Hirdetés

Hozzászólok Aktív témák

  • szab.tam

    nagyúr

    "de a Bolware képes volt úgynevezett man-in-the-browser (MitB) támadásokat végrehajtani, amikor az adatáramlásba avatkoztak be céljaiknak megfelelően."

    laikusnak, nagyon konyhanyelven megfoglamazva: ez mit jelent nagyjából?
    az adatáramlási "utak"-ba nyúltak bele, vagy magukba az áramló adatokba?
    (tudom, hogy hülyén fogalmazok, de nem megy másképp.)

    fanless project: fourth gear......................................................................... http://prohardver.hu/teszt/interju_csucskonfig_passzivan_hutve/kezdetek.html

  • kraftxld

    nagyúr

    Gondolom némi ARP poisoning-al meg olyan emberek gépének megfertőzésvel akik 2014-ben is XP-hez ragaszkodnak elég jó eredményeket lehet elérni :)

    🇳🇿 | MCSE+M/S, MCITP, VCP6.5-DCV - ''Soha ne becsüld le az autópályán száguldó DAT kazettákkal megrakott teherautó sávszélességét''

  • szab.tam

    nagyúr

    "2014-ben is XP-hez ragaszkodnak"
    célozgatunk, célozgatunk? :DDD

    [ Szerkesztve ]

    fanless project: fourth gear......................................................................... http://prohardver.hu/teszt/interju_csucskonfig_passzivan_hutve/kezdetek.html

  • PJohn

    csendes tag

    Elsősorban az adatokba való belenyúlás a lényeg, de ehhez az adatot előbb el kell téríteni. (Előrebocsájtom, hogy se biztonságtechnikai szakértő nem vagyok, szóval sok bizonyára sok pontatlanság van az alábbiakban, de a lényeg szerintem átmegy.)

    A klasszikus példa a man-in-the-middle támadás, amikor a felhasználó azt hiszi, hogy az általa keresett szerverhez csatlakozott, de valójában a támadó szerveréhez, viszont az a szerver nagyjából semmi mást nem csinál, csak mindent továbbít a felhasználótól a valódi szerverig, és vissza, csakhogy eközben lehallgatja az adatokat, és jelszavakat, és egyéb érzékeny adatokat szerezhet meg. Ha akar, akkor megváltoztathat ezt-azt (gyakorlatilag mindent).

    Majdnem olyan, mintha lehallgatnák a nyílt wifit, de azzal csak lehallgatni tudsz, belenyúlni nem. Viszont ezzel a támadással módosítani is lehet bizonyos adatokat. A nyílt wifi esetével ellentétben a man-in-the-middle problémája, hogy a titkosítás nem véd ellene, mivel ha egyszerű titkosítást használsz, nem sok minden akadályozza meg abban a középső, hamis szervert, hogy dekódolja az adatokat, amiket küldesz neki (hiszen azzal a kulccsal titkosítottad, amit a hamis szervertől kaptál), elolvassa azokat, majd újra titkosítsa, ezúttal az eredeti szerver kulcsával, és úgy küldje tovább az eredeti szervernek, mintha az tőled érkezne.

    Ezért van az, hogy a helyesen implementált HTTPS/SSL-ben nem csak a titkosítás a fontos, hanem a szerver tanúsítványának az azonosítása is. Már így is elég részletes a dolog, szóval röviden: az eredeti szerver tanusítványát kulcsát aláírják egy megbízható kulccsal, amiket az oprendszerek ismernek, és ezt már egy közbeékelt hamis szerver nem tudja utánozni, mert az ő tanúsítványa/kulcsa nem lesz aláírva, legfeljebb saját magának írja alá, vagy valami másik kamu tanusítvány kulcsával, ekkor jelenik meg a böngésződben a "valószínűleg ez nem az a webhely, amit keres" figyelmeztetés. A forgalom ekkor is titkosítva van, tehát ha mégis stimmel az oldal (tehát egy legitim szervernek van megbízhatatlan tanúsítványa), akkor külső fél elméletben lehallgatni nem tudja, mert titkos, de ha egy hamis oldalnak küldöd eleve, akkor ugye a titkosítás nem segít.

