Co v tom bylo... (Was: jak se podivat na Vlastni oci)
Petr Šobáň
soban na centrum.cz
Čtvrtek Květen 15 14:34:55 CEST 2003
Dne čt 15. května 2003 13:44 jste napsal(a):
> Tak a ted ta nejasnost pro mne, nechci vypadat jako
> cracker/hacker, proto jsem se k tomuto cinu/pruzkumu neodhodlal a ptam
> se, zda-li to nekdo zkousel.
>
> Jako nejnebezpecnejsi cesta se mi vyjma certifikatu jevi
> odposlech komunikace v nesifrovane podobe (metoda neni podstatna -
> kamera snimajici obrazovku, snimani stisku klaves, cteni myslenek
> apod.).
>
> A dostavame se k podstate - jak jsem jiz uvedl vyse, pouzivam
> kalkulacku od E-banky. Vezmu, ze nekdo vidi komunikaci, tazi se:
>
> - co se stane, kdyz v relativne kratkem (dlouhem) obdobi se pristupuje
> na jeden ucet ze dvou pocitacu/prohlizecu (dle sitoveho provozu treba i
> neoddelitelny) pod stejnym autentizacnim kodem?
To nejde autentizačni kod je pokazde jiny ktery vygeneruje kalkulacka nebo
banka.
Takze jednou vygenerovany kod jde pouzit pouze jednou a to jeste u mobilu
pouze po dobu 10minut od vygenerovani.
>
> - vzhledem k tomu, ze na vykonani libovolneho prikazu je treba
> autorizace pozadavku, ve ktere je "nejakym zpusobem" zakodovan i obsah
> pozadavku samotneho (aspon tak se mi to jevi, pokud se preklepnu v cisle
> sveho uctu (protiucet vzdy kontroluji bedlive), JavaScript mi to primo
> po pokusu o autorizaci pozadavku rekne), domnivam se, ze i ukradeny
> autorizacni kod je utocnikovi k nicemu, protoze by nemohl jej
> modifikovat... Je to pravda?
>
> Moje otazky smeruji z pozice, ze nekdo opravdu vidi, co pisu
> (chci videt toho, kdo ma penize na to, aby s klidnym svedomim mohl rici,
> ze toto si zabezpecil) - jevi se mi pravdepodobne, ze sice muze videt
> "historii" a aktualni stav uctu, ale nemuze ho vybrat ve smyslu
> reportaze...
Pokud u e-banky používate mobil nebo jejich kalkulačku tak utočník muze vše
videt a nic vám neudělá, kod je po kazde jiny.
Jediný problém by byl pokud by nějak zjistil jak se tento kod generuje což si
myslím že nestojí za námahu u obyčejných učtu kde je pár tisíc.
--
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
|----------------------------------------|
| e-mail soban na centrum.cz |
| jabber soban na jabber.cz |
| ICQ 179223500 |
\----------------------------------------/
Další informace o konferenci Linux