Data: 2009-10-01 13:09:55 | |
Autor: Netx | |
No i jest | |
wirus wykradający hasła, w tym jednorazowe:
http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-nie-widziales,wid,11548125,wiadomosc.html?ticaid=18d7e Jak się przed takim czymś bronić? |
|
Data: 2009-10-01 04:40:55 | |
Autor: Tomasz [Bubon] | |
No i jest | |
On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:
wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-n... Hasła smsowe albo token. |
|
Data: 2009-10-01 14:14:08 | |
Autor: P.H. | |
No i jest | |
Jak się przed takim czymś bronić? Hasła smsowe albo token. -- -- -- -- -- -- -- -- -- - boszzzzzz 1. robisz przelew np płacąc za prąd. wypęłniasz formatkę przelewu. klikasz wyśli 2. dostajesz prośbę o hasło. 3. bierzesz hasło (sms/ token / kartka papieru / etc) i wpisujesz na formatkę. 4. wirus wysyła ___w_tle_swój___ przelew autoryzując go hasłem które wprowadziłeś na formatkę. 5. w zależności od inwencji programisty dostajesz na ekran komunikat że jest przelew zrealizowano albo że nastąpił jakiśtam błąd. da sie?? |
|
Data: 2009-10-01 12:28:11 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:14:08 +0200, P.H. napisaĹ(a):
boszzzzzz Da, ale tylko wtedy jak wysyĹasz przelew jednorazowy IMO przy zaufanych to nie zadziaĹa. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 14:19:08 | |
Autor: Michal Jankowski | |
No i jest | |
"P.H." <ktos@gdzies.w.sieci> writes:
2. dostajesz prośbę o hasło. Jesli w smsie dostaniesz informacje, jaki przelew zostanie zrealizowany po wpisaniu kodu z tego smsa (kwota, konto odbiorcy) to masz okazje zauwazyc, ze cos jest nie tak. MJ |
|
Data: 2009-10-01 14:28:58 | |
Autor: P.H. | |
No i jest | |
Użytkownik "Michal Jankowski" <michalj@fuw.edu.pl> napisał w wiadomości news:kjzr5tne283.fsfccfs1.fuw.edu.pl... "P.H." <ktos@gdzies.w.sieci> writes:tylko w przypadku jeśli hasło jest liczone na podstawie nr rachunku i kwoty jeśli jest to kolejne hasło z listy to w smssie przyjdzie to co wprowadziłeś na formatkę |
|
Data: 2009-10-01 14:31:40 | |
Autor: Tomek Głowacki | |
No i jest | |
P.H. pisze:
boszzzzzz Nie da się. W jaki sposób wirus ma autoryzować tym hasłem inną transakcję? Mówię o haśle smsowym czy tokenie. Wpisujesz hasło przy płaceniu za prąd, wirus sobie to hasło zgarnie i co? Nie zrobi drugiej transakcji na to samo hasło - jeśli mógłby, to znaczy, że dziurawy jest system banku, jeśli umożliwia coś takiego. Pozdr, Tomek |
|
Data: 2009-10-01 12:41:44 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek GĹowacki napisaĹ(a):
Nie da siÄ. W jaki sposĂłb wirus ma autoryzowaÄ tym hasĹem innÄ Tu chodzi o coĹ innego. Ty wpisujesz nr konta i inne dane a on tylko podmienia nr konta i oczywiĹcie kwotÄ. Ty natomiast na ekranie widzisz to co wklepaĹeĹ, czyli wszystko Ci siÄ zgadza i jak nie przyglÄ dniesz siÄ smsowi (nr konta i kwota) to leĹźysz. Przy tokenie/TAN/liĹcie haseĹ jest jeszcze gorzej, bo nie masz nawet szansy weryfikacji tego. Wychodzi, Ĺźe te smsy nie takie gĹupie sÄ ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 14:45:36 | |
Autor: Kamil Jońca | |
No i jest | |
xbartx <bart@hashzero.net> writes:
