Altro che cantina

Re: Era solo questione di tempo
- Scritto da: tucumcari
"firmare" è una parola grossa.http://www.bancopostaclick.it/lettore/faq_07.shtmlViene usato il termine "firma" e credo sia esatto, si tratta di firmare tramite la propria private key residente sul microchip del proprio bancomat, una sequenza di numeri rilasciati dal sito della propria banca quando si effettua un trasferimento di fondi. La banca richiede di firmare quel numero (ID operazione) e di immettere in un apposito campo il risultato ovvero l'ID firmato, così la banca è sicura che siamo noi ad avere compiuto l'operazione.Ovviamente per firmare bisogna immettere la propria password che protegge la private key ovvero il PIN del bancomat. La banca può verificare l'autenticità della firma tramite la nostra public key.
I "secureID" che danno le banche non servono a
firmare un accidente sono un semplice dispositivo
di autenticazione basato su chiavi oltretutto
simmetriche che vengono utilizzate per
cifrare/decifrare la
challenge.Ma in quello che dici tu si usa il bancomat? Si usa il pin? e c'è una stringa numerica da firmare?
L'uso che ne viene fatto è tipicamente OTP (one
time password) in modo da minimizzare il rischio
di furto della password stessa che viene usata
una volta sola (la volta dopo è
diversa).L'OTP e la firma non sono la stessa cosa:«Cosa accade se, dopo aver attivato il Lettore, premo il tasto OTP invece del tasto FIRMA?»http://www.poste.it/azienda/posterisponde/lettorebancoposta.shtml
Per firma si intende invece tutta un altra cosa
in Italia e sopratutto in Europa (dato che
abbiamo volenti o nolenti) dovuto recepire la
direttiva europea in materia di firma
digitale.Io non so esattamente come funzioni la firma digitale della PA, parlavo della firma digitale fatta da GnuPG.

Il rischio del "man in the middle" in effetti è
un rischio possibile (con quei dispositivi)
teoricamente.

Anche se di solito le transazioni sono in https e
un utente avveduto dovrebbe avere il buon senso
di controllare l'identificativo del certificato
che utilizza il server (identificativo nel senso
di
hash).
Ovviamente in pochi (per non dire nessuno) lo
fanno.
Ma questa è un altra storia e non ha nulla a che
vedere con la
"firma".Se c'è il possesso della propria macchina e del proprio browser da parte di un cracker non c'è certificato ssl che tenga: è tutto falsificabile.

Questo ovviamente non significa che il malware
non esiste e che un OS (e le applicazioni) non
debba pensare alla
sicurezza.
È solo per precisare i termini della
questione.

Re: Era solo questione di tempo
- Scritto da: Sandro kensan
:) va beh, non si tratta di fare di una erba un
fascio ma con tutti i malware e gli zero days che
circolano per windows ci vuole un certo coraggio
per accedere ai siti finanziari come la propria
banca con tale
sistema.quali exploit zero day su vulnerabilità di remote code execution non fixate circolano ad oggi per il browser web ( quale?) o su Flash Player o la Java VM , exploit che per andare a buon fine e portare all' autoinstallazione di malware sul sistema (e solo per chi usa account administrator), siano in grado di bypassare anche DEP + ASLR.... altrimenti l'exploit non va a buon fine e non si esegue ? posta le info
Ti ricordo che un malware che si impossessi della
tua macchina può fare quel che vuole compreso il
man on the middle, può mostrarti una schermata
della tua banca falsa in un falso IE e può
chiederti di firmare una stringa che il man on
the middle usa per fare un bonifico dal tuo conto
al suo. Questo perché le macchinette per firmare
che danno le banche non salvano dal man on the
middle.quale malware Keylogger et similia che si "impossessi" della macchina che ti ho detto che dopo aver digitato user + password di acXXXXX ai conti correnti online come alle piattaforme di trading di borsa viene generato un codice OTP (One Time Password) = che cambia in random ogni santa volta ci si connette al conto tramite Token key USB o apposita card con 32 codici da 4 cifre dove vengono <b
chiesti al cliente soli 2 numeri in random dei 4 x 32 </b
(rotfl).......+ quale Man in The Middle a sniffare il traffico Tcp/Ip che la connessione una volta inseriti user + passw + codice random su card o Token Key è sempre cifrata SSL 256bit con certificato valido = indecrittabile + ogni volte che si esegue un bonifico in uscita dal conto corrente o una ricarica sul cellulare viene richiesto un ennesimo codice random <b
di conferma </b
o generato dalla token key USB altrimenti dalla banca non viene eseguito nulla + ogni santa volta sempre a conferma di un'operazione di questo tipo viene ANCHE mandato un SMS in real time sul cellulare del correntista con riepilogato l'importo in euro del bonifico o della ricarica e destinatario in modo tale che se il correntista non ha fatto nulla chiami la filiale e tutto viene bloccato con tanto di <b
risarcimento </b
anche grazie ai controlli degli IP sui server tramite log sui firewall hardware IDS/IPS?scusa se te lo dico ma si vede che di sicurezza informatica sai poco niente e parli sono per far terrorismo informatico essendo tu un piccolo fan di altri sistemi come quelli che si vedevano ai piccoli fan di Sandra Milo-----------------------------------------------------------Modificato dall' autore il 24 ottobre 2011 12.18-----------------------------------------------------------

