Jag ska köra med RFID för att minna tre katter ska kunna öppna respektive matskål. Har köpt ett billigt kit på Ebay för 15USD och väntar bara på att jag ska få servon till min PIC som ska styra det hela...
Tycker att lägst säkerhet är fingeravtryck. Om det är något man vill kopiera så är det lättast med fingeravtryck.
Gå till vederbörandes bil/ytterdörr/whatever och ställ en tom ölburk där (som du tidigare gort mycket ren). Med 95% säkerhet så får tar personen i burken och ställer den åtsidan (kastar bort den).
Fina avtryck att hämta...
Billigaste inloggningen
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
>OT:Men faktist så är FSB's dosor inte alls säkra om man är korkad/dns'en
>är felpekad. Är man inte noga med att man är på rätt sida så är detta allt
>du ser.
>fel kod försök igen
>fel kod försök igen
>pengar borta.
Hur menar du nu? Säg nu att du slumpar ut en challenge. Sedan skriver användaren in denna challenge i dosan, och skriver in svaret på din sida...
Det du har är typ:
3569-3235 = 349271
1623-1276 = 227406
Om banken kommer med 1=3749 och 2=4739 så har du ju ingen nytta av 349271 och 227406.
Om du inte på något sätt lyckas räkna ut algoritmen (men då krävs det ju supermånga koder + ev nyckelknäckning).
Alternativt att du lyckas "social-engineering":a fram vilka seed-värden (och möjlighet att hämta dessa seedvärden i realtid) och vilken slumpgenerator banken har, och sedan på något sätt förutse vilken challenge du kommer få, för att sedan lura av användaren rätt response...
--------------------------------------------------------------------------------
Förresten, Vilken billig RFID-läsare micke_s hittade... Tillochmed billigare än hålkortssystem...
Ska ändra i analysen lite.... Visste inte att det fanns så billiga RFID-läsare som kör över RS232....
>är felpekad. Är man inte noga med att man är på rätt sida så är detta allt
>du ser.
>fel kod försök igen
>fel kod försök igen
>pengar borta.
Hur menar du nu? Säg nu att du slumpar ut en challenge. Sedan skriver användaren in denna challenge i dosan, och skriver in svaret på din sida...
Det du har är typ:
3569-3235 = 349271
1623-1276 = 227406
Om banken kommer med 1=3749 och 2=4739 så har du ju ingen nytta av 349271 och 227406.
Om du inte på något sätt lyckas räkna ut algoritmen (men då krävs det ju supermånga koder + ev nyckelknäckning).
Alternativt att du lyckas "social-engineering":a fram vilka seed-värden (och möjlighet att hämta dessa seedvärden i realtid) och vilken slumpgenerator banken har, och sedan på något sätt förutse vilken challenge du kommer få, för att sedan lura av användaren rätt response...
--------------------------------------------------------------------------------
Förresten, Vilken billig RFID-läsare micke_s hittade... Tillochmed billigare än hålkortssystem...
Ska ändra i analysen lite.... Visste inte att det fanns så billiga RFID-läsare som kör över RS232....
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
MITM.... Du kan ju bara använda varje kod en gång... Om du MITMar sidan med en proxy, så kommer användaren att bli inloggad via din server i så fall. Du kan ju visserligen avlyssna uppgifter som han knappar in, tex PG-nummer, och alla challenges/responses, men det är ju fortfarande användaren som loggar in via din sida,
och då kan du inte logga in som honom.
Visserligen skulle du kunna byta ut alla uppgifter i en ev transaktion han gör, men jag gissar att "challenge" i en transaktionssignering egentligen är en hash av några slumpade siffror, datum + tid, alla värden, dvs PG-nummer, belopp + en användarspecifik + bankspecifik nyckel osv... Och då kommer det ju komma fram fel challenge på bankens sida om du försöker byta ut värderna....
och då kan du inte logga in som honom.
Visserligen skulle du kunna byta ut alla uppgifter i en ev transaktion han gör, men jag gissar att "challenge" i en transaktionssignering egentligen är en hash av några slumpade siffror, datum + tid, alla värden, dvs PG-nummer, belopp + en användarspecifik + bankspecifik nyckel osv... Och då kommer det ju komma fram fel challenge på bankens sida om du försöker byta ut värderna....
Nej, användaren ska inte loggas in öht, därav "fel kod, försök igen"-meddelandet.
Jag menar alltså att man ser till att användaren kommer till en server som jag kontrollerar när användaren skriver in adressen till bankens inloggningssida. Detta kan ske genom modifiering av användarens hosts-fil eller genom att man mixtrar med DNS-förfrågningarna från användarens dator. (DNS-MITM kan man väl kalla det)
På min server har jag en sida som ser exakt ut som bankens. När användaren kommer till sidan så körs ett script på min server, som då laddar in bankens riktiga inloggningssida, extraherar challenge-koderna, och skriver ut dessa på sidan som visas för användaren.
