Jump to content
andrei98M

Trebuie sa platesti factura

Recommended Posts

  • Active Members
Banuiesc ca nu ai avut telefon in viata ta ...., la ce naiba sa ma duc intrun bar sau mall sa platesc factura, nu e tot aia ca la caserie? pai ori vrei mobile ori 'batman.

Poate nu ti-ai dat seama ca este un challenge, smartass.

Link to comment
Share on other sites

Trebuie sa platesti factura urgent si singura cale de a accesa internetul este dintr-un hotspot dintr-un bar,Ce faci ca sa-ti protejezi datele bancare si restul conturilor ?

Sunt mai multe optiuni. Intai trebuie sa raspundem la cateva intrebari:

  1. Ce fel de persoane frecventeaza respectivul bar?
  2. Este popular printre studenti? persoane care ar putea avea expertiza in domeniul securitatii IT?
  3. Prin ce se deosebeste situatia din bar fata de situatia de acasa in contextul efectuarii unui transfer bancar din punct de vedere al securitatii?
  4. Cat de repede putem schimba credentialele?
  5. Cum putem sa ne ascundem cat mai bine identitatea?
  6. Cum putem face munca unui posibil atacator mai dificila?

1. Ce fel de persoane frecventeaza respectivul bar?

Este usor de observat. Cei pasiontati de securitate mai mult ca sigur vor folosi o distributie LINUX(pentru a rula aplicatii precum aircrack, airpwn, etc.). Capacitatea lor de a utiliza se poate observa si in aplicatiile rulate: de exemplu este putin probabil ca cineva care ruleaza numai un browser si care fotografiaza un pahar cu bere pentru a post-a imaginea pe facebook nu reprezinta un pericol. O scurta "inspectie" poate fi efectuata rapid; de regula numarul clientilor care folosesc laptop-uri, tablete si smarphone-uri este mai mic ca si numarul acelora care nu le folosesc.

Aplicatiile care trebuiesc urmarite cu atentie sunt numarul de terminale deschise si numarul de ferestre in editoare de tip text(vi(m), emacs) deschise. Cu cat acesta este mai mare cu atat sunt sanse mai ridicate sa avem un potential hacker in bar.

Atentie sporita trebuie acordata si utilizatorilor windows care ruleaza putty sau masini virtuale multiple.

Acum cunoastem cat de cat terenul. Exista sansa ca barul in sine sa fie detinut de o persoana sau un grup de persoane care sunt familiarizate cu domeniul. De exemplu, tot traficul Wi_Fi poate fi rutat printr-o statie LINUX inainte de a fi trimis mai departe pe Internet. Mai exista sansa ca proprietarii sa fie putin familiarizati cu aspectul legat de securitate si sa aiba un LAN compromis(parole default sau slabe, troieni pe alte statii din acelasi LAN, etc.). In aceasta situatii nu prea avem ce face: nu vom inspecta fiecare statie in parte din motive evidente(nu avem acces fizic iar realizarea acestui lucru este ilegal fara acordul proprietarilor).

In cazul in care proprietarii insisi sunt competenti in securitate am putea afla acest lucru dupa parola aleasa Wi-Fi-ului(lungime, caractere alese, etc.) sau efectiv intreband(fiind foarte putini in lume hackerii sunt dornici sa schimbe vorbe intre ei, cu atat mai mult daca au un interlocutor in fata. Putina bere si tarie ajuta intotdeauna).

2. Este popular printre studenti? persoane care ar putea avea expertiza in domeniul securitatii IT?

Probabil cum este cazul si aici pe forum, exista foarte multi studenti care sunt dornici de a deveni "hackeri". Acestia vor incerca fiecare aplicatie care apare pe google. Sunt sanse, desi destul de slabe, ca un numar dintre acestia sa nimereasca o combinatie valida de pagina de tip phishing si o comanda reusita in ettercap.

