Internetové bankovnictví

[Kon]

Včera (11/2) byla reportáž v Občanském Judu o hacknutí internet. bankovnictví. Jako hack byl použit trojan, který skenoval stisky kláves a umožnil ovládat PC z venku.
Co mne vzalo, balo, že to ukazovali (asi ilustračně) na stránkách Raiffeisen banky. (Zřejmě šlo, ale o účet v Komečce).
Já sám mám účet u Raif a používám inet bank, tak mě to trochu leklo.
Víceméně závěr byl takový, že inet bank., které využívá certifikátů (malý soubor, který se odešle s příkazem) je dost na pováženou. Jako dobré bylo označeno to, co má Ebanka - HW key generátory.

Poškozený byl PC lama a pachatel byl bežný PC uživatel, který mu poslal v emailu toho trojana.

Jak já se chráním -- čekám vaše připomínky -- FW (Sygate), AdWare, AVG a samozřejmě nespouštím programy z emailu . Certifikát mám na CD vizitce a vložím ho do mechaniky pouze při posílání příkazu tak na ca 10-20 sekund.

Pozn.
U Raif je pro prohlížení účtu nutno zadat jméno a heslo, pro příkaz -certifikát a heslo (které je jiné než pro prohlížení a je svázáno s tím cerifikátem).

[šaman]

Dobře nastavená FW tě ochrání. Já bych neprováděl transakce z jiného stroje než mnou zabezpečeného.

[Nakadah Al Jaffa]

No me to muze byt tak jedno..jelikoz mam na ucte soustavne minus...u me by si toho moc nevzal..nicmene soubor certifikatu jde chranit heslem pred kazdym pouzitim...takze bez hesla je mu k nicemu ne?? ja mam HB doma i v praci...heslo tam mam...zatim se mi nestalo ze by se mi nekdo dostal na ucet..

Jinak typ IB co pouziva Ebanka je dobry v tom ze pred odeslanim prikazu prijde na mobil potvrzujici kod...pak az jde odeslat....

A co se tyce ochrany tak mam Norton Antivirus 2003..a podezrele maily hned mazu...kuli spamu a virum sem uz musel jeden mail zrusit...a rozodne ted uz nikde mail adresy volne na weby nepisu...Nak

[Kon]

..nicmene soubor certifikatu jde chranit heslem pred kazdym pouzitim...takze bez hesla je mu k nicemu ne??

Ne, tam (Raif banka) se nastaví pro ten certifikát to heslo jednou. Kdyby si chtěl změnit heslo por certifikát, musel by sis znovu vygenerovat nový certifikát.

Jak jsem psal v práci mám Sygate FW a doma proxy+.
Jedině jak se k těm penězům nikdy nedostat je , že pachatel si na falešnou identitu zřídí účet, na který si ty peníze převede. Ty si potom vybere v hotovosti - tam končí jeho možnost vvysledování. Taky si lze zřídit účet v Tramtárii, ale to má cenu pouze při nějaké větší částce.

[Connor]

Tu reportaz sem propasnul, ale jak je videt o nic sem neprisel.
Jestli to ma vydesit divaky a odradit je od internet bankingu, tak to asi splnilo svuj ucel.
A myslim, ze PC laika dalsi fundovane rady o zabezpeceni PC firewallem apod. jeste vic vydesi.
Nevim jak jsou na tom internet bankingy u vsech bank ale napriklad i priblbla ceska sporka nejenom ze umoznuje pouzivani kalkulacky (neco jako u eBanky a neni to povinne), ale predevsim umi okamzite po zadani jakehokoliv prikazu pres internet banking odeslat SMS zpravu (do cca minuty)...takze majitel uctu (pokud nema vypnutej mobil )ma jeste cas celou akci stopnout! Jasne je moznost pres internet zmenit cislo mobilniho telefonu, nebo zastavit posilani smsek...ale na to je treba znat cislo smlouvy a to standardne uzivatel nepouziva, takze by to musel bejt fakt pech.
Myslim, ze cela vec neni tak horka jak vypada.

[Lopan]

Nojo proste posrana Nova zase vyblila "kvalitni" reportaz.

