasovaci udaje ziskat i kdyby se uzivatel hlasil na skutecnou www.inetbanka.com - zadny Netcraft by nepomohl.

nejsem rozhodně odborník, ale pokud znáte ip adresu, nebylo by jednodušší si do bookmarků uložit tu ebanku rovnou jako ip adresu a ne jako www.ebanka.cz? pak tato metoda imho nemá šanci, ny?

... a az se banka rozhodne presunout server na jinou sit, tak Vam to prestane fungovat. Ale jak uz bylo receno, pokud se Vam do pocitace nekdo dostane natolik, ze muze modifikovat hosts, tak muze delat i spousty jinych chytrych veci.

Ale modifikací /etc/hosts se rázem z trojana stane 'serverová' aplikace a utočníka už tolik nezajímá vaše individuální konfigurace atd. Myslím, že kouzko je v tom, že si jen multiplatformně posbírá všechna hesla u sebe na serveru. Samozřejmě když někdo může psát do hosts, je něco špatně :)

V tomto konkrétním případě ping pomůže. Ale jiný typ útoku (přesměrování komunikace na některém z routerů po cestě) ping neodhalí (protože bude vypadat správně).

Konkrétně u eBanky stačí používat mobilní klíč - přihlašovací kód jde jiným kanálem, aby to někdo odposlechnul, tak by musel sledovat přenos z BTS na můj mobil, současně mi podvrhnout jinou adresu, ale hlavně - musel by být schopen vygenerovat správný přihlašovací kód a potom už by se mohl přihlásit rovnou, ne?
Uživatelé s certifikátem nebo osobním klíčem jsou už na tom z tohoto pohledu hůře.

jaký je z tohoto pohledu rozdíl mezi osobním (kalkulačka) a mobilním klíčem?

No v podstatě žádný, jenom u mobilního klíče ti pošle eBanka autentizační kód na mobil (přes GSM banking) u osobního ti ho generuje na místě "kalkulačka".

To uz je naprosta blbost. Jednak to nebude fungovat vubec. Pro virtualni servery je potreba i jmeno. Zkuste (http://81.31.5.18/ - tedy IP Lupy). A jedna zmenit uzivatelovi bookmarky je pro utocnika daleko snazi nez menit soubor hosts.

Je to malinko jinak. Jednak servery ebanky a podobnych nejsou virtualy, to jsou servery vyhrazene jen a pouze na tu jednu vec a chodit mohou i pres http 0.9, v tom problem neni.

Problem je v jinych vecech, jednak tim ze pouzijete IP adresu se netrefite do cname certifikatu a prohlizec si bude stezovat, ze certifikat neodpovida serveru. Pokud to budete kazdy den spokojene odklikavat, tak az se jednou stane, ze fakt nebude odpovidat, tak uz mate smulu a muzete si jit tak akorat poplakat na policii, ne ze by to bylo moc platne.

Druhy problem je, ze tyhle super zabezpecene servery nejsou nikdy stavene tak, ze by ten ono server byl videt z inetu. Vzdycky nejdrive skoncite na nejake proxy, tak se pozadavek vybali ze ssl kanalu, jde do dalsiho stupne, kde se overi, ze volane URL je zname a korektni a teprve potom to jde do nejake aplikace, ktera pozadavek vyridi. A kdyz pujdete na IP misto na jmeno, tak ta bezpecnostni vrstva pri zkoumani korektnosti pozadavek snadno zahodi, protoze neco takoveho se u korektniho klienta neceka.

Nejak nechapu, jak vam tenhle klic poslany jinym kanalem pomuze proti man-in-the-middle utoku (a pharming k tomuhle utoku primo vybizi). Scenar: Pripojite se na podvrzeny web. Provedete cast autentizace, podvrzeny web ta data od vas primo preposila na cil. Cil (treba ebanka) vas jinym kanalem pozada o potvrzeni autentizace, vy (at uz skrz podvrzeny web nebo pres mobil) potvrdite; a vysledkem je, ze podvrzeny web ma ke skutecnemu webu potvrzene prihlaseni.

