Discussion:
45 minuuttia ja SSL
(too old to reply)
a***@is.invalid
2004-04-14 15:13:46 UTC
Permalink
http://www.mtv3.fi/ohjelmat/45min_2003/jaksot.shtml?213099

Eli tästä tullaan vielä meuhkaamaan oikein kunnolla jos hyvin sattuu. Eli
arvuutellaan näin etukäteen, että mistähän tässä on kysymys? 40-bittistä
RC4:sta kun ei enää käytetä Suomessa pankkitoiminnassa (tietääkseni
ainakaan), niin jäljelle jää "man in the middle" atakit?
Ari Laitinen
2004-04-14 16:31:46 UTC
Permalink
Post by a***@is.invalid
http://www.mtv3.fi/ohjelmat/45min_2003/jaksot.shtml?213099
Eli tästä tullaan vielä meuhkaamaan oikein kunnolla jos hyvin sattuu. Eli
arvuutellaan näin etukäteen, että mistähän tässä on kysymys? 40-bittistä
RC4:sta kun ei enää käytetä Suomessa pankkitoiminnassa (tietääkseni
ainakaan), niin jäljelle jää "man in the middle" atakit?
Ei välttämättä. Tuosta tekstistä ei voi päätellä menetelmää. Onhan niitä
muitakin esim. keyloggerit.
a***@is.invalid
2004-04-14 17:05:12 UTC
Permalink
Post by Ari Laitinen
Ei välttämättä. Tuosta tekstistä ei voi päätellä menetelmää.
Onhan niitä muitakin esim. keyloggerit.
Joo, tottakai. Henkilökohtaisesti pitäisin menetelmää turvallisena
siinä mielessä kuin sitä markkinoidaan, jos tietoihin ei pääse
käsiksi ilman pääsyä käyttäjän koneelle.

Aiemminhan (ennen 2001) pankeilla oli käytössä 40-bittistä salausta
joka nykyään on murrettavissa tosiaikaisesti. Samoin avainten
salaukseen käytetty RSA on nykyään 1024-bittinen (aiempi
512-bittinen oli faktoroitavissa about 100 kertaa suuremmalla
vaivalla kuin heikko RC4).

Sikäli että SSL:n murtamisesta noin yleensä olisi uutisointia
varmasti reilusti, arvelusi jostain "kepulikonstista" on varmaan
todennäköisempi.

Toivottavasti ohjelmassa mennään teknisiin yksityiskohtiin eikä vaan
pelotella asiakkaita epämääräisillä "niskan takaa" kuvatuilla "näin
se tehdään" hömpötyksillä.

Toisaalta pankit kyllä varoittavat käyttäjiä siitä että käytetty
kone tulee olla turvallinen (välimuistien tyhjennykset yms. osataan
mainita joka välissä). Lisäksi turvaluvut on juoksevia joten tilin
tyhjentäminen vaatisi useiden yhteyksien purkamista (eli yhden
"salasanan" varastamisella ei kostu vielä mitään muuta kuin tiedon
tilin saldosta ja tapahtumista).

Itse en käyttäisi verkkopankkia kenenkään muun koneelta.

No, kohtahan se nähdään. Ohjelma siis alkaa 10 minsan päästä.
Ari Laitinen
2004-04-14 17:23:04 UTC
Permalink
Post by a***@is.invalid
Post by Ari Laitinen
Ei välttämättä. Tuosta tekstistä ei voi päätellä menetelmää.
Onhan niitä muitakin esim. keyloggerit.
Joo, tottakai. Henkilökohtaisesti pitäisin menetelmää turvallisena
siinä mielessä kuin sitä markkinoidaan, jos tietoihin ei pääse
käsiksi ilman pääsyä käyttäjän koneelle.
Menetelmä sellainen, että haittaohjelma kaappaa yhteyden selaimen ja sen
salauksen välistä. Uutta siis oli se, että verkkoliikenne voidaan
haittaohjelmalla kaapata salaamattomassa muodossa, joka mahdollistaa paljon
suurempia vapauksia kuin pelkkä keyloggeri. Tätä ei voi havaita esim.
yhteyden salaustietoja tai sertifikaatteja tutkimalla.
a***@is.invalid
2004-04-14 18:03:26 UTC
Permalink
Post by Ari Laitinen
Menetelmä sellainen, että haittaohjelma kaappaa yhteyden selaimen
ja sen salauksen välistä. Uutta siis oli se, että verkkoliikenne
voidaan haittaohjelmalla kaapata salaamattomassa muodossa, joka
mahdollistaa paljon suurempia vapauksia kuin pelkkä keyloggeri.
Tätä ei voi havaita esim. yhteyden salaustietoja tai
sertifikaatteja tutkimalla.
Joo, mutta se edelleen vaatii sen koodin ujuttamisen sinne käyttäjän
koneelle. Uutta voi ehkä olla koodaamisen helppous jossa voidaan
hyödyntää valmista rajapintaa eikä tarvitse koukutella ns.
"vihamielisesti" muistista tavaraa.

Mielestäni simppeli keyloggeri on ihan yhtä pätevä tarkoitusta
varten. Jos lisätään selaimen ikkunan ruutukaappaus ja kuvien
pakkaus/lähetys keyloggerin lokin lisäksi, päästään täsmälleen
samaan lopputulokseen. Ja valmista softaa löytyy. Valmiin
viruskontainerin voi hakea netistä ja kaappaussorsat toisaalta.
Näitähän on liikkeellä vaikka kuinka paljon koko ajan.

Ainoa mitä tarvitsee lisätä on täsmäohjaus nimenomaan
pankkiyhteyksien liikenteen nappaamiseksi. Siinä se varsinainen
koodausurakka on (muuten tavaraa tulee ihan liikaa hyödynnettäväksi).
Ari Laitinen
2004-04-14 18:16:35 UTC
Permalink
Post by a***@is.invalid
Mielestäni simppeli keyloggeri on ihan yhtä pätevä tarkoitusta
varten. Jos lisätään selaimen ikkunan ruutukaappaus ja kuvien
Mitä tarkoitusta? Keyloggeri sopii vain key-loggaamis tarkoitukseen. Tämä
menetelmä mahdollistaa paljon muutakin.
a***@is.invalid
2004-04-14 19:04:16 UTC
Permalink
Post by Ari Laitinen
Post by a***@is.invalid
Mielestäni simppeli keyloggeri on ihan yhtä pätevä tarkoitusta
varten. Jos lisätään selaimen ikkunan ruutukaappaus ja kuvien
Mitä tarkoitusta? Keyloggeri sopii vain key-loggaamis
tarkoitukseen. Tämä menetelmä mahdollistaa paljon muutakin.
Jos tarkoituksena on saada tiedot tilin saldosta ja tapahtumista,
ruutukaappaus antaa ne ilman mitään ylimääräisten yhteyksien ottoa
pankkiin.

Jos tarkoituksena on petos (rahojen siirto omalle tilille),
keyloggerilla saa asiakasnumeron ja tunnusluvun sekä uselta
yhteydeltä tarpeeksi varmistuslukuja. Tosin jotta niitä voisi
hyödyntää, tarvitaan vielä yksi jippo, nimittäin yhteyden
katkaiseminen juuri ennen tunnusluvun lähettämistä (mutta sen
lokkaamisen jälkeen). Sitten tiliin pääsee käsiksi jos estää "uhrin"
pääsyn ennen kun on tililtä rahat siirtänyt.

Tilinumeron vaihto kesken yhteyden on tietty hyökkäyksen
suorituksen kannalta mutkattomampi operaatio, mutta se ei ole
mielestäni varsinainen MiM atakki koska se tapahtuu uhrin koneella.

