Säkerhet i Wifi

Sedan så behöver du en säkerhets dosa för bank ärenden oftast, det ger ett extra login skydd förutom SSL certifikatet över ett publikt nätverk. Så om de skall komma åt ditt bankkonto efter du använt det så måste de även knäcka lösenords koden via dosan.

Så det finns egentligen ingen risk att göra bank ärenden via trådlöst. Sedan så går inte trådlöst särskilt långt heller, det är för långsökt att en granne skulle hacka dig eller att någon satt utanför i typ busken

Har du fått in ett dåligt cert, och någon gör en MITM så kan du ju presentera vad du vill mot användaren. Visa för användaren att knappa in 1234567 i dosan (sitt egna BG/kontonummer/summa/whatever banken nu ska ha). Är användaren inte vaken är denne rökt.

Jag säger inte att det är särskilt simpelt, men det är inte omöjligt om någon gett sig den på att plocka dina pengar. Chansen att det skulle hända är dock försumbar. Med det menas att den finns inte, fast bara lite.

Du tar dig inte in i dosan. Du lurar användaren till att knappa in siffrorna DU behöver på siten du kontrollerar, och sen använder du de siffrorna själv.

Jag säger ju att det inte är enkelt - men det går. Men då måste man vara extremt sugen på just dina pengar. Du måste veta vilken bank, lura in ett root-cert, MITM på nätverket NÄR du ska in till banken, ha byggt verktyg för att generera bankens webbsidor, med "vettig" data som användaren kan gå på. Det är mycket, och nog inget som någon skulle göra för den typiske medborgaren. Det börjar dock bli lite lurigare med Bank ID - där det faktiskt står i klartext vad du godkänner...

@plunn: Teorin är att offret TROR att han surfar till sin bank. I själva verket har offret dirigerats om till en phising-sida som ser ut som offrets bank.
När offret sedan skall logga in så anges kontouppgifter på den falska sidan. Den falska sidan tar sedan kontakt med den riktiga banken och loggar in med tillhandahållna uppgifter som offret ovetandes har givit till den falska banken.
När offret sedan skall genomföra en transaktion så "händer något" och offret tvingas ange uppgifterna igen. Denna gång har den falska sidan preparerat en överföring av pengarna och begär i själva verket koder för signering.

Ovan är min ungefärligare minnesbild av en artikel jag läste för några år sedan... kommer inte ihåg om det lyckades eller inte men det är vad jag tro att zyberzero delvist syftar på.

@Dr.Mabuse har helt rätt i hur jag menar. Det fungerar alldeles utmärkt med dosa också. Bortse från SSL, vi vet att det går att ta sig runt.

Antag att jag har lyckats få in ett rootcert i din maskin, och lyckats få kontroll över din nätverkstrafik med någon MITM-attack.
Jag ändrar alla DNS-uppslag till din bank att slå mot en maskin jag äger.

1. Du går in på din internetbank, internetbank.se
2. Jag svarar, internetbank.se har IP 192.168.1.2 (i själva verket har banken 213.115.123.123 säger vi)
3. Din dator ansluter till 192.168.1.2 där jag har byggt en sida som svarar med ett cert som säger, jajjemen, jag är internetbank.se - certet är signat av rootcertet jag lyckats få in i din dator, så maskinen litar på det. Siten ser exakt ut som din internetbank. Du trycker logga in.
4. JAG kontaktar den riktiga internetbankens loginsida, som säger "knappa in 123456789 i din dosa". Jag skickar den infon till dig.
5. Du knappar in 123456789 i din dosa, och trycker logga in.
6. Jag ser 123456789, och skickar det i min tur till internetbanken. Får en lista på alla dina konton, som jag skickar tillbaka till dig (så det ser helt normalt ut!)
7. Du klickar runt i din bank, och jag skickar bara vidare alla requests som hämtar data.
8. När jag märker att du är på väg att lägga till ett nytt konto för bg 1111-1111, så säger banken att du ska knappa in 1111-1111. Jag ändrar det till mitt bg istället, 2222-2222 och skickar vidare till dig.
9. Om du inte är uppmärksam på att bgt ändrats, så knappar du in 2222-2222 och skickar till mig.
10. Jag ändrar i skymundan din request för 1111-1111 till att lägga till 2222-2222 istället.
När du har gjort dina överföringar som du tror att du har gjort, så kanske de uppgår till 2222 kronor. Jag, eftersom jag vet hur mycket pengar du har på kontot från punkt 6. Jag ändrar då så att du ska knappa in 3333 istället, för att det är så mycket pengar du har. I bakgrunden gör jag en request till banken på dessa 3333 kronor.
11. du knappar in 3333 i din dosa, och skickar till mig.
12. Jag skickar det direkt vidare till banken, och vips har du överfört 3333 kronor till bg 2222-2222, dvs mig!

Jag vill än en gång vidhålla att det är möjligt, men hemskt meckigt, krångligt och det är nog lättare att dyka upp hos dig med en pistol och säga att du ska överföra alla pengar till mig.

Nu kanske råder språkförbistring här men med dosa syftar jag på dem NCR1-dosa som du stoppar in ditt bankkort i. Dessa är inte säkrare än skrapkoder i detta scenario eftersom den falska sidan vidarebefordrar koder och kontrollkoder fram och tillbaka mellan offret och den riktiga banken. Offret ser dock inte vad som verkligen händer i bakgrunden.

SSL (förutsätter certifikat, annars är det inte SSL) säkrar i det diskuterade scenariot bara trafiken mellan den falska banken och den riktiga banken. Koden är inte heller i realtid, den genereras vid varje transaktion efter en given algoritm.
Jag tror inte ovan bluff skulle fungera med BankID-appen på din Iphon/Andoid eftersom den är direklänkad med den riktiga banken och därmed (bättre?) skyddad från MITM-attacker.

Att du inte känner till något fall har du redan nämnt och är dessutom inget argument så jag förstår inte riktigt poängen då det inte tillför något till diskussionen?