Användaren skriver in koden från dosan, som då skickas till mitt script, och mitt script använder koden för att logga in på bankens sida, i sessionen som mitt script tidigare öppnade för att hämta challengekoderna. Scriptet skickar sedan "Fel kod, försök igen"-meddelandet till användaren, och jag har access till användarens internetbank från min server.
Jag menar alltså att man ser till att användaren kommer till en server som jag kontrollerar när användaren skriver in adressen till bankens inloggningssida. Detta kan ske genom modifiering av användarens hosts-fil eller genom att man mixtrar med DNS-förfrågningarna från användarens dator. (DNS-MITM kan man väl kalla det)
På min server har jag en sida som ser exakt ut som bankens. När användaren kommer till sidan så körs ett script på min server, som då laddar in bankens riktiga inloggningssida, extraherar challenge-koderna, och skriver ut dessa på sidan som visas för användaren.
Användaren skriver in koden från dosan, som då skickas till mitt script, och mitt script använder koden för att logga in på bankens sida, i sessionen som mitt script tidigare öppnade för att hämta challengekoderna. Scriptet skickar sedan "Fel kod, försök igen"-meddelandet till användaren, och jag har access till användarens internetbank från min server.
Om vi pratar om Föreningssparbankens dosor:
Om "boven" vill göra en överföring så måste han ju först ha en challenge/response till inloggningen med av banken aktuell challenge
Sedan behöver han två till, ett för att lägga till sitt målkonto och ett för att singera överföringen. Och då är ju challenge kontonummret respektive beloppet!
Alltså måste man först DNS spoofa, sedan fejka tre inloggningar.
1) Ett riktigt challenge som banken ger dig för att du skall kunna logga in.
2) En för kontonummret, den är lätt.
3) En för beloppet. Och då måste boven gissa rätt på hur mycket du har på kontot som han kan sno *innan* han kan logga in.
Allt detta som sagt inom två-tre minuter eftersom challenge/response bara gäller en kort tid.
I Nordeafallet är det ju bara att få tre engångskoder och vips kan du göra vad du vill. När du vill. Typ 1000 ggr enklare. Nordea suger. Nordea borde skärpa sig!
//B1N4RY
Om "boven" vill göra en överföring så måste han ju först ha en challenge/response till inloggningen med av banken aktuell challenge
Sedan behöver han två till, ett för att lägga till sitt målkonto och ett för att singera överföringen. Och då är ju challenge kontonummret respektive beloppet!
Alltså måste man först DNS spoofa, sedan fejka tre inloggningar.
1) Ett riktigt challenge som banken ger dig för att du skall kunna logga in.
2) En för kontonummret, den är lätt.
3) En för beloppet. Och då måste boven gissa rätt på hur mycket du har på kontot som han kan sno *innan* han kan logga in.
Allt detta som sagt inom två-tre minuter eftersom challenge/response bara gäller en kort tid.
I Nordeafallet är det ju bara att få tre engångskoder och vips kan du göra vad du vill. När du vill. Typ 1000 ggr enklare. Nordea suger. Nordea borde skärpa sig!
//B1N4RY
maxxflow:Bra förklarat så jag slapp!
B1n4ry:Håller med om att nordea suger och deras säkerhetslösning är helt i den stilen. Känns så 80 tal på något vis
Men FSB's lösning kan du (med rätt kunskaper) blåsa kunden på den tid det tar för användaren att ange 3 st koder. Ett script som grabbar summan på kontot eller tom överför alla kontons saldo till ett av kontona och sedan kör detta till "begdragarkontot" är knappast avancerat. Enda som egentligen är svårt är att få ut stålarna utan att åka dit. Det är iofs det svåra med alla "blåsningar".
_INGEN_ lösning är säker det är bara det jag vill påpeka. Men som sagt Nordeas lösning känns sämst hur än man vrider på det.
B1n4ry:Håller med om att nordea suger och deras säkerhetslösning är helt i den stilen. Känns så 80 tal på något vis
Men FSB's lösning kan du (med rätt kunskaper) blåsa kunden på den tid det tar för användaren att ange 3 st koder. Ett script som grabbar summan på kontot eller tom överför alla kontons saldo till ett av kontona och sedan kör detta till "begdragarkontot" är knappast avancerat. Enda som egentligen är svårt är att få ut stålarna utan att åka dit. Det är iofs det svåra med alla "blåsningar".
_INGEN_ lösning är säker det är bara det jag vill påpeka. Men som sagt Nordeas lösning känns sämst hur än man vrider på det.
-
sebastiannielsen
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
>Och sedan "Hållbarhet: 2" ?? Varför menar du att iris så "känsligt för
>påfrestningar och slarv"? Hur många känner du som slarvat bort sin iris?