Kdy si konecne uzivatel PC uvedomi, ze to neni mikrovlnka nebo video (copyright zive), a ze by mel o tom neco vedet nez k tomu sedne, vzdyt kdyz jsou na auto povinne ridicaky, proc ne na kompa.

[Rainbow]

Ked je niekto blby a nevie, co mu na pocitaci bezi, tak nech sa necuduje...

[Nakadah Al Jaffa]

Nekdy se divim proc NOVA dava takove krasne reportaze jak na to...treba jak si vyrobit atomovku,napalm a podobne veci...jeste ukazuji jak se jde jednoduse nabourat do HB...to je jako Zenu se za senzaci a vsichni mi polibte

Ted sem se znovu koukal na moje HB..bezi to pres IE a kdyz si zadam stranku CSOB tak to chce certifikat..kliknu na nej...pak musim zadat heslo pro certifikat a uz sem tam...

Navic pri importu certifikatu do IE chce stejne heslo..a pokud ho nevi je mu to k nicemu...Nak

[Maxik]

ja mam eBanku a zda se mi ze posilani "hesla" na vstup do banky a na kazdy potvrzeni operace je dostatecne bezpecny. Kdyz si zapnu pin i na mobilu, tak pri vypnutym mobilu musim zadat navic este 2x pin (do telefonu a do aplikace)

[CompCrasher]

Ke vnikmuti na pocitac nejakeho loosera nepotrebujete umet programovat, jak zaznelo v reportazi, vse se da najit na internetu. Trebas Back Orifice, ale konkretne tento trojan horse je v dnesni dobe "nepouzitelny". Ale normalne smyslejici lide, tohle nepouzivaji...

[bananalama]

A ako je to s bezpečnosťou ibankingu u pripojených pomocou wifi. Dá sa to všetko na trase odchytiť a zneužiť? Ja som pre istotu aktivoval len pasiv.

edit:viem že odchytiť nieje problem ale či sa pomocou tých dát dá vybieliť učet.

[Rainbow]

Vsetko, co sa prenasa cez internet, moze citat hocikto - aj ked je to wifi, aj ked je to kabel. Preto sa pouziva sifrovanie (HTTPS, SSH, FTP over SSL...)

[Radim]

No tak ibanking jen z práce
spojení můj comp -> banka by mělo být bezproblémový obzvlášť když je obojí v jednom ústavu

[bananalama]

Vsetko, co sa prenasa cez internet, moze citat hocikto - aj ked je to wifi, aj ked je to kabel. Preto sa pouziva sifrovanie (HTTPS, SSH, FTP over SSL...)

No to je jasné, ale či sa dá pomocou tých žašifrovaných dát dostať na účet. Bez pomoci tých trojanov sledujúcich klávesnicu (čo si myslím, že u mňa nemajú šancu, resp dúfam).

to šifrovanie nemyslím WEP ale medzi bankou a mnou.

[Rainbow]

Ked to ide cez HTTPS, tak je ten prenos dostatocne bezpecny. Problem je vsak v tom, ze ludia instaluju vsetko a klikaju na kazdu prilohu v maile, navyse vo Windowsoch prihlaseni ako administratori. Potom sa uz o ziadnej bezpecnosti hovorit neda...

[Jezevec]

Vsetko, co sa prenasa cez internet, moze citat hocikto - aj ked je to wifi, aj ked je to kabel. Preto sa pouziva sifrovanie (HTTPS, SSH, FTP over SSL...)

No to je jasné, ale či sa dá pomocou tých žašifrovaných dát dostať na účet. Bez pomoci tých trojanov sledujúcich klávesnicu (čo si myslím, že u mňa nemajú šancu, resp dúfam).

to šifrovanie nemyslím WEP ale medzi bankou a mnou.

Zalezi jak je to udelany. Treba E-banka + InetKey = mas na kompu cetifikat chranenej heslem. Kdyz posilas pozadavek (prikaz k uhrade ...) tak se lokalne podepise = neposila se zadny heslo, ani ten podpis. Banka pomoci jednosmernyho algoritmu overi platnost, a realizuje pozadavek. Takze kdyby nekdo odchytil tvoji komunikaci, je mu to naprd (pokud nema dost penez a casu). Kdyz posle znova stejny pozadavek, nebude akceptovan a kdyz neco zmeni, nebude sedet podpis.

