-
Czye-banki są bezpieczne? | elephant...
Witam,
Polecam artykuł:
http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf
Pozdrawiam,
Tomek
X-Nat-Received: from [172.25.4.114]:36508 [ident-empty]
by smtp-proxy.isp with TPROXY id 1140532514.14161
--------------------
W polskim Internecie są setki milionów stron. My przekazujemy Tobie tylko najlepsze z nich!
http://katalog.panoramainternetu.pl/
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki
-
Re: Czye-banki są bezpieczne? | badzio <badzio...
Patrze, patrze a tu Tomasz Słonina porozsypywal nastepujace haczki:
> Polecam artykuł:
> http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf
Polecam uwazne czytanie grupy... bylo poruszane, calkiem niedawno.
--
Michal "badzio" Kijewski
JID: badzio(at)chrome(dot)pl
GG: 296884, ICQ: 76259763
Skype: badzio
-
Re: Czye-banki są bezpieczne? | prz3c1nak <macw141...
Tomasz Słonina wrote:
> Witam,
>
> Polecam artykuł:
>
> http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf
Nie czytałem wprawdzie poprzedniego wątku, ale ten artykuł jak
najbardziej. Przykro to stwierdzić, ale jest to nic więcej jak
manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
autorów. Zwłaszcza układ tego dokumentu ... najpierw podano dwa
przykłady wykorzystania podatności, które znaleziono w serwisach
bankowych, a potem ta tabelka, sugerująca że inne banki też są podatne.
Prawda jest taka, że zdecydowana większość banków z tej tabelki jest
całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
pisze się tego wprost i w sumie nie można zarzucić kłamstwa).
No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.
-
Re: Czye-banki są bezpieczne? | "witrak\(\)" <witrak...
"prz3c1nak"
news:dth26e$1cun$1...
> Tomasz Słonina wrote:
>> Witam,
>>
>> Polecam artykuł:
>>
>> http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf
>
> Nie czytałem wprawdzie poprzedniego wątku, ale ten artykuł jak
> najbardziej. Przykro to stwierdzić, ale jest to nic więcej jak
^^^^^^^^^^^
> manipulacja obliczona na wygenerowanie sztucznego popytu na
> "usługi" autorów.
Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo
polprawda ?
> Zwłaszcza układ tego dokumentu ... najpierw podano dwa przykłady
> wykorzystania podatności, które znaleziono w serwisach
> bankowych, a potem ta tabelka, sugerująca że inne banki też są
> podatne. Prawda jest taka, że zdecydowana większość banków z tej
> tabelki jest
Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
jednych przedstawic w lepszym a innych w gorszym swietle ?
Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
o czyms swiadczy.
> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury
> (choć nie pisze się tego wprost i w sumie nie można zarzucić
> kłamstwa).
No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
im postawic ?
> No ale autorzy dopieli swego - prezes podobno nawet w tv
> wystąpił.
No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie
mowic.
Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
wiedzialem, ze banki dopuszczaja SSL2...).
Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
do roboty, bo "wypadlismy najgorzej"...
Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
przy tej okazji cos pozytywnego sie stanie.
witrak()
-
Re: Czye-banki są bezpieczne? | prz3c1nak <macw141...
>> manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
>> autorów.
>
>
> Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo polprawda ?
Heheheh - rzecz właśnie w tym czego nie napisali ;)
> Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
> jednych przedstawic w lepszym a innych w gorszym swietle ?
> Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
> Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
> wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
> o czyms swiadczy.
Ok - SSL2 nie jest najnowszym protokołem i ma swoje błędy
architekturalne, ale znowu nie demonizujmy - złam go gdy używa się
silnych kluczy algorytmów symetrycznych ... życze powodzenia!
>
>> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
>> pisze się tego wprost i w sumie nie można zarzucić kłamstwa).
>
>
> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
> im postawic ?
Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać połączenie SSL
ze słabym kluczem - niby prawda, ale ... gdy takie nawiążesz, wszystko
co uzyskasz to komunikat w HTML, że aby się zalogować niezbędne jest
wsparcie przeglądarki dla szyfrowania z silnym kluczem .... No ale że
tak jest, to już nie napisali ... powiedziałbym że to co najmniej
nierzetelne - nie sądzisz??? Bo tak naprawde oznacza, że wejść do
serwisu transakcyjnego i zalogować się na słabym kluczu nie można!!!
>
>> No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.
>
>
> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie mowic.
> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
> wiedzialem, ze banki dopuszczaja SSL2...).
> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
> do roboty, bo "wypadlismy najgorzej"...
> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
> przy tej okazji cos pozytywnego sie stanie.
I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl) dotyczy
dość szczególnych sytuacji i to takich w których tenże SSL2 wspiera
krótkie klucze ... Nie jestem obrońcą tego przestarzałego już nieco
protokołu, ale naprawde - spróbujcie go złamać przy silnym szyfrowaniu
... Zwróć uwagę że w dokumencie napisano o znanych błędach
architekturalnych SSL2 i tzw. dobrej praktyce, a nie podparto tego
żadnym przykładowym atakiem ... Mogę Cię zapewnić, że gdyby Ci
"specjaliści" potrafili taki sensowny przykładowy atak przeprowadzić, to
byłby on w dokumencie - możesz być tego pewnym.
Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na końcu -
każda wpisana tam jedynka lub dwójka powinna być poparta przykładem -
tak, żeby nie było żadnych wątpliwości o co chodzi ...
Pozdrawiam