Jag menar ju såklart om iris blir skadat på något sätt (damm, metallflis, glassplitter) ... Är inte ögonen människans mest känsliga kroppsdel?
Även om systemet är bäst, så är det allra dyrast också... Iris-inloggning är bäst i system med flera användare (ifall en användare skadar sitt öga), och som kräver hög säkerhet.
Maxxflow och v-g:
Nu förstår jag hur ni menar...
Man hämtar altså challengen från bankens sida, och gör iordning ett formulär som innehåller alla hiddenfält som rör challengen som man precis fick, visar challengen för användaren, låter användaren logga in, skicka ett "fel kod"-meddelande, och sedan fyller i användarens kod i det formulär som man gjort iordning, för att sedan logga in på banken...
Men skulle inte detta gå att lösa på detta sätt:
Man trycker på en knapp på dosan. Dosan slumpar ut en (bankchallenge), som man skriver in på banksidan.
Sedan visas en (bankresponse/userchallenge), som har ett visst matematiskt samband (eller kryptografiskt samband) med den utslumpade koden från dosan.
Denna challenge skriver man sedan in i dosan.
Dosan kollar om denna challenge är korrekt, och i så fall visas en (userresponse), som användaren fyller i på banksidan.
(bankchallenge) en 6 eller 8-siffrig kod användaren fyller i för att komma till nästa sida, samt påbörjar en inloggning från bankens sida in i användarens dosa.
(bankresponse/userchallenge) en 6 eller 8-siffrig kod som både autensiterar banken, samt påbörjar en inloggning till bankens sida från användaren.
(userresponse) den slutgiltiga 6 eller 8-siffriga koden som autensiterar användaren för banken...
Om då man försöker MITMa sidan, så kommer (bankresponse/userchallenge) inte stämma med den challenge som banken fick, och då skulle dosan kunna visa typ "SPOOFED" i displayen.
Och eftersom användaren inte får någon (userresponse) kommer man inte att kunna lura av användaren några koder...
PS: är inne och surfar på den där stronglink RFID-sidan... Den är OTROLIGT SEG! Vad är det egentligen dom kör???? Nån dålig 486:a över modemlink?
Tillochmed att hälften av alla bilder timeoutar pga sidans seghet...
Provade att pinga sidan:
C:\Documents and Settings\sebastian>ping www.stronglink.cn -n 10 -l 1
Skickar signaler till www.stronglink.cn [202.108.59.145] med 1 byte data:
Begäran gjorde timeout.
Svar från 202.108.59.145: byte=1 tid=543ms TTL=112
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Svar från 202.108.59.145: byte=1 tid=537ms TTL=112
Svar från 202.108.59.145: byte=1 tid=552ms TTL=112
Ping-statistik för 202.108.59.145:
Paket: Skickade = 10, mottagna = 3, Förlorade = 7 (70 %),
Ungefärligt överföringstid i millisekunder:
Lägsta = 537 ms, Högsta = 552 ms, Medel = 544 ms
SJUTTIO PROCENT PACKETLOSS!!!! Vad är det med den sidan egentligen?
DS
>påfrestningar och slarv"? Hur många känner du som slarvat bort sin iris?
Jag menar ju såklart om iris blir skadat på något sätt (damm, metallflis, glassplitter) ... Är inte ögonen människans mest känsliga kroppsdel?
Även om systemet är bäst, så är det allra dyrast också... Iris-inloggning är bäst i system med flera användare (ifall en användare skadar sitt öga), och som kräver hög säkerhet.
Maxxflow och v-g:
Nu förstår jag hur ni menar...
Man hämtar altså challengen från bankens sida, och gör iordning ett formulär som innehåller alla hiddenfält som rör challengen som man precis fick, visar challengen för användaren, låter användaren logga in, skicka ett "fel kod"-meddelande, och sedan fyller i användarens kod i det formulär som man gjort iordning, för att sedan logga in på banken...
Men skulle inte detta gå att lösa på detta sätt:
Man trycker på en knapp på dosan. Dosan slumpar ut en (bankchallenge), som man skriver in på banksidan.
Sedan visas en (bankresponse/userchallenge), som har ett visst matematiskt samband (eller kryptografiskt samband) med den utslumpade koden från dosan.
Denna challenge skriver man sedan in i dosan.
Dosan kollar om denna challenge är korrekt, och i så fall visas en (userresponse), som användaren fyller i på banksidan.
(bankchallenge) en 6 eller 8-siffrig kod användaren fyller i för att komma till nästa sida, samt påbörjar en inloggning från bankens sida in i användarens dosa.
(bankresponse/userchallenge) en 6 eller 8-siffrig kod som både autensiterar banken, samt påbörjar en inloggning till bankens sida från användaren.
(userresponse) den slutgiltiga 6 eller 8-siffriga koden som autensiterar användaren för banken...
