Forum Komputery Komputer
ZMIEŃ
    Dodaj do ulubionych

    Online banking is cracked !

    24.10.03, 01:50
    Bezpieczne logowanie i bezpieczne przesylanie danych - wszystko bzdura!

    Programem np."Ettercap" jest mozliwe "podgladanie" danych w sieci(Network).

    Metoda nazywa sie "man in the midlle atack".

    "Atakujacy" PC wlacza sie miedzy dwa komputery i przy pomocy programu
    "Ettercap" wysyla odpowiedzi w sensie mniej wiecej:"ja jestem ten
    szukany w sieci",podaje IP "ofiary" i jednoczesnie wlasne hardware-IP.
    W ten prosty sposob "atakujacy" wchodzi w posiadanie obcych danych(numery
    kont,passwort itd.).

    Wyprobowalem to na wlasnym transferze online.Z obcego kompurera "Ettercap"
    przejal cala moja wymiane danych z bankiem lacznie z haslami i numerami kont.

    Niestety funkcjonuje.
    Obserwuj wątek
      • Gość: kell Re: Online banking is cracked ! IP: *.cpe.net.cable.rogers.com 24.10.03, 04:23
        chwile chwile. czy transmisja danych nie jest w takim wypadku szyfrowana? troche
        ciezko zlamac 128bitowy klucz, co dopiero w locie. albo masz cos nie tak z
        przegladarka, albo twoj bank jakis trefny jest.. bo to co widzisz miedzy twoim
        komputerem a serwerem w banku to jest tylko zbitka zakodowanych bitow.
        przynajmniej w teorii:)
        • Gość: E111 Re: Online banking is cracked ! IP: *.uke.uni-hamburg.de 24.10.03, 09:13
          >jest tylko zbitka zakodowanych bitow.
          > przynajmniej w teorii:)

          ...jesli polaczenie stosuje https albo ssl -to nie tylko w teorii ale tez i w
          praktyce ;)

          rgds::E111
          • skynews Re: Online banking is cracked ! 27.10.03, 21:44
            >"...troche ciezko zlamac 128bitowy klucz..."<

            >"...jesli polaczenie stosuje https albo ssl -to nie tylko w teorii ale tez i
            praktyce..."<

            To jest wlasnie problem ze nic nie trzeba zlamac.
            SSL2.0 , SSL3.0 - wszystko o "tylek rozbic".

            "Ettercap" metoda "man in the midlle atack" imituje komputer klienta banku
            podczas wymiany informacji z bankiem i jednoczesnie "podszywa" sie pod
            komputer banku wysylajac informacje do klienta.

            Zarowno klient jak i bank,nie majac pojecia o "ataku" wymieniaja "spokojnie"
            wszystkie informacje potrzebne do wzajemnego zrozumienia 128bitowych kluczy.

            W ten sposob uzywajacy Ettercap'a wchodzi w posiadanie klucza,ktory byl
            stosowany przy 128bitowym kodowaniu.
            • Gość: E111 Re: Online banking is cracked ! IP: *.arcor-ip.net 27.10.03, 23:34
              skynews napisał:

              >
              > To jest wlasnie problem ze nic nie trzeba zlamac.
              > SSL2.0 , SSL3.0 - wszystko o "tylek rozbic".

              1.uzywaj ssh2-ettercap tego jeszcze nie moze ugryzc.
              (do tego celu lepszy jest jmitm2).
              2.stosuj fingerprinting kluczy
              3.nie zezwalaj na polaczenia ze zmienionym fingerprintem
              4.uzywaj jednorazowych TANów przy online banking ;)

              > "Ettercap" metoda "man in the midlle atack" imituje
              >komputer klienta banku
              > podczas wymiany informacji z bankiem i jednoczesnie
              "podszywa" sie pod
              > komputer banku wysylajac informacje do klienta.
              > Zarowno klient jak i bank,nie majac pojecia o "ataku"
              >wymieniaja "spokojnie"
              > wszystkie informacje potrzebne do wzajemnego
              >zrozumienia 128bitowych kluczy.

              ...dziala to tylko wtedy jezeli jesli przechwyciles polaczenie
              przed autentyfikacją i przeslaniem fingerprinta klucza
              tzn.wszystkie paqkiety od początku muszą byc twoje
              >
              > W ten sposob uzywajacy Ettercap'a wchodzi w
              >posiadanie klucza,ktory byl
              > stosowany przy 128bitowym kodowaniu.

              ...hijacking w trakcie sesji nic nie da bo client/server
              odrzuci pakiety ze zmienionym fingerprintem...
              (np.ustawiona opcja "StrictHostKeyChecking=yes/ask" w
              OpenSSH)

              ...w bardzo dawnych czasach podobną burzę wywołał
              dsniff, -było,minęło....;)))

              pozdr::E111
              • skynews E111dzieki za info, 28.10.03, 00:59
                jrzeli dobrze zrozumialem to SSH2 bazuje na tym ze "man in the midlle atack"
                zostaje rozpoznany i to jeszcze przed podaniem password's ?

                Czyli komputer klienta musi "udowodnic" ze jest tym za ktorego sie podaje
                wysylajac keys,ktore moga byc sprawdzone przez komputer np.bankowy?

                Wlasciwy key jest wiec znany bankowi przed uruchomieniem polaczenia?
                • Gość: E111 Re: E111dzieki za info, IP: *.uke.uni-hamburg.de 28.10.03, 14:43
                  > Wlasciwy key jest wiec znany bankowi przed uruchomieniem polaczenia?
                  ...chyba ze mu go podasz telefonicznie ;)))
                  Key z fingerprintem jest wymieniany na poczatku polaczenia(autentyfikacja)
                  server podaje swoj public key,client privat key i sa generowane hashe.
                  Jesli uda sie przejac polaczenie przed autentyfikacja i przekierowujesz
                  WSZYSTKIE pakiety (Master-of-data) to wygrales, jesli nie to dupa...
                  Problem tylko w tym,ze ettercap nie radzi sobie z SSH2 nawet jak przejmie
                  wszystkie pakiety... :)

                  rgds::E111
      • Gość: trtggdgf Pytanie. IP: *.dsl.anhm01.pacbell.net 30.10.03, 12:00
        Czy jest to mozliwe przez siec zewnetrzna?
        Nie LAN i switche, tylko zdalnie przez internet?

        Tak pytam z ciekawosci, bo slyszalem o podstawianiu sie ze strona mirrorem
        do logowania sie SSL na konto mailowe. Ale to bardziej skomplikowane jak jakis
        sniffer do LANa.

        No napiszcie cos...
      • Gość: Lukas Re: Online banking is cracked ! IP: *.zamosc.mm.pl 30.10.03, 12:26
        Jeśli już to Hacked. Skraczyć to można aplikację, sam byłem kiedyś Crackerem.
        Pozdrowienia.
    Inne wątki na temat:

    Najnowsze z forum Komputer

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.