Dnia Thu, 01 Oct 2009 14:31:40 +0200, Tomek Głowacki napisał(a): Są tokeny (np. w wubeku czy bgż byl taki), że trzeba było wpisać "skrót" transakcji, i generowal ci na podstawie tego skrótu odpowiedź. Token GSM EB też generuje info o podpisywanej transakcji. KJ -- kondensator - kondensatorych - kondensatoremu (odmiana słowa "kondensator" według MS Word 6.0) |
|
Data: 2009-10-01 12:51:22 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil JoĹca napisaĹ(a):
SÄ tokeny (np. w wubeku czy bgĹź byl taki), Ĺźe trzeba byĹo wpisaÄ "skrĂłt" No to tutaj trojan teĹź nic nie zdziaĹa. Token GSM EB teĹź generuje info o podpisywanej transakcji. Hmmm jak on to robi, jakaĹ ĹÄ cznoĹÄ z bankiem czy jak? -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 14:57:13 | |
Autor: Kamil Jońca | |
No i jest | |
xbartx <bart@hashzero.net> writes:
Dnia Thu, 01 Oct 2009 14:45:36 +0200, Kamil Jońca napisał(a): Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością do 10%) oraz początek i koniec konta, a następnie pyta czy się zgadza. Jeśli tak, to wypluwa kod, który z kolei wpisujesz w przeglądarce. KJ -- The only thing worse than X Windows: (X Windows) - X |
|
Data: 2009-10-01 13:02:15 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil JoĹca napisaĹ(a):
Nie. DziÄki, bo nie wiedziaĹem jak to dziaĹa. MyĹlaĹem, Ĺźe token po prostu generuje kolejne kody. W takim razie jest to na pewno jakieĹ zabezpieczenie, no chyba Ĺźe twĂłrca trojana zrobi wersjÄ dla EB gdzie trojan bÄdzie przycinaĹ wĹaĹnie te 10% ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 15:02:17 | |
Autor: Robert Kois | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a):
Nie. Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością doToken GSM EB też generuje info o podpisywanej transakcji.Hmmm jak on to robi, jakaś łączność z bankiem czy jak? A te 10% to skąd ci się wzieło? Obcina grosze tylko. -- Kojer |
|
Data: 2009-10-01 15:04:48 | |
Autor: Kamil Jońca | |
No i jest | |
Robert Kois <kojer@hell.pl> writes:
Dnia Thu, 01 Oct 2009 14:57:13 +0200, Kamil Jońca napisał(a): Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN? Kj -- Anyone can make an omelet with eggs. The trick is to make one with none. |
|
Data: 2009-10-01 15:24:35 | |
Autor: Robert Kois | |
No i jest | |
Dnia Thu, 01 Oct 2009 15:04:48 +0200, Kamil Jońca napisał(a):
Nie będę się upierał czy to 10 czy 1%, ale próbowałeś zrobć przelew > 10KPLN?Na stronie z przelewem jest wypisany kod. Kod wklepujesz do tokena; token z niego wydłubuje sobie info o przelewie: kwota (z dokładnością doA te 10% to skąd ci się wzieło? Obcina grosze tylko. Przy 9999,99 - kwota 9999 PLN (bez groszy) Przy 10000,01 - kwota 10000-10010 PLN Przy 10400,01 - kwota 10390-10400 PLN Bardziej mi się bawić nie chce :). -- Kojer |
|
Data: 2009-10-01 14:36:38 | |
Autor: P.H. | |
No i jest | |
Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w wiadomości news:1254400300.614105bongos2.pseinfo.pl... P.H. pisze:weź rusz głową. nie drugiej transkacji tylko __zamiast__ Twojej. to że coś wpisujesz w przeglądarkę wcale nie znaczy że idzie do serwera banku. nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek odbiorcy i kwotę. |
