mboost-dp1
unknown
#28 kasperd
Jeg vil nok sige det er rimeligt godt hvis du via en klientmaskine kan se hvad der står på det nøgle kort jeg sidder med i hånden, det kræver:
1. jeg skal "komme til" at taste nøglen ind hvor man kan "se" hvilken nøglenr det tilhører.
2. du direkte bryder jyske banks krytering.
Hvis du gør det første vil det kun lykkes dig at få fat i een nøgle som du ikke ved hvornår der skal bruges, for det er ikke sikkert at det er den du skal bruge ved den næste transaktion, måske først om 10 gange.
Hvis du klarer nummer to.. Så tager jeg sku hatten af for dig.
Der er 80 nøgler som kun kan bruges en gang i livet!!, så om du skulle få fat i en... jubii... det hjælper ikke meget. Du bliver nød til at have nøglekortet, for ellers vil du IKKE have muligheden for at kunne flytte penge rundt.(medmindre at du klarer punkt 2).
Jeg vil nok sige det er rimeligt godt hvis du via en klientmaskine kan se hvad der står på det nøgle kort jeg sidder med i hånden, det kræver:
1. jeg skal "komme til" at taste nøglen ind hvor man kan "se" hvilken nøglenr det tilhører.
2. du direkte bryder jyske banks krytering.
Hvis du gør det første vil det kun lykkes dig at få fat i een nøgle som du ikke ved hvornår der skal bruges, for det er ikke sikkert at det er den du skal bruge ved den næste transaktion, måske først om 10 gange.
Hvis du klarer nummer to.. Så tager jeg sku hatten af for dig.
Der er 80 nøgler som kun kan bruges en gang i livet!!, så om du skulle få fat i en... jubii... det hjælper ikke meget. Du bliver nød til at have nøglekortet, for ellers vil du IKKE have muligheden for at kunne flytte penge rundt.(medmindre at du klarer punkt 2).
#51 Du har åbenbart ikke helt forstået konsekvenserne af en kompromiteret maskine. I det øjeblik din maskine er kompromiteret er det ikke mere din maskine, den er crackerens våben til at få ram på dig. Crackeren lægger et program ind, som blot ligger og venter på det rigtige øjeblik. Og før eller siden kommer det, og et program er uendeligt tålmodigt.
Der er ikke noget med at du skal komme til at taste nøglen ind. Programmet kan bare vente indtil du helt bevidst indtaster en nøgle for at foretage en transaktion. Og det med at få fat i den rigtige nøgle er slet ikke noget problem for crackeren, for det skal du nok hjælpe ham med.
Når du selv er ved at udføre en transaktion ligger programmet klart og kan ændre transaktionen eller evt. tilføje en ekstra. Og det er den modificerede udgave, der sendes fra din computer til banken. Kryptering er irrelevant fordi din egen computer er kompromiteret. Faktisk ville angrebet slet ikke kunne udføres, hvis man kun var i stand til at bryde krypteringen. Du skal angribe autenciteten. Begge dele er trivielt når man har kontrol over klientmaskinen.
Du bliver bedt om at indtaste en kode til at bekræfte transaktionen, og du indtaster den i den tro, at den vil blive brugt til at udføre den transaktion du selv har bedt om. Men i virkeligheden bliver koden brugt til at udføre den transaktion crackeren har indkodet i programmet på din maskine. Og du har selv sørget for at give programmet lige netop den rigtige kode fra nøglekortet.
Jeg siger ikke at systemet er usikkert. Men faktum er, at uanset hvordan systemet er lavet, så kan det nævnte angreb udføres af en cracker, der kontrollerer klienten. Den eneste måde at sikre sig er ved at sikre klienten.
Der er ikke noget med at du skal komme til at taste nøglen ind. Programmet kan bare vente indtil du helt bevidst indtaster en nøgle for at foretage en transaktion. Og det med at få fat i den rigtige nøgle er slet ikke noget problem for crackeren, for det skal du nok hjælpe ham med.
Når du selv er ved at udføre en transaktion ligger programmet klart og kan ændre transaktionen eller evt. tilføje en ekstra. Og det er den modificerede udgave, der sendes fra din computer til banken. Kryptering er irrelevant fordi din egen computer er kompromiteret. Faktisk ville angrebet slet ikke kunne udføres, hvis man kun var i stand til at bryde krypteringen. Du skal angribe autenciteten. Begge dele er trivielt når man har kontrol over klientmaskinen.
Du bliver bedt om at indtaste en kode til at bekræfte transaktionen, og du indtaster den i den tro, at den vil blive brugt til at udføre den transaktion du selv har bedt om. Men i virkeligheden bliver koden brugt til at udføre den transaktion crackeren har indkodet i programmet på din maskine. Og du har selv sørget for at give programmet lige netop den rigtige kode fra nøglekortet.
Jeg siger ikke at systemet er usikkert. Men faktum er, at uanset hvordan systemet er lavet, så kan det nævnte angreb udføres af en cracker, der kontrollerer klienten. Den eneste måde at sikre sig er ved at sikre klienten.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund