|
| Lokal HTML-injektion (re. netbank-tråden) Fra : Klaus Ellegaard |
Dato : 28-05-07 13:53 |
|
For et stykke tid siden havde vi en diskussion om, hvorvidt man
kunne snyde en bruger af en netbank til at overføre penge til et
forkert kontonummer.
Ideen skulle være, at noget malware "ændrer" de skærmbilleder,
hvor brugerne indtaster og bekræfter data, således at brugeren
ser de rigtige kontonumre. I virkeligheden sørger malware'en
for at sende angriberens kontonummer til banken i stedet for
det rigtige.
Det ser ud til, at der er dukket et eksempel op på noget, der
minder om ovenstående scenarie:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-052710-0541-99&tabid=2
Det er selvfølgelig ikke en hel netbank-løsning, der er blevet
udsat for grimme ting her. Men det viser, at selve konceptet
med at ændre tekst på vej fra bank til brugerens skærm er en
praktisk mulighed.
Mvh.
Klaus.
(Bemærk: adressen ovenfor er lang - den skal måske "klippes ud"
og indsættes manuelt i browserens adresselinje, hvis den er
blevet brudt op i to linjer).
| |
gil (28-05-2007)
| Kommentar Fra : gil |
Dato : 28-05-07 14:50 |
|
Den 28-05-2007 14:53, skrev Klaus Ellegaard:
> For et stykke tid siden havde vi en diskussion om, hvorvidt man
> kunne snyde en bruger af en netbank til at overføre penge til et
> forkert kontonummer.
>
> Det ser ud til, at der er dukket et eksempel op på noget, der
> minder om ovenstående scenarie:
> http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-052710-0541-99&tabid=2
--snip--
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
--snip--
Linux er ikke det værste vi har.
--
gil
| |
Kent Friis (28-05-2007)
| Kommentar Fra : Kent Friis |
Dato : 28-05-07 14:56 |
|
Den Mon, 28 May 2007 15:50:29 +0200 skrev gil:
> Den 28-05-2007 14:53, skrev Klaus Ellegaard:
>
>
>> For et stykke tid siden havde vi en diskussion om, hvorvidt man
>> kunne snyde en bruger af en netbank til at overføre penge til et
>> forkert kontonummer.
>>
>> Det ser ud til, at der er dukket et eksempel op på noget, der
>> minder om ovenstående scenarie:
>> http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-052710-0541-99&tabid=2
>
> --snip--
> Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me,
> Windows NT, Windows Server 2003, Windows XP
> --snip--
>
> Linux er ikke det værste vi har.
Den korrekte tekst ville være "Systems Affected: Internet Explorer".
Efter beskrivelsen at dømme, er går Mozilla fri, hvorimod hvis angrebet
ikke virker i IE under Wine, er det en fejl/mangel i Wine.
Iøvrigt er der ikke tale om en fejl i hverken OS eller browser, men
at nogen har lavet et program - og alle OS'er giver mulighed for at
køre programmer (hvad skulle man ellers bruge OS'et til?)
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (28-05-2007)
| Kommentar Fra : Klaus Ellegaard |
Dato : 28-05-07 15:00 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Den korrekte tekst ville være "Systems Affected: Internet Explorer".
Hvad med IE7 i Protected Mode? Den er ikke listet som vulnerable.
Så jeg vil gætte på, at det kun rammer Internet Explorer på pre-
Vista (og Vista med Protected Mode slået fra).
Mvh.
Klaus.
| |
Kent Friis (28-05-2007)
| Kommentar Fra : Kent Friis |
Dato : 28-05-07 15:05 |
|
Den Mon, 28 May 2007 14:00:24 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Den korrekte tekst ville være "Systems Affected: Internet Explorer".
>
> Hvad med IE7 i Protected Mode? Den er ikke listet som vulnerable.
>
> Så jeg vil gætte på, at det kun rammer Internet Explorer på pre-
> Vista (og Vista med Protected Mode slået fra).