|
Data: 2009-10-01 05:40:12 | |
Autor: BK | |
No i jest | |
On Oct 1, 2:36 pm, "P.H." <k...@gdzies.w.sieci> wrote:
Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i odbiorce. Wiec w czym problem? Place 100 zl za prad - dostaje sms'a i jest 10 000 na ukraine - to chyba lapie sie, ze cos jest nie tak. Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego, tzn. calkowite ubezwlasnowolnienie. |
|
Data: 2009-10-01 12:45:17 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisaĹ(a):
Moze nie liczy ale sa banki, ktore w sms'ie obok hasla podaja kwote i No trochÄ trasa musi siÄ wydĹuĹźyÄ. Jak robisz przelew za prÄ d to jest to krajowy czyli poza pl nie pĂłjdzie, dobrze mĂłwiÄ? Poza tym zazwyczaj za prÄ d przelew jest zaufany, wiÄc dupa. TakĹźe generalnie trzeba chyba przysiÄ ĹÄ do konkretnego banku i do kaĹźdego inny trojan hĹe hĹe albo trojan bÄdzie miaĹ po prostu templatki ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 05:58:30 | |
Autor: BK | |
No i jest | |
On Oct 1, 2:45 pm, xbartx <b...@hashzero.net> wrote:
Dnia Thu, 01 Oct 2009 05:40:12 -0700, BK napisał(a): Ja nie place zauafnymi. Nie mam zaufania :) :) :) |
|
Data: 2009-10-01 13:03:06 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisaĹ(a):
Ja nie place zauafnymi. Nie mam zaufania :) :) :) No to w Ĺwietle zaistniaĹej sytuacji naleĹźy zweryfikowaÄ poziomy, zaufania oczywiĹcie ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 06:06:15 | |
Autor: BK | |
No i jest | |
On Oct 1, 3:03 pm, xbartx <b...@hashzero.net> wrote:
Dnia Thu, 01 Oct 2009 05:58:30 -0700, BK napisał(a): W swietle tego trojana wychodzi na to, ze zdefiniowanie zaufanych przelewow zabezpiecza przed nim w 100%. Jak bede placil z konta tylko zaufanymi to mi trojan moze naskoczyc :) |
|
Data: 2009-10-01 15:12:06 | |
Autor: PaweĹ | |
No i jest | |
BK wrote:
On Oct 1, 3:03 pm, xbartx <b...@hashzero.net> wrote: no chyba, ze przy definiowaniu zaufanego trojan zrobi dobrze z numerem konta ;) |
|
Data: 2009-10-01 14:45:59 | |
Autor: Valdi.Pavlack | |
No i jest | |
"BK" news:211ed9f9-0e3d-4c03-bf55-dd6c3ee57289s31g2000yqs.googlegroups.com
Jak ktos nie czyta takich sms'ow to nie ma zabezpieczenia skutecznego, I jeżeli ktoś dodatkowo ma burdel na kompie, nie posiada FW itp. to sam jest sobie winny. |
|
Data: 2009-10-01 16:00:55 | |
Autor: XYZ | |
No i jest | |
W dniu 2009-10-01 14:36, P.H. pisze:
Eurobank generuje hasło w tokenie GSM przynajmniej na podstawie kwoty i nr rachunku. |
|
Data: 2009-10-02 00:38:22 | |
Autor: krzysztofsf | |
No i jest | |
P.H. pisze:
nie wiem czy jest na rynku bank który liczy hasła uwzględniając rachunek odbiorcy i kwotę. Eurobank :) podaje kod, ktory po wprowadzeniu do tokena komunikuje na jakie cyfry zaczyna sie i konczy rachunek docelowy, oraz jakiej kwoty dotyczy transakcja. Po potwierdzniu, dostajemu kod zwrotny do wprowadzenia w formatke przelewu w systemie banku. |
|
Data: 2009-10-01 14:38:41 | |
Autor: ikarek | |
No i jest | |
Użytkownik "Tomek Głowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> napisał w wiadomości news:1254400300.614105bongos2.pseinfo.pl...
P.H. pisze: Ale z tym trojanem, sama przeglądarka staje sie wirusem! Ona nie wyśle zapłaty za prąd, tylko ten swój przelew na konto X (nie będzie drugiej transakcji), natomiast na ekranie wyświetli to, czego użytkownik się spodziewa, a co nie będzie prawdą. |
|
Data: 2009-10-01 14:51:50 | |
Autor: gont | |
No i jest | |
P.H. pisze:
Jak się przed takim czymś bronić? Z tokenem się nie da - przynajmniej w BZWBK. Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena trojan nie może wysłać kasy na inne konto. Jeżeli podobnie jest z hasłami SMS, to też się nie da. Hasła papierowe faktycznie mają tu słabość. -- gonT >>Trzeba się pilnować, bo inaczej ani się człowiek nie obejrzy, a już zaczyna każdego żałować i w końcu nie ma komu w mordę dać. (W. Wharton: Ptasiek)<< |
|
Data: 2009-10-01 13:00:15 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisaĹ(a):
Z tokenem siÄ nie da - przynajmniej w BZWBK. No niekoniecznie. Tak jak pisaĹem. Wpisujesz nr konta ale trojan go podmienia na swĂłj, wiÄc jak dostaniesz hasĹo to jest on juĹź wygenerowane na podstawie nr konta, ktĂłry wstawiĹ trojan. Jedyna szansa, Ĺźe popatrzysz nr konta lub kwotÄ i wyĹapiesz. Jest tutaj pewna zaleta kodĂłw sms, bo hasĹo jest zazwyczaj na koĹcu razem z kwotÄ przelewu, wiÄc Ĺatwo to wyĹapaÄ IMO. HasĹa papierowe faktycznie majÄ tu sĹaboĹÄ. No i token, ktĂłre po prostu tylko generujÄ kody a sÄ odblokowywane na PIN. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 15:07:48 | |
Autor: gont | |
No i jest | |
xbartx pisze:
Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisaĹ(a): Racja - o tym nie pomyĹlaĹem. Czyli mĂłj stary token rulez :) Czy w BZWBK dajÄ /sprzedajÄ teraz jeszcze tokeny? Moja siostra niedawno zakĹadaĹa konto i domyĹlnie juĹź ma korzystanie z haseĹ SMS. Co gorsza SMS-em przychodzi tylko numer do wpisania - nic wiÄcej. -- gonT >>Trzeba siÄ pilnowaÄ, bo inaczej ani siÄ czĹowiek nie obejrzy, a juĹź zaczyna kaĹźdego ĹźaĹowaÄ i w koĹcu nie ma komu w mordÄ daÄ. (W. Wharton: Ptasiek)<< |
|
Data: 2009-10-01 15:10:57 | |
Autor: PaweĹ | |
No i jest | |
gont wrote:
Czyli mĂłj stary token rulez :) jak sie klient indywidualny uprze, to za te bodajze 80pln mu wyrobia. |
|
Data: 2009-10-02 10:01:59 | |
Autor: gont | |
No i jest | |
PaweĹ pisze:
gont wrote: Kiszka. A ja dostaĹem za friko. Ale to jeszcze WBK (bez BZ) byĹ :) -- gonT >>Trzeba siÄ pilnowaÄ, bo inaczej ani siÄ czĹowiek nie obejrzy, a juĹź zaczyna kaĹźdego ĹźaĹowaÄ i w koĹcu nie ma komu w mordÄ daÄ. (W. Wharton: Ptasiek)<< |
|
Data: 2009-10-01 13:16:11 | |
Autor: Valdi.Pavlack | |
No i jest | |
"Netx" news:ha22m8$26o$1inews.gazeta.pl
