Keď sa banka správa amatérsky - slsp.sk, vub.sk (phishing welcome)

je rozdiel medzi http://www.slsp.sk a https://ib.slsp.sk ... staci pozriet ip adresy

na www.slsp.sk chodi mnozstvo ludi kvoli informaciam na ib.slsp.sk iba zakaznici

[1]: Samozrejme to som cakal.
Ale co ludia ktory chodia do IB priamo zo stranky www.slsp.sk (hned vlavo hore).

[2] hned na tej stranke maju info: Pharming/Phishing "Pozor na útoky" ... takze zavisi od pouzivatelov, ci im browser ukaze spravny ssl certifikat, ci nahodou na inej stranke nepotvrdia neznamy certifikat a pod. ... navyse ku kazdej operacii treba minimalne GRID kartu ... kazdy si precita upozornenia, ak mu zalezi na spolahlivosti a bezpecnosti

[3] Dobre ale ako mi to pomoze ked ma hned uvodna stranka presmeruje inam?
A upozornenia na phishing si phishingove stranky nechavaju.
To robia s kludom a s velkosu davkou drzosti.

Ako sa to zoberie, v kontexte so spominanymi webmi je to porovnavanie smiesne.

Zasa u vacsiny firemnych stranok nie je navstevnost v zmysle kvantity dolezita a skor zaujimava je skladba navstevnosti (ake stranky, kto, odkial).

Volba meradla je otazka... miesto navrcholu by bola mozno potom vhodnejsia sluzba od Google (Analytics).

Pouzitie externeho meradla je na zvazenie, je to pohodlne a rychle riesenie.

Fakt, ci ide o platenu alebo neplatenu sluzbu je irelevantny.

Je tu vsak aj pohlad, kedy sa vo firme obcas spytaju, ako sme na tom vseobecne s navstevnostou v porovnani s nejakym znamejsim webom - je to obojstranny argument - vies povedat, kolko ludi dokazes vlastnym webom "zasiahnut" a ci ten alebo iny plan ma zmysel.

Ja osobne? Navrcholu som odskusal a nakoniec prestal pouzivat akonahle som zistil, ze Analytics mi dava zaujimavejsie informacie.

Myslmim, ze slovenske banky na tom zo zabezpecenim nie su az tak zle.

To, ze si meraju navstevnost externym portalom mi sice pride trochu chytene, ale preco nie. Je to reklama prakticky zadara. A ktora banka sa rada nepochvali, denne mame xyyx navstevnikov, teda viac ako konkurencia. Osobne si myslim, ze z tejto strany sa nebezpecia treba obavat minimalne.

No podla nadpisu a celeho clanku si amater a o bezpecnosti nevies absolutne nic. Znies ako keby si si precital par clankov, k tomu komentare, ktore vyzdvihovali ake je vsetko nebezpecne a teraz tu hras formu.

[7]
1. Nuz ano som amater. To mi nebrani kritizovat.
2. Nazov som zvolil tak aby zaujal.

Pokial nam dokazes vysvetlit viac preco sa mylim budem rad ak tak spravis.

len na okraj, to ze www.slsp.sk nie je ten isty server ako ib.slsp.sk je sice pekne, ale na www.slsp.sk je napr. link na ib.slsp.sk a ak by sa niekomu podarilo tento link upravit aby smeroval niekam inam (napr. na phishing stranku) tak to by uz problem bol.

Takze by som az tak nezlahcoval ze je tam iba www.slsp.sk

omg, ty uz radsej nic nepis. fyi pri ich navstevnosti si to uz urcite platia.

Na stránke slsp sa ten skript neťahá z externého zdroja, takže riziko je tam do značnej miery eliminované. Keď si pozriete ten skriptík, nerobí v podstate nič, akurát pošle nejaké údaje pomocou vypísania obrázku 1x1. Tam vidím jedine možnosť nejakého buffer overflow alebo čo (momentálne si neviem spomenúť na žiadny takýto exploit, ak vôbec existuje).
Na druhú stranu, čítali ste http://blog.synopsi.com/2008-11-13/internet-banking-po-slovensky ? Internet banking na Slovensku nie je nesmrteľný rytier, nepotrebujú ani externé skripty.
Keď už som pozeral to html, čo tam majú na stránke, veľmi ma prekvapilo, že tam majú toľko zbytočných medzier (prázdne riadky, tabulátory...). Keby obmedzili tieto zbytočné medzery, mohli by ušetriť (aspoň čo sa mne podarilo, možno by sa dalo aj viac) 8 kB na úvodnej stránke.

