Poslední příspěvky

1

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od _Tomáš_ kdy Dnes v 11:54:10 »

Jak přesně ten útočník odposlechne a změní TLS komunikaci mezi serverem a prohlížečem? To už by ten počítač nebo prohlížeč musel být předem napadený, nebo jde jen o to, že neznalý uživatel slepě potvrdí podvrhnutý certifikát, což by mobilní aplikace vůbec nenabízela?

Co jsem viděl, není to vůbec sofistikované. Únos DNS, pokus o přesměrování v http, MiTM pro web banky, uživatel si to odklikne, ona i úspěšnost 2 % může být dost značná. Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád. Captive portál je dobrá cesta, jak dělat MitM, můžeš se maskovat jako stránka, kterou navštěvuje uživatel, uživatelé jsou nepozorní (logicky). O2 a jeho akce s unášením http provozu jen učí lidi, že to je vlastně běžné a přesně u toho můžeme vidět, jak vlastně to je úspěšné, že uživatelé vůbec netuší co se děje a že to je špatně.

Stejně tak se hodně používají pluginy do prohlížeče (asi spíše ve světě, u nás takových útoků jsem viděl minimum), pokud se ti na síť přihlásí někdo, u koho máš pod kontrolou plugin, jsi na dobré cestě.

Na veřejné wifi nechodíš do bankovnictví, protože se nudíš nebo si chceš zvednout náladu svým zůstatkem, ale protože potřebuješ rychle něco vyřešit, v takovém případě jsi ochotný více rizkovat a být nepozorný. Mysli na to, že taková wifi může fungovat týdny, měsíce bez povšimnutí a vůbec není snadné jí odhalit a ještě najít vlastníka.

Ano, mobilní bankovní aplikace používají vlastní cert pinning a validují si, že certifikát ve správné cestě, nedovolní komunikaci (aspoň co jsem zkoušel u velké pětky). V prohlížeči máš dost omezené možnosti jak něco vynutit (HPKP nám umřel), Google is IP adresy a certifikáty pro své služby kvůli tomu schoval přímo do zdrojového kódu prohlížeče, opravdu systémové řešení. Microsoft ve Windows zase pro některé své interní služby ignoruje nastavení VPN, DNS a komunikuje přímo, opět super řešení, když to nenabízí i aplikacím.

2

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od jjrsk kdy Dnes v 11:42:41 »

Jenze vis soudruhu, napadat vice zarizeni nejakyho hej nebo pockej je predevsim sranda velice nakladna, tudiz se to nevyplati.

Napadnout mu jedno zarizeni (ten neaktualizovany deravy mobil) je radove trivialnejsi.

Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu. Kdyz ti slohnu srajtofli, prijdes o mozna par tisicovek.

3

Studium a uplatnění / Re:Kde ako ajťák žiť?

« Poslední příspěvek od Karmelos kdy Dnes v 11:39:29 »

byl uz starsi blog jak mela rodina male deticky a s obytnym autem jezdili po evrope.

ja kdybych si mel vybrat tak jdu na slovensko, treba zemplinska sirava, madarsko se mi taky moc libi a madarstina je pekny a logicky jazyk,
ale clovek se to musi naucit.

Hmm, tak to by sis podle mě dost naběh. Východní slováci jsou největší nacionalisti a k tomu poměrně početná národnostní menšina v těch místech, o dostupnosti služeb a civilizace nemluvě... 

4

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od _Tomáš_ kdy Dnes v 11:34:28 »

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Tak toto může skutečně napsat KARDINÁLNÍ IMBECIL.

1) Nejvíce rozšířené útoky jsou bezesporu za pomocí sociálního inženýringu kdy chyba je vždy mezi klávesnicí a židlí. Viz stovky kauz kdy uživatel skočil na špek manipulátorovi přes telefon a nainstaloval si program pro vzdálenou správu.

2) Kompromitace jsou odlišných zařízení v realitě SE prakticky nedá provést a to z technického hlediska protože STEJNÝ PROGRAM na různém operačním systému NEFUNGUJE(program vyvinutý na Windows prostě na Androidu nespustíš) a tudíž když kompromituješ jednoho zařízení na síti běžící např. na Windows tak z něj se ti skoro nepodaří zkompromitovat např. telefon běžící na Androidu nebo jablíčku.

- tato varianta útoku je prakticky i pro nadprůměrně zdatného IT odborníka skoro neproveditelná(příprava je specifická podle cíle a zabere spoustu času s nejistým výsledkem). A představa že něco takového dokážeš "REMOTE" je dneska skoro sci-fi. Není to nemožné ale je to neskutečně obtížné a mohou to dokázat tak odborníci pracující pro nejvýkonější tajné služby (USA, Rusko, Čína, apod..)

- to je milionkrát jednoduší vyvinout trojana(klient-server app) pro Android/Jablíčko/apod.. který poběží na pozadí a bude vše logovat a který ti umožní spustit a ovládat jinou app. Nebo vtrhnout někomu do baráku, zastřelit mu dítě nebo manželku a 9tkou u hlavy ho donutit aby poslal všechny peníze na nějaký pay-pal/kryptoburzu/apod. a vše vyprat přes kryptoburzy..

to si nemůžeš odpustit urážky?