Jak się przed takim czymś bronić? Hasła SMSowe. |
|
Data: 2009-10-01 13:25:44 | |
Autor: Netx | |
No i jest | |
Valdi.Pavlack pisze:
"Netx" news:ha22m8$26o$1inews.gazeta.pl Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu SMSem, ale go nie wpiszę na stronie przelewu w mBank (tzn. nie dokończę transakcji - albo wirus zapamięta hasło i zapobiegnie przesłaniu go do mBank) to czy przy następnym przelewie mBank wyśle mi nowe hasło SMS czy poprosi o to co już dostałem ale nie wykorzystałem? To jest dla mnie kluczowa różnica która mogłaby udaremnić wykradnięcie hasła. W przypadku haseł z listy, jeśli ostatecznie nie wpiszę hasła to przy następnej transakcji bank prosi o to samo hasło (z tym samym numerem na liści) a więc trojan może sobie zapamiętać moje hasło i użyć go później. Pozdr. |
|
Data: 2009-10-01 13:32:54 | |
Autor: XYZ | |
No i jest | |
W dniu 2009-10-01 13:25, Netx pisze:
Valdi.Pavlack pisze: Nigdy nie prosi o to samo hasło, jeżeli transakcja nie doszła do skutku, nawet w przypadku papierowych - przynajmniej w mBanku i Nordei. |
|
Data: 2009-10-01 04:34:50 | |
Autor: BK | |
No i jest | |
On Oct 1, 1:32 pm, XYZ <j...@mail.bin> wrote:
W dniu 2009-10-01 13:25, Netx pisze: Dodatkowo np w Aliorze w sms'ie jest podane jaka operacja ma byc autoryzowana [kwota, odbiorca:P]. |
|
Data: 2009-10-01 13:46:28 | |
Autor: Marx | |
No i jest | |
BK pisze:
Dodatkowo np w Aliorze w sms'ie jest podane jaka operacja ma bycnajlepszy jest ING - nowy, nigdy nie uzywany odbiorca, a on nie pyta o nic, "transakcja nie wymaga autoryzacji", i poszlo... A logowanie do systemu jest na haslo (wybrane literki), po kilkunastu logowaniach znane jest cale haslo No po prostu swietny bank, gdyby nie to ze uzywam bankomatu na osiedlu to juz dawno bym go pogonil. Chyba sie pojde pozalic na ich forum... Marx |
|
Data: 2009-10-01 13:59:49 | |
Autor: Valdi.Pavlack | |
No i jest | |
"Netx" news:ha23ju$6tn$1inews.gazeta.pl
Mam więc pytanie w kontekście mBank, czy jeśli dostanę hasło do przelewu Dostaniesz nowe hasło! :) |
|
Data: 2009-10-01 13:45:28 | |
Autor: Kamil Jońca | |
No i jest | |
"Valdi.Pavlack" <Valdi.Pavlack@PSL.NOspam.pl> writes:
"Netx" news:ha22m8$26o$1inews.gazeta.plTAN też w jakimś stopniu. KJ -- DOS: n., A small annoying boot virus that causes random spontaneous system crashes, usually just before saving a massive project. Easily cured by UNIX. See also MS-DOS, IBM-DOS, DR-DOS. -- David Vicker's .plan |
|
Data: 2009-10-01 14:01:52 | |
Autor: ikarek | |
No i jest | |
Użytkownik "Valdi.Pavlack" <Valdi.Pavlack@PSL.NOspam.pl> napisał w wiadomości news:ha21pj$aje$1news.interia.pl...