trsek? Aha, pán odborník :D

[12] Dakujem.
a prajem pekny den

no ja teda neviem, táto celá diskusia je akosi o niečom inom, aj keď bude útočník mať moje prihlasovacie meno a heslo, tak nespraví ani prd, je tam niekoľko ďalších ochrán, minimálne GRID karta pri SLSP IB, s ktorou musíte potvrdzovať akúkoľvek transakciu a keď vám je to málo, môžete si tam ešte dávať potvrdzovacie SMS na váš telefón, t.j. príde vám kód, ktorý vložíte do stránky ako potvrdenie transakcie... takže pokiaľ mi niekto neukradne GRID kartu s mobilom a k tomu mi cez phishing zoberie prihlasovacie údaje, tak nespraví nič, akurát si tak pozie zostatok na mojom účte :)

preto je to v prvom rade na ľuďoch ako si chránia svoje veci, či už ide o prihlasovanie na internete alebo GRID, prípadne telefón....

apropó, aj toto je vcelku dobrá reklama pre spomínané banky :)

Ak root.cz vybera z blogov na svojom webe, mohol by tak - uz konecne - robit na zaklade kvality clankov. Zase som omylom klikol na clanok text plny pocitov a gramatickych chyb. Prestante sa snazit byt dobri a konecne zacnite aj byt. Ale to bez kvalitnych odbornikov na tematiku a zurnalistiku tazko zvladnete.

[14] - myslím, že u niektorých ľudí je citlivý aj len zostatok na účte. Napríklad si predstav, že by si zistil číslo účtu a zostatok niektorému poslancovi NR SR. Poprask ako sviňa.
Ale s tým skriptom, čo je na stránke nespraví nikto nič, keďže sa neťahá z cudzieho zdroja. Je to planý poplach. No ešte mi tak napadlo CSRF pomocou headeru...

[17] vidíš to ma nenapadlo :)

apropó, ty si myslíš, že to majú v banke na účte pod svojím menom? Myslím, že to by sme museli inak pátrať aby sme im tie "čierne" prachy na nejakých účtoch našli... a potom ešte dokázali, že sú ich, na to ako sa správajú debilne si zrovna na takéto veci dávajú sakra pozor :)

zdeno, suhlas so vsetkym az na tu bezpecnost - by som bol opatrny. ten script aspon ja neviem o ziadnom exploite, ako to uzs niekto pisal, ako by to slo zneuzit. nieco snad s hlavickami.

davam ti za pravdu, ze toto je amaterizmus a traposina, pouzivat na toto naj. netreba sa bat a treba kritizovat, lebo len toto ich nauci.

[19] keby si poznal architektúru toho IB (SLSP), tak by si hovoril naozaj trocha inak, ale to asi viacerí v tejto diskusii :) nič v zlom :)

Celkový výsledok: nebezpečenstvo to nepredstavuje. Či používať alebo nepoužívať naj.sk, to už v tomto prípade nie je otázka bezpečnosti, ale to patrí niekam úplne inam. Skôr SEO alebo štandardy alebo čo.........

1. Pomocou buffer overflow sfalsujem uvodnu stranku.
2. Necham obet presmerovat na "svoj internet banking"
3. Dalej uz "man-in-middle"
4. V okamziku ked obet vykona platbu podstrcim "svoje cislo uctu"
5. Obet opise autorizacny kod a tym sama dobrovolne posle peniaze inam.

Teraz budete namietat ze podrobne citate co v tej SMS je.
No ano to robime mi, ale existuje nemale percento ludi ktore to nerobi.

Ako dokaz moze sluzit ze existuju ludia ktori klikaju na spam, phishing v mailoch a pod.

mohol by si trošku rozpísať prvý bod? Konkrétny aký buffer overflow chceš použiť na sfalšovanie úvodnej stránky?

[23] uprimne. neviem. vsetko je len v teoretickej rovine

Táto teoretická rovina má taký jeden cíp, ktorým sa všetko, čo je na tej rovine, vylieva do prečo do stratena. Skús iný pokus.

[25] Chapem, cital som tvoj blog. V tvojom pripade taham jasne za kratsi koniec a nema zmysel robit ramena ani som to nemal v umysle

Takze prajem pekny den a Vesele Viaaaaaaaaanoce

PS: Dal by si do stavky tisicku ze pomocou obrazku sa neda urobit buffer overflow?