    A man-in-the-browser támadás elvben hasonlóan működik, tehát az adat nem közvetlenül a képernyődre érkezik, hanem előbb a bűnözők látják, és azt csinálnak vele, amit akarnak. A különbség az, hogy míg a man-in-the-middle támadásnál a bűnözők az igazi szerver és a te géped közé vannak harmadik félként beépülve, addig a man-in-the-browser támadásnál a jó szerver előbb a te gépedre küldi az adatot, de mielőtt azt feldolgozná a böngésző, továbbküldi a te gépedről a bűnözőknek, és visszaküldik a módosított oldalt a gépedre. (Ehhez persze fertőzött gép kell, mert normális gép ilyet nem csinál, míg a man-in-the-middle támadáshoz nem kell fertőzés). Ez esetben ha jól értem, akkor a kedvezményezett "számlaszámát" módosítják, úgy, hogy nekik menjen a pénz, mikor kifizeted a böngészőben.

    Analógiával: képzeld el, hogy igényelsz valami cégtől egy csekket, hogy befizess valamit. Az el is jut a postaládáig, de egy gonosz postahacker ott leselkedik a házad előtt, és kikapja a postaládából az eredeti csekket, és elküldi a főhadiszállásukra, ahol kikaparják belőle az eredeti cég számlaszámát, és beleírják a sajátjukat, majd újra elküldik neked, te meg mivel számítottál a csekkre, stimmel minden, elmész, és gyanútlanul befizeted.

    Ezzel szemben a man-in-the-middle analógiája az lenne, ha valaki alapítana egy ELMŰ Számlák Kft. nevű kamu céget, és valahogy megoldaná (megtévesztené az embereket, vagy meghackelné a postarendszert), hogy az ELMŰ-nek írt leveleket inkább nekik küldjék, és a saját címükről továbbküldenék az ELMŰ-nek, mintha ők lennének az ügyfél, és az ELMŰ nekik küldené vissza a csekket, amit aztán az ELMŰ Számlák Kft. bűnözői úgy modosítanának, hogy mikor befizeted, akkor nekik küldje a pénzt, és ne az ELMŰ-nek, majd azt elküldik neked, te meg azt hiszed, hogy az elműtől jött, a tartozásod mértéke is stimmel, hiszen az az ELMŰ eredeti számláján is rajta volt, amit nem változtattak meg, és mivel minden stimmel, csak a számlaszám nem, befizeted.

    Egy valós példa, man-in-the-middle veszélyre: Nem sokkal ezelőttig volt egy facebook.hu nevű domain, aminek semmi köze nem volt a facebookhoz, arra használta aki regisztrálta, hogy egy reklámot jelenítsen meg a böngésződben, majd automatikusan átirányítson a facebook.com-ra. Ezzel idáig semmi baj, de elég sok (magyar) laikust láttam ezt használva belépni a facebookra, amivel az a baj, hogy ezt a szervert elméletben bármikor beállíthatnák úgy, hogy ahelyett, hogy átirányítja a felhasználót, inkább kérje le a facebook főoldalát, és küldje tovább a felhasználónak, mintha ő lenne a facebook, az user meg begépeli a felhasználónevét és jelszavát, elküldi a facebook.hu-nak, aki továbbküldi a facebook.com-nak, és így tovább... Ebből az user semmit nem vesz észre, mert közvetve az igazi facebook-kal kommunikál, de minden adatát látja és rögzítheti a facebook.hu, elsősorban a jelszó érdekes, de biztos mennek egyéb érzékeny adatok is facebookra, például biztos vannak idióták tudatlanok, akik facebook chat-en küldözgetnek hitelkártyaszámokat a párjuknak, vagy ilyesmi.

    Amúgy ha a facebook.hu csak annyit csinálna, hogy lemásolja a facebook főoldalát, de nem továbbit az igazi facebooknak semmit, csak hagyja, hogy a kamuoldalra beírják a felhasználók a belépési adataikat, és eltárolja őket, akkor ugyanezt adathalászatnak hívják. Ezt könnyebb felismerni, mert pl. miután belépsz a kamu oldalon, nem tud semmi hihetőt mutatni, nem úgy néz ki, mintha tényleg beléptél volna, de addigra már késő.

    Bár ha jól látom, már nem működik a facebook.hu hál'istennek, sőt, WHOIS alapján már a facebook-é. Kb egy éve még élt és virult, és senkinek nem tűnt fel, hogy az nem a facebook. Bár régen meg nem néztem WHOIS-t, de lerítt róla, hogy valami tákolt izé.

