Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Хакната банка ? Нищо подобно !

November 1st, 2007 от singu

Преди няколко седмици информационните агенции гръмнаха със заглавието “Хакната банка”, като в самата новина се обяснява как неизвестни “хакери”, използвали потребителя и паролата, за да източат към 50 000 лв. от сметката на врачански бизнесмен.

Всъщност тук банката няма нищо общо. Единственото хакнато нещо е личният компютър на бизнесмена, който е бил заразен с троянски кон. Същият този троянски кон е изпратил потребителя и паролата на хакера1, който съвсем спокойно се е логнал в онлайн банкирането и си е наредил преводите на гореспоменатите пари.


Както виждате никой никога не е пробивал сигурността на Уникредит ( екс Булбанк ), а заглавията са гонене на журналистическа сензация. Банката различава потребителите на базата на потребителско име/парола, т.е. аз доказвам пред онлайн системата на банката, че съм лицето, което има право да оперира с парите в сметката, чрез парола ( която се предполага, че знам само аз ). Ако някой друг узнае паролата – цялата система отива на кино… Решението в случая се нарича strong authentication и има няколко метода за постигането и:

  • използване на ЕП/OTP2 – при първоначалното си регистриране в банката, когато доказвате, че вие сте си вие с лична карта, получавате и набор от еднократни пароли в допълнение към обичайната комбинация потребител/парола. С всяка от тези пароли ЕДНОКРАТНО оторизирате транзакция -примерно в момента на пращането на транзакцията банката ви пита за парола номер 52, вие си поглеждате на листчето и въвеждате каквото стои срещу 52. След това тази парола вече става невалидна и не може да бъде използвана отново. Недостатъците са, че системата е малко сложна ( хайде обяснете цялата работа с еднократните пароли на 70 годишната си баба, а ? ) и второто е, че листовете с еднократни пароли имат тенденцията да се губят. Разбира се листа сам по себе си не е достатъчен за оторизиране на транзакция без потребителя/паролата. Е, ако някой е бил толкова глупав да си ги напише на същият този лист… Но пък незнайни са пътищата на потребителската глупост – хората си записват PIN кодовете върху картите, нали ? Друг недостатък е, че все пак количеството пароли върху листа е ограничено и ако ползвате системата активно, бързо ще ги изчерпите. Този метод се използва от Прокредит банк.
  • Използване на електронен подпис/смарт карта – вие се представяте пред банката с помощта на частния ви ключ, до който пък имате достъп чрез PIN-на си. Недостатък в случая е, че ви трябва компютър, за да можете да се представите пред банката и трябва да можете да закачите четеца на смарт картата. Предимство е, че ако банката използва общоприетият за България универсален електронен подпис, то можете да си го използвате за достъп до т.нар. Портал на електронното правителство. Този метод се използва от ОББ ( отскоро ) и от ПИБ.
  • използване на двуфакторна аутентификация – по същността си е много подобно на ЕП метода, но еднократните пароли се съхраняват/генерират от хардуерно устройство ( например Aladdin eToken PASS, RSA SecurID или VASCO Digipass ). Нарича се двуфакторна, защото аутентификацията изисква нещо, което имате – хардуерното устройство ( обикновенно всички го наричат токен ) и паролата, която помните. Временната парола, генерирана от токена се допълва с вашата парола и заедно се въвеждат в онлайн системата на банката. Тъй като временната парола е валидна ограничен период от време ( от 1 до 3 минути ) то дори и при подслушване паролата е неизползваема след изтичането на периода. Предимства тук е, че паролите никога не свършват и съответно нямат нужда от подновяване, токените са издръжливи на вандалстване и мокрене и можете да се аутентифицирате и по телефона, като просто прочетете временната парола от екранчето на токена. Недостатък е сравнително по-високата цена на цялостната система ( която идва основно от цената на токена – все пак е специализирано хардуерно устройство ). В България този метод се ползва от Райфайзен банк за част от корпоративните им клиенти

Като цяло се забелязва тенденцията банките в България да въвеждат все по смислени методи за сигурност на онлайн банкирането си, което е хубаво. За съжаление все още се срещат банки, които се отнасят доста несериозно към темата – няма друг начин да нарека примерно дивотия като SSL достъп със самоподписан сертификат или използване само на потребител/парола за аутентификация.

Забележка: Информацията коя банка кой метод използва се основава на това, което съм чул и видял и може да не отговаря на истината в момента. Моля, ако забележите несъответствия да ме коригирате в коментарите !

_________
  1. използвам думата с оглед на това, че е добре позната. Напълно съзнавам, че е неподходяща в случая [обратно ↩]
  2. Еднократна парола/One Time Password [обратно ↩]

Подобни статии:

  1. Брутфорс на master парола на Firefox
  2. 20 цента за хакната система
  3. Защитете отворените SSH сървъри
  4. 12 правила да изберете сигурна парола
  5. Паролата като мотивационна техника

Изпрати по email Изпрати по email |

Един коментар

  1. Iv Ray пише:
    January 7th, 2010 at 23:32

    В Австрия и Германия интернет банкирането е масово просто с потребителско име и парола по SSL.

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.