Изпечатай

[bulg]

Едно от нещата, които ми харесват тук е, че администраторите и модераторите не се държат като богоизбрани. Няма "промиващи" реклами и биташки шарении. С една дума - диша се. Не виждам причина някой да се притеснява, че сайтът западал. На който му е нужна помощ или иска да помогне го прави. Винаги ще има псевдо-културтрегери, които първо се заяждат, а после плачат, защо нямало контрол върху другите, но това е нормално, както и това, че монетата има две страни. '>

[gat3way]

Аз първо да кажа мерси на Gaara за подкрепата '>

Само да предложа да заключим или каквото там темата, започна се откъде и се стигна докъде, просто не е човешко '>

[sverdlov]

аз да кажа, гатевай, нещата които говориш, правил ли си ги?

Ако не, ела да ти покажа как става, нагледно, това, за което ти говориш.

А след това, ти можеш да си опиташ да повториш....


Гаара... за теб се отнася същото. Относно темата която обсъждаме, разбира се.

И последно: аз също се забавлявам '> И още как. Все пак, темата е не къде да е, а в Хумор  '>

Между другото... темата е елементарна. Изчерпва се с 2 страници инструкции. От инжекция до ссл човек по средата - който не умее да редактира пакети, цъка с мишката и пак успява. Няма кво да си мерим пишките, наистина. Айде стига толкова.

[gat3way]

Да, пробвал съм. Също така съм пачвал sshd така че да логва въведените потребителско име/парола. Не знам дали знаеш, но примерно ако клиента приема sshv1 и sshv2 и злият хахор го "излъже" че е sshd сървъра (и приема единствено sshv1), при клиента няма да излезе онова злобно съобщение "key verification failed" и процесът на автентикация ще си продължи. Това е много стар проблем, който продължава да съществува. И е просто един частен случай точно както и твоят случай с представянето на фалшив сертификат, очаквайки клиента да го приеме. Също така и  съм arp-poison-вал, "променял" съм трафик on-the-fly (в случая благодарение на hunt, понеже съм мързелив, да, съжалявам ако не е достатъчно "хахорско" там). И най-вече достатъчно добре знам какво представлява автентикацията с клиентски SSL сертификати. Не мога да разбера какво отношение има това към проблема обаче. Дефакто и никога да не бях се занимавал да го правя, нещата са достатъчно ясни. Но ако ти съответно държиш, обясни как можеш да извършиш успешно mitm атака в случая (SSL автентикацията е двустранна - клиентът (браузъра) се доверява на сървъра и съответно уеб сървъра автентицира клиентския сертификат). Ще ми е интересно да разбера. А може би наистина нямам идея. Защо не обясниш как мислиш че ще стане и защо според теб ще стане въобще?

[sverdlov]

ще стане защото съм го правил.

Потребителят само трябва да кликне на "приеми сертификата".

Използва се ettercap. Промяна на трафик "он дъ флай", тези неща също се правят със същата програма, само трябва да си компилираш съответния филтър.

Браво за пачването на ссхд, сам ли написа пача? Ако да - още веднъж браво, твоята пишка е по-голяма '>

Не смятам че е полезно за "аудиторията" да знае как точно се творят такива поразии - твърде много "админчета" се навъртат, с не достатъчно много integrity. Може да съм простак във форума и ми е приятно да отпускам отвреме на време, но ми е жал за безбройните секретарки чиято кореспонденция в гмайл и епей ще бъде прочетена ако публикувам в този форум това което искаш.  Мога да ти напиша на лично - ако все още държиш.

[gat3way]

Няма да стане защото клиентът (браузърът)) след като си е импорт-нал сертификата, издаден от банката, ще изреве много лошо когато за този домейн му стои друг SSL сертификат. При това положение въобще няма да има диалог "ще приемете ли сертификата", независимо от нивото на сигурност на браузъра. В случаят, когато за пръв път отваряш сайт, чиито SSL сертификат е издаден от root CA (от тези, които по дефолт са ти в браузъра)...или в случаят в който за Н-ти път отваряш сайт, чиито сертификат е самоподписан или е подписан от CA, за което браузъра не знае, тогава вече ще ти излезе този диалогов прозорец, за който говориш.

Всъщност предполагам можеш да провериш, гледам че не те плаши да си правиш експерименти.

Хм обаче нямам идея какво ще се случи ако браузъра ти знае за "банковото" CA и никога не е установявало връзка със сайта там на онлайн-банкирането. Точно в този момент предполагам, може да се излъже, не знам. Всъщност ще дочакам жената да си докара лаптопа и ще си поиграя малко. В моят случай е много лесно,защото рутера си е под мой контрол и няма да ми се налага да й цапам arp кеша. Както и да е.

[sverdlov]

напротив, ще стане. но не с набора програми с които повечето сме запознати като хънт и тн. Както казах,
PM '> Ако ССЛ беше толкова сигурен, ипей нямаше да въведат допълнително ниво на сигурност използвайки логване със сертификат.