Det er muligt du har ret, pointen var at det er browseren og ikke OS'et
det kommer an på. Hvorvidt det kun er bestemte versioner af browseren
kan jeg ikke udlede af teksten (at Vista ikke er nævnt kunne også
skyldes at McAfee (eller var det Norton?) ikke supporterer Vista
endnu
Mhv
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (28-05-2007)
| Kommentar Fra : Klaus Ellegaard |
Dato : 28-05-07 15:07 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Så jeg vil gætte på, at det kun rammer Internet Explorer på pre-
>> Vista (og Vista med Protected Mode slået fra).
>Det er muligt du har ret, pointen var at det er browseren og ikke OS'et
>det kommer an på.
Ja, du har ret - den burde have heddet "Internet Explorer t.o.m.
Windows XP".
>Hvorvidt det kun er bestemte versioner af browseren kan jeg ikke
>udlede af teksten (at Vista ikke er nævnt kunne også skyldes at
>McAfee (eller var det Norton?) ikke supporterer Vista endnu
Symantec var den første, der lavede en enterprise-løsning til
Vista.
Mvh.
Klaus.
| |
Klaus Ellegaard (28-05-2007)
| Kommentar Fra : Klaus Ellegaard |
Dato : 28-05-07 14:59 |
|
gil <gil@obyon.com> writes:
>Linux er ikke det værste vi har.
Vista ej heller
Uden at det skal fremstå provokerende, så er "desktop Linux" lidt
"security by obscurity"-agtigt, når man sammenligner med Windows:
Linux har en så ringe udbredelse, at meget få malware-producenter
gider interessere sig for det.
Hvilket så absolut er en fordel i denne sammenhæng.
Mvh.
Klaus.
| |
Kent Friis (28-05-2007)
| Kommentar Fra : Kent Friis |
Dato : 28-05-07 15:00 |
|
Den Mon, 28 May 2007 13:58:57 +0000 (UTC) skrev Klaus Ellegaard:
> gil <gil@obyon.com> writes:
>
>>Linux er ikke det værste vi har.
>
> Vista ej heller
Fordi programmet ikke virker i IE7? Eller har man blot glemt at nævne
Vista? Så vidt jeg kunne læse ud af beskrivelsen, har angrebet ikke
noget med OS'et at gøre, men kun browseren.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Axel Hammerschmidt (28-05-2007)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 28-05-07 17:35 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> For et stykke tid siden havde vi en diskussion om, hvorvidt man
> kunne snyde en bruger af en netbank til at overføre penge til et
> forkert kontonummer.
>
> Ideen skulle være, at noget malware "ændrer" de skærmbilleder,
> hvor brugerne indtaster og bekræfter data, således at brugeren
> ser de rigtige kontonumre. I virkeligheden sørger malware'en
> for at sende angriberens kontonummer til banken i stedet for
> det rigtige.
Nope. Det var en man-in-the-middel. Kontohaveren brugte OTP = AktivCard.
Og det var en forudsætning, at challenge-respons værdierne var afhængig
af oplysninger om kontonummer og beløb.
> Det ser ud til, at der er dukket et eksempel op på noget, der
> minder om ovenstående scenarie:
[brug-kort-link: < http://tinyurl.com> ]
: The Trojan then monitors for access to the targeted banking Web site
: login screens. When an access attempt is made, it injects its own HTML
: snippet into the HTML returned by the bank Web server. The HTML
: snippet injected causes the browser to display additional fields in
: the login form for the user to enter in details such as the PIN,
: Social Security Number, date of birth and so on.
:
: When the user enters this information into the form and submits it,
: the Trojan will take a copy of the data and then pass on the request
: to the bank Web server. As a result the interception made by the
: Trojan is transparent and seamless to the unsuspecting user.
> Det er selvfølgelig ikke en hel netbank-løsning, der er blevet
> udsat for grimme ting her. Men det viser, at selve konceptet
> med at ændre tekst på vej fra bank til brugerens skærm er en
> praktisk mulighed.
Den ændre ikke tekst fra bank til kunde, eller fra kunde til bank.
| |
Klaus Ellegaard (28-05-2007)
| Kommentar Fra : Klaus Ellegaard |
Dato : 28-05-07 17:41 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Nope. Det var en man-in-the-middel.
Dether er "malware-in-the-middle". Samme koncept, bare meget mere
skalerbart.