"Netx" news:ha22m8$26o$1inews.gazeta.pl Czy hasła SMS działają tak, że to uzytkownik wysyła dane hasło SMSem do banku? Bo jeśli nie, to nie widzę żadnej różnycy w stosunku do haseł "z kartki", przeciez ten trojan siedzi między użytkownikiem a przeglądarką... |
|
Data: 2009-10-01 14:15:13 | |
Autor: ikarek | |
No i jest | |
siedzi między użytkownikiem a przeglądarką... Za szybko pisałem ;) powinno być "siedzi między przeglądarką a bankiem", tak wieć użytkownik dostaje na ekran to, co wirus chce, a nie to co faktycznie zaszło w banku. |
|
Data: 2009-10-01 14:28:56 | |
Autor: Tomek Głowacki | |
No i jest | |
ikarek pisze:
siedzi między użytkownikiem a przeglądarką... No nie do końca, bo ci wirus z komórki nie przepisze hasła z powrotem do przeglądarki... ;) Jeśli nawet wirus w jakiś sposób zrobiłby przelew bez twojej wiedzy, to przyjście smsa na komórkę z hasłem zabezpiecza resztę. |
|
Data: 2009-10-01 14:46:35 | |
Autor: PaweĹ | |
No i jest | |
Tomek GĹowacki wrote:
ikarek pisze: popatrz na to z innej strony. niczego nieswiadomy klient loguje sie do systemu, klika sobie przelew np. za telefon, a wirus podstawia do banku koszyk przelewow. przychodzi sms, klient autoryzuje koszyk o ktorym nie wie i pozamiatane. jesli w sms-ie bedzie szczegolowe info o transakcjach, to mozna sie w pore zorientowac, jesli nie bedzie detali to jestesmy w doopie - telefon zaplacony, reszta kasy na kajmanach. |
|
Data: 2009-10-01 13:59:03 | |
Autor: Lukasz | |
No i jest | |
Jak dla mnie bełkot o tym jak sprytnie niby ten wirus ukrywa fakt że pieniądze wychodzą z konta.Tylko ZERO konkretów w jaki sposób dana transakcja jest potwierdzana (raport z linka podanego w artykule też o tym milczy). .
- wydaje mi się że nie jest możliwe wykonanie przelewu w polskich systemach bez podania kodu - chyba że są dziurawe aż tak bardzo. Ale jesli nie ma kodu to po prostu dana funkcja się nie wykona i już. Jak się przed takim czymś bronić? |
|
Data: 2009-10-01 15:02:18 | |
Autor: george | |
No i jest | |
"Netx" <gigabyte-cut-it-out@gazeta.pl> wrote in message news:ha22m8$26o$1inews.gazeta.pl... wirus wykradający hasła, w tym jednorazowe: dobrze że ten trojan jeszcze nie gotuje przy okazji obiadu... george |
|
Data: 2009-10-01 13:05:58 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 15:02:18 +0200, george napisaĹ(a):
dobrze Ĺźe ten trojan jeszcze nie gotuje przy okazji obiadu... george Kto wie? Z kaĹźdego przelewu automatycznie zamawia obiad swojemu twĂłrcy ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 15:14:08 | |
Autor: george | |
No i jest | |
"xbartx" <bart@hashzero.net> wrote in message news:ha29fm$e0h$12inews.gazeta.pl... Dnia Thu, 01 Oct 2009 15:02:18 +0200, george napisaĹ(a): na szczÄĹcie kodowanie systemu raportowego bankĂłw w Polsce sie nie opĹaca... za duĹźo roboty / za maĹe kwoty na kontach Ĺźeby sie w to bawiÄ. Anyway, wykonywaÄ przelewy zdefiniowane i koniec. george |
|
Data: 2009-10-01 13:53:29 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 15:14:08 +0200, george napisaĹ(a):
