Precedente :: Successivo |
Autore |
Messaggio |
cisco Dio minore
Registrato: 25/09/08 18:41 Messaggi: 779
|
Inviato: 09 Ott 2009 16:44 Oggetto: |
|
|
La sicurezza assoluta, in campo informatico, non esiste.
Pretenderla è quindi quantomeno ingenuo.
Se uno non si sente sicuro (o ha in ballo grosse cifre sul conto PayPal -e questo è sbagliato, visto che la stessa PayPal lo sconsiglia), è bene usare il buon vecchio bonifico, magari online.
Molte banche online lo danno gratis.
In effetti, PayPal sarebbe un po' come un bonifico online, tanto e vero che da qualche mese, il conto PayPal può essere alimentato anche con bonifico, e non c'è bisogno di avere una carta di credito.
Io uso il bonifico online. Per me è altrettanto comodo rispetto a PayPal. Questione di gusti. |
|
Top |
|
|
ArMyZ Mortale pio
Registrato: 04/09/08 09:55 Messaggi: 26
|
Inviato: 09 Ott 2009 17:00 Oggetto: |
|
|
PayPal è in questo caso la vittima, non un elemento debole o vulnerabile. Al suo posto poteva esserci qualsiasi web server che offre accesso e autenticazione tramite ssl. |
|
Top |
|
|
cisco Dio minore
Registrato: 25/09/08 18:41 Messaggi: 779
|
Inviato: 09 Ott 2009 18:08 Oggetto: |
|
|
ArMyZ ha scritto: | PayPal è in questo caso la vittima, non un elemento debole o vulnerabile. Al suo posto poteva esserci qualsiasi web server che offre accesso e autenticazione tramite ssl. |
Be', appunto, essendo una transazione online, qualunque essa sia, è intrinsicamente non sicura al 100%, ed anche PayPal non sfugge alla regola.
Dire che però è la vittima... su questo non sono d'accordo. Fa parte di un sistema non perfettamente sicuro, anche se molto sicuro.
Come puoi affermare che non è vulnerabile? Anche se per colpa di terzi (in questa caso il sistema operativo) è vulnerabile, eccome, visto che è appena successo.
Io volevo solo dire che chi usa i mezzi informatici deve sapere che la sicurezza al 100% non esiste, ed in certi casi, in certe combinazioni di casi, potrebbe rivelarsi insicura.
Tutto qui. |
|
Top |
|
|
freemind Supervisor sezione Programmazione
Registrato: 04/04/07 20:28 Messaggi: 4643 Residenza: Internet
|
Inviato: 09 Ott 2009 18:34 Oggetto: |
|
|
Però bisogna ricordare una cosa fondamentale: un attacco MITM su internet, a meno che uno dei due nodi della comunicazione non sia corrotto, ha poche probabilità di riuscita, più basse di un ip-spoofing cieco.
A parte i bugs delle crypto api di windows, io penso che per portar a termine l'attacco, la macchina dell'utente (o il server di paypal) devono aver al loro interno un qualche cosa che dirotti verso l'uomo nel mezzo. |
|
Top |
|
|
cisco Dio minore
Registrato: 25/09/08 18:41 Messaggi: 779
|
Inviato: 09 Ott 2009 18:51 Oggetto: |
|
|
freemind ha scritto: | Però bisogna ricordare una cosa fondamentale: un attacco MITM su internet, [...] ha poche probabilità di riuscita [...]. |
Sono d'accordo. Le probabilità che la violazione vada a segno è molto bassa, ma pur sempre presente. |
|
Top |
|
|
freemind Supervisor sezione Programmazione
Registrato: 04/04/07 20:28 Messaggi: 4643 Residenza: Internet
|
Inviato: 10 Ott 2009 00:46 Oggetto: |
|
|
cisco ha scritto: | freemind ha scritto: | Però bisogna ricordare una cosa fondamentale: un attacco MITM su internet, [...] ha poche probabilità di riuscita [...]. |
Sono d'accordo. Le probabilità che la violazione vada a segno è molto bassa, ma pur sempre presente. |
Sì, però la possibilità è remota.
Un MITM puro, senza installare trojan sulle macchine bersaglio non arriva buon anche solo se non sei sullo stesso troncone di rete di una delle due macchine (a meno di inquinare i dns usati da uno dei due).
Chiaramente oggi le macchine win in rete sono un connubio di male quindi un trojan c'è quasi sempre però penso che sia importante che il messaggio che esce da questo 3d sia: "Ok, bug nelle crypto api, bug in ssl però la fattibilità dell'attacco alla fine dipende da come l'utente usa il suo pc"!