>Kontohaveren brugte OTP = AktivCard.
>Og det var en forudsætning, at challenge-respons værdierne var afhængig
>af oplysninger om kontonummer og beløb.
Det var én af under-trådene, ja. For det overordnede emnes
vedkommende er den detalje uinteressant.
>[brug-kort-link: < http://tinyurl.com> ]
Jeg vil hellere opfordre folk til at bruge en klient, der virker.
>: The Trojan then monitors for access to the targeted banking Web site
>: login screens. When an access attempt is made, it injects its own HTML
>: snippet into the HTML returned by the bank Web server. The HTML
[..]
>Den ændre ikke tekst fra bank til kunde, eller fra kunde til bank.
Det er lige præcis det, der står i dit citat, at den gør.
Mvh.
Klaus.
| |
Axel Hammerschmidt (28-05-2007)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 28-05-07 18:25 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Nope. Det var en man-in-the-middel.
>
> Dether er "malware-in-the-middle". Samme koncept, bare meget mere
> skalerbart.
Nope. Man-in-the-middel modtager, forvansker og vidersender.
> >Kontohaveren brugte OTP = AktivCard. Og det var en forudsætning, at
> >challenge-respons værdierne var afhængig af oplysninger om kontonummer og
> >beløb.
>
> Det var én af under-trådene, ja. For det overordnede emnes
> vedkommende er den detalje uinteressant.
Så overordnet et emne er uinteressant.
> >[brug-kort-link: < http://tinyurl.com> ]
>
> Jeg vil hellere opfordre folk til at bruge en klient, der virker.
Eller du kunne prøve at sætte dit link i sådan nogle her: < >
> >: The Trojan then monitors for access to the targeted banking Web site
> >: login screens. When an access attempt is made, it injects its own HTML
> >: snippet into the HTML returned by the bank Web server. The HTML
> [..]
>
> >Den ændre ikke tekst fra bank til kunde, eller fra kunde til bank.
>
> Det er lige præcis det, der står i dit citat, at den gør.
Nope. Den tilføjer. Som der står: it injects its own HTML snippet into
the HTML returned by the bank Web server.
Jeg oversætter gerne hvis du har problemer med engelsk.
| |
Klaus Ellegaard (28-05-2007)
| Kommentar Fra : Klaus Ellegaard |
Dato : 28-05-07 18:45 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>> Dether er "malware-in-the-middle". Samme koncept, bare meget mere
>> skalerbart.
>Nope. Man-in-the-middel modtager, forvansker og vidersender.
Du har glemt en vigtig detalje: "Uden at de to parter er klar over
det".
Det er præcis det, der sker her: Banken beder kunden om at logge
ind, antageligt via en HTTPS-transmitteret side. Kunden bliver ikke
(kun) præsenteret for det, banken har sendt, men også for et krav
(for kunden at se stillet af banken) om en PIN-kode. Hverken kunden
eller banken er klar over, at deres krypterede transmission er
blevet "forvansket" (for nu at bruge dit udtryk) undervejs.
Klassisk man-in-the-middle. Eller rettere malware-in-the-middle.
>Eller du kunne prøve at sætte dit link i sådan nogle her: < >
Hvilken standard specificerer, at URL'er skal i <>? Jeg vil nok
nærmere sige, at programmer, der understøtter <>, bør undgås, da
programmørerne tydeligvis ikke forstår, hvad de har med at gøre.
>Jeg oversætter gerne hvis du har problemer med engelsk.
Jeg kan forstå, at du ikke mener, at "injection" af nyt indhold
er omfattet af mit brug af det danske ord "ændret".
I følge ordbogen betyder ændre at "give nogen eller noget en
anden form eller et andet udseende". Da der er kommet et nyt
felt til, har siden fået et andet udseende. Den er "ændret".
Hvis du er uenig, kan du spørge folket i sprog-gruppen. Det er
ganske off-topic her.
Mvh.
Klaus.
| |
Axel Hammerschmidt (29-05-2007)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 29-05-07 00:22 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >> Dether er "malware-in-the-middle". Samme koncept, bare meget mere
> >> skalerbart.