na szczÄĹcie kodowanie systemu raportowego bankĂłw w Polsce sie nie No wiesz, kwestia skali, poza tym jak juĹź bÄdzie prototyp to na pewno chÄtni i w pl siÄ znajdÄ aby sprĂłbowaÄ swoich siĹ, rynek nie lubi próşni, nawet trojanowy rynek ;) Anyway, wykonywaÄ przelewy zdefiniowane i koniec. No hasĹa smsowe, ktĂłre przed kodem, ktĂłry naleĹźy wklepaÄ w przeglÄ darce podajÄ kwotÄ przelewu i nr konta docelowego sÄ IMO dosyÄ dobry zabezpieczeniem. No i tokeny, ktĂłre generujÄ kod na podstawie ostatnich kilku cyfr nr konta, na ktĂłre siÄ przelewa, sÄ w tym przypadku 100% zabezpieczeniem. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 15:10:22 | |
Autor: Clegan | |
No i jest | |
On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:
wirus wykradający hasła, w tym jednorazowe:http://tech.wp.pl/kat,1009785,title,URLzone-takiego-trojana-jeszcze-n... Linux z wbudowaną przeglądarką odpalany z CD (czy DVD) - używany tylko do operacji bankowych. Proste i skuteczne. |
|
Data: 2009-10-02 05:47:56 | |
Autor: xbartx | |
No i jest | |
Dnia Thu, 01 Oct 2009 15:10:22 -0700, Clegan napisaĹ(a):
Linux z wbudowanÄ przeglÄ darkÄ odpalany z CD (czy DVD) - uĹźywany tylko JuĹź niedĹugo nawet takich skomplikowanych rzeczy nie trzeba bÄdzie odstawiaÄ dziÄki sandbox-X. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-02 08:39:45 | |
Autor: Clegan | |
No i jest | |
On 2 Paź, 07:47, xbartx <b...@hashzero.net> wrote:
Dnia Thu, 01 Oct 2009 15:10:22 -0700, Clegan napisał(a):W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to poprawić stabilność systemu, ale czy uchroni przed trojanami ? |
|
Data: 2009-10-03 09:15:33 | |
Autor: Wojciech Bancer | |
No i jest | |
On 2009-10-02, Clegan <cleghan@gmail.com> wrote:
[...] W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to W takim samym stopniu jak dual-boot. -- Wojciech Bańcer proteus@post.pl |
|
Data: 2009-10-03 10:06:51 | |
Autor: ikarek | |
No i jest | |
Użytkownik "Clegan" <cleghan@gmail.com> napisał w wiadomości
news:53a41d57-5044-48ab-a06c-77cf6f4a4945f16g2000yqm.googlegroups.com... W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to Moim zdaniem, system z Live CD jest najbezpieczniejszy, natomiast jeśli mówimy o wirtualnym systemie, wykorzystywanym tylko do transakcji z bankiem, to również będzie on dość bezpieczny. Tego rodzaju wirusy muszą działać w przeglądarce, z uwagi na obecność szyfrowania SSL, zatem wirus czy rootkit na hoście będzie miał już do czynienia z zaszyfrowanymi danymi i nic nie wskóra. Oczywiście, o ile nie zdoła zarazić wirtualnego systemu. |
|
Data: 2009-10-06 08:28:36 | |
Autor: Clegan | |
No i jest | |
On 3 Paź, 10:06, "ikarek" <l...@poczta.spamerzy.to.brudasy.onet.pl>
wrote: Użytkownik "Clegan" <cleg...@gmail.com> napisał w wiadomościnews:53a41d57-5044-48ab-a06c-77cf6f4a4945f16g2000yqm.googlegroups.com...Ja nie twierdzę że jest jakiś strasznie niebezpieczny tylko że jest mniej bezpieczny niż live CD. To po prostu kwestia rozgryzienia mechanizmu wirtualizacji. Jeśli użytkownicy zaczną masowo wykorzystywać wirtualizacje to wcześniej czy później ktoś jakąś lukę znajdzie. |
|
Data: 2009-10-03 11:21:59 | |
