Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji naszła mnie taka oto "koncepcja".

"Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę, że to standard) czyli wiemy ile mamy kombinacji do wykorzystania. Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator zanim wszystko wróciłoby do normy.
Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak, bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy, że jedno IP może się logować na jeden login i później zostanie zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy, nie będzie stanowić to raczej stanowić problemu.
Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje?

Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;)


--
xbartx

xbartx wrote:

Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji naszła mnie taka oto "koncepcja".

"Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę, że to standard) czyli wiemy ile mamy kombinacji do wykorzystania. Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator zanim wszystko wróciłoby do normy.
Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak, bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy, że jedno IP może się logować na jeden login i później zostanie zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy, nie będzie stanowić to raczej stanowić problemu.
Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje?

Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;)

jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było potrzeby sie zastanawiac.

U mnie w banku jest tak, że login jest mój własny
o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu.
Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont.

Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.

No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx wrote:

Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.

No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.

pekao24.pl

(09.08.2010 18:27), xbartx wrote:

Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.

No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?

p. m.

mvoicem pisze:

(09.08.2010 18:27), xbartx wrote:

Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.

No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?

Masz racje, w zaden sposób. Jedynie skrypt będzie bardziej skomplikowany.

Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?

*"U mnie w banku jest tak, że login jest mój własny"*




--
xbartx

xbartx pisze:

Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?

*"U mnie w banku jest tak, że login jest mój własny"*

   I co z tego? Login "własny" jest trudniejszy do trafienia od loginu nadawanego przez bank?

--
Liwiusz

On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:

> *"U mnie w banku jest tak, że login jest mój własny"*

    I co z tego? Login "własny" jest trudniejszy do trafienia od loginu  nadawanego przez bank?

Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
tak, ,,troche'' trudniej cos takiego trafic.
--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

Michal Tyrala pisze:

On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:

*"U mnie w banku jest tak, że login jest mój własny"*

    I co z tego? Login "własny" jest trudniejszy do trafienia od loginu  nadawanego przez bank?

Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
tak, ,,troche'' trudniej cos takiego trafic.

   Ale wówczas argument nie powinien brzmieć "login lepszy, bo mój", tylko "login lepszy, bo ma więcej kombinacji".

--
Liwiusz

On 9 Sie, 15:52, xbartx <b...@hashzero.net> wrote:

[ciach]

Zabezpieczeniem wydaje się tutaj coś w rodzaj captchahttps://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
na tego typu koncepcje?

[ciach]


Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
haslo, haslo z tokena.


Pozdrawiam
Rafal

Rafal M wrote:

On 9 Sie, 15:52, xbartx <b...@hashzero.net> wrote:

[ciach]

Zabezpieczeniem wydaje się tutaj coś w rodzaj captchahttps://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
na tego typu koncepcje?

[ciach]


Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
haslo, haslo z tokena.

a co sie dzieje jak sie pomylisz?

genialne, nawet prostsze niz wypelnianie dwóch pol: logina i hasla.
wystarczy jedno.
pewnie ID cyfrowe? to jeszcze latwiej trafic.

W dniu 2010-08-09 19:15, Rafal M pisze:

Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
haslo, haslo z tokena.

I jak wpiszesz 3 razy źle bez tokena to blokada.

--
Raf

xbartx pisze:

Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;)

   Ja teĹź sobie zablokowałem, choć złego hasła nie podałem, więc ktoś musiał mi zablokować wcześniej.

   Ale nie wydaje mi się, aby to był jakiś powaĹźny problem. Kilka tysięcy prĂłb logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i taki ruch moĹźna szybko zablokować, myślę, Ĺźe powaĹźny bank zajmuje się bieżącym monitorowaniem swojego ruchu na stronie.

   Pomijając juĹź fakt, Ĺźe loginĂłw jest 100 milionĂłw, a uĹźytkownikĂłw o wiele mniej, samo trafienie w aktywny login jest juĹź ograniczone szansą kilkuprocentową.



--
Liwiusz

Dnia Mon, 09 Aug 2010 16:03:41 +0200, Liwiusz napisał(a):

   Ale nie wydaje mi się, aby to był jakiś powaĹźny problem. Kilka
tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i
taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się
bieżącym monitorowaniem swojego ruchu na stronie.

   Pomijając juĹź fakt, Ĺźe loginĂłw jest 100 milionĂłw, a uĹźytkownikĂłw o
wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą
kilkuprocentową.

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx pisze:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele.

   Ale jakie cele? Liczyć, Ĺźe w trzech prĂłbach znajdzie sie poprawne hasło? I co dalej?


--
Liwiusz

Liwiusz wrote:

xbartx pisze:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele.

