Trebuie sa platesti factura

[andrei98M]

Trebuie sa platesti factura urgent si singura cale de a accesa internetul este dintr-un hotspot dintr-un bar,Ce faci ca sa-ti protejezi datele bancare si restul conturilor ?

[deepdns]

Banuiesc ca nu ai avut telefon in viata ta ...., la ce naiba sa ma duc intrun bar sau mall sa platesc factura, nu e tot aia ca la caserie? pai ori vrei mobile ori 'batman.

[be_theone]

fa o sageta leaga bani de ea si trage spre firma care factureaza , fara costuri supilmentare

[SynTAX]

Banuiesc ca nu ai avut telefon in viata ta ...., la ce naiba sa ma duc intrun bar sau mall sa platesc factura, nu e tot aia ca la caserie? pai ori vrei mobile ori 'batman.

Poate nu ti-ai dat seama ca este un challenge, smartass.

[Ganav]

Trebuie sa platesti factura urgent si singura cale de a accesa internetul este dintr-un hotspot dintr-un bar,Ce faci ca sa-ti protejezi datele bancare si restul conturilor ?

Sunt mai multe optiuni. Intai trebuie sa raspundem la cateva intrebari:

1. Ce fel de persoane frecventeaza respectivul bar?
   
2. Este popular printre studenti? persoane care ar putea avea expertiza in domeniul securitatii IT?
   
3. Prin ce se deosebeste situatia din bar fata de situatia de acasa in contextul efectuarii unui transfer bancar din punct de vedere al securitatii?
   
4. Cat de repede putem schimba credentialele?
   
5. Cum putem sa ne ascundem cat mai bine identitatea?
   
6. Cum putem face munca unui posibil atacator mai dificila?
   

1. Ce fel de persoane frecventeaza respectivul bar?

Este usor de observat. Cei pasiontati de securitate mai mult ca sigur vor folosi o distributie LINUX(pentru a rula aplicatii precum aircrack, airpwn, etc.). Capacitatea lor de a utiliza se poate observa si in aplicatiile rulate: de exemplu este putin probabil ca cineva care ruleaza numai un browser si care fotografiaza un pahar cu bere pentru a post-a imaginea pe facebook nu reprezinta un pericol. O scurta "inspectie" poate fi efectuata rapid; de regula numarul clientilor care folosesc laptop-uri, tablete si smarphone-uri este mai mic ca si numarul acelora care nu le folosesc.

Aplicatiile care trebuiesc urmarite cu atentie sunt numarul de terminale deschise si numarul de ferestre in editoare de tip text(vi(m), emacs) deschise. Cu cat acesta este mai mare cu atat sunt sanse mai ridicate sa avem un potential hacker in bar.

Atentie sporita trebuie acordata si utilizatorilor windows care ruleaza putty sau masini virtuale multiple.

Acum cunoastem cat de cat terenul. Exista sansa ca barul in sine sa fie detinut de o persoana sau un grup de persoane care sunt familiarizate cu domeniul. De exemplu, tot traficul Wi_Fi poate fi rutat printr-o statie LINUX inainte de a fi trimis mai departe pe Internet. Mai exista sansa ca proprietarii sa fie putin familiarizati cu aspectul legat de securitate si sa aiba un LAN compromis(parole default sau slabe, troieni pe alte statii din acelasi LAN, etc.). In aceasta situatii nu prea avem ce face: nu vom inspecta fiecare statie in parte din motive evidente(nu avem acces fizic iar realizarea acestui lucru este ilegal fara acordul proprietarilor).

In cazul in care proprietarii insisi sunt competenti in securitate am putea afla acest lucru dupa parola aleasa Wi-Fi-ului(lungime, caractere alese, etc.) sau efectiv intreband(fiind foarte putini in lume hackerii sunt dornici sa schimbe vorbe intre ei, cu atat mai mult daca au un interlocutor in fata. Putina bere si tarie ajuta intotdeauna).

2. Este popular printre studenti? persoane care ar putea avea expertiza in domeniul securitatii IT?

Probabil cum este cazul si aici pe forum, exista foarte multi studenti care sunt dornici de a deveni "hackeri". Acestia vor incerca fiecare aplicatie care apare pe google. Sunt sanse, desi destul de slabe, ca un numar dintre acestia sa nimereasca o combinatie valida de pagina de tip phishing si o comanda reusita in ettercap.