Podla mna ma slsp najlepsi IB z pomedzi SK bank. Mam moznost porovnavat. A maju aj pekny zeleny certifikat co je dalsie +

A pardon, to ze daky magor neuvidi, ze zrazu nema pri URL zeleny pasik a pyta to od neho potvrdenie nejakeho nedoverihodneho certifikatu to je cisto jeho problem. Zvlast ak na to banka na svojom webe upozornuje.

[22] dobre som sa pobavil :) pri SLSP ti to je celé naprd, od bodu 4. ti to už vôbec nebude fungovať.... si úplne mimo :)
už som písal, že tých úrovní ochrany tam je viac, tak čo tu stále riešite, keby to malo byť len o nejakom prihlásení, tak si to presmerovať môžte a podstrkovať čokoľvek, ale našťastie to používa niekoľko ďalších ochrán, o ktorých sa bežný smrteľník nemá šancu dozvedieť, ale ako vidím, teoretikov je tu teda veľmi veľa...
snívajte ďalej....

PS: útok si viem predstaviť, ale k tomu by v prvom rade ten človek potreboval vedieť kompletne ako ten systém funguje, ale to je asi každému jasné a aj to, že SLSP a ani iná banka nebude dávať IB zdrojáky ako OpenSource :) alebo nedajbože niekomu k nahliadnutiu :)

[22]dam ti rok na kReK mojho uctu v SLSP. Ked sa ti to podari, pretoze sancu mas vzdy, pretlacim ta do timu, ktory testuje bezpecnost InternetBAnkingu pre SLSP.

[29] so zapnutým TAN alebo bez? :) ak so zapnutým, tak to mu daj aspoň dva roky :) alebo adresu, kde nájde tvoj telefón :) s priloženým PIN kódom a nabitou batériou :)

apropó, viem si predstaviť výrazne jednoduchší spôsob ako sa k tým veciam dostať :)
geniálne veci bývajú vždy jednoduché :) a hlavne, ľudia pustia dôverné informácie ľahšie ako je lomenie nejakého IB :)

Tak, pobavili sme sa, ďalší prosím... :D

zabavne, skoda jen, ze si autor blogu neuvedomil takovou primitivni vec, jako je REKLAMA, a toto je REKLAMA ZADARMO :) Protoze i ty ruzne toplisty a podobne seznamy jsou nemalym zdrojem lidi, a pokud jste nekde prvni, druzi, tak na vas lide proste klikaji ... veskere ty diskuse o tom hackovani jsou v ciste filozoficke rovine a ackoliv se autor blogu domniva, ze je to nebezpecne, bylo mu tu opakovane ukazano, ze se docela dost plete, nebo ze jeho predstavy jsou z knihy "Hackujeme bankovni weby, 1. trida ZS" :)

[34] no presne o tom som písal už v [15] :)

Tak vidim ze sa tu pohybuju aj ludia dotknutych bankovych domov.
Celkom spravne ma kritizujete za moje amaterstvo, ale ...

Nepotrebujem byt lepsi ako vy aby som vam dokazal ze system je deravy.
Navrhujem toto:
1. Na stranku slsp.sk umiestnit honey-pot (predpokladam ze lepsie zabezpeceny to necham na odbornikoch)
2. Dat priestor 6 mesiacov
3. Vypisat odmenu 50 tis. kazdemu kto ten honey-pot otvori

Tak teraz som zvedavi kto to zdvihne.
Blizsie si dohodneme na etrsek@gmail.com

PS: Tak vidite nakoniec budem ten posledny co sa smeje najviac.
Prajem vsetkym pekny den a nech mame tie Vianoce uz za sebou.

No ale už tam nevidím súvis s pôvodnou témou ohľadne naj.sk. Ak nájdeš ozajstnú chybu na internet bankingu, napíš ďalší blog, ale z tohto fakt nič nebude.

[37] Nie suvis s povodnou temou v tejto ponuke nieje.
Je to dokaz toho ze vsetci ste sice odbornici ale len pokial ide o reci.
Ked pride na lamanie chleba zapochybujete. To ze sa nik neozyva je toho dokazom. Ako som pisal nemusim mat vacsie vedomosti ako vy pretoze staci dobre polozena otazka aby ste sa usvedcili sami.