  Ale jakie cele? Liczyć, Ĺźe w trzech prĂłbach znajdzie sie poprawne hasło? I co dalej?

dalej wszyscy internetowi przesiąda się z pretensjami na telefon i bank szlag trafi.

"Liwiusz" <lmalin@bez.tego.poczta.onet.pl> wrote in message news:i3pbn4$1n2$1news.onet.pl...

xbartx pisze:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele.

  Ale jakie cele? Liczyć, Ĺźe w trzech prĂłbach znajdzie sie poprawne hasło? I co dalej?

no on przeciez pisze o calkowitym sparalizowaniu dostepu przez internet

On Mon, 09 Aug 2010 18:51:45 +0200, Liwiusz wrote:

> Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy > komputerów. Do tego większość z nich to komputery z dynamicznie się > zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak > wszystkie na raz zaczęłyby próbę logowania to padnie po prostu > infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że > można by osiągnąć zamierzone cele.

    Ale jakie cele?

(D)DoS?

--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

Z banków, ze znanych mi, które są powiedzmy podatne na tego typu "koncepcje":

Alior, Eurobank, Inteligo, mBank/Multi

BZWBK, DBnet, OpenF, Polbank - tutaj nie mam pewności

Co do banków, które na pierwszej stronie mają login i jak podamy go poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.
Ciekawe czy banki mają jakieś przygotowane procedury na tego typu "koncepcje" czy dopiero coś powstanie jak pojawi się realne zagrożenie.


--
xbartx

Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3qt7i$6cs$2inews.gazeta.pl...

Co do banków, które na pierwszej stronie mają login i jak podamy go
poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest
chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że
uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo
zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.

Logując się do banku po długiej przerwie (loginu nie pamiętam) musiałem coś pomylić przepisując go bo zażądał ode mnie kodu z tokena, a takiego nie posiadam. Stąd wniosek, że trafiłem za pierwszym razem w jakiś prawidłowy login (login to 8 cyfr - czyli zaledwie nieco ponad 26 bitów, w czasach, gdy kryptografia 64 bitowa przechodzi do przeszłości).

Według mnie system nie powinien ujawniać żadnych pośrednich informacji. Strona logowania powinna pozwolić jedynie sprawdzić, czy podany zestaw login/hasło jest prawidłowe, ale żadnej innej informacji nie powinno dać się uzyskać - czyli nawet czas reakcji systemu nie powinien ujawniać, czy błąd wykryto w loginie, czy haśle.

Wolę nie sprawdzać, czy po 3 próbach zablokuje mi się dostęp, ale w przypadku, gdy login/hasło ma zbyt mało entropii elementem skutecznie broniącym system przed włamaniami jest ograniczenie pasma (sądząc po szybkości działania systemów niektórych banków wzięły one to poważnie pod uwagę).

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa działa.
Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe.
P.G.

W Aliorze zmieniła mi się tylko jedna cyferka, z 2 na 3 i login też był dobry, otworzyła się strona z hasłem. Tylko mojego kota nie było.
Dalsze próby wykazały, że to nie takie proste. Wpisując dowolne loginy otwiera się zawsze ta sama strona. Taka pułapka na złych ludzi.

Dnia Tue, 10 Aug 2010 15:14:29 +0200, Piotr Gałka napisał(a):

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że
po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie
(nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie
każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa
działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej
liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie
byłoby jak sprawdzić, które prawidłowe.

Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się do danego konta. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3 próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest mało istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic więcej. Jeżeli uda mu się znowu logować, to zaloguje się na login 98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak największej ilości kont. O to i aż o to. I w tym przypadku rozpatruję czy banki jakoś się zabezpieczają przed tego typu atakami, które chyba raczej jeszcze nie miały miejsca ale to wcale nie znaczy, że się wydarzyć nie mogą ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3s8kc$564$1news.net.icm.edu.pl...

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że
po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie
(nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie
każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa
działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej
liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie
byłoby jak sprawdzić, które prawidłowe.

Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się
do danego konta.

Nie wiem jak to wyczytałeś z tego co napisałem.

Tutaj zupełnie o to nie chodzi. Co z tego, że po 3
próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest
mało istotne.

Właśnie to, że na minutę (czy XX minut) a nie na stałe jest bardzo istotne.

Każdy nazwijmy to "atakujący" komputer wykona jedną prostą
czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic
więcej.

Jakie jest prawdopodobieństwo, że akurat w minutę po tym prawdziwy posiadacz loginu 12345678 będzie się próbował zalogować ?

Jeżeli uda mu się znowu logować, to zaloguje się na login
98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak
największej ilości kont.

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta.
P.G.

Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
_istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
konta. P.G.

Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka. Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę przy pomocy botnetu zablokować jak największą ilość kont klientów danego banku co może pociągnąć na sobą konkretne skutki.


--
xbartx

Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3tu7m$619$1inews.gazeta.pl...

Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
_istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
konta. P.G.

Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
przy pomocy botnetu zablokować jak największą ilość kont klientów danego
banku co może pociągnąć na sobą konkretne skutki.

To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie.
Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów) większej przepustowości (upraszczam tylko do samych logowań). Przy moich założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333 loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować na stałe 3 333 konta.
Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe."
Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie o prawidłowe logowania.

Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie zaloguje;-).
P.G.

Dnia Wed, 11 Aug 2010 13:18:21 +0200, Piotr Gałka napisał(a):

To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie

Widzisz, mam wrażenie, że rozpatrujesz to dalej, jako jednostkowy atak, który ma się odbyć w jak najkrótszym czasie ale nie o to chodzi. Jeżeli chciałbym do zrobić w minutę to po prostu poszedłby DDOS i tyle ;)
Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i dłużej) czyli im dłużej tym większe prawdopodobieństwo, że logowanie będzie celne przy strzelaniu losowo. Jeżeli bank umożliwiałby potwierdzenie, który login jest używany wtedy można tworzyć bazę takich loginów. Z technicznego punktu widzenie obrona banku przed takim, jak to nazwałem "atakiem", jest w zasadzie mocno ograniczona, bo ciężko mi sobie wyobrazić aby bank tworzył listę IP, które mają/nie mają dostęp do logowania a na 3 próby musi zezwolić aby móc według procedury zablokować konto.




--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3ufqg$9j7$1news.net.icm.edu.pl...

Dnia Wed, 11 Aug 2010 13:18:21 +0200, Piotr Gałka napisał(a):

To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie

Widzisz, mam wraĹźenie, Ĺźe rozpatrujesz to dalej, jako jednostkowy atak,
który ma się odbyć w jak najkrótszym czasie ale nie o to chodzi.

Ja rozpatruję atak wieczysty, ale wymagający powtórzenia całej sekwencji co minutę, aby utrzymać blokady aktywne. Jednocześnie zakładam, że system nie pozwoli odkryć prawdziwych loginów więc blokowane będzie tyle ile się da, ale bez gwarancji, że są istniejące.
Ja nie zacząłem od opisu ataku tylko od mojej propozycji (wymyślonej w parę minut, więc prawdopodobnie dalekiej od doskonałości) jak takie blokowanie powinno wyglądać od strony systemu (że po minucie się odblokowuje), argumentując, że takie ograniczenie pasma jest wystarczające aby uniemożliwić odkrycie prawdziwych loginów.

Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i
dłużej) czyli im dłużej tym większe prawdopodobieństwo, że logowanie
będzie celne przy strzelaniu losowo. Jeżeli bank umożliwiałby
potwierdzenie, który login jest używany wtedy można tworzyć bazę takich
loginĂłw.

No właśnie ja się trzymam mojej wersji z założeniem, że tego nie da się potwierdzić. Nie że w obecnych systemach się nie da, tylko, że takie było moje założenie w pierwszej mojej wypowiedzi.

Nie wiem, czy tak to jest robione, ale w pierwszym podejściu uważam, że z komputera użytkownika do systemu powinny być przesyłane:
- login
- zestaw: (hasło+tzw. sól) wydłużony kryptograficznie o minimum 20 bitów (na PC zajmie około 1s). Dopiero długi (np. 256 bitów) wynik jest przesyłany.
Sól to dość długa (np. 128 bitów) jawna! stała dla danego użytkownika, ale dla każdego inna. Powoduje to, że atakujący sprawdzając wszystkie domniemane hasła nie może wykorzystać efektu skali. Nie może raz wyliczyć wydłużenia hasła i sprawdzić je dla miliona loginów tylko musi dla jednego sprawdzanego hasła obliczać to wydłużenie milion razy. A próbowanie wysyłania losowych wartości wyników (tych 256 bitów) mija się z celem ze względu na liczbę kombinacji.

Z technicznego punktu widzenie obrona banku przed takim, jak to
nazwałem "atakiem", jest w zasadzie mocno ograniczona, bo ciężko mi sobie
wyobrazić aby bank tworzył listę IP, które mają/nie mają dostęp do
logowania a na 3 próby musi zezwolić aby móc według procedury zablokować
konto.

Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut) jest wystarczające dla uniemożliwienia znalezienia atakującemu prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, tylko o spełnienie celu dla którego stosowane jest blokowanie po 3 nieudanych próbach), a jednocześnie zabezpiecza bank przed lawiną telefonów o zablokowanym loginie. I druga jest taka, że dodatkowo bank nie powinien pozwolić odkryć używanych loginów. I trzecia że tylko jeden na 1000 losowych loginów powinien trafiać w używany login.
P.G.