Exista, de asemenea, si situatia in care studenti sunt efectiv bine pregatiti iar atacul este mult mai rapid si bine coordonat.

3. Prin ce se deosebeste situatia din bar fata de situatia de acasa in contextul efectuarii unui transfer bancar din punct de vedere al securitatii?

Daca situatia nu este diferita fata de domiciliul curent securitatea probabil ca nu are o relevanta ridicata. Cu alte cuvinte daca vecinii au aceiasi competenta tehnica ca si persoanele care frecventeaza barul, iar acestea din urma nu activeaza in domeniu nu exista motive de ingrijorare.

4. Cat de repede putem schimba credentialele?

Presupunem raul cel mai mare: avem un atac de tip MITM iar certificatele noastre SSL au fost inlocuite cu cele ale atacatorului. In browser-ele moderne utilizatorul este avertizat insa presupunand ca facturile trebuiesc platite urgent luam acest risc ridicat. Ulterior putem anula tranzactiile clandestine. Este recomandat ca in momentul platii sa se faca o captura(print screen) a soldului curent bancar pentru a stii cat trebuie sa recuperam in cazul in care contul este compromis.

5. Cum putem sa ne ascundem cat mai bine identitatea?

Identitatea nostra consta in mare masura din adresa noastra in reteaua respectiva: MAC si IP. IP-ul este dinamic. MAC-ul insa trebuie inlocuit(google geo-ip location tracking se foloseste de acesta). Pentru aceasta putem folosi utilitarul de mai jos:

MadMACs: MAC Address Spoofing and Host Name Randomizing App for Windows 7 (Should work in Windows Vista and Windows 8 too)

Desigur, putem face toate etapele respective manual insa este de preferat sa automatizam procesul pe cat se poate.

Acum putem folosi o solutie de tip SSH-tunneling catre un server asupra caruia avem control si il consideram sigur. Statia de acasa este un bun exemplu. Pentru a avea acces la ip putem folosi un serviciu ca:

Remote Access with Dynamic DNS - 100% DNS Uptime - No-IP

intrucat majoritatea furnizorilor din Romania nu mai ofera adrese statice. Un alt aspect despre care trebuie sa tinem cont este frecventa emitatorului Wi-Fi de pe statia de pe care lucram. Distributia semnalelor este destul de unica pentru fiecare dispozitiv fizic. In cazul atacatorului este recomandat ca dispozitivul sa fie distrus dupa efectuarea tranzactiilor.

6. Cum putem face munca unui posibil atacator mai dificila?

In esenta un atacator monitorizeaza si/sau intercepteaza trafic pentru a-si indeplini atacul. Daca volumul de trafic este ridicat munca lui devine semnificativ mai dificila. In acest sens putem crea trafic inutil:vizualizarea mai multor filmulete pe youtube simultam in format HD daca se poate. Efectuarea de credentiale false catre site-ul bancii doar cu scopul de a genera cat mai mult trafic. Astfel, efortul necesar pe care un atacator trebuie sa-l depuna pentru a obtine credentialele unei victime creste considerabil pana la punctul in care atacul nu mai este realizabil.

[deepdns]

off, eu zic una, tu, tot batman batman

dude, poate nu ai vazut si explicatia mea, daca nu esti deacord iti dau alta plateste-o in pula mea pe tot anul adunand bani pe rst si gata, nu mai fa challenge-uri din astea fara scop, respectiv fara reward...

parca ai avea 14 ani, ce naiba, cand faci un challenge, fa unul mai greu accesibil, sau inaccesibil, sa gandeasca lumea mai coherent'

ajung sa cred ca e jecmaneala

[andrei98M]

off, eu zic una, tu, tot batman batman

dude, poate nu ai vazut si explicatia mea, daca nu esti deacord iti dau alta plateste-o in pula mea pe tot anul adunand bani pe rst si gata, nu mai fa challenge-uri din astea fara scop, respectiv fara reward...

parca ai avea 14 ani, ce naiba, cand faci un challenge, fa unul mai greu accesibil, sau inaccesibil, sa gandeasca lumea mai coherent'

ajung sa cred ca e jecmaneala

Acuma iti dau 1 euro ca sa taci .Marea majoritate a rewardurile sunt ori vip(pentru lucruri grele) ,ori ceva 5 euro , ori un vps sau mai stiu eu ce .Le faci ca sa prinzi cunostiinte , sa te informezi , nu doar pentru rewarduri.