Co by musel ziskat: Tvuj certifikat + heslo k nemu + tvoje ID uctu. Pokud si hodis certifikat na CD, ktery nemas vecne v kompu a mas samo komp alespon ocesanej o M$ features jako sdileni a pod, je riziko velmi nizke.

Nektery banky cetifikat ani nepouzivaj a posila se primo heslo. Sice zabezpecene, ale 128bit uz neni zase takova prekazka.

Samo sou dalsi moznosti jako cetifikat na karte (tusim treba KB), "kalkulacka", ... Kazdej musi zvazit, kolik ma cenu za tu komunikaci a bezpecnost tem zlodejum platit.

[Kon]

Vsetko, co sa prenasa cez internet, moze citat hocikto - aj ked je to wifi, aj ked je to kabel. Preto sa pouziva sifrovanie (HTTPS, SSH, FTP over SSL...)
No pokud se používá certifikát, pak je nutno mít tento certifikát. Tzn. ten narušitel by musel získat ten tvůj soubor. A ten přes šňupání po WiFi nezíská, pokud se ovšem nedostane atvoje PC. (např. připojí se do tvoji WiFi a přes sdílení si může ten certifikát zkopírovat).
Přes WiFI může kontrolovat odesílané info tzn. může chytit komunikaci HTTPS, SSH, ... , kterou by musel cracknout a dostat se k heslu.
Takže jak jsem psal já a teďka i Jezevec - pokud máš certifikát na médiu a strčíš ho do PC pouze při podpisu, pak je to nezachytitelné, skoro teda.

[viki_]

Tady se na to jeste muzete podivat:
http://www.nova.cz/tvarchiv/?prog=JUDO

Ten chlapek ("okradeny") na me teda moc duveryhodne nepusobi, spis bych si tipnul, ze ty penize nekde prochlastal

[viki_]

No pokud se používá certifikát, pak je nutno mít tento certifikát. Tzn. ten narušitel by musel získat ten tvůj soubor. A ten přes šňupání po WiFi nezíská, pokud se ovšem nedostane atvoje PC. (např. připojí se do tvoji WiFi a přes sdílení si může ten certifikát zkopírovat).
Přes WiFI může kontrolovat odesílané info tzn. může chytit komunikaci HTTPS, SSH, ... , kterou by musel cracknout a dostat se k heslu.
....

Jen mala poznamka k terminologii - chranit se musi privatni klic, ne "certifikat". Certifikat sam o sobe je vlastne jen verejny klic obaleny identifikacni informaci. Tzn. ze cele je to zalozene na tom, ze k certifikatu ma druha strana volny pristup. Napr. abych vubec mohl zpravu pro prijemce zasifrovat, musim jeho certifikat vlastnit anebo naopak - abych mohl overit podepsanou zpravu, musim ji mit proti cemu overit.

Nejpouzivanejsi kryptograficke formaty jsou vetsinou ve standardu PKCS#7 http://www.rsasecurity.com/rsalabs/p...s-7/index.html. Napr. soucasti SignedData jsou krome samotne zpravy take certifikaty vsech subjektu, ktere zpravu podepsaly.

[Fox!MURDER]

Jen mala poznamka k terminologii - chranit se musi privatni klic, ne "certifikat". Certifikat sam o sobe je vlastne jen verejny klic obaleny identifikacni informaci. Tzn. ze cele je to zalozene na tom, ze k certifikatu ma druha strana volny pristup. Napr. abych vubec mohl zpravu pro prijemce zasifrovat, musim jeho certifikat vlastnit anebo naopak - abych mohl overit podepsanou zpravu, musim ji mit proti cemu overit.