Dnia Thu, 12 Aug 2010 11:08:05 +0200, Piotr Gałka napisał(a):

Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut)
jest wystarczające dla uniemożliwienia znalezienia atakującemu
prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, (...)

Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się aktualnie w banku na swój login ma możliwość zablokowania sobie konta. Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak największą ilość zablokowanych kont.

Właśnie mi przyszedł do głowy kolejny pomysł. Skanuje pod bankomatem karty ile się da, ale bez PINów, później je blokuję wpisując błędnie 3 raz zły PIN. Też może to wywołać małe albo i większe zamieszanie w banku, tak sądzę.




--
xbartx

Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i40gu5$3dg$1inews.gazeta.pl...

Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się
aktualnie w banku na swój login ma możliwość zablokowania sobie konta.
Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak
największą ilość zablokowanych kont.

To nie budzi żadnych wątpliwości.
Ja jedynie zasugerowałem jak by to mogło być, aby radykalnie ograniczyć możliwość złośliwego blokowania kont.
P.G.

Dnia Thu, 12 Aug 2010 12:14:33 +0200, Piotr Gałka napisał(a):

To nie budzi żadnych wątpliwości.
Ja jedynie zasugerowałem jak by to mogło być, aby radykalnie ograniczyć
możliwość złośliwego blokowania kont. P.G.

Być może. Mi chodziło o mniej więcej podobny przypadek jak ten:

http://preview.tinyurl.com/wielki-ddos

W końcu ktoś może powiedzieć sprawdzam i to wiedziony jeno zwykła ludzką ciekawością ;)



--
xbartx

(12.08.2010 12:03), xbartx wrote:

Dnia Thu, 12 Aug 2010 11:08:05 +0200, Piotr Gałka napisał(a):

Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut)
jest wystarczające dla uniemożliwienia znalezienia atakującemu
prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, (...)

Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się aktualnie w banku na swój login ma możliwość zablokowania sobie konta. Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak największą ilość zablokowanych kont.

Właśnie mi przyszedł do głowy kolejny pomysł. Skanuje pod bankomatem karty ile się da, ale bez PINów, później je blokuję wpisując błędnie 3 raz zły PIN. Też może to wywołać małe albo i większe zamieszanie w banku, tak sądzę.

Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz
aż go odkryją. Blokada wszystkich kart które się przewinęły przez ten
bankomat w ostatnim czasie murowana.

p. m.

Dnia Thu, 12 Aug 2010 12:18:13 +0200, mvoicem napisał(a):

Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz
aż go odkryją. Blokada wszystkich kart które się przewinęły przez ten
bankomat w ostatnim czasie murowana.

Ano fakt, tylko wtedy, rozkłada się to jednak na więcej banków o czy mnie pomyślałem.


--
xbartx

xbartx pisze:

Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
_istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
konta. P.G.

Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka. Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę przy pomocy botnetu zablokować jak największą ilość kont klientów danego banku co może pociągnąć na sobą konkretne skutki.

Ale jaki masz ten botnet 100tys kompow wiecej ?
Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa.

Jan Strybyszewski pisze:

Ale jaki masz ten botnet 100tys kompow wiecej ?
Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa.

   UwaĹźasz, Ĺźe nie pozwoli na kilka prĂłb?

--
Liwiusz

Liwiusz pisze:

Jan Strybyszewski pisze:

Ale jaki masz ten botnet 100tys kompow wiecej ?
Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa.

  UwaĹźasz, Ĺźe nie pozwoli na kilka prĂłb?

Dla roznych "loginĂłw" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny

W dniu 2010-08-11 14:20, Jan Strybyszewski pisze:

Dla roznych "loginĂłw" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny

Alior pozwoli. Kiedyś zapomniałem loginu i testowałem co mi do głowy przyszło. I tak całkiem długo.

--
Raf

W dniu 2010-08-11 21:21, Rafał pisze:

W dniu 2010-08-11 14:20, Jan Strybyszewski pisze:

Dla roznych "loginów" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny

Alior pozwoli. Kiedyś zapomniałem loginu i testowałem co mi do głowy
przyszło. I tak całkiem długo.

Więcej niż 3 razy z jednego IP Ci się nie uda.

--
animka

On Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka wrote:

 Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy  nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem  _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny)  losowo wybrany login będzie prawdziwym loginem jakiegoś konta.

Jakis bank przydziela identyfikatory (loginy) klientom kolejno co jeden?

--
Michał

wiesiu jest spamtrapem. ja jestem kbns