Myönnetään että se on keyloggeria monimutkaisempi
koodattava, mutta vaikeustaso IE:n ja muiden selaimien välillä ei
ole mitenkään hirvittävä (ainakaan Windows- ympäristössä missä
toisten prosessien muistia pääsee helpohkosti ronkkimaan
omasta koodista jahka sen on käyttäjä ajoon päästänyt).
Ari Laitinen
2004-04-14 19:51:54 UTC
Permalink
Post by a***@is.invalid
Tilinumeron vaihto kesken yhteyden on tietty hyökkäyksen
suorituksen kannalta mutkattomampi operaatio, mutta se ei ole
mielestäni varsinainen MiM atakki koska se tapahtuu uhrin koneella.
Jos uhrin koneelle päästään vapaasti niin uhrin sertifikaatit ja nimipalvelu
voidaan muuttaa niin että kone ottaa yhteyttä rikollisen koneen kautta.
Siihen ei tarvita edes haavoittuvuutta selainohjelmassa.
Paul Keinanen
2004-04-19 19:12:05 UTC
Permalink
Post by a***@is.invalid
Post by Ari Laitinen
Menetelmä sellainen, että haittaohjelma kaappaa yhteyden selaimen
ja sen salauksen välistä. Uutta siis oli se, että verkkoliikenne
voidaan haittaohjelmalla kaapata salaamattomassa muodossa, joka
mahdollistaa paljon suurempia vapauksia kuin pelkkä keyloggeri.
Tätä ei voi havaita esim. yhteyden salaustietoja tai
sertifikaatteja tutkimalla.
Joo, mutta se edelleen vaatii sen koodin ujuttamisen sinne käyttäjän
koneelle. Uutta voi ehkä olla koodaamisen helppous jossa voidaan
hyödyntää valmista rajapintaa eikä tarvitse koukutella ns.
"vihamielisesti" muistista tavaraa.
Tästä tosiaan näyttäisi olevan kysymys. Minä ainakin hätkähdin
Microsoftin teknologiajohtajan haastattelua tuossa samaisessa
ohjelmassa:

"Siis sehän ei ole aukko tai haavoittuvuus, se on ominaisuus, joka on
siihen selainohjelmaan lisätty, jonka tarkoitus on antaa ohjelman
kehittäjälle mahdollisuuden käyttää sen ohjelman toiminnallisuutta
hyväkseen".

Tuossahan suoraan myönnetään, että he ovat jättäneet itselleen
backdoorin :-).

Tuosta voisi arvailla, että IE:n eri osien välinen kommunikointi on
tehty jollain DCOM yms. reikäisellä tekniikalla (eikä siis suorilla
aliohjelmakutsuilla), on kai vain ajan kysymys, koska seuraava RPC,
DCOM, ActiveX, Java yms. bugi IE selaimessa mahdollistaa tuon
takaportin hyödyntämisen suoraan ulkoapäin (ei siis rompun tai
sähköpostiliitteen avulla).

Paul
JK
2004-04-14 17:21:58 UTC
Permalink
Post by a***@is.invalid
http://www.mtv3.fi/ohjelmat/45min_2003/jaksot.shtml?213099
Eli tästä tullaan vielä meuhkaamaan oikein kunnolla jos hyvin sattuu.
Eli arvuutellaan näin etukäteen, että mistähän tässä on kysymys?
40-bittistä RC4:sta kun ei enää käytetä Suomessa pankkitoiminnassa
(tietääkseni ainakaan), niin jäljelle jää "man in the middle" atakit?
Höpistiin kaikenlaista haittaohjelmista ja Virosta ostetuista
warez-levyistä.

Koko ajan puhuttiin kuinka ongelma koskettaa Micro$oftin IE:tä ja kuinka
MS ei aio tehdä siihen muutoksia. Koska kyseessä ei ole haavoittuvuus.

Kertokaapas joku viisaampi, että koskettaako tämä ongelma muita
selaimia?

Onko MTV-konserni jotenkin MS:n talutushihnassa kun ei uskalleta edes
mainita, että muitakin selaimia on olemassa. Jos ongelma ei kosketa
muita selaimia, olisihan siitä voinut mainita. Ei olisi tarvinnut
mainostaa Operaa tai Mozillaa nimeltä.
Risto Paasivirta
2004-04-14 17:48:13 UTC
Permalink
Post by JK
Kertokaapas joku viisaampi, että koskettaako tämä ongelma muita
selaimia?
Mikään softa ei ole turvallinen, jos sitä ajetaan valmiiksi
matoisessa systeemissä.

Risto
--
char a[1004]="000",b=57;main(int c){while((a[c+2]=b>
47?b--:0)&&(strstr(a,a+c)-a-c||(c++,b=57)));puts(a);}
jyri Hakola
2004-04-14 19:00:23 UTC
Permalink
Post by JK
Koko ajan puhuttiin kuinka ongelma koskettaa Micro$oftin IE:tä ja kuinka
MS ei aio tehdä siihen muutoksia. Koska kyseessä ei ole haavoittuvuus.
Onko MTV-konserni jotenkin MS:n talutushihnassa kun ei uskalleta edes
mainita, että muitakin selaimia on olemassa.
Jos MTV-olisi MS:n talutushihnassa niin miksi siellä sitten tehtäisi
ohjelmia jossa noin selkeästi arvosteltaisiin IE:tä ja M$:ssää siitä
ettei muutoksia ole luvassa ;-)

Pientä ristiriitaisuutta spekulaatioissa :-)
a***@is.invalid
2004-04-14 19:34:40 UTC
Permalink
Post by JK
Koko ajan puhuttiin kuinka ongelma koskettaa Micro$oftin IE:tä ja
kuinka MS ei aio tehdä siihen muutoksia. Koska kyseessä ei ole
haavoittuvuus.
Kertokaapas joku viisaampi, että koskettaako tämä ongelma muita
selaimia?
Kyllä koskettaa. Mitä tahansa selainta hyödyntämään on mahdollista
koodata "haittaohjelma" joka kaappaa tilitietoja tai muuttaa
maksumääräyksiä. Kysymys on vaan vaikeusaseteesta ja saavutettavasta
hyödystä. IE:lle on helpointa kyseisenlainen troijalainen koodata ja
sitä on nyt sitten jo demottu. Muille selaimille joutuisi
erikoisempia toimintoja varten tekemään jonkun verran enemmän töitä
ja hyöty olisi pienempi (vähemmän käyttäjiä).

Eli riski on selvästi suurin IE:n kanssa. Jos puhutaan
ruutukaappauksia tekevästä softasta (jolla voi siis paljastaa
tilitiedot muttei viedä rahoja), selaimella ei ole Windowssissa
mitään väliä mikä se on.

Tuli tuossa juuri mieleen eräs asia joka mielestäni asettaa tän
kohun aika hyvin paikoilleen (jonkinlaisena markkinointistunttina):

Fleasomen Pekka Niskanen kertoi toimittajalle (heti alussa, about
kohdassa 2:25) että ITSE on "rajoittanut verkkopankin käytön
hyvinkin minimiin". Eli tietoturvayhtiön "Johtava asiantuntija"
mukamas myöntää ettei luota omiin kykyihinsä/firmansa ohjelmistoihin
tarpeeksi kyetäkseen pitämään koneensa puhtaana "haittaohjelmista"!

Voisin uskoa tuon jos paljastus koskisi SSL:n purkamista ilman
avaimia verkon ylitse, täysin ilman mitään tarvetta tunkeutua pankin
tai asiakkaan koneelle. Kun kyse on periaatteessa vaan viruksilla,
madoilla ja troijalaisilla pelottelusta, kyseinen "Johtavan
asiantuntijan" suositus osoittaa että kyseessä on ilkiselvästi ns.
"publicity stunt".
a***@is.invalid
2004-04-14 17:35:03 UTC
Permalink
Eipä siinä ollut juuri mitään uutta. Selvähän se, että jos koodia
saa ujutettua käyttäjän koneelle niin mitkä vaan tiedot on
saatavissa. On selain sitten IE tai joku muu.

Fleasomen Pekka Niskanen väisti toimittajan kysymyksen siitä miten
tililtä voi rahat anastaa toteamalla että turvaluvut on
nelinumeroisia ja niitä voi arvailla. Mitenkään ei selvinnyt että
pankit sallisivat samalle asiakasnumerolle 5000 arvausta yhdestä
turvaluvusta (keskimäärin tarvitaan yhden luvun saamiseksi).

Eli ilman man-in-the-middle hyökkäystä (eli jujutetaan asiakas
ottamaan yhteys voron palvelimeen pankin sijasta) rahojen
varastaminen vaatii useita yrityksiä (pitää saada huomattava osa
satunnaisesti valittavista n. "varmistusluvuista).

Lisäksi on noita turvarajoja (yleensä luokkaa 20 tEUR), joten isoja
summia haaliakseen joutuisi iskemään useaan uhriin.