Nejpouzivanejsi kryptograficke formaty jsou vetsinou ve standardu PKCS#7 http://www.rsasecurity.com/rsalabs/p...s-7/index.html. Napr. soucasti SignedData jsou krome samotne zpravy take certifikaty vsech subjektu, ktere zpravu podepsaly.

ja te jeste trosku poopravim
a) privatni klic = klic kterej se pouziva k zasifrovani
b) verejnej klic = klic kterej se pouziva k identifikaci/desifrovani
c) certifikat = overeni ze verejnej klic kterym se prokazujes ma nejakou hodnotu (vyuziva se hlavne u aplikaci jako PGP v mailu kdy si prijemce muze overit ze jste to opravdu vy a ne jen ze si nekdo vygeneroval klic s vasima inicialama) - ibanking by se teoreticky mel obejit bez certifikatu protoze jim staci ten verejnej klic na to overeni ...

jinak samozrejme ze nejlip to ma vychytany ebanka protoze tam neexistuje zadnej zpusob jak to poradne naborit (nebo me nenapada -alespon u osobniho a mobilniho klice) .
u tech ostatnich metod me par zpusobu napadlo ... u klasickejch s klicem v browseru staci hacknout pc a ve spravnou chvili (kdyz se user pokousi udelat nejakou operaci) browseru podstrcit jinej dotaz a user pak zada heslo aby potvrdil co si mysli ze je operace kterou chtel udelat a pritom potvrdi operaci "haxora"...
pokud se jen posila heslo tak staci nacpat do toho pocitace blbej keysniffer a nebo zrovna napotvoru objevit diru v sifre a tu pak zlomit behem pripojeni .... (a jak uz nekdo podotkl pri dnesnich vykonech a cenach pc neni problem si poridit 10 celeronu na bruteforce lamani 128bit sifer....)

[viki_]

ja te jeste trosku poopravim
a) privatni klic = klic kterej se pouziva k zasifrovani
b) verejnej klic = klic kterej se pouziva k identifikaci/desifrovani
c) certifikat = overeni ze verejnej klic kterym se prokazujes ma nejakou hodnotu (vyuziva se hlavne u aplikaci jako PGP v mailu kdy si prijemce muze overit ze jste to opravdu vy a ne jen ze si nekdo vygeneroval klic s vasima inicialama) - ibanking by se teoreticky mel obejit bez certifikatu protoze jim staci ten verejnej klic na to overeni ...

Ne ne myslim, ze si to trosku pletes .

a) privatni klic - pouziva se k podpisu a rozsifrovani zpravy zasifrovane verejnym klicem.
b) verejny k. - naopak - tzn. zasifrovani zpravy (verejny klic prijemce), overeni zpravy podepsane priv. klicem odesilatele.

Sifrovani:
Pokud by se sifrovalo privatnim klicem, nemelo by to u parove kryptografie (priv./verejny klic) zadny smysl, protoze by si kdokoli tu zpravu mohl rozsifrovat tvym verejnym klicem.
Proto se samozrejme musi sifrovat verejnym klicem toho, pro koho je zprava urcena - tim se docili efektu, ze desifrovat zpravu muze pouze majitel soukromeho klice (tzn. skutecne jen ten, komu je sifrovana zprava urcena).

"Digitalni podpis":
U verejne ho klice je to take presne naopak nez si uvedl - zpravu podepisuji svym privatnim klicem. Na zaklade verejneho klice, ktery je volne kazdemu k dispozici, si kazdy muze overit, ze jsem zpravu skutecne podepsal ja. (kdybych si data podepsal verejnym klicem, jak uvadis, nikdo by tu zpravu nebyl schopen overit krome me, takze by to asi nebylo moc platne).

[viki_]

c) certifikat = overeni ze verejnej klic kterym se prokazujes ma nejakou hodnotu (vyuziva se hlavne u aplikaci jako PGP v mailu kdy si prijemce muze overit ze jste to opravdu vy a ne jen ze si nekdo vygeneroval klic s vasima inicialama) - ibanking by se teoreticky mel obejit bez certifikatu protoze jim staci ten verejnej klic na to overeni ...

Taky neni uplne pravda (spis jen polopravda). Spoucasti X509Certifikatu je i verejny klic. Samotny klic zadne inicialy neobsahuje, klic je v podstate jen nejake velke prvocislo.

...vidis, tady sam pises, ze verejny klic se pouziva na OVERENI (podpisu).

[Connor]

Tady se na to jeste muzete podivat:
http://www.nova.cz/tvarchiv/?prog=JUDO

Ten chlapek ("okradeny") na me teda moc duveryhodne nepusobi, spis bych si tipnul, ze ty penize nekde prochlastal

Sorry za OT, ale daji se ty jejich reportaze nejak ulozit na disk pro pozdejsi prehrani? Nebo je na to nejakej soft kterej to umi vytipnout??