Autor: Rafał | |
No i jest | |
Clegan pisze:
W bezpieczeństwo wirtualizacji to ja nie wierzę. Owszem - może to Słyszałeś o snapshotach? Chociaż jak złapiesz syfa zaraz po instalacji to nic ci nie pomoże -- Raf |
|
Data: 2009-10-06 15:02:05 | |
Autor: Netx | |
No i jest | |
Clegan pisze:
On 1 Paź, 13:09, Netx <gigabyte-cut-it-...@gazeta.pl> wrote: Czy próbował ktoś odpalać live-linuxa z cd/dvd pod maszyną wirtualną? Tzn. chodzi mi o to żeby *nie musieć wyłączać Windowsa* w celu zabotowania Linuxa, tylko odpalić Linuxa z cd/dvd w maszynie wirtualnej pod Windows. Sam mam Windows 7 x64, nawet nie wiem czy to o co pytam da się zrobić. Chyba taki live-cd Linux w maszynie wirtualnej też powinien być wiruso-odporny? Przy okazji jakby ktoś polecił jakąś fajną dystrybucję live-linuxa. Wiem że na sieci jest pewnie tego sporo, ale może są jakieś lepsze/bezpieczniejsze/bardziej okrojone live Linuxy które się nadają do operacji bankowych. Pozdrawiam, Marek |
|
Data: 2009-10-07 02:28:28 | |
Autor: Jarek Andrzejewski | |
No i jest | |
On 6 Paź, 15:02, Netx <gigabyte-cut-it-...@gazeta.pl> wrote:
Czy próbował ktoś odpalać live-linuxa z cd/dvd pod maszyną nie raz. Korzystam i z VMWare Server i Virtual PC. Dziś np. uruchomiłem Live CD, a potem nawet przeprowadziłem instalacje SuSe "skrojonego" przy pomocy http://susestudio.com/ Oczywiście w VPC nie ma Virtual Machine Additions dla linuksa, ale i bez tego działa znośnie. Windowsa* w celu zabotowania Linuxa, tylko odpalić Linuxa z myślę, że bez problemów (ja uzywam głównie wersji 32-bitowych XP, na 64b nie próbowałem). Chyba taki live-cd Linux w maszynie wirtualnej też powinien linux tak, ale można sobie wyobrazić wirusa na maszynie "hosta", która wpływałaby na bezpieczeństwo tej wirtualnej (np. poprzez dostęp do RAM czy nawet jej zmiany). Przy okazji jakby ktoś polecił jakąś fajną dystrybucję bsd :-) A na serio: ja używam Ubuntu, Suse i CentOS. Nie sądzę, żeby w zastosowaniu LiveCD dystrybucja była bardzo istotna (chyba, że czegoś szczególnego poza przeglądarką zechcesz używać) -- pozdrawiam, Jarek Andrzejewski |
|
Data: 2009-10-07 07:06:18 | |
Autor: xbartx | |
No i jest | |
Dnia Tue, 06 Oct 2009 15:02:05 +0200, Netx napisaĹ(a):
Czy prĂłbowaĹ ktoĹ odpalaÄ live-linuxa z cd/dvd pod maszynÄ wirtualnÄ ? Poczytaj o moĹźliwoĹciach maszyn wirtualnych, to nie bÄdzie zadawaĹa takich trywialnych pytaĹ. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2009-10-01 17:46:05 | |
Autor: witrak() | |
No i jest | |
On 2009-10-01 13:09, Netx wrote:
wirus wykradający hasła, w tym jednorazowe: Już nie działa: http://www.scmagazineus.com/URLZone-touted-as-most-sophisticated-banking-trojan-yet/article/151096/ "Finjan discovered the hub used in the attack on Aug. 24, and it is no longer running, Ben-Itzhak said. German law enforcement was notified." witrak() |
|
Data: 2009-10-01 17:50:32 | |
Autor: witrak() | |
No i jest | |
On 2009-10-01 13:09, Netx wrote:
wirus wykradający hasła, w tym jednorazowe: Więcej informacji: http://pindebit.blogspot.com/2009/09/urlzone-and-news.html witrak() |