Exista, de asemenea, si situatia in care studenti sunt efectiv bine pregatiti iar atacul este mult mai rapid si bine coordonat.

3. Prin ce se deosebeste situatia din bar fata de situatia de acasa in contextul efectuarii unui transfer bancar din punct de vedere al securitatii?

Daca situatia nu este diferita fata de domiciliul curent securitatea probabil ca nu are o relevanta ridicata. Cu alte cuvinte daca vecinii au aceiasi competenta tehnica ca si persoanele care frecventeaza barul, iar acestea din urma nu activeaza in domeniu nu exista motive de ingrijorare.

4. Cat de repede putem schimba credentialele?

Presupunem raul cel mai mare: avem un atac de tip MITM iar certificatele noastre SSL au fost inlocuite cu cele ale atacatorului. In browser-ele moderne utilizatorul este avertizat insa presupunand ca facturile trebuiesc platite urgent luam acest risc ridicat. Ulterior putem anula tranzactiile clandestine. Este recomandat ca in momentul platii sa se faca o captura(print screen) a soldului curent bancar pentru a stii cat trebuie sa recuperam in cazul in care contul este compromis.

5. Cum putem sa ne ascundem cat mai bine identitatea?

Identitatea nostra consta in mare masura din adresa noastra in reteaua respectiva: MAC si IP. IP-ul este dinamic. MAC-ul insa trebuie inlocuit(google geo-ip location tracking se foloseste de acesta). Pentru aceasta putem folosi utilitarul de mai jos:

MadMACs: MAC Address Spoofing and Host Name Randomizing App for Windows 7 (Should work in Windows Vista and Windows 8 too)

Desigur, putem face toate etapele respective manual insa este de preferat sa automatizam procesul pe cat se poate.

Acum putem folosi o solutie de tip SSH-tunneling catre un server asupra caruia avem control si il consideram sigur. Statia de acasa este un bun exemplu. Pentru a avea acces la ip putem folosi un serviciu ca:

Remote Access with Dynamic DNS - 100% DNS Uptime - No-IP

intrucat majoritatea furnizorilor din Romania nu mai ofera adrese statice. Un alt aspect despre care trebuie sa tinem cont este frecventa emitatorului Wi-Fi de pe statia de pe care lucram. Distributia semnalelor este destul de unica pentru fiecare dispozitiv fizic. In cazul atacatorului este recomandat ca dispozitivul sa fie distrus dupa efectuarea tranzactiilor.

6. Cum putem face munca unui posibil atacator mai dificila?

In esenta un atacator monitorizeaza si/sau intercepteaza trafic pentru a-si indeplini atacul. Daca volumul de trafic este ridicat munca lui devine semnificativ mai dificila. In acest sens putem crea trafic inutil:vizualizarea mai multor filmulete pe youtube simultam in format HD daca se poate. Efectuarea de credentiale false catre site-ul bancii doar cu scopul de a genera cat mai mult trafic. Astfel, efortul necesar pe care un atacator trebuie sa-l depuna pentru a obtine credentialele unei victime creste considerabil pana la punctul in care atacul nu mai este realizabil.

  • Upvote 1
Link to comment
Share on other sites

off, eu zic una, tu, tot batman batman

dude, poate nu ai vazut si explicatia mea, daca nu esti deacord iti dau alta ;)) plateste-o in pula mea pe tot anul adunand bani pe rst ;)) si gata, nu mai fa challenge-uri din astea fara scop, respectiv fara reward...

parca ai avea 14 ani, ce naiba, cand faci un challenge, fa unul mai greu accesibil, sau inaccesibil, sa gandeasca lumea mai coherent' ;)

ajung sa cred ca e jecmaneala ;))

Link to comment
Share on other sites

off, eu zic una, tu, tot batman batman

dude, poate nu ai vazut si explicatia mea, daca nu esti deacord iti dau alta ;)) plateste-o in pula mea pe tot anul adunand bani pe rst ;)) si gata, nu mai fa challenge-uri din astea fara scop, respectiv fara reward...