>
> >Nope. Man-in-the-middel modtager, forvansker og vidersender.
>
> Du har glemt en vigtig detalje: "Uden at de to parter er klar over
> det".
Det er lige meget, fordi det bliver afsløret hvis "challenge-respons
værdierne var afhængig af oplysninger om kontonummer og beløb".
<snip: pladder>
| |
Klaus Ellegaard (29-05-2007)
| Kommentar Fra : Klaus Ellegaard |
Dato : 29-05-07 06:18 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>> Du har glemt en vigtig detalje: "Uden at de to parter er klar over
>> det".
>Det er lige meget, fordi det bliver afsløret hvis "challenge-respons
>værdierne var afhængig af oplysninger om kontonummer og beløb".
Men det er de ikke, og så er det jo ikke ligemeget.
Næste udfordring der er, at den stakkels kunde skal indtaste
to kontonumre og et beløb på sit ActivCard. Det er besværligt
grænsende til det umulige.
Endelig forhindrer din ide jo ikke, at malware kan bruge den
eksisterende teknologi til at indsætte anden tekst i feltet,
hvor kunden godkender betalingen.
"Banken" kunne f.eks. skrive, at betingelsen for at gennemføre
transaktionen er, at kunden inden 14 dage overfører 500 kr i
gebyr til konto 1234567890.
Kommunikationen er krypteret, så kunden har ingen grund til
umiddelbart at tro, at dette budskab ikke kommer fra banken.
Medminde kunden altså er klar over konceptet med man-(eller-
malware)-in-the-middle.
Mvh.
Klaus.
| |
Andreas Plesner Jaco~ (29-05-2007)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 29-05-07 09:08 |
|
On 2007-05-29, Klaus Ellegaard <klausellegaard@msn.com> wrote:
Klaus,
>>Det er lige meget, fordi det bliver afsløret hvis "challenge-respons
>>værdierne var afhængig af oplysninger om kontonummer og beløb".
>
> Men det er de ikke, og så er det jo ikke ligemeget.
Så længe Axel vælger at beskylde folk for at lyve når han ikke forstår
hvordan ting kan lade sig gøre
(<1hsir3a.utvo7o1a3d0u4N%hlexa@hotmail.com>), så kan det vist ikke
betale sig at fortsætte diskussionen.
--
Andreas
| |
Axel Hammerschmidt (29-05-2007)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 29-05-07 12:46 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >> Du har glemt en vigtig detalje: "Uden at de to parter er klar over
> >> det".
>
> >Det er lige meget, fordi det bliver afsløret hvis "challenge-respons
> >værdierne var afhængig af oplysninger om kontonummer og beløb".
>
> Men det er de ikke, og så er det jo ikke ligemeget.
Det samme kan siges om:
: Ideen skulle være, at noget malware "ændrer" de skærmbilleder,
: hvor brugerne indtaster og bekræfter data, således at brugeren
: ser de rigtige kontonumre. I virkeligheden sørger malware'en
: for at sende angriberens kontonummer til banken i stedet for
: det rigtige.
:
: Det ser ud til, at der er dukket et eksempel op på noget, der
: minder om ovenstående scenarie: [...]
i Message-ID: <f3ejbr$f39$1@news.klen.dk>
Så jo, det er lige meget.
<snip: tynd luft>
| |
Andreas Plesner Jaco~ (28-05-2007)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 28-05-07 20:33 |
|
On 2007-05-28, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> Kontohaveren brugte OTP = AktivCard.
ActivCard er ikke og bliver aldrig OTP. OTP forudsætter at der er mindst
lige så meget nøgledata som klartekst.
--
Andreas
| |
Andreas Plesner Jaco~ (28-05-2007)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 28-05-07 21:11 |
|
On 2007-05-28, Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
>>
>> Kontohaveren brugte OTP = AktivCard.
>
> ActivCard er ikke og bliver aldrig OTP. OTP forudsætter at der er mindst
> lige så meget nøgledata som klartekst.
Ah, nu har jeg fået opklaret en misforståelse. Jeg kan se at OTP både
kan betyde One Time Password, og One Time Pad (som er det jeg
oprindeligt har lært).
--
Andreas
| |
|
|