[deepdns]

Ba omule, imi bag pula in reward-le tale si in factura ta, daca tu impui si mai mult de atat, ingradesti metodele ca sa spun asa ce fel de challenge retard e asta, traim in 2015 ce naiba nu ai telefon, nu ai vecini, nu ai familie nu ai veri, nu ai masina, nu ai prieteni nu ai bani cash, nu ai pe bunica, nu ai pe ponta ce naiba mai vrei (in cazu asta esti un pickle retard din romania in anul 2015)...

deaja pui oamenii sa isi toceasca degetele degeaba, ca sa fii tu mandru ca ai pus un challenge ca o apa clocita.

[deepdns]

app, off, am uitat sa imi bag pula in euro al tau, traiesc pe dolari, multi $

[Byte-ul]

Folosesti TOR. Site-urile bancare sunt HTTPS deci nu o sa-ti vada nimeni datele bancare.

[the.fish3r]

Ma conectez la un vps!

[mariuss615]

Ii dau un e-mail lui mami sa imi plateasca ea factura, cu ocazia asta mai scutesti si niste bani.

Solutia este simpla din punctul meu de vedere. Faci plata prin transfer bancar, degeaba iti fura userul/parola ca are nevoie si de codul de verificare, iar daca primesti codul de verificare prin sms iti dai seama si daca cineva se joaca cu hotspot-ul cand incearca sa se logheze.

Daca prin absurd esti obligat sa platesti cu cardul as face plata si apoi as suna la banca sa micsoreze limita la tranzactii online la 1leu si mi-as reseta/activa 3d secure cand sunt sigur de conexiune.

[Cheater]

Folosesti un VPN

[shaggi]

Folosesti un VPN

Reclama mascata!!! Huuuua!!

ontopic: majoritatea site-urilor care se ocupa cu transfer bancar au traficul trecut prin ssl, deci ar mere si dintr-un restaurant, dar is metode de a trece de ssl ala..

[yo20063]

Fac plata si gata, am autentificare in 2 pasi, dureaza maxim 1 minut sa fac plata si fac log-out (bye bye cookie), parola si username-ul poate sa le aiba sanatos, pentru ca nu are ce face cu ele + ca banca ma obliga odata la 1 luna sa schimb parola cu una care nu a mai fost introdusa(motiv de ingrijorare, pentru ca ori pastreaza hash-urile la parolele vechi, ori si mai de cosmar, le pastreaza in plain text), dar asta e alta discutie.

[theeternalwanderer]

Daca site-ul pe care faci plata suporta TLS 1.2 (se verifica din browser) si certificatul e valid atunci nu poate fi interceptat.

Altfel, VPN catre o retea in care ai incredere, evident nu cu PPTP.

[aaa1]

folosesti homebanking cu device de unic password(challange-response) si esti ok chiar daca intercepteaza careva...Else lightning can strike...

Edited January 23, 2015 by aaa1

[flashxmldesign]

O metoda sigura dar posibil cu vatamari corporale

- pasul 1 * toti banii schimbati in monezi,acestia ii vei pune intr-o batista, cam asa cum se purta la tara

- pasul 2 * te duci in fata barului si astepti sa iasa cineva de acolo.In momentul in care se vor deschide usie...arunci cu acea bucata de monezi direct catre barman.

a) - viteza de transfer fiind foarte mare,nu are cum sa fie interceptata de absolut niciun serviciu,cine va interfera batista va iesi sifonat din cauza greutati monezilor.

- daca nu ai calculat bine unghiul si viteza de transfer,posibil sa loveste pe ala de la bar care si asa doarme pe el....sau mai testeaza nu stiu ce lichior

b1 - ori te va da in judecata pentru trezirea lui din somn

b2 - ori te va da in judecata pentru traumele suferite in urma tranzactiei,cu cat plata pentru tranzactie este mai mare ..deci mai multe monezi....cu atat si daunele sunt mai mari asupra celui angajat/dormit/beat sau cum o mai fi.

Gandeste de doua ori inainte de a aplica aceasta metoda,pentru fapta buna pe care vrei sa o faci este posibil sa ranesti pe cineva din cauza vitezei de transfer cu care vei dori sa platesti facura.