PS: Pevne dufam ze sa niekto ozve, ze niekoho tym vyprovokujem. Z toho by bol clanok juhuuu. Taktiez si uvedomte aka by to bola reklama pre vas bankovy dom. Tak sa posnazte a darujte tuto temu root.cz pod stromcek. O to vas prosim. Pekny den.

[36] si naivnýýýýýýýý­ýýýýýýýýý ako hovado
[38] pokiaľ ide o reči, trepeš tu v prvom rade ty :))))

tak sa už konečne zobuď.. alebo počkaj ešte zopár rokov :)

[36] Ziadas privela. Odpoveda to tvojej urovni myslenia. Citaj, skusaj, testuj a hlavne nad vsetkym rozmyslaj a kombinuj. Potrebujes mat prehlad, ten ziskas casom. Potom napis clanok a diskusia k clanku naberie opacny kurz. Tak sa zbavis naivity a priblizis objektivite.

K testom bezpecnosti systemov.
Ohrozit bezpecnost produkcneho prostredia dobrovolne, kvoli comukolvek, aj stavke 50 tis. fazul je samozvrazda. Testy bezpecnosti sa vykonavaju na identickom prostredi ako je produkcne, s tym rozdielom, ze je izolovane a nazyva sa testovacie.

Většina měřících systémů si nějak "označkuje uživatele" (zpravidla cookies) a pak krom toho že měří návštěvnost, tak sleduje kteří uživatele chodí na jaké stránky. Komu se tyto data dostanou, je jen na nich. Uživatel Inernetu je více méně anonymní položkou ve statistice, dokud se někam nezaloguje (např. do banky). Banka pak teoreticky může vědět, na jaké servery zapojené do naj.sk její klient chodí. Zda má o tato data zájem nebo ne, či jakým směrem a zda vůbec jsou nějaké údaje poskytovány, si netroufám odhadovat.

Cookies do různých měřáku návštěvnosti je tudíž dobré blokovat. Něco snad bývalo defaultně v prohlížečich, ale delší dobu jsem se na to nekoukal.

[40] Verim ze keby sa chcelo (uz sa mi nechce pisat ze keby ste svojmu systemu verili) tak by sa dalo. Nechcem od vas dat vsanc IB, preto som vravel len o uvodnej stranke. Ak mate svoje testovacie akvarko tak preco ho nevystavit na NET? Ak to nema byt www.slsp.sk tak preco nie spordat.sk alebo iny klon ktory mate zaregistrovany?

Ved by slo len o neaky honey-pot. Od toho honey-pot je, aby zachytaval zlych chlapcov. Mozno sa mylim a odbornici tomu hovoria inak ;o)

Ale chapem prist s takym niecim za vedenim tak vas poslu niekam.

Apropo uvodna stranka. Najprv som sa dozvedel ze o nic nejde a ze IB je oddeleny system a potom zase krcovita obrana uvodnej stranky na ktorej sice moze byt odkaz do naj.sk ale uz vobec nemoze byt odkaz "tu hacknite". ;o)

[37] Už fakt nechápem, o čo ti ako ide. Napíšeš najprv niečo, čo je jasné vyvrátené, a po tomto pokračuješ všeobecnými obvineniami. Áno, určite nejaké diery sú, dokonalý systém snáď ani neexistuje. Ale uniklo mi, čo tým chcel autor povedať. Chcel si niekoho nachytať na hruškách, nenachytal si ho, tak sa ho snažíš na tie hrušky dostať násilím? Trochu ako keby si chytal móresy nášho pána premiéra. Hovorí o tom, ako strašne všetky DSS-ky kradnú a všetkých chcú len obrať o peniaze - ale žiadny dôkaz nikdy namal, nemá a ani mať nebude.
Napíš nejakú konkrétnu SKUTOČNÚ zraniteľnosť a k nej sa ti vyjadríme (ja určite). Neviem ako ty, ale ja testovať útoky na skutočnú bankovú aplikáciu nebudem, som príliš mladý na to, aby som strvdol v lochu.

[43] presne ako pises, mapovanie bankoveho informacneho systemu netrva 2 hodiny a nechat sa zavriet len kvoli pokusu dosiahnut ciel je rozmar hodny chlapca, ktory este nedospel.

Vyjadrim sa takisto ku konrektnej HOLE in THE WALL :D

Najhoršia banka, ktoru poznam je pobočka Unicredit bank v ružomberku. odporučam vyskúšať. Im nič nepomôže.