sunsetting
¯eby zalogowaæ siê z komputera do banku muszê mieæ na komputerze certyfikat a pó¼niej wpisaæ 3 has³a w tym jedne które przy ka¿dym logowaniu jest inne. Zastanawiam siê jak ³atwo jest siê w³amaæ na konto tak zabezpieczone. Powiedzmy ze has³a za³atwi³em (nawet to zmienne), ale problemem jest certyfikat. Nie da rady go stworzyæ na moim komputerze bo potrzebowa³bym telefon ofiary na który zostanie wys³any kod podczas tworzenia certyfikatu. Za³ó¿my ze moja ofiara ma trojana napisanego przeze mnie a wiec mogê robiæ na tym kompie co mi siê podoba. Czy istnieje mo¿liwo¶æ skopiowania lub podrobienia tego certyfikatu? Przegl±darka Firefox posiada mo¿liwo¶æ zrobienia kopi zapasowej certyfikatu. Czy móg³bym zrobiæ kopie i wys³aæ ja sobie na komputer? Lub skopiowaæ jakie¶ pliki tak ¿ebym ja mia³ ten dzia³aj±cy certyfikat nadaj±cy siê do zalogowania? Jak to wygl±da w sieci LAN i w internecie? Z kopia zapasowa móg³bym sam sprawdziæ, ale nie chce przeprowadziæ ataku, tylko siê dowiedzieæ czy to mo¿liwe a próbuj±c móg³bym narobiæ sobie k³opotów.
ja nie wiem czy do konca rozumiem. ale zacznijmy od tego ze nie jest przestepstwem sprawdzanie zabezpieczen. przynajmniej do wejscia ustawy. nie mniej jednak jako klient banku masz prawo sprawdzic jego bezpieczenstwo w pewnych granicach.
piszesz o kodzie wracajacym przez sms? w stylu ty wysylasz jakis tam sms do banku a oni ci zwracaja jakas wartosc ktora przez jakis czas zapewnia dostep?
szczerze to nie mam pojecia o tych sprawach ale nic nie zaszkodzi wyslac fejkowego esa zeby ci odpowiedzieli kodem. tzn musisz znac znac nr tel ofiary. nie wiem jak to dziala na skryptach ale mysle ze sprubowac warto.
Jesli chce miec u siebie sertyfikat pozwalajacy zalogowac sie do banku jako ktos inny musze na stronie internetowej zrobic ze chce certyfikat i podac swoje dane, oni wtedy na numer telefonu ktory byl podany podczas zakladania konta wysylaja numer ktory musze wprowadzic na stronie i dopiero dostaje na kompa do przegladarki certyfikat. Czytalem ze na linuxie da sie zrobic atak na sesje SSL tworzac falszywy certyfikat, ale trzeba miec dostep do bramy z ktora sie laczy ofiara. Da sie wykrasc lub sfalszowac certyfikat ofiary na windowsie posiadajac trojana na kompie ofiary a nie majac dostepu do bramy?
niezabardzo rozumiem o jaki certyfikat ci chodzi wiec czyste filozofowanie z mojej strony tak czy inaczej jezeli cos jest na dysku to da sie skopiowac chociazby przez zrobienie obrazu calego dysku i nagraniu go na innym... a dostep do czyjegos konta moze okazac sie komus wystarczajacym motywatorem zeby powalczyc z problemami napisania czegos takiego
Cytat: Da sie wykrasc lub sfalszowac certyfikat ofiary na windowsie
0 wiedzy w tym zakresie z mojej strony ale pytanie zaczalbym od "jak" bo dac sie da, najwyzej jeszcze nikt sie niechwalil
No nie wiadomo czy sie da. Jesli masz Firefoxa to wejd¼ w narzêdzia, opcje, zaawansowane, szyfrowanie. Tam mo¿esz wy¶wietliæ certyfikaty. Z tego co mi wiadomo to nie mo¿na mieæ dwóch takich samych certyfikatów na dwóch ro¿nych kompach wiec nie wiadomo jak wygl±da sprawa z kopia tego
tak jak pisalem 0 wiedzy o tym mam ;p
programow do tworzenia obrazow dysku na necie pare sie znajdzie wiec mozesz sprawdzic skoro ciebie to interesuje. albo sam dysk przezucic do innego kompa i jak uda sie zalogowac to i z kopi pewnie by poszlo
Dysku nie przerzuce bo mam laptopa a drugi lezy popsuty. Moze po przerzuceniu dysku bedzie dzialac, ale co sie stanie gdy w sieci pojawia sie dwa takie same certyfikaty? Komp na ktorym zamierzam to sprawdzic jest 24h na necie wiec nie wiadomo czy ten certyfikat ruszy na innym kompie gdy tamten tez bedzie. I nie wiadomo czy to nie jest jakos powiazane z systemem zeby sie zabezpieczyc przed sfalszowaniem. Dobra, pominmy to i przypuscmy ze certyfikatu nie da sie skopiowac. Czy za pomoca trojana moge ze swojego kompa wejsc kompem ofiary na jakas strone tak zebym ja to widzial, ale zeby ofiara sie nie skapnela? Nie przychodzi mi do glowy zaden sposob uruchomienia na kompie ofiary przegladarki tak zeby byla niewidoczna, ale malo sie znam wiec moze sposob istnieje. Jak pisalem programy w delphi to moglem ukryc forme zeby sie nie wyswietlala, ale ona istniala. Czy moge tak samo zrobic z oknem przegladarki?