Vždyť dnes prakticky útočník není autorem aplikace, jen si jí pronajme, pronajímají se nejen aplikace (trojany, viry, ransonware, nazývejme to jakkoliv), ale i konkrétní exploitované zařízení. C&C servery, exploity podle typů zařízení v síti, payloadu podle OS, během chvilku se ti to trojan automaticky rozprostřed po řadě různých zařízení a teprve pak zavolá domů, že čeká na příkazy. Tohle je typ útoků, který nejčastěji vidím ve firmách. Někdy tam prostě čeká měsíce na příkazy.

Útočníci dnes nemají velké znalosti, mají plnohodnotnou administraci pro ovládání trojanů, nejsou autoři kódu a ani nemusí být nijak zdatní, SW kupují na trhu.

Polymorfní programy, které spustíš napříč OS existují, ale ona ta aplikace takový být nemusí, prostě si stáhne payload podle detekce. Tak přesně proběhl i útok na ŘSD před pár lety, nákaza z jednoho zařízení a postihla celou infrastruktur s různými technologiemi.

5

Studium a uplatnění / Re:Kde ako ajťák žiť?

« Poslední příspěvek od alex6bbc kdy Dnes v 11:23:27 »

byl uz starsi blog jak mela rodina male deticky a s obytnym autem jezdili po evrope.

ja kdybych si mel vybrat tak jdu na slovensko, treba zemplinska sirava, madarsko se mi taky moc libi a madarstina je pekny a logicky jazyk,
ale clovek se to musi naucit.

6

Server / Re:Registrace .cz domény přes Monero (XMR)

« Poslední příspěvek od alex6bbc kdy Dnes v 11:18:39 »

Myslím že někteří "překupníci" nabídnou to, že budou držitelem za někoho anonymního a dovolí mu doménu používat.

A potom dostanu pokutu za prevadzku hazardneho webu a zacnu vyplakavat.
https://www.websupport.sk/blog/2016/09/nezmyselna-pokuta-vydieranie-boj-so-statom/

tohle mi pripada jeste absurdnejsi, oni zjistili kdo je majitelem domen, tak meli jit po nem.

a kdybych chtel delat neco ilegalniho tak jdu na onion.

7

Server / Re:Registrace .cz domény přes Monero (XMR)

« Poslední příspěvek od metabug kdy Dnes v 11:16:03 »

Já nenarazil na místo, kde by se dala doména pořídit výměnou za zlatý prach či třeba za kozu. Proč tomu asi tak je...

Ukaž kozu a třeba se domluvíme. A myslím to vážně.

8

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od technomaniak kdy Dnes v 11:12:04 »

Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.

Tak toto může skutečně napsat KARDINÁLNÍ IMBECIL.

1) Nejvíce rozšířené útoky jsou bezesporu za pomocí sociálního inženýringu kdy chyba je vždy mezi klávesnicí a židlí. Viz stovky kauz kdy uživatel skočil na špek manipulátorovi přes telefon a nainstaloval si program pro vzdálenou správu.

2) Kompromitace jsou odlišných zařízení v realitě SE prakticky nedá provést a to z technického hlediska protože STEJNÝ PROGRAM na různém operačním systému NEFUNGUJE(program vyvinutý na Windows prostě na Androidu nespustíš) a tudíž když kompromituješ jednoho zařízení na síti běžící např. na Windows tak z něj se ti skoro nepodaří zkompromitovat např. telefon běžící na Androidu nebo jablíčku.

- tato varianta útoku je prakticky i pro nadprůměrně zdatného IT odborníka skoro neproveditelná(příprava je specifická podle cíle a zabere spoustu času s nejistým výsledkem). A představa že něco takového dokážeš "REMOTE" je dneska skoro sci-fi. Není to nemožné ale je to neskutečně obtížné a mohou to dokázat tak odborníci pracující pro nejvýkonější tajné služby (USA, Rusko, Čína, apod..)

- to je milionkrát jednoduší vyvinout trojana(klient-server app) pro Android/Jablíčko/apod.. který poběží na pozadí a bude vše logovat a který ti umožní spustit a ovládat jinou app. Nebo vtrhnout někomu do baráku, zastřelit mu dítě nebo manželku a 9tkou u hlavy ho donutit aby poslal všechny peníze na nějaký pay-pal/kryptoburzu/apod. a vše vyprat přes kryptoburzy..

9

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od bmn kdy Dnes v 11:02:26 »

Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.

Jak přesně ten útočník odposlechne a změní TLS komunikaci mezi serverem a prohlížečem? To už by ten počítač nebo prohlížeč musel být předem napadený, nebo jde jen o to, že neznalý uživatel slepě potvrdí podvrhnutý certifikát, což by mobilní aplikace vůbec nenabízela?

10

Server / Re:Registrace .cz domény přes Monero (XMR)

« Poslední příspěvek od 🇺🇦 GPU kdy Dnes v 10:58:03 »

Já nenarazil na místo, kde by se dala doména pořídit výměnou za zlatý prach či třeba za kozu. Proč tomu asi tak je...