Ainoa mielenkiintoinen asia on se miten yksi telkkuohjelma sai
vipinää pankkeihin oikein "hätäkokouksen" muodossa. Vaikea
vaan sanoa mitä ne voi asialle tehdä kun eivät voi käyttäjien
koneita valvoa. Ehkäpä pankkitunnukset voitaisiin myöntää
vasta perustietoturvakokeen suorittamisen jälkeen (eli ennen
ensimmäistä yhteyttä pitää täyttää oikein web-lomake jossa
tivataan koneen suojaamisen perusasioita).
Ari Laitinen
2004-04-14 18:02:05 UTC
Permalink
Post by a***@is.invalid
Eipä siinä ollut juuri mitään uutta. Selvähän se, että jos koodia
saa ujutettua käyttäjän koneelle niin mitkä vaan tiedot on
saatavissa. On selain sitten IE tai joku muu.
Fleasomen Pekka Niskanen väisti toimittajan kysymyksen siitä miten
tililtä voi rahat anastaa toteamalla että turvaluvut on
nelinumeroisia ja niitä voi arvailla. Mitenkään ei selvinnyt että
pankit sallisivat samalle asiakasnumerolle 5000 arvausta yhdestä
turvaluvusta (keskimäärin tarvitaan yhden luvun saamiseksi).
Käsitit väärin. Jos kaappaaja saa miljoonan koneen tiedot niin arvaamalla
vain yhden numeron aukeaa niistä jo keskimäärin 100 ekalla arvauksella.
Post by a***@is.invalid
Eli ilman man-in-the-middle hyökkäystä (eli jujutetaan asiakas
ottamaan yhteys voron palvelimeen pankin sijasta) rahojen
varastaminen vaatii useita yrityksiä (pitää saada huomattava osa
satunnaisesti valittavista n. "varmistusluvuista).
Tai ainoastaan muutetaan tilinumero.
Post by a***@is.invalid
Lisäksi on noita turvarajoja (yleensä luokkaa 20 tEUR), joten isoja
summia haaliakseen joutuisi iskemään useaan uhriin.
Mikäänhän ei rajaa hyökkäystä yhteen koneeseen.
a***@is.invalid
2004-04-14 18:47:59 UTC
Permalink
Post by Ari Laitinen
Käsitit väärin. Jos kaappaaja saa miljoonan koneen tiedot niin
arvaamalla vain yhden numeron aukeaa niistä jo keskimäärin 100
ekalla arvauksella.
Joo mutta miten luulet asiakasnumeroiden tuottamisen tapahtuvan? En
ainakaan usko että se tapahtuu yhtä turvallisesti kuin tunnuslukujen
(eli todella kryptologisesti vahvasti satunnaisesta lähteestä).
Väittäisin että miljoonan asiakasnumeron arvaus (eli se mitä tällä
Fleasomen menetelemällä on saatavissa) tuskin on paljoa hankalampaa.
Ongelma vaan on miljoonan yhteyden tekeminen. Ei se ainakaan samasta
IP-osoitteesta ja lyhyessä ajassa onnistu.
Post by Ari Laitinen
Post by a***@is.invalid
Lisäksi on noita turvarajoja (yleensä luokkaa 20 tEUR), joten
isoja summia haaliakseen joutuisi iskemään useaan uhriin.
Mikäänhän ei rajaa hyökkäystä yhteen koneeseen.
No miksihän sitä ei tehty (massiivista petosta) silloin kun salaus
oli 40-bittinen? Ei olisi vaatinut edes asiakkaiden koneille pääsyä.
Pankkien mukaan _yhtään_ tapausta ei ole ollut. Uskokoon sitä ken haluaa.
Ari Laitinen
2004-04-14 19:49:49 UTC
Permalink
Post by a***@is.invalid
Post by Ari Laitinen
Käsitit väärin. Jos kaappaaja saa miljoonan koneen tiedot niin
arvaamalla vain yhden numeron aukeaa niistä jo keskimäärin 100
ekalla arvauksella.
Joo mutta miten luulet asiakasnumeroiden tuottamisen tapahtuvan? En
ainakaan usko että se tapahtuu yhtä turvallisesti kuin tunnuslukujen
Käsitit taas väärin. Asiakasnumerot saadaan niistä miljoonasta koneesta. Sen
jälkeen vaihtuva tunnusluku onnsituu arvata oikein joka 10000 kerta.
a***@is.invalid
2004-04-14 20:18:01 UTC
Permalink
Post by Ari Laitinen
Post by a***@is.invalid
Joo mutta miten luulet asiakasnumeroiden tuottamisen
tapahtuvan? En ainakaan usko että se tapahtuu yhtä
turvallisesti kuin tunnuslukujen
Käsitit taas väärin. Asiakasnumerot saadaan niistä miljoonasta
koneesta. Sen jälkeen vaihtuva tunnusluku onnsituu arvata oikein
joka 10000 kerta.
Enkä käsittänyt. Argumenttini on, että asiakasnumeroiden arvaus on
mahdollisesti yhtä helppoa kuin tunnuslukujen arvaus (vaikka luku on
pitempi, se tuotetaan helpommin arvattavalla tavalla), joten
arvausmenetelmän ongelmat on siinä arvaamisessa itsessään eikä
toisen osan saamisessa uhrien koneilta.

"Brute force" arvausatakki pitäisi käytännössä hajauttaa
kuhnurikoneille ja pitkälle ajalle jotta se ei herättäisi pankin
valvontamekanismeja. Ja sitten pitäisi vielä onnistuneen arvauksen
jälkeen liikenne tunneloida onnistuneelta kuhnurilta (drone, zombie,
slave PC) myllylle josta varsinainen tilin käyttö tapahtuu.

Mutta mutta, tällä konearmadalla (ja arvatuilla tai uhreilta
saaduilla asiakasluvuilla) päästään vasta käsiksi tilitietoihin, ei
voida tehdä siirtoja (koska pitäisi taas arvata 10000 vaihtoehdosta
oikea VARMISTUSLUKU, eli se onnistuisi yhteensä vasta keskimäärin
100 miljoonalla yrityksellä, eli luokkaa useita satoja yrityksiä per
jokainen nettipankkien asiakas Suomessa). Eli kyllä se arvaushomma
on otettu pankkien taholta huomioon systeemiä suunniteltaessa.
Ari Laitinen
2004-04-15 06:29:29 UTC
Permalink
Post by a***@is.invalid
Mutta mutta, tällä konearmadalla (ja arvatuilla tai uhreilta
saaduilla asiakasluvuilla) päästään vasta käsiksi tilitietoihin, ei
voida tehdä siirtoja (koska pitäisi taas arvata 10000 vaihtoehdosta
oikea VARMISTUSLUKU, eli se onnistuisi yhteensä vasta keskimäärin
100 miljoonalla yrityksellä, eli luokkaa useita satoja yrityksiä per
jokainen nettipankkien asiakas Suomessa). Eli kyllä se arvaushomma
on otettu pankkien taholta huomioon systeemiä suunniteltaessa.
En ymmärrä mikset näe ongelmaa. Jos sinulla on miljoona toimivaa
asiakastunnistetta niin mikset saisi niistä jotain muka auki kokeilemalla?
a***@is.invalid
2004-04-15 17:18:54 UTC
Permalink
Post by Ari Laitinen
En ymmärrä mikset näe ongelmaa. Jos sinulla on miljoona toimivaa
asiakastunnistetta niin mikset saisi niistä jotain muka auki
kokeilemalla?
Kyllä siinä ongelma on, muttei se ole kovin kummoinen verrattuna
siihen että voi vaihtaa tilinumeron lennossa tai siirtää tiedot
tilin sisällöstä pakattuna kuvana. Arvausatakki vaatisi rutosti
enemmän kapasiteettia, suunnittelua ja riskiä, ja tuloksena olisi
ainoastaan tilitiedot, ei rahoja. Siihen pitäisi käytännössä käyttää
suurta osaa niistä miljoonasta koneesta jottei jäisi hetimiten kiinni.

