Re: Classifica banche online. Fineco e' messa male...
Von: Francesco Potorti` (pot@potorti.it) [Profil]
Datum: 08.05.2008 16:17
Message-ID: <873aoskhhn.fsf@tucano.isti.cnr.it>
Newsgroup: it.economia.banche
Datum: 08.05.2008 16:17
Message-ID: <873aoskhhn.fsf@tucano.isti.cnr.it>
Newsgroup: it.economia.banche
Mi sono un po' documentato e provo a rispondere. burp <burpNO@SPAMbarp.com>: >> Non è rilevante. Se la connessione è intercettata (tecnicamente, >> attacco "man in the middle") la password la dai tu, ma chi intercetta la >> usa per fare al volo l'operazione che vuole lui e darti in risposta un >> errore. > >considerato che la connessione e' SSL e posso controllare il certificato >della banca non mi risulta esistano rootkit di questo tipo. se tu ne >conosci indicami il link please...puoi compromettere la macchina con >tante cose: keylogger, backdoor, trojan etc etc ma non con una cosa che >faccia quanto da te descritto per una banca che usa SSL e OTP > >che poi la teoria dica che sia possibile...beh i proof of concept li >lascio volentieri ai ricercatori, a me interessa quello che succede nella >realta' :-) D'accordo, allora diciamo così: in linea di principio quel che dico io è possibile, in pratica al momento non esistono attacchi diffusi di questo tipo. >> Le password puoi intercettarle tutte, e devi mandare solo testo. Con la >> tastiera virtuale devi fare la foto dello schermo, perché la posizione >> dei tasti cambia ogni volta, e registrare i click del mouse. > >guarda che un'immagine dello schermo ed i successivi click occupano pochi >kbyte...esiste la compressione, altrimenti programmi come vnc come >funzionerebbero? Qui il discorso è come sopram a al contrario: in linea di principio quel che dici tu è possibile, in pratica non esistono attacchi diffusi di questo genere. Se non hai informazioni diverse, si può dire che, in linea di principio, una macchina compromessa non ha difese, siano queste password, tastiere virtuali, o token. Allo stato dell'arte attuale, invece, non ci sono strumenti di uso comune usati per superare le tastiere virtuali, né usati per aggirare un token usato su una pagina SSL ben fatta. Attualmente, invece, lo stato dell'arte consente facilmente di intercettare delle password, potrebbe consentire in un vicino futuro di costruire attacchi contro le tastiere virtuali, e potrebbe consentire in unfuturo più lontano di costruire attacchi contro un token su SSL. Il che si può riassumere come dicevo precedentemente: una tastiera virtuale è un passo più un là rispetto alla password, e il token è un passo ulteriore. Comunque, già allo stato attuale, c'è almeno un caso in cui il token è stato superato: http://www.theregister.co.uk/2007/04/19/phishing_evades_two-factor_authentication[ Auf dieses Posting antworten ]
Antworten
- cdr (08.05.2008 17:29)
- Francesco Potorti` (08.05.2008 18:27)
- burp (09.05.2008 08:03)
- Francesco Potorti` (09.05.2008 13:13)