Cioè, anche un one time pad è violabile però cazzo, non è così probabile riuscirci!
All'epoca dell'università, durante il corso di crittologia avevamo visto come forzare un crittogramma rsa (implementato nel metodo base); le condizioni per poter arrivare alla fine erano molte anche se l'algoritmo di forzatura procurava comunque molte informazioni sul messaggio in chiaro. Qui è lo stesso: secondo me se le due macchine agli estremi sono ok, si può star "abbastanza tranquilli" anche se non affiderei una transazione pesante a sistemi di questo tipo.
Oddio, io non uscirei in rete con una macchina win neppure sotto tortura... |
|
Top |
|
|
ArMyZ Mortale pio
Registrato: 04/09/08 09:55 Messaggi: 26
|
Inviato: 10 Ott 2009 12:55 Oggetto: |
|
|
Dico vittima solo perchè, a quanto ne so, è stata usata come Proof of Concept.
A parità di condizioni avrebbero potuto scegliere qualsiasi web che offriva servizi in https.
Sul MITM possiamo aprire un'altra discussione: vero che non è facilmente realizzabile, dns poisoning, arp poisining in lan, bla bla.
In questo caso si sta parlando di librerie che implementano una pila protocollare che, nelle condizioni descritte, scricchiola. In queste condizioni (o, leggasi, similari) il MITM diventa uno degli attacchi più fattibili e realizzabili proprio perchè, per sua natura, sfrutta il fatto che le due parti sono ignare (quindi potenzialmente reiterabile).
Quello che secondo me deve uscire come messaggio da questo thread è che nulla è sicuro al 100% (ovvio, e concordo con chi l'avevo scritto sopra) ma che ci devono essere accorgimenti comportamentali sempre più importanti.
1) aggiornare sempre i componenti chiave del SO da fonti attendibili (nel paper ha fatto vedere anche come bypassare/inquinare gli aggiornamenti automatici di firefox)
2) mai cliccare su link proposti su posta elettronica
3) quando dovete inserire credenziali assicuratevi di raggiungere il server scrivendo manualmente l'indirizzo (o tramite un bookmark precedente ma a pari condizioni)
4) ricordarsi che le potenziali vulnerabilità di un client fanno vacillare la sicurezza delle comunicazioni client/server a prescindere dall'autorevolezza e sicurezza che il servizio server possa fornire.
5) i tempi di risposta sulle 0-day di MS sono di gran lunga superiori a quelle di firefox
6) ci solo falle di diverso "rango": una cosa è la falla di un mancato controllo in una data form e condizione di IE e una cosa è una falla come quella discussa che tocca l'implementazione delle librerie legate a doppio filo con la pila protocollare.
Per i più curiosi date un'occhiata ai tool sslsniff e sslstrip.
Per il resto, la settimana prossima si aspettano una valanga di fix da parte MS. Da una rapida occhiata, non sembra esserci segno di questa. Spero di sbagliarmi, ovviamente.
Saluti,
A. |
|
Top |
|
|
{paolo del bene} Ospite
|
Inviato: 16 Ott 2009 20:19 Oggetto: sono un eroe, ho salvato la mia banca |
|
|
ho mandato copia dell'articolo alla banca dove sono correntista, i tecnici hanno esaminato la situazione, e sono dell'idea che può esser preso in considerazione solo Mozilla FireFox ! mi hanno chiamato oggi pomeriggio ed hanno ringraziato per la comunicazione, inoltre mi hanno detto che se avrò altre notizie del genere, saranno felicissimi di apprenderle e mi hanno detto che ufficiosamente, microsoft sta correndo ai ripari !
saluti Paolo |
|
Top |
|
|
{paolo del bene} Ospite
|
Inviato: 19 Ott 2009 11:47 Oggetto: certo sono un eroe :-) |
|
|
si sono un eroe, e non vedo il motivo per cui non avrei dovuto comunicarlo alla banca, dato che prende paypal come strumento di pagamento, ma pare giusto che chi viene a conoscenza di tali fatti, se li comunica alla banca dove è correntista, non fa il benchè minimo danno ! anzi si possono mettere in salvo molte potenziali frodi !
E per questo loro ritengono che vada preso come strumento per il Browsing: Mozilla FireFox ed escludere categoricamente Internet Explorer, Opera, Safari, così come esiste Mozilla FireFox, si può usare IceWeasel e GNU/IceCat
saluti paolo |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|