En ymmärrä mitä tarvetta on ryhtyä arvailemaan niitä juoksevia
tunnuslukuja jos ollaan jo siellä asiakkaan koneella ja voidaan
muokata tai tallentaa tietoja taustalla uhrin hoitaessa
autentikoinnin normaalia tietä hyökkääjän puolesta.
Ari Laitinen
2004-04-15 17:23:16 UTC
Permalink
Post by a***@is.invalid
En ymmärrä mitä tarvetta on ryhtyä arvailemaan niitä juoksevia
tunnuslukuja jos ollaan jo siellä asiakkaan koneella ja voidaan
muokata tai tallentaa tietoja taustalla uhrin hoitaessa
autentikoinnin normaalia tietä hyökkääjän puolesta.
Olisiko tuo ollut toimittajan johdatteleva kysymys pois aiheesta?
a***@is.invalid
2004-04-15 17:52:13 UTC
Permalink
Post by Ari Laitinen
Post by a***@is.invalid
En ymmärrä mitä tarvetta on ryhtyä arvailemaan niitä juoksevia
tunnuslukuja jos ollaan jo siellä asiakkaan koneella ja voidaan
muokata tai tallentaa tietoja taustalla uhrin hoitaessa
autentikoinnin normaalia tietä hyökkääjän puolesta.
Olisiko tuo ollut toimittajan johdatteleva kysymys pois aiheesta?
Ohjelmassahan toimittaja tivasi miten tilin voi tyhjentää kun
tunnusluvut vaihtuu joka yhteydellä ja Fleasomen vastaus siihen oli
se arvausleikki. Ei se ollut pois aiheesta vaikkakin mielestäni
epäolennaista. Arvaus ei ole ns. "viable option".

Tilinumeron ja summan vaihto lennossahan on se tilin tyhjennyskeino.
Sitä ei kuitenkaan varsinaisesti ohjelmassa demottu (voipi olla että
se onnistuu IE:n avustuksella mutta muutoksen piilottaminen
käyttäjältä vaatii sitten perinteisempiä "hooking & hijacking"
kikkoja). Fleasome vain kertoi että se onnistuu (tottakai onnistuu,
mutta helppoudesta verrattuna pelkkään tietojen viemiseen ei sanottu
mitään).

Koko jutussa ärsyttääkin yksityiskohtaisten tietojen puute. Nythän
ne ovat jo todistettavasti kertoneet M$:lle ja pankeille asiasta,
joten yksityiskohtien paljastaminen (exploitin sorsia myöten) olisi
perinteisen haavoittuvuusjahdin sääntöjen mukaista.

Toisaalta taas "vialle" ei ole korjauspäivitystä eikä tule, joten
ehkä ne sorsat voisi jättää pois, mutta kuvailla menetelmää silti
koodarin näkökulmasta. Markkinointitempauksethan ovat näitä yhden
kapean veppipalstan kokoisilla pressitiedotteilla selitettyjä
monimutkaisia asioita.
Ari Laitinen
2004-04-21 17:43:39 UTC
Permalink
Post by a***@is.invalid
En ymmärrä mitä tarvetta on ryhtyä arvailemaan niitä juoksevia
tunnuslukuja jos ollaan jo siellä asiakkaan koneella ja voidaan
muokata tai tallentaa tietoja taustalla uhrin hoitaessa
autentikoinnin normaalia tietä hyökkääjän puolesta.
En minäkään, mutta kun se toimittaja halusi välttämättä tietää mitä sillä
asiakastunnuksella voi tehdä. Demo oli siis huono...
Pertti Kosunen
2004-04-14 20:24:53 UTC
Permalink
Post by Ari Laitinen
Tai ainoastaan muutetaan tilinumero.
Ja mihin meinasit rahat siirtää jäämättä kiinni?
Ari Laitinen
2004-04-15 06:35:41 UTC
Permalink
Post by Pertti Kosunen
Post by Ari Laitinen
Tai ainoastaan muutetaan tilinumero.
Ja mihin meinasit rahat siirtää jäämättä kiinni?
Tämä onkin se seuraava argumentti, joka aina esitetään kun puhutaan
pankkiturvallisuudesta. Keskustelu ei koskaan näytä muuttuvan tältä osin.

Kysymys on toki hyvä. Ja omalle tililleen rahoja ei tietenkään kannata
siirtää. Summien noustessa suuriksi automaatiltakaan ei niitä voi nostaa
sujuvasti.

Pankkiturvallisuus perustuukin siis siihen, että rahoja ei saa pankista
ulos.

Ehkä pitäisi perehtyä siihen, miten nämä Nigerialaiset rahankerääjät saavat
rahansa ulos pankista.
Pertti Kosunen
2004-04-15 09:25:49 UTC
Permalink
Post by Ari Laitinen
Ehkä pitäisi perehtyä siihen, miten nämä Nigerialaiset rahankerääjät saavat
rahansa ulos pankista.
Rahan siirto Nigeriaan ei taida onnistua verkkopankin kautta.
Jukka Pakkanen
2004-04-15 09:46:37 UTC
Permalink
Post by Ari Laitinen
Post by Ari Laitinen
Ehkä pitäisi perehtyä siihen, miten nämä Nigerialaiset rahankerääjät
saavat
Post by Ari Laitinen
rahansa ulos pankista.
Rahan siirto Nigeriaan ei taida onnistua verkkopankin kautta.
Kai Nigeriastakin pankkeja löytyy jotka SWIFT ja/tai IBAN systeemin
piirissä??
Jukka
2004-04-16 08:18:33 UTC
Permalink
Post by Ari Laitinen
Post by Ari Laitinen
Ehkä pitäisi perehtyä siihen, miten nämä Nigerialaiset rahankerääjät
saavat
Post by Ari Laitinen
rahansa ulos pankista.
Rahan siirto Nigeriaan ei taida onnistua verkkopankin kautta.
Mua vähän tökkii tuollainen arvailu ilman tietoa.
Kyllä verkoopankin kautta ainakin muihin maihin saa
rahaa siirrettyä, mutta ehkä sitten Nigeria on poikkeus.
J
Markku Uttula
2004-04-19 13:13:38 UTC
Permalink
Post by Ari Laitinen
Post by Pertti Kosunen
Post by Ari Laitinen
Tai ainoastaan muutetaan tilinumero.
Ja mihin meinasit rahat siirtää jäämättä kiinni?
Tämä onkin se seuraava argumentti, joka aina esitetään kun puhutaan
pankkiturvallisuudesta. Keskustelu ei koskaan näytä muuttuvan tältä osin.
Kysymys on toki hyvä. Ja omalle tililleen rahoja ei tietenkään
kannata siirtää. Summien noustessa suuriksi automaatiltakaan ei
niitä voi nostaa sujuvasti.
Mikäli joku tällaisen stuntin tekisi, se ehkä kannattaisi (huono
sanavalinta, mutta parempaakaan en nyt keksinyt) tehdä ennemminkin
näpäytyksenä pankeille - siirrellä satunnaisia summia rahaa
satunnaisille tileille. Ymmärtääkseni tuo onnistuu esimerkiksi
Osuuspankissa, jossa jostakin syystä mitään tarkistuskoodia ei pyydetä
enää sen jälkeen kun järjestelmään ollaan kirjauduttu sisään.
Meritassa tarkistuskoodi pyydetään, Säästöpankissa muistaakseni myös.
Muiden pankkien nettipalveluista ei sitten olekaan tietoa.