There is always a next level '>

[gat3way]

А ми нека така да е,  значи нека стане и успееш да излъжеш клиента, че ти си банката. Ако банката не е ОББ '> и наистина те автентицира само с твоят клиентски сертификат (както би следвало), как мислиш да излъжеш банката и да се логнеш? Ще трябва по някакъв начин да се сдобиеш с това дето са го пратили на клиента '>

[sverdlov]

ако банковата аутентикация не е под формата на клиентски сертификат, ще успея.

Ако е със сертификат, нещата вече стават груби с изпълнение на код на клиентската машина, пак черз митм, metasploit и вкаран iframe чрез подмяна на съдържанието... получаване на сертификата и логване в банката.

Ако целта си заслужава средствата... всички знаем аксиомата.

Но без хаксорски трикове - със сертификат, прав си, няма да стане. Затова са и клиентските сертификати - за да предотвратят митм атаки. Ние тук говорим за ССЛ сниф, не за логване със сертификати, все пак. Нали горе точно това казвам - ипей въведоха сертификати, за да предотвратят хаксорите да пускат тредове по форумите колко са инсекюър.

Имам усещането че говорим за едно и също и спорим като всеки защитава тезата че 2+2=4...

[gat3way]

Е ами аз още в началото казах, че ОББ очевидно глупаво си правят автентикацията. Доколкото знам ти издават клиентски сертификат, но очевидно  те автентицират само с потребителското ти име и паролата, иначе не знам как този пич run_time е успял да се логне там. Защо става така не знам (ако беше apache-ssl отсреща, нямаше да стигнеш въобще дотам да си въвеждаш потребителско име и парола, стига да има съответната require директива в конфигурацията). А то май е IIS-базирано и за това нищо не мога да кажа.

П.С ти ако имаш контрол върху клиентската машина така или иначе няма да ти трябва да правиш mitm атаки де '>

[sverdlov]

Случаят с ОББ не е уникален, за съжаление... остава едно - пускаме си банкиране само в сигурни системи като ипей, и съветваме приятели и познати да избягват "мързеливите" банки.

Аз за себе си съм взел решение - ипей е достатъчно развита и сигурна система. Работеща и с международни системи за разплащане, не виждам какво повече може да иска човек.

[dvasilev]

@gat3way: Мисля, че е повече от ясно как runtime е счупил ssl сесията. Подменил е серитификата на сайта, а счетоводителката без да и пука е игнорирала предупреждението. Със същия успех runtime може да счупи, която и да е ssl сесия на счетоводителката, което не прави съответната услуга несигурна.

По отношение на услугите на ОББ има два режима на работа - пасивен и активен. При пасивния ти е достатъчно да знаеш само потребителя и паролата, може да гледаш всякакви данни, но не и да правиш преводи. Поради тази причина банката не държи да знае дали отсреща се е логнал титуляра на сметката или някой който знае паролата и честно казано има смисъл в това. При активния режим може да правиш всичко, като за целта подписваш всяка една заявка. За последното може да ползваш както УЕП така и подпис издаден от банката. И тъй като системата банката не технически неграмотна счетоводителка, то няма как да счупиш тази аутентикация използвайки mitm атака.

И понеже се изказваш негативно към услугите на ОББ, мога да ти кажа че няма никакъв проблем да се ползват по linux с firefox.

[sverdlov]

линукс и файрфокс нямат нищо общо със сигурността на ссл сесиите на банката.
И ако аз имам фирма, и някой ми гледа транзакциите, ще страдам много повече отколкото ако ми откраднат 1000 лв някви хаксорчета чрез неоторизиран превод - за последното може и да се възстановят парите, но фактите по финансово разузнаване от конкуренти, да речем, няма кой да ме обезщети... с което искам да кажа, че не разбирам какво значи "да предоставим по-ниско ниво на сигурност" само чрез ссл от страна на ОББ? Или даваш пълен достъп или не даваш никакъв, средно положение няма. А за пълен достъп искаш нормална аутентикация чрез клиентски сертификат.

Много бих искал да чуя мнение на човек представляващ банката - едва ли никой от ИТ отдела им не посещава този форум.

[gat3way]

dvasilev, вероятно е възможно да се ползва под линукс. Обаче това, което наричат "регистрационен формуляр за ползване на интернет банкиране" не може да се попълва с firefox. Просто излиза една празна страница, която те призовава да ползваш ИЕ. Както и да е, има един plugin, който лъже за user agent-a, когато го ползвам излиза формуляра за попълване, но не може да се попълни коректно и да се изпрати. Та затова не съм и клиент на електронното банкиране. Предполагам мога да отида в офис на банката и да си пусна молба на хартия, но не виждам защо трябва да се чувствам "прецакан" спрямо уиндоус потребителите и гадния им браузър.

Иначе мерси за разяснението с пасивния и активния режим, явно съм се поддал на идиотското параноично мислене и аз '> Значи нещата не са толкова идиотски, колкото са изглеждали '>

[Radev]

Ако ePay е "достатъчно развита и сигурна система", то може да се приеме, че всички банки ползващи системата за online банкиране на DataMax, са за предпочитане. ПИБ вече не е от тях и съответно не е за предпочитане. Защо не съм прав в разсъжденията си?