parca ai avea 14 ani, ce naiba, cand faci un challenge, fa unul mai greu accesibil, sau inaccesibil, sa gandeasca lumea mai coherent' ;)

ajung sa cred ca e jecmaneala ;))

Acuma iti dau 1 euro ca sa taci .Marea majoritate a rewardurile sunt ori vip(pentru lucruri grele) ,ori ceva 5 euro , ori un vps sau mai stiu eu ce .Le faci ca sa prinzi cunostiinte , sa te informezi , nu doar pentru rewarduri.

  • Downvote 1
Link to comment
Share on other sites

Ba omule, imi bag pula in reward-le tale si in factura ta, daca tu impui si mai mult de atat, ingradesti metodele ca sa spun asa ce fel de challenge retard e asta, traim in 2015 ce naiba nu ai telefon, nu ai vecini, nu ai familie nu ai veri, nu ai masina, nu ai prieteni nu ai bani cash, nu ai pe bunica, nu ai pe ponta ce naiba mai vrei (in cazu asta esti un pickle retard din romania in anul 2015)...

deaja pui oamenii sa isi toceasca degetele degeaba, ca sa fii tu mandru ca ai pus un challenge ca o apa clocita.

  • Downvote 1
Link to comment
Share on other sites

Ii dau un e-mail lui mami sa imi plateasca ea factura, cu ocazia asta mai scutesti si niste bani.

Solutia este simpla din punctul meu de vedere. Faci plata prin transfer bancar, degeaba iti fura userul/parola ca are nevoie si de codul de verificare, iar daca primesti codul de verificare prin sms iti dai seama si daca cineva se joaca cu hotspot-ul cand incearca sa se logheze.

Daca prin absurd esti obligat sa platesti cu cardul as face plata si apoi as suna la banca sa micsoreze limita la tranzactii online la 1leu si mi-as reseta/activa 3d secure cand sunt sigur de conexiune.

  • Upvote 1
Link to comment
Share on other sites

Fac plata si gata, am autentificare in 2 pasi, dureaza maxim 1 minut sa fac plata si fac log-out (bye bye cookie), parola si username-ul poate sa le aiba sanatos, pentru ca nu are ce face cu ele + ca banca ma obliga odata la 1 luna sa schimb parola cu una care nu a mai fost introdusa(motiv de ingrijorare, pentru ca ori pastreaza hash-urile la parolele vechi, ori si mai de cosmar, le pastreaza in plain text), dar asta e alta discutie.

Link to comment
Share on other sites

O metoda sigura dar posibil cu vatamari corporale

- pasul 1 * toti banii schimbati in monezi,acestia ii vei pune intr-o batista, cam asa cum se purta la tara

- pasul 2 * te duci in fata barului si astepti sa iasa cineva de acolo.In momentul in care se vor deschide usie...arunci cu acea bucata de monezi direct catre barman.

a) - viteza de transfer fiind foarte mare,nu are cum sa fie interceptata de absolut niciun serviciu,cine va interfera batista va iesi sifonat din cauza greutati monezilor.

B) - daca nu ai calculat bine unghiul si viteza de transfer,posibil sa loveste pe ala de la bar care si asa doarme pe el....sau mai testeaza nu stiu ce lichior

b1 - ori te va da in judecata pentru trezirea lui din somn

b2 - ori te va da in judecata pentru traumele suferite in urma tranzactiei,cu cat plata pentru tranzactie este mai mare ..deci mai multe monezi....cu atat si daunele sunt mai mari asupra celui angajat/dormit/beat sau cum o mai fi.

Gandeste de doua ori inainte de a aplica aceasta metoda,pentru fapta buna pe care vrei sa o faci este posibil sa ranesti pe cineva din cauza vitezei de transfer cu care vei dori sa platesti facura.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...