Co v tom bylo... (Was: jak se podivat na Vlastni oci)

Petr Šobáň soban na centrum.cz
Čtvrtek Květen 15 14:34:55 CEST 2003 

Dne čt 15. května 2003 13:44 jste napsal(a):


> 	Tak a ted ta nejasnost pro mne, nechci vypadat jako
> cracker/hacker, proto jsem se k tomuto cinu/pruzkumu neodhodlal a ptam
> se, zda-li to nekdo zkousel.
>
> 	Jako nejnebezpecnejsi cesta se mi vyjma certifikatu jevi
> odposlech komunikace v nesifrovane podobe (metoda neni podstatna -
> kamera snimajici obrazovku, snimani stisku klaves, cteni myslenek
> apod.).
>
> 	A dostavame se k podstate - jak jsem jiz uvedl vyse, pouzivam
> kalkulacku od E-banky. Vezmu, ze nekdo vidi komunikaci, tazi se:
>
> - co se stane, kdyz v relativne kratkem (dlouhem) obdobi se pristupuje
> na jeden ucet ze dvou pocitacu/prohlizecu (dle sitoveho provozu treba i
> neoddelitelny) pod stejnym autentizacnim kodem?

To nejde autentizačni kod je pokazde jiny ktery vygeneruje kalkulacka nebo 
banka.
Takze jednou vygenerovany kod jde pouzit pouze jednou a to jeste u mobilu 
pouze po dobu 10minut od vygenerovani.

>
> - vzhledem k tomu, ze na vykonani libovolneho prikazu je treba
> autorizace pozadavku, ve ktere je "nejakym zpusobem" zakodovan i obsah
> pozadavku samotneho (aspon tak se mi to jevi, pokud se preklepnu v cisle
> sveho uctu (protiucet vzdy kontroluji bedlive), JavaScript mi to primo
> po pokusu o autorizaci pozadavku rekne), domnivam se, ze i ukradeny
> autorizacni kod je utocnikovi k nicemu, protoze by nemohl jej
> modifikovat... Je to pravda?
>
> 	Moje otazky smeruji z pozice, ze nekdo opravdu vidi, co pisu
> (chci videt toho, kdo ma penize na to, aby s klidnym svedomim mohl rici,
> ze toto si zabezpecil) - jevi se mi pravdepodobne, ze sice muze videt
> "historii" a aktualni stav uctu, ale nemuze ho vybrat ve smyslu
> reportaze...

Pokud u e-banky používate mobil nebo jejich kalkulačku tak utočník muze vše 
videt a nic vám neudělá, kod je po kazde jiny.
Jediný problém by byl pokud by nějak zjistil jak se tento kod generuje což si 
myslím že nestojí za námahu u obyčejných učtu kde je pár tisíc.

-- 

/----------------------------------------\
|            Petr Šobáň                  |
|            Olomouc                     |
|----------------------------------------|
|    e-mail soban na centrum.cz             |
|    jabber soban na jabber.cz              |
|    ICQ    179223500                    |
\----------------------------------------/

Další informace o konferenci Linux