Na ebance vas zachrani to, pokud se musi kazdy prikaz podepsat tou kalkulackou; protoze tohle nema ten podvrzeny web jak prolomit. Ale prihlaseni s pouzitim dvou kanalu proti man-in-the-middle nepomuze (proti odposlechnuti hesla samozrejme pomoct muze).

Shodou okolnosti o tomhle psal ve svem poslednim Cryptogramu Bruce Schneier.

Je jasny, ze hlavne je dulezity mit zabezpeceny pocitac.

Ale takovahle kontrola (jen pro pripad - co kdyby - se tim padem celkem hodi).
Muzu instruovat moji ucetni, aby pred vstupem na nasi banku si pustila batik (kde bude tento ping) a porovnala si cislo s cislem, ktere ma na papirku vedle, a v pripade pochybnosti mi hned zavolala.
Je to asi jednodussi, nez ji instruovat, aby si udelala kontrolu, ze ma updatovany antivir, atd..

Proste jen takova mala kontrola navic, aby se clovek mohl aspon trosku vic citit bezpecneji.

Problem je v tom, ze do prihlaseni pisu jen klienske cislo a autorizacni kod, cili nic co by bylo zajimave pro pharming. V zasade nikde v ebance nezadavam udaje, ktere mohou byt pro hackera zajimave, ten zajimavy udaj (totiz autorizacni kod pro provedeni platby) nejde internetem. No a jak mi vsichni v bance dobre radili, cislo uctu v autorizacnim kodu musim kontrolovat s papirovym cislem nikoliv s formularovym (protoze by nekdo mohl pred odeslanim formulare chytre zmenit cislo uctu v okenku a doufat, ze si toho nevsimnu)

Když už jí někdo změní soubor hosts, tak jí může změnit i ten skript, aby hodil vždy správnou IP.

Podobným řešením by bylo něco jako "cat /etc/host" - dát si to třeba do příhlašovacího skiptu. Ale pak byste museli kontrolovat, jestli vám ho zas někdo nepřepsal a místo "cat /etc/host" dal "echo 127.0.0.1 localhost"

Ta bezpečnost chce řešit jinak, asi tak, aby vám někdo nemohl měnit soubory v počítači. Pokud může, tak už je stejně pozdě.

... ach jo.

A nestacilo by proste (v pripade eBanky) pouzit funkci EK k overeni serveru? Uz nejakou dobu pouzivam misto EK mobilni klic, ale predpokladam, ze tato funkce tam snad zustala, nebo ne? Banka po nalogovani vrati kod, ktery lze nacpat do EK a ten rekne, jestli je to banka, nebo podvrh...

Ten clanek je uplne o nicem. Myslim, z neni problem vymyslet radu jinych teoretickych moznosti jak uzivatele dostat tam, kde jej chci mit, az napriklad po "virus", ktery pres sebe kompletne prevede komunikaci na urovni winsocku, takze je uplne fuk, co bude v hosts, co se bude pingat, trasovat... pujde to uplne jinudy, nez to bude vypadat.

btw: proc se zabyvat zbytecnym (a detekovatelnym) zasahovanim do hosts, kdyz v zasade (ruku na srdce, ve vetsine pripadu) staci uzivateli zmenit nastaveni dns na muj server? :-)

No nebyl by to hezky plugin pro firefox? ;-) Neco co by "nespravne" cislo uctu ve formulari zmenilo na "spravne" - tedy patrici autorovi pluginu...

Cislo uctu skutecne kontrolujte z papiru a to z uplne jineho duvodu - vyrazne omezite moznost, ze jste se pri zadavani prikazu prepsal vy a posilate penize na nespravny ucet.

Ja v Ebance zadna hesla nemam :-)