  • szab.tam

    nagyúr

    na, ezt majd ebéd után elolvasom... :D :R

    fanless project: fourth gear......................................................................... http://prohardver.hu/teszt/interju_csucskonfig_passzivan_hutve/kezdetek.html

  • mepet

    addikt

    No most, MS-os emailfiókot az ismerőseim közül csak az használ, akinek ez kell a windows 8-ba való belépéshez. Persze lehet, hogy a braziloknál a live.com a menő, nem a gmail. Céges környezetben (banki, ipari, stb...) pedig kb senkit nem ismerek, aki MS emailfiókot használ, ugye ott kb. sehol sincs win8. A legértékesebb adatok nyilván ott vannak. Arról nem szól a cikk, h az említett malware más úton is terjedt volna.

    850milliárd? Jól hangzik. Egyáltalán ezt hogyan kell kiszámolni? Pl. az én számítógépemről ellopnak egy beszkennelt képet a személyimről. Ez már mondjuk 1000Ft kár, mert a kép ennyit ér a feketepiacon, vagy csak akkor számolhatunk kárral, ha felvesznek pl. 1milliárd hitelt az én személyimmről készült képpel? Nem mindegy, akkor most a legvégén a kár 1 milliárd, 1milliárd+ezer, vagy ezer Ft?

    A Boleto meg olyan biztonságos ezek szerint, mint amennyire finom a Bolero. Majdnem 2 év és 495,753 csaló Boleto tranzakció kellett, hogy észrevegyék, hogy mi van! Ha minden tranzakció kérne pl. telefonos azonosítást, akkor máris lehetetlen lenne csalni, mint pl. az itthoni netbankokban. Aki pedig telefonos azonosítás nélkül megbízik olyan fizetési rendszerben, ami nem a paypal, az majdhogynem megérdemli, hogy meglopják. Ha pedig észreveszi valaki, hogy meglopták, akkor ha nem valami online walletben van a pénzed, hanem bankkártyaadatokkal vonja egyből fizetéskor a bankkártyádhoz rendelt bankszámláról, akkor bejelented a bankodnak, hogy azt a fizetést nem te indítottad, és sosem kaptál érte ellenszolgáltatást, akkor visszaadják a pénzedet. Erre törvény van, a számlán lévő pénzedre meg állami garancia. Tehát a bankokat lehet csak meglopni ilyen módon, a szegény ártatlan usert majdhogynem lehetetlen...

  • tomazin

    veterán

    egyszer végigmész ezen az úton és realizálod majd,h nem is olyan egyszerű visszaszerezni a pénzed..

  • goq669

    csendes tag

    Olyan álomképbe ne ringassa magát senki, hogy a kétlépcsős azonosítás feltörhetetlen.

    Ha például fertőzött a mobil amire kapja az "áldozat" a második kódot, akkor máris úgyanúgy el tudják lopni a pénzét, mint korábban.

    Felkészülni lehet a támadásokra, és jó eséllyel elkerülni, de ehhez tenni is kell a biztonságért.

  • mepet

    addikt

    Ezzel egyet értek. Viszont én még sosem hallottam olyanról, hogy sikerült volna milliószám kijátszani a kétlépcsős megoldásokat. Esetünkben pedig ugye félmillió kisebb lopás adta ki ezt a szép nagy becsült összeget.

  • szab.tam

    nagyúr

    teljesen világos, érthető, nagyon köszönöm!
    :R

    jól gondoltam.
    átléptük azt a határt, ahol már nem a júzer trehánysága, vagy direkt hülyesége az egyedüli ok.

    fanless project: fourth gear......................................................................... http://prohardver.hu/teszt/interju_csucskonfig_passzivan_hutve/kezdetek.html

  • 42

    senior tag

    Pedig úgy néz ki a braziloknál a hotmail a menő:

    The high percentage of hotmail.com being targeted is most likely due to the high popularity of this online service in Brazil.

    http://itcafe.hu/dl/cnt/2014-07/109939/bolware-fraud-ring-rsa-research-july-2-finalr2.pdf

    Viszlát, és kösz a halakat!

  • ysengrin

    senior tag

    A facebook.hu-s példád inkább phishing, mint man-in-the-middle. :)

    do you like hurting other people?

  • Kékes525

    nagyúr

    Így van, semmi sem feltörhetetlen!

    Okos vagy, ha csak a felét hiszed el annak, amit hallasz. Zseniális, ha tudod, melyik felét.

Hozzászólok Aktív témák