Om då man försöker MITMa sidan, så kommer (bankresponse/userchallenge) inte stämma med den challenge som banken fick, och då skulle dosan kunna visa typ "SPOOFED" i displayen.
Och eftersom användaren inte får någon (userresponse) kommer man inte att kunna lura av användaren några koder...
PS: är inne och surfar på den där stronglink RFID-sidan... Den är OTROLIGT SEG! Vad är det egentligen dom kör???? Nån dålig 486:a över modemlink?
Tillochmed att hälften av alla bilder timeoutar pga sidans seghet...
Provade att pinga sidan:
C:\Documents and Settings\sebastian>ping www.stronglink.cn -n 10 -l 1
Skickar signaler till www.stronglink.cn [202.108.59.145] med 1 byte data:
Begäran gjorde timeout.
Svar från 202.108.59.145: byte=1 tid=543ms TTL=112
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Begäran gjorde timeout.
Svar från 202.108.59.145: byte=1 tid=537ms TTL=112
Svar från 202.108.59.145: byte=1 tid=552ms TTL=112
Ping-statistik för 202.108.59.145:
Paket: Skickade = 10, mottagna = 3, Förlorade = 7 (70 %),
Ungefärligt överföringstid i millisekunder:
Lägsta = 537 ms, Högsta = 552 ms, Medel = 544 ms
SJUTTIO PROCENT PACKETLOSS!!!! Vad är det med den sidan egentligen?
DS
Om användaren brukar logga in genom att först gå till bankens hemsida, så är certifikatet inget problem, eftersom adressen som användaren skriver in för att komma till banken (t.ex. http://seb.se) normalt är utan SSL..
Då har man bara en kopia av bankens hemsida på sin MITM-server, med en ("okrypterad") länk till sin fejkade inloggningssida.
> DNS-spoof i större skala?
Enkelt, bara att skriva ett litet program som lägger till en rad i användarens hosts-fil, och lura användaren att köra detta program, finns oändligt många metoder för att få henom att göra det..
Vem har förresten talat om större skala?
Jag tror förresten inte att crackern bryr sig om ifall användaren skyller sig själv eller inte, han är nog glad för pengarna oavsett..
Då har man bara en kopia av bankens hemsida på sin MITM-server, med en ("okrypterad") länk till sin fejkade inloggningssida.
> DNS-spoof i större skala?
Enkelt, bara att skriva ett litet program som lägger till en rad i användarens hosts-fil, och lura användaren att köra detta program, finns oändligt många metoder för att få henom att göra det..
Vem har förresten talat om större skala?
Jag tror förresten inte att crackern bryr sig om ifall användaren skyller sig själv eller inte, han är nog glad för pengarna oavsett..
Den här tråden var ju hur kul som helst! 
Inte för att jag ens kan säkerhet för 10 öre men en grundsten bör väl vara att hålla käft om hur systemet funkar? Om jag skulle skydda min bil hade jag t.ex kunnat trigga ena solskyddet så att det inte går att starta bilen utan att det är nerfällt. Hur många hade letat där? Poängen är väl inte bara hur svårt det är att knäcka systemet utan även att skydda systemet och inte vara alltför logisk.
Hur många har inte hittat sinna brillor i pannan och ändå gått runt en stund och letat? Eller som haft jordningsproblem i bilen? Det kan ta dagar innan man hittar rätt!
Inte för att jag ens kan säkerhet för 10 öre men en grundsten bör väl vara att hålla käft om hur systemet funkar? Om jag skulle skydda min bil hade jag t.ex kunnat trigga ena solskyddet så att det inte går att starta bilen utan att det är nerfällt. Hur många hade letat där? Poängen är väl inte bara hur svårt det är att knäcka systemet utan även att skydda systemet och inte vara alltför logisk.
Hur många har inte hittat sinna brillor i pannan och ändå gått runt en stund och letat? Eller som haft jordningsproblem i bilen? Det kan ta dagar innan man hittar rätt!
Tja, fast det bästa säkerhetssystemet är ju ett som är omöjligt att knäcka även för de som vet hur det funkar.
Man kan ju inte bara bygga det på att hålla det hemligt, sånt läcker alltid ut..
Jämför med OpenSSL, det är öppen källkod, så alla kan ta reda på hur det funkar, men det betyder inte precis att det är enkelt att knäcka..
Nu är det ju mycket svårare att göra ett lika säkert inloggningssystem, men ni förstår principen..
Man kan ju inte bara bygga det på att hålla det hemligt, sånt läcker alltid ut..
Jämför med OpenSSL, det är öppen källkod, så alla kan ta reda på hur det funkar, men det betyder inte precis att det är enkelt att knäcka..
Nu är det ju mycket svårare att göra ett lika säkert inloggningssystem, men ni förstår principen..