Periaatteellisenahan tuo homma ei mielestäni kuulostaisi kovinkaan
vaikealta koodausteknisesti. Saman tien kun muistissa oleva ohjelma
havaitsee IE:n otsikon muuttuvan tekstiksi "Osuuspankki", voidaan
ottaa kopio kyseisestä selainikkunasta ruudun ulkopuolelle. Tätä
ikkunaa ohjailemalla sitten saadaan näppärästi siirreltyä tavaraa
mihin halutaan nopeammin kuin käyttäjä ehtii kissaa sanoa.
Periaatteessa siis - käytännön toteutuksenkaan ei luulisi olevan
turhan vaikea. Ikävä kyllä.
--
Markku Uttula
Pekka T
2004-04-19 13:42:44 UTC
Permalink
Post by Markku Uttula
Post by Ari Laitinen
Post by Pertti Kosunen
Post by Ari Laitinen
Tai ainoastaan muutetaan tilinumero.
Ja mihin meinasit rahat siirtää jäämättä kiinni?
Tämä onkin se seuraava argumentti, joka aina esitetään kun puhutaan
pankkiturvallisuudesta. Keskustelu ei koskaan näytä muuttuvan tältä osin.
Kysymys on toki hyvä. Ja omalle tililleen rahoja ei tietenkään
kannata siirtää. Summien noustessa suuriksi automaatiltakaan ei
niitä voi nostaa sujuvasti.
Mikäli joku tällaisen stuntin tekisi, se ehkä kannattaisi (huono
sanavalinta, mutta parempaakaan en nyt keksinyt) tehdä ennemminkin
näpäytyksenä pankeille - siirrellä satunnaisia summia rahaa
satunnaisille tileille. Ymmärtääkseni tuo onnistuu esimerkiksi
Osuuspankissa, jossa jostakin syystä mitään tarkistuskoodia ei pyydetä
enää sen jälkeen kun järjestelmään ollaan kirjauduttu sisään.
Meritassa tarkistuskoodi pyydetään, Säästöpankissa muistaakseni myös.
Muiden pankkien nettipalveluista ei sitten olekaan tietoa.
Osuuspankissa pyydetään avainluku kirjautumisen jälkeen, jos valitset esim.
maksu tai tilitiedot. Tiedänpä pankkeja, joissa tilitiedot pääsee katsomaan
ilman avainlukua. Että se siitä.
--
Pekka T
Mikael Kujanpää
2004-04-19 15:16:55 UTC
Permalink
Post by Pekka T
Osuuspankissa pyydetään avainluku kirjautumisen jälkeen, jos valitset
esim. maksu tai tilitiedot. Tiedänpä pankkeja, joissa tilitiedot pääsee
katsomaan ilman avainlukua. Että se siitä.
Poppipankki lukeutuu niihin, joihin kirjaudutaan pelkän tunnus+salasana
-autentikaation varassa jolloin ainakin tili- ja lainatiedot pääsee
näkemään. Maksutapahtumia varten sitten tarvitaan avainlukua, joka vaihtuu
per maksutapahtuma.
--
Mikki

Käytätkö Outlook Expressiä?
http://www.iki.fi/~mahead/help.html
Markku Uttula
2004-04-20 08:36:20 UTC
Permalink
Post by Pekka T
Post by Markku Uttula
Osuuspankissa, jossa jostakin syystä mitään tarkistuskoodia ei
pyydetä enää sen jälkeen kun järjestelmään ollaan kirjauduttu
sisään.
Meritassa tarkistuskoodi pyydetään, Säästöpankissa muistaakseni
myös. Muiden pankkien nettipalveluista ei sitten olekaan tietoa.
Osuuspankissa pyydetään avainluku kirjautumisen jälkeen, jos
valitset esim. maksu tai tilitiedot.
Aivan. Ja kun tämän on käyttäjä syöttänyt ja pöpö nuuskinut, mitään
varmistuksia ei enää tehdäkään. Vasta muuttuvan luvun syötön
jälkeenhän järjestelmään ollaan käytännössä "kirjauduttu sisään".
--
Markku Uttula
Pekka T
2004-04-20 09:55:32 UTC
Permalink
Post by Markku Uttula
Post by Pekka T
Post by Markku Uttula
Osuuspankissa, jossa jostakin syystä mitään tarkistuskoodia ei
pyydetä enää sen jälkeen kun järjestelmään ollaan kirjauduttu
sisään.
Meritassa tarkistuskoodi pyydetään, Säästöpankissa muistaakseni
myös. Muiden pankkien nettipalveluista ei sitten olekaan tietoa.
Osuuspankissa pyydetään avainluku kirjautumisen jälkeen, jos
valitset esim. maksu tai tilitiedot.
Aivan. Ja kun tämän on käyttäjä syöttänyt ja pöpö nuuskinut, mitään
varmistuksia ei enää tehdäkään. Vasta muuttuvan luvun syötön
jälkeenhän järjestelmään ollaan käytännössä "kirjauduttu sisään".
Pitäsiköhän tässä nyt vaihtaa pankkia tai mennä maksamaan laskut pankkiin?
--
Pekka T
Timo Pietilä
2004-04-20 10:30:56 UTC
Permalink
Post by Markku Uttula
Post by Pekka T
Post by Markku Uttula
Osuuspankissa, jossa jostakin syystä mitään tarkistuskoodia ei
pyydetä enää sen jälkeen kun järjestelmään ollaan kirjauduttu
sisään.
Meritassa tarkistuskoodi pyydetään, Säästöpankissa muistaakseni
myös. Muiden pankkien nettipalveluista ei sitten olekaan tietoa.
Osuuspankissa pyydetään avainluku kirjautumisen jälkeen, jos
valitset esim. maksu tai tilitiedot.
Aivan. Ja kun tämän on käyttäjä syöttänyt ja pöpö nuuskinut, mitään
varmistuksia ei enää tehdäkään. Vasta muuttuvan luvun syötön
jälkeenhän järjestelmään ollaan käytännössä "kirjauduttu sisään".
Riippuu miten määritellään "kirjauduttu sisään". Tuohon pöpöönhän tuo
onko kirjauduttu vai ei ei vaikuta mitenkään, eli sama koskee kaikkia
pankkeja tms. salatun yhteyden paikkoja jos IE:llä menee käpistelemään
niitä. Jos siis se pöpö on siinä salauksen ja tiedon välissä nuuskimassa
kuten aikaisempi posti (<***@4ax.com>
Paul Keinanen) kertoi mahdolliseksi.

Esim. kaikki verkkokauppayhteydet ja siinä sivussa luottokortin numero
voidaan nuuskia.

Jos käyttää muita selaimia ei tuota vaaraa (tietääkseni) ole.

Timo Pietilä
--
Tietoturvan osalta en voi paljon kritisoida, mutta mielestäni M$ väki
on opetettu kävelemään alasti pakkasella ja syömään kuumelääkkeitä.
--Janne Tourunen
Jari Ristiranta
2004-04-16 06:33:12 UTC
Permalink
Post by Pertti Kosunen
Ja mihin meinasit rahat siirtää jäämättä kiinni?
Tilin avaaminen voisi onnistua väärennetyllä henkilöllisyystodistuksella.
Sieltä voi tuskin kuitenkaan nostaa kovin suuria summia huomiota
herättämättä.
Jussi Uotila
2004-04-16 06:46:21 UTC
Permalink
Post by Jari Ristiranta
Post by Pertti Kosunen
Ja mihin meinasit rahat siirtää jäämättä kiinni?
Tilin avaaminen voisi onnistua väärennetyllä henkilöllisyystodistuksella.
Sieltä voi tuskin kuitenkaan nostaa kovin suuria summia huomiota
herättämättä.
Ja naama on kuitenkin turvakamerassa tässä vaiheessa. Riski jäädä kiinni
myöhemmin on olemassa.

Ja riski jäädä kiini vääristä papereista jo tiliä avattessa on olemassa,
riskin määrää en osaa arvioida.
Jukka
2004-04-16 08:21:10 UTC
Permalink
Post by Jussi Uotila
Ja naama on kuitenkin turvakamerassa tässä vaiheessa. Riski jäädä kiinni
myöhemmin on olemassa.
Ja riski jäädä kiini vääristä papereista jo tiliä avattessa on olemassa,
riskin määrää en osaa arvioida.
Tilin nostajahan oli vain palkattu varaton spurgu, joka vei rahat
"tuntemattomalle mihelle" tonnin kertakorvausta ja viinapulloa
vastaan.
Jukka
Petri Suvila
2004-04-14 18:12:19 UTC
Permalink
Post by a***@is.invalid
Eipä siinä ollut juuri mitään uutta. Selvähän se, että jos koodia
saa ujutettua käyttäjän koneelle niin mitkä vaan tiedot on
saatavissa. On selain sitten IE tai joku muu.
Tämä ei tietenkään ollut mitään uutta.
Post by a***@is.invalid
Fleasomen Pekka Niskanen väisti toimittajan kysymyksen siitä miten
tililtä voi rahat anastaa toteamalla että turvaluvut on
nelinumeroisia ja niitä voi arvailla. Mitenkään ei selvinnyt että
pankit sallisivat samalle asiakasnumerolle 5000 arvausta yhdestä
turvaluvusta (keskimäärin tarvitaan yhden luvun saamiseksi).
Nordean verkkopankki sallii tietyn määrän väärien kertakäyttönumeroiden
kokelua käyttäjälle per päivä. Vaikka lopulta syötettäisiin oikea
numero, niin verkkopankki kertoo senkin olevan virheellinen. Vasta
seuraavana päivänä oikea kertakäyttönumero toimii normaalisti ja päästää
sisään. Tämä on kokeilemalla havaittu pari vuotta sitten.
Post by a***@is.invalid
Eli ilman man-in-the-middle hyökkäystä (eli jujutetaan asiakas
ottamaan yhteys voron palvelimeen pankin sijasta) rahojen
varastaminen vaatii useita yrityksiä (pitää saada huomattava osa
satunnaisesti valittavista n. "varmistusluvuista).
Lisäksi on noita turvarajoja (yleensä luokkaa 20 tEUR), joten isoja
summia haaliakseen joutuisi iskemään useaan uhriin.
Vähentään onnistumisen todennäköisyyttä ja lisää haittaohjelman
kiinnijäänti mahdollisuutta. Voisin sanoa, että rikollisilla on
helpompiakin keinoja saada rahansa pankista (a'la Norja).

