[OT]: ADSL modem
Thomas Shaddack
hwnews@shaddack.mauriceward.com
Úterý Červen 22 12:24:31 CEST 2004
On Tue, 22 Jun 2004, Ales Filip wrote:
> Hello Thomas,
>
> úterý, 22. června 2004, you wrote:
>
> V souvislosti s tím co jsi tady napsal by mne zajímala jedna věc. Dá
> se nějakým způsobem zjistit heslo, přes které se přihlašuju do
> Internet Bankingu České Spořitelny? Tam se přes nějaké "zabezpečené"
> WEbové rozhraní zadává klientské číslo a heslo.
V zasade jsou dve moznosti.
Aktivni utok. Hijacknout SSL spojeni a pouzit man-in-the-middle. Vyvola to
hlasku o neplatnosti certifikatu, ale user pres to nejspis proklikne bez
dalsich dotazu. Nektere unpatchle MSIE navic maji bug co umoznuje triky s
podepisovanim certifikatu co tohle zakryji. Dalsi postup je najit nejakou
certifikacni autoritu ze seznamu toho co je v browseru jako default, a
nakecat jim ze jsi dotycna banka, a dostanes certifikat. Spouste mensich
firmicek staci par dolaru za poplatek a hlavickovy papir se zadosti.
Druha moznost je podstrcit na masinu trojana s keyloggerem. Pokud je user
BFU, posli jim nakazeny exe Flash s animaci tancujicich prasat. Plebs,
kdyz se mu da na vyber mezi tancicimi prasaty a bezpecnosti, ma tendenci
si vybrat prasata.
Další informace o konferenci Hw-list