Re: Era solo questione di tempo
- Scritto da: Darwin
Il JIT Spray è una tecnica fattibile.
A me non interessa sapere se viene usata o meno.
Conta il fatto che ASRL è una cagata (su
qualsiasi OS lo si usi) nella versione a 32bit
perchè randomizza la metà dell'intera dimensione
di ogni variabile nell'area di memoria allocata.
Non lo dico io, lo dice chiunque conosca ASLR. Ma
tu continui imperterrito a difendere una
tecnologia
inutile.
DEP e ASRL sono bypassibili. Punto.
Che a te piaccia o meno. Il metodo te l'ho
dimostrato. Chi l'ho applica non me ne frega.
Esiste e FUNZIONA e purtroppo per te, non sei in
grado di dimostrare il
contrario.che tutto sia fattibile al mondo non ci sono dubbi, quello è ovvio .. come scrivo da sempre niente e' sicuro al 100% cosi' come non sarà mai sicura al 100% nemmeno la super porta blindata che ti fai installare a casail fatto e' solo uno : che poi per scassinare la porta blindata e farti entrare in casa devi trovare un super esperto ... tutti gli altri ladri che circolano per strada li metti da parte, li ostacoli e gli metti i bastoni tra le ruote mandandoli a casa bastonati ecco che DEP+ ASLR svolgono questa stessa funzione non a caso <b
sono mitigating factor </b
nell'esecuzione di shell code autoinstall di malware dietro exploit su vulnerabilità not patched ora, fatte queste premesse , <b
posta i FATTI </b
come ti ho già chiesto senza far la solita tua fiera dell'ovvietà con inutili discorsi di teoria.. tra la teoria e la pratica c'è un abisso come tra il dire e il fare c'è sempre di mezzo il marefammi vedere <b
quanti sono stati capaci </b
di bypassare DEP + ALSR su Windows con exploit <b
in the wild </b
sul web su falle 0 Day sul browser web o su Flash Player o Java VM = senza ancora la patch = fammi vedere i dati degli accadimenti passati fino ad oggi posta quindi i fatti che evincano come hai ragione, non la sola teoria che non dice una bega sempre sugli accadimenti avvenuti tutti sono capaci <b
di dire </b
che si puo' fare e/o eludere questo e quello a livello teorico .. poi nella realtà non riescono a farlo quasi mai svegliati
Non conta quanti attacchi sono stati fatti (anche
perchè non se ne sente la necessità visto che i
malware BINARI ancora fanno il loro
dovere).
Quello che conta è se DEP e ASLR siano protezioni
efficaci.
Lo sono? No. Sono XXXXXXX.come sopra.. dimostrami coi FATTI quanti exploit fino ad oggi sono stati capaci di far eseguire shell code autoinstall di malware su Windows bypassando prima i mitigating factor DEP + ASLR ovviamente su account Administrator perche' su account Limitato non si fa fammi vedere che cio' che dici avviene nella realtà continuamentenon capisco di cosa hai paura.. mettimi a tacere con un bel link a qualche sito di sicurezza informatica che illustri i fatti <b
accaduti fino ad oggi <b
<u
in the wild </u
su falle 0 Day </b
</b
dato su Windows sono sempre tutti ben documentati cosa aspetti? (rotfl)
Sei tu che ti devi svegliare. ripeto ancora: quando mi hai mostrato e zittito come chiesto sopra allora mi sveglio.. fino a prova contraria devi farlo solo tu perchè vivi di sole chiacchiere e terrorismo informatico da piccolo fan 20 enne e infantile
Non ero io che spacciava SSL per indecriptabile.difatti l'encryption a 256bit su connessione SSL on TLS previo certificato Verisign e' indecrittabile da un man in the middle svegliati tu parlavi di malware Keylogger installato sul sistema che fotte al tonto User & Password ma ti sei dimenticato ( come sempre (rotfl)) dell' OTP randomico = il codice random richiesto al cliente online Banking che cambia ogni santa volta volta e che le banche <b
usano per proteggere l'acXXXXX dopo aver digitato user e password </b
nel qual caso sempre User & Password siano eventualmente fottute dal cyber criminale cosi' come un ulteriore codice random OTP viene <b
richiesto </b
ogni volta <b
prima di inviare dal browser web la conferma </b
ovvero subito dopo aver cliccato su Ok per un bonifico in uscita verso chichessia cosi' come una ricarica sul cellulare di chichessia tutto questo non c'entra niente di niente sulla decryption della key a 256bit nella connessione SSL on TLS su apposito certificato Verisign un eventuale Keylogger non decritta niente su connessione tra browser web e server SSL protetta da certificato Verisign con encryption su key @ 256bit ma ruberebbe solo user & password monitorando l'uso del computer a video ... cosa che NON puo' fare per i codici randomici richiesti dall'online banking dato cambiano ogni volta e che se non vengono inseriti previa richiesta o autoinseriti in automatico dalla Token key messa nella porta USB del computer del cliente, la banca non esegue niente cosi' come non fa nemmeno loggare alla pagina del conto corrente non sai niente nemmeno qua come ben si vede agli occhi di tutti
Per il resto, non ripeto le cose due volte.
Visto che ti limiti a riscrivere fesserie campate
in aria, il post di prima basta e
avanza.basta e avanza che spari una fraccata di XXXXXXcce + non dimostri <b
i fatti </b
come ti vegono chiesti perche' non hai da dimostrare niente + hai scritto pure un sacco di strafalcioni sulla sicurezza della banche in generale non sapendo nemmeno niente sul fatto che esistono gli SMS alert in tempo reale inviati dal server della banca online ad ogni movimento via sito web di soldi in uscita dal conto corrente per far in modo che il cliente si accorga di un EVENTUALE anomalia O FATTO DA LUI NON COMPIUTO avvertendo poi la banca che poi di conseguenza bloccherebbe il tutto con tanto di riaccredito.... anche dopo analisi dell' Ip anonimo e/o mascherato di connessione da parte del cyber criminale in pratica TI diletti come da sempre a parlare di cose che non conosci minimamente = straparli solo ad cazzum con invenzioni-----------------------------------------------------------Modificato dall' autore il 26 ottobre 2011 12.54-----------------------------------------------------------