Ohjelmassa esitettiin tosin yksi hyökkäys, joka voisi onnistua.
Haittaohjelma voisi lennossa vaihtaa maksettavan laskun
pankkitilinumeron. Sitä en tosin osaa arvoida, että voisiko
haittaohjelma esittää käyttäjälle syöttämäänsä tilinumeroa ja piilottaa
pankkiin päin menevän tilinumeron. Eli voitaisiinko toimia MITM
roolissa. Ainakin värin vaihtotemppu osoitti sen, että tietoa voidaan
lennossa vaihtaa, mutta ei kuitenkaan todista piilottamisen
onnistumista.

Täytyy tähän vielä puolustaa pankkeja siten, että vaikka rahat
saataisiinkin siirrettyä väärälle tilille, niin siitä on vielä pitkä
matka siihen, että raha on käsissä. Tässä välissä on vielä monta muuta
pankkien turvamekanismia paljastamassa väärinkäytöksiä sekä helpottamaan
jälkikäteis selvittämistä.

Petri Suvila
Pekka T
2004-04-15 07:22:27 UTC
Permalink
Post by Petri Suvila
Nordean verkkopankki sallii tietyn määrän väärien kertakäyttönumeroiden
kokelua käyttäjälle per päivä. Vaikka lopulta syötettäisiin oikea
numero, niin verkkopankki kertoo senkin olevan virheellinen. Vasta
seuraavana päivänä oikea kertakäyttönumero toimii normaalisti ja päästää
sisään. Tämä on kokeilemalla havaittu pari vuotta sitten.
Itse aloin käyttää varkkopankkia, joskus viime vuosituhannella (OKO) ja
kerran on käynyt niin, että näpyttelin avainluvun kerran (tai kaksi) väärin
ja tilini lukittiin niin, että jouduin hakemaan pankista uuden
avainlukulistan ja tilin käyttö aktivoitiin pankista käsin.
Saldotietojanikaan en pääse katsomaan ilman avainlukua.

Eikös tietoturvan kannalta olisi paras vaihtoehto se, että pankit
toimittavat asiakkailleen oman yhteydenotto-ohjelman?

Pekka T
Ari Laitinen
2004-04-15 07:40:03 UTC
Permalink
Post by Pekka T
Eikös tietoturvan kannalta olisi paras vaihtoehto se, että pankit
toimittavat asiakkailleen oman yhteydenotto-ohjelman?
Minkä ongelman se poistaisi? Tämmöisiä ohjelmia on ollut olemassa mutta
niistä ollaan jo luopumassa sen vuoksi, että ne ovat työläitä pankeille
kaikkine metkuineen.
Pekka T
2004-04-15 07:55:04 UTC
Permalink
Post by Ari Laitinen
Post by Pekka T
Eikös tietoturvan kannalta olisi paras vaihtoehto se, että pankit
toimittavat asiakkailleen oman yhteydenotto-ohjelman?
Minkä ongelman se poistaisi? Tämmöisiä ohjelmia on ollut olemassa mutta
niistä ollaan jo luopumassa sen vuoksi, että ne ovat työläitä pankeille
kaikkine metkuineen.
Eipähän tarvitsisi aina valittaa selaimissa ym. olevia aukkoja. Samalla
siirtyisi? vastuuta pankin puolelle :-)

Pekka T
Harri Nykanen
2004-04-15 09:28:40 UTC
Permalink
Post by Pekka T
Eipähän tarvitsisi aina valittaa selaimissa ym. olevia aukkoja. Samalla
siirtyisi? vastuuta pankin puolelle :-)
Eikä alla olevan käyttöjärjestelmän.

Olisi kiva nähdä jonkin pankin toimittama ja toimiva pääteohjelma
sanotaanko vaikka QNX käyttöjärjestelmälle ja prosessorina on tietysti
jokin muu kuin Intel tai AMD....vaikkapa 68xxx Motorola...


P.S. siguerottimesi on rikki
--
Harri

There are only 10 types of people in the world:
Those who understand binary, and those who don't.
Pekka T
2004-04-15 09:45:04 UTC
Permalink
Post by Harri Nykanen
Post by Pekka T
Eipähän tarvitsisi aina valittaa selaimissa ym. olevia aukkoja. Samalla
siirtyisi? vastuuta pankin puolelle :-)
Eikä alla olevan käyttöjärjestelmän.
Olisi kiva nähdä jonkin pankin toimittama ja toimiva pääteohjelma
sanotaanko vaikka QNX käyttöjärjestelmälle ja prosessorina on tietysti
jokin muu kuin Intel tai AMD....vaikkapa 68xxx Motorola...
P.S. siguerottimesi on rikki
--
Harri
Those who understand binary, and those who don't.
Kiitos, nyyssialoittelijana en ollut edes tietoinen moisesta asiasta, tutkin
asiaa, palaan asiaan tutkittuani asiaa.

--
Pekka T
Harri Nykanen
2004-04-15 12:32:59 UTC
Permalink
Post by Pekka T
Kiitos, nyyssialoittelijana en ollut edes tietoinen moisesta asiasta,
tutkin asiaa, palaan asiaan tutkittuani asiaa.
OEQuoteFix niminen kludge hoitaa homman. Oikea erotin on:
viiva viiva välilyönti

M$ taas on ajatellut tietävänsä asiat paremmin ja OE poistaa "turhan"
välilyönnin rivin lopusta, siksi joko OEQuoteFix tai nyysärin vaihto
toiseen
--
Harri

There are only 10 types of people in the world:
Those who understand binary, and those who don't.
Pekka T
2004-04-15 12:56:24 UTC
Permalink
Post by Harri Nykanen
Post by Pekka T
Kiitos, nyyssialoittelijana en ollut edes tietoinen moisesta asiasta,
tutkin asiaa, palaan asiaan tutkittuani asiaa.
viiva viiva välilyönti
M$ taas on ajatellut tietävänsä asiat paremmin ja OE poistaa "turhan"
välilyönnin rivin lopusta, siksi joko OEQuoteFix tai nyysärin vaihto
toiseen
Homma on jo hoidettu, kiitos kuitenkin avusta.
--
Pekka T
Iiro <>
2004-05-05 17:51:33 UTC
Permalink
On Wed, 14 Apr 2004 21:12:19 +0300 (EEST), Petri Suvila
Post by Petri Suvila
Nordean verkkopankki sallii tietyn määrän väärien kertakäyttönumeroiden
kokelua käyttäjälle per päivä. Vaikka lopulta syötettäisiin oikea
numero, niin verkkopankki kertoo senkin olevan virheellinen. Vasta
seuraavana päivänä oikea kertakäyttönumero toimii normaalisti ja päästää
sisään. Tämä on kokeilemalla havaittu pari vuotta sitten.
Tarkalleen ottaen se sallii kokeilla 3 kertaa, jonka jälkeen
asiakasnumero on lukossa. Se taas avautuu itsestään (kuten kerroit)
suunnilleen keskiyöllä, mutta sen saa avattua myös ottamalla yhteyttä
omaan tilikonttoriinsa, josta joku kiltti pankkitäti avaa sen
varmistuttuaan pyytäjän henkilöllisyydestä.

// Iiro
Jukka Pakkanen
2004-05-06 07:10:19 UTC
Permalink
Post by Iiro <>
On Wed, 14 Apr 2004 21:12:19 +0300 (EEST), Petri Suvila
Post by Petri Suvila
Nordean verkkopankki sallii tietyn määrän väärien kertakäyttönumeroiden
kokelua käyttäjälle per päivä. Vaikka lopulta syötettäisiin oikea
numero, niin verkkopankki kertoo senkin olevan virheellinen. Vasta
seuraavana päivänä oikea kertakäyttönumero toimii normaalisti ja päästää
sisään. Tämä on kokeilemalla havaittu pari vuotta sitten.
Tarkalleen ottaen se sallii kokeilla 3 kertaa, jonka jälkeen
asiakasnumero on lukossa. Se taas avautuu itsestään (kuten kerroit)
suunnilleen keskiyöllä, mutta sen saa avattua myös ottamalla yhteyttä
omaan tilikonttoriinsa, josta joku kiltti pankkitäti avaa sen
varmistuttuaan pyytäjän henkilöllisyydestä.
Solossa voit yrittää aika monta kerta ennenkuin menee oikeasti lukkoon. Kun
tulee ilmoitus "ota yhteys konttoriin jne" niin ei tarvitse kuin yrittää
uudestaan ja taas saa kolme kertaa arvata.
Tonttu
2004-05-06 07:34:27 UTC
Permalink
Post by Jukka Pakkanen
Solossa voit yrittää aika monta kerta ennenkuin menee oikeasti
lukkoon. Kun tulee ilmoitus "ota yhteys konttoriin jne" niin ei
tarvitse kuin yrittää uudestaan ja taas saa kolme kertaa arvata.
Höpö höpö, otahan ja kokeile.
--
T.T.J
Jukka Pakkanen
2004-05-06 07:38:52 UTC
Permalink
Post by Tonttu
Post by Jukka Pakkanen
Solossa voit yrittää aika monta kerta ennenkuin menee oikeasti
lukkoon. Kun tulee ilmoitus "ota yhteys konttoriin jne" niin ei
tarvitse kuin yrittää uudestaan ja taas saa kolme kertaa arvata.
Höpö höpö, otahan ja kokeile.
Höpö höpö, olen kokeillut. Ennen tuo toimi, noin kymmenen kerta sai kokeilla
(ilmoituksesta huolimatta). Nykyään näköjään viisi kertaa.
Jukka Pakkanen
2004-05-06 07:39:45 UTC
Permalink
Post by Iiro <>
On Wed, 14 Apr 2004 21:12:19 +0300 (EEST), Petri Suvila
Post by Petri Suvila
Nordean verkkopankki sallii tietyn määrän väärien kertakäyttönumeroiden
kokelua käyttäjälle per päivä. Vaikka lopulta syötettäisiin oikea
numero, niin verkkopankki kertoo senkin olevan virheellinen. Vasta
seuraavana päivänä oikea kertakäyttönumero toimii normaalisti ja päästää
sisään. Tämä on kokeilemalla havaittu pari vuotta sitten.
Tarkalleen ottaen se sallii kokeilla 3 kertaa, jonka jälkeen
Vielä tarkemmin ottaen 5. kerran jälkeen on lukossa.

Jussi Uotila
2004-04-15 07:50:38 UTC
Permalink
Post by a***@is.invalid
Lisäksi on noita turvarajoja (yleensä luokkaa 20 tEUR), joten isoja
summia haaliakseen joutuisi iskemään useaan uhriin.
Lisäksi yksi pieni ongelma. Verkkopankkiin jää tieto, mille tilille raha on
siirretty. Tavallisessa pankkiryöstössä saa riihikuivaa, jota voi käyttää
miten huvittaa, mutta digitaalisessa maailmassa se pitää siirtää jollekin
tilille, jonka omistajan poliisi yleensä voi selvittää. Vasrinkin kun
ulkomainen tilisiirto on hankala nettipankeissa, ja kotimaiset tilit kyllä
selviävät poliisitutkinnassa.
a***@is.invalid
2004-04-14 17:51:37 UTC
Permalink
Vähän epäilyttää Fleasomen motiivit tän asian uutisoinnissa. Ovatko
ne myymässä jotain tuotetta/palvelua pankeille asian tiimoilta?

Perinteistähän on että tietoturvayhtiöt nokittelee keskenään
paljastelemalla erilaisiaa haavoittuvuuksia, mutta jotenkin sen
läpinäkyvyys markkinointina kuvottaa. Mikkisoftan bashaaminen on
myös niin yleinen kansanhuvi että senkin kaupallistaminen harmittaa.

Vähän ristiretkeilyltä vaikuttaa myös Fleasomen muu uutisointi M$:n
vioista, esim. seuraavassa
http://netti-kilpi.fleasome.com/cgi-bin/yabb/YaBB.pl?board=10;action=displa
y;num=1081456231
Fleasome esittää että "Tietoturvavirasto suosittelee, ettei IE:tä
käytetä", mutta siinä linkitetyssä varoituksessa
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-24.htm
ei (ainakaan enää) mainita mitään suositusta että IE:tä ei voisi
käyttää.

En käytä IE:tä itse muuhun kuin Windows Updaten ajamiseen, btw.
Mikko
2004-04-14 18:06:44 UTC
Permalink
Post by a***@is.invalid
Vähän epäilyttää Fleasomen motiivit tän asian uutisoinnissa. Ovatko
ne myymässä jotain tuotetta/palvelua pankeille asian tiimoilta?
No, Fleasome saa itseään esille, siinä kait motiivia tarpeeksi. Enemmän
ihmetyttää maikkarin taso lähettää moista gonzoa.

Eihän tuossa koko jutussa tullut esille millään tapaa mistä oikeastaan
on kyse, ainoastaan näytettiin kuinka cd:lta asennettiin koneelle joku
softa, ja sen jälkeen kuulemma saatiin tunnukset haisteltua
selkokielisinä. Hip hei kuinka vakuuttavaa.

Itse olen taipuvainen (vastoin tapojani) uskomaan Microsoftin edustajaa
joka kuittasi koko jutun toteamalla ettei mitään tietoturvareikää ole,
vaan kyseessä on ominaisuus.

Onko kellään tietoa mitä IE:n rajapintaa tuossa on käytetty?

//mikko

PS: Fleasomen kotisivuilla väitetään "Internet Explorer -selainohjelman
ominaisuus mahdollistaa käyttäjätunnusten ja salasanojen kaappaamisen
myös suojatuista Internet-yhteyksistä", eikös tuo ole p-puhetta koska
kyseessä ei todellakaan ole ssl:n murtaminen vaan tiedot on kopattu
ennen kryptausta?
Ari Laitinen
2004-04-14 18:20:03 UTC
Permalink
Post by Mikko
PS: Fleasomen kotisivuilla väitetään "Internet Explorer -selainohjelman
ominaisuus mahdollistaa käyttäjätunnusten ja salasanojen kaappaamisen
myös suojatuista Internet-yhteyksistä", eikös tuo ole p-puhetta koska
kyseessä ei todellakaan ole ssl:n murtaminen vaan tiedot on kopattu
ennen kryptausta?
Et nähtävästi näe miten houkuttelevasti mielenkiintoisempi paikka tuo on
kuin moni muu. Esim. kun yhteys on avattu vaihtuvalla salasanalla voi
hyökkääjä jatkaa siitä ja tehdä mitä tahansa toimeksiantoja käyttäjän niistä
tietämättä.

Kyse on siis vain herkullisemmasta hyökkäyskohteesta. Mutta menetelmänä
haittaohjelman käyttö on toki ollut ongelma tätä "paljastusta"
aikaisemminkin. Siksi tämän ei pitäisi uutiskynnystä ylitää aikaisempia
enempää.
Mikko
2004-04-14 18:40:03 UTC
Permalink
Post by Ari Laitinen
Et nähtävästi näe miten houkuttelevasti mielenkiintoisempi paikka tuo on
kuin moni muu. Esim. kun yhteys on avattu vaihtuvalla salasanalla voi
hyökkääjä jatkaa siitä ja tehdä mitä tahansa toimeksiantoja käyttäjän niistä
tietämättä.
Totta. Huomattavasti mukavampi olisi mennä käpistelemään tunnuksia siinä
vaiheessa kun niitä ei ole vielä salattu/lähettetty eteenpäin.

