[elektro] master pass + usb kulcs

[Xorn]

2009/9/4 gyapo <gyapo at freemail.hu>:
>
>>Kozted es a bank kozott van. Lenyulja a kapcsolatodat, klasszikus
>>man-in-the-middle attack. Megkapod a kodod, begepeled, o elkapja.
>>Feled szimulal egy kapcsolat megszakadt hibat 3 masodperccel a jelszo
>>begepelese utan es eldob a valodi belepo oldalra, te karomkodsz egyet,
>>csinalod ujra. O meg a friss es ervenyes jelszoval belep, es mire te
>>ujra lejatszod a belepest, o mar megcsinalta a maga tranzakciojat.
>
> En ugy tudtam, hogy a teljes kommunikaciot atveszi, nem csak a jelszo
> megszerzese a cel. Tehat kell neki egy gep, amin fut egy webserver a
> bank teljes weboldala letukrozve, es minden valtozast attesz
> oda-vissza. Aki ide belep azt hiszi, hogy o a bank weblapjan van. Azt
> nem tudom, hogy eri el, hogy a bank cimet megadva a bongeszoben az o
> gepere keruljon a kiszemelt aldozat. Ezutan az ugyfel mindent a
> koztes ember gepen csinal, a koztes ember meg a bank weblapjan. Es
> mondjuk amikor az ugyfel kilep, akkor a trukkos ember csinal meg egy
> tranzakciot, amivel az osszes penzt atutalja valahova.
>
>>A CIB-nel a tranzakcio ervenyesitesehez van egy masodik jelszo is,
>>anelkul nem megy - ilyet azzal nem lehet csinalni.
>
> A fontebb leirt modszerrel ez is megy.

Az igaz, de arra meg mas megoldas van, hogy azt ne lehessen
megcsinalni. Vannak eljarasok olyan kulcscserere, ahol egyszerre nem
kuldik el az egesz kulcsot, igy a koztes ember nem tudja ellenorizni
se a kapott darab helyesseget, se meghamisitani a masik fel ismerete
nelkul a megfelelo valaszt. Akkor viszont csak a szimulalt belepesi
hiba marad, es a belso jelszoval megint nem tud mit kezdeni.

Best regards,
Andy