Re: Era solo questione di tempo
.non sto nemmeno a perder piu' tempo dietro a te perchè ne spari talmente tante ...ma tante che scriverei un post lungo 1 kilometro solo per replicare a tutte le boiate galattiche che hai scritto ancora inventando fesserie <b
gli exploit </b
che hanno bypassato DEP + ASLR e NON il malware come Alureon che non c'entra niente ( sveglione) che ti ho chiesto dove sono? non ne hai postati manco mezzo lascia perdere e datti all'ippica.. anzi vai a lavorare per le banche che insegni a loro come si fa (rotfl)sei il solito ridicolo ora ti rispondo come si risponde agli infermi mentali altriementi mi tiri scemo fino a domani notte si si , hai ragione (rotfl)

Re: Era solo questione di tempo
- Scritto da: Fiber
tu hai inventato che non hai dimostrato niente di
tutto cio che ti e' stato chiesto sugli exploit
che bypassassero DEP + ASLR poii su tutto il
resto tergiversi solamente facendo dei minestroni
pazzeschi sulla sicurezza informaticaQuali minestroni?JIT Spray?" <b
JIT spraying is a class of computer security exploit that circumvents the protection of address space randomization and data execution </b
prevention by exploiting the behavior of just-in-time compilation.[1] It has been reported to have been used to penetrate security features in the PDF format [2] and Adobe's Flash technology"ROTFL
non sai nemmeno distinguere un exploit da un
malwareQuando mi porterai il punto in cui ho scambiato una cosa per un altra vedremo.PS: Hai dimenticato di portare il punto in cui ho parlato di keylogger.
non hai nessuna base ....Meno male che ci sei tu che sei una fonte di sapienza.

Re: Era solo questione di tempo
- Scritto da: Flipper
Ti mettessero davanti uno 0 day non te ne
accorgeresti neanche
(rotfl)
Se sapessi usare IRC ti consiglierei alcuni
canali
russi.difatti fammi vedere degli exploit <b
su vulnerabilità 0 day <u
in the wild </u
</b
che hanno bypassato Dep + ALSR usati nel passato fino ad oggise sono exploit passati sono documentati perche scoperti appunto nel passato ...non ti sto dicendo quelli di adesso..ma quelli del passato sto ancora aspettando

Re: Era solo questione di tempo
- Scritto da: Flipper
- Scritto da: Fiber

- Scritto da: Flipper


Ti mettessero davanti uno 0 day non te


ne accorgeresti neanche (rotfl)


Se sapessi usare IRC ti consiglierei


alcuni canali russi.


difatti fammi vedere degli exploit
<b

su

vulnerabilità 0 day <u
in the wild

</u
</b
che hanno
bypassato
Dep

+ ALSR usati nel passato fino ad oggi


se sono exploit passati sono documentati
perche

scoperti appunto nel passato ...


non ti sto dicendo quelli di adesso..ma
quelli

del passato sto ancora aspettando

Ti mettessero davanti uno 0 day non te ne
accorgeresti neanche
(rotfl)
Se sapessi usare IRC ti consiglierei alcuni
canali
russi.ferma la bot che ripete sempre la stessa cosa senza rispondere come ovvio che sia perchè nn hai risposte.. banferino ti si e' incantata (rotfl)

Re: Era solo questione di tempo
- Scritto da: krane
Non sai cos'e' un bot e non capisci le risposte
che ti danno
(rotfl)cosa devo capire io da voi ? (rotfl)capisco solo una cosa = cosa siete e nn c'è nemmeno bisogno che lo scriva cosa diavolo siete ..è gia' ben chiaro a tutti (rotfl)