Itseäni tuossa ohjelmassa eniten ärsytti se, että mitenkään
erittelemättä kyseistä "aukkoa", luotiin kuva että kuka tahansa joka
käyttää nettipankkia on vaarassa menettää rahansa koska hyvänsä, vaikka
näin ei kuitenkaan näyttäisi olevan.
Mikko Hirvonen
2004-04-15 14:29:19 UTC
Permalink
Post by Ari Laitinen
Post by Mikko
PS: Fleasomen kotisivuilla väitetään "Internet Explorer -selainohjelman
ominaisuus mahdollistaa käyttäjätunnusten ja salasanojen kaappaamisen
myös suojatuista Internet-yhteyksistä", eikös tuo ole p-puhetta koska
kyseessä ei todellakaan ole ssl:n murtaminen vaan tiedot on kopattu
ennen kryptausta?
Et nähtävästi näe miten houkuttelevasti mielenkiintoisempi paikka tuo on
kuin moni muu. Esim. kun yhteys on avattu vaihtuvalla salasanalla voi
hyökkääjä jatkaa siitä ja tehdä mitä tahansa toimeksiantoja käyttäjän niistä
tietämättä.
Sääli vaan että ainakin kahdessa käyttämässäni verkkopankissa kysytään
uusi tunnus tilitapahtumien hyväksymiseksi. Eli jos jollain ilveellä
onnistuukin pääsemään verkkopankkiin toisen tunnuksilla sisälle, niin
pääsee ihailemaan vaan pankkitilin (olematonta) saldoa ja maksuun
meneviä laskuja.

Toki tuonkin pystyy kiertämään, jos vain saa ujutettua sopivan pöpön
käyttäjän koneelle ja feikkaa sopivasti käyttäjän silmiensä eteen saamaa
tietoa. Kokonaan eri asia sitten että miten tämä tapahtuu.
Ari Laitinen
2004-04-15 14:51:43 UTC
Permalink
Post by Mikko Hirvonen
Toki tuonkin pystyy kiertämään, jos vain saa ujutettua sopivan pöpön
käyttäjän koneelle ja feikkaa sopivasti käyttäjän silmiensä eteen saamaa
tietoa. Kokonaan eri asia sitten että miten tämä tapahtuu.
Kaiken saa tehtyä jos on aikaa tehdä ja halua tehdä. Palomuurikaan ei tuossa
auta jos haittaohjelma toimii omassa koneessa eikä sorki nettiliikennettä
vaan sotkee IE:n toimintaa esim. vain muuttamalla ne tilinumerot. Siinähän
sitä on pankki ihmeissään kun asiakkaat ei saa tilinumeroita syötetyksi.
a***@is.invalid
2004-04-14 18:35:22 UTC
Permalink
Post by Mikko
No, Fleasome saa itseään esille, siinä kait motiivia tarpeeksi.
Enemmän ihmetyttää maikkarin taso lähettää moista gonzoa.
Tietoturva-asioista tiedottaminen on mielestäni aina kotiinpäin.
Kunhan se tehdään tarjoamalla oikeita toimintamalleja eikä vaan
pelottelemalla. Ymmärrän myös miksi nettipankki on hyvä esimerkki
koska useimmat (koti)tietokoneen käyttäjät eivät miellä omilla
tiedoillaan olevan "mitään arvoa hakkereille", vaikka vaarana onkin
nykyään kotikoneissa lähinnä sen väärinkäyttö välikappaleena
rikollisessa toiminnassa (DoS, spämmäys, jne.).
Jos ihmiset saadaan päivittämään wintoosansa, virustutkansa ja
palomuurinsa sekä olemaan avaamatta jokaista "Britney nude.jpg.scr"
liitetiedostoa niin tehtäköön se vaikka pankkitilin tyhjäämisellä
pelottelemalla ;-)
Post by Mikko
Itse olen taipuvainen (vastoin tapojani) uskomaan Microsoftin
edustajaa joka kuittasi koko jutun toteamalla ettei mitään
tietoturvareikää ole, vaan kyseessä on ominaisuus.
Onko kellään tietoa mitä IE:n rajapintaa tuossa on käytetty?
Eiköhän siinä ole ActiveX asialla taas kerran.
Post by Mikko
PS: Fleasomen kotisivuilla väitetään "Internet Explorer
-selainohjelman ominaisuus mahdollistaa käyttäjätunnusten ja
salasanojen kaappaamisen myös suojatuista Internet-yhteyksistä",
eikös tuo ole p-puhetta koska kyseessä ei todellakaan ole ssl:n
murtaminen vaan tiedot on kopattu ennen kryptausta?
Käyttäjän mielestä yhteys on varmaan suojattu näpeistä ja öögistä
perille asti, vaikka itse pitäisin _yhteyttä_ suojattuna jos se on
sitä verkon yli.
Marko K.
2004-04-14 19:25:28 UTC
Permalink
Post by a***@is.invalid
http://www.mtv3.fi/ohjelmat/45min_2003/jaksot.shtml?213099
Eli tästä tullaan vielä meuhkaamaan oikein kunnolla jos hyvin
sattuu.
Jep. Samaa tuubaa esitettiin myös Kymmenen uutisissa vähintäänkin yhtä
suurella antaumuksella. No, saapahan tuulipukukansa taas uuden puheenaiheen
karaookkekuppiloissa... "eihän niitä veppipankkeja voe käyttää kun
riminaalit tyhjentää tilit ja uutisten mukaan syyllinen on se mikrosofti".

Stana, jos pitää tehdä uutisia tietoturvasta, niin puhuisivat tosiasioista,
kyllä uutiskynnyksen ylittäviä spooffeja löytyy keksimättäkin. Periaatteessa
on tietenkin hyvä jos käyttäjät säikähtävät tällaisia uutisia ja päivittävät
koneitaan tilityhjennysten pelossa, mutta silti.

45 minuuttia on viihde/ajankohtaisohjelma, joten siellä tämän vielä
ymmärtää, mutta että uutisissakin...? Kovasti on median selkäranka taipunut
viime aikoina (vrt. http://tinyurl.com/ysar7)
--
Make.
***@POISTAjypoly.fi
PS.Poista ylimääräiset vastatessasi mailitse.
Harri Nykanen
2004-04-15 09:33:42 UTC
Permalink
Post by Marko K.
Jep. Samaa tuubaa esitettiin myös Kymmenen uutisissa vähintäänkin yhtä
suurella antaumuksella. No, saapahan tuulipukukansa taas uuden
puheenaiheen karaookkekuppiloissa... "eihän niitä veppipankkeja voe
käyttää kun riminaalit tyhjentää tilit ja uutisten mukaan syyllinen on
se mikrosofti".
Stana, jos pitää tehdä uutisia tietoturvasta, niin puhuisivat
tosiasioista, kyllä uutiskynnyksen ylittäviä spooffeja löytyy
keksimättäkin. Periaatteessa on tietenkin hyvä jos käyttäjät
säikähtävät tällaisia uutisia ja päivittävät koneitaan
tilityhjennysten pelossa, mutta silti.
45 minuuttia on viihde/ajankohtaisohjelma, joten siellä tämän vielä
ymmärtää, mutta että uutisissakin...? Kovasti on median selkäranka
taipunut viime aikoina (vrt. http://tinyurl.com/ysar7)
Itse satuin vilkaisemaan ohjelman ja ensi alkuun vaikutti lupaavalle, mutta
jo vajaassa minuutissa tuli mieleen kysymys mitenkä tämä eroaa tilanteesta
muutaman vuoden takaa kun IE olikin versiota 4.0 ja haittaohjelmalla oli
jopa tunnettu nimi (BackOrifice)? Kolmannen minuutin kuluttua vaihdoin
kanavaa. Ei jessus mitä tuubaa, pelkää Fleasomen mainospuffi.

Onkohan M. Jansson töissä siellä? Samanlaista epäoleellisten asioiden
peisuttelua havaittavissa....
--
Harri

There are only 10 types of people in the world:
Those who understand binary, and those who don't.
Timo Taskinen
2004-04-18 21:31:51 UTC
Permalink
Post by Marko K.
45 minuuttia on viihde/ajankohtaisohjelma, joten siellä tämän vielä
ymmärtää, mutta että uutisissakin...?
Niin kauan kuin 45 minuuttia -ohjelma on tullut MTV3:lta, keskiviikon
pääuutislähetyksessä on aina puffattu tulevan ohjelman pääaihetta. Oli
se sitten mikä tahansa. Useammankin kerran sensaatiohakuisuus on
paistanut läpi.
--
Timo Taskinen
Continue reading on narkive:
Loading...