Otevřené wifiny zákazníků, hospod hotelů atd.

[soucez]

Tak dneska ráno jsem měl dobrej telefonát. Nějakej pan Houška z firmy www.ecardone.com mě volal že z jedné naší IP adresy se někdo naboural do účtu jejich zákazníka a převedl 50.000USD někam pryč.. že chce nějaké logy atd. policie atd...
Nicméně po ověření jsme zjistili že tuto IP vůbec nepoužíváme pouze byla chyba v RIPE a byla psána na nás.
Využívá ji ve skutečnosti nějaká DTP firma z Brna IBC Příkop. Takže jsme z obliga, ale proč to sem píšu?
Napadá mě jediná věc jak se toto mohlo stát. Firma má beztak nějkou wifinu bez hesla a hacker se prostě připojil přes ně.
Jak myslíte že se toto bude řešit? Je to průser té brněnské firmy nebo provozovatele ecardone.com ? Ten útočník se prý přihlásil pod korektním loginem a heslem a tím pádem pak udělal korektní převod. No akorát to byl někdo jiný než majitel účtu
Celkem by mě zajímalo kdo to zacvaká. Přece jenom 1mega není málo.
Když si vzpomenu kolik otevřených wifin je všude kolem v bytech paneláků apod. tak si lidi neuvědomují o co si koledují...

[ludvik]

Tohle je blbost. A neznalost. I kdyby to byl opravdový průnik, musí se prokázat úmysl a najít viník. A to rozhodně není právnická osoba ... Pokud dotyčný použil regulérní přihlášení, je to jen blbost poškozeného. Už vůbec to nelze házet na síť odkud to šlo. Byť trestné to je. Opět platí, že se musí najít viník. Ale co už vůbec - jak si někdo může dovolit chtít po někom logy? Policie, na základě rozhodnutí soudu ano (to jestli je máme, nebo ne je jiná věc). Ale proboha nikdo jiný.
A i v době platnosti data retention - to platilo pro ISP, pro firmy s telekomunikační licencí. Nikoliv pro každého. A ukažte mi firmu, která pro své potřeby loguje takto podrobně. Možná tak omylem, když to někdo zapomenul ve Squidu.

A lidi si to opravdu neuvědomují. Je to nad jejich chápání. Rozumí tomu mizivé procento populace. Porozumění se ovšem zvýší, když jim řeknu, že se v takovém případě může stát tohle: http://www.khnet.info/view.php?cisloclanku=2008031902

[hafieror]

http://konference.internetprovsechny.cz/srni2012/video/

je tam přednáška "Odpovědnost ISP a uživatelů – právní aspekty (JUDr. Jan Kolouch, Ph.D.)", která mě teda momentálně nejde spustit, ale stáhnout by jít měla. Já osobně z toho mám stejně pořád zmatek, protože mám po městě spoustu free hotspotů, které pustí do sítě kohokoliv jedním kliknutím.

[ludvik]

Oni nám to jednou zakážou A povolí jen podmínkou, že se každý musí zaregistrovat a prokázat průkazem. Co na tom, že občanku musíš ukázat jen policajtům Pak si to uvědomí a vydají novelu, že každá wifi s módem klient bude muset být přímo v centrálním registru. A to půjde přes datové schránky, takže každý kdo si koupí notebook, půjde ještě s nerozbalenou krabicí na Czech Point Pak zjistí, že ani ty poplatky nestačí, takže DS bude povinná pro každého občana >14 let. A pak už si to asi fakt hodím

Já osobně z toho mám stejně pořád zmatek, protože mám po městě spoustu free hotspotů, které pustí do sítě kohokoliv jedním kliknutím.

[zdenek.svarc]

Co se týká odpovědnosti, je to přesně jak píše Martin. Co se týká převodu bezhotovostních prostředků, rozhodně je nutné aby fungovala minimálně dvouúrovňová autorizace, přičemž ta druhá musí jít mimo internetový kanál. Nejjednodušeji ověření přes SMS. Dokážu si představit překonání i takové autorizace, ale bylo by to hodně nákladné na techniku. Co se týká free WIFI, opravtě mě, jestli se mýlím, ale ověřování totožnosti funguje například v Itálii.

[Walkeer]

Nabourani se do cizi infraastruktury je minimalne prestupek, spise trestny cin, to zaprve. Zadruhe, zadny zakon ani vyhlaska nam neuklada povinnost zabezpecit si infrastrukturu. Zatreti, je na policii a soudech at najdou vinika a PROKAZOU mu vinu, dukazni bremeno rozhodne neni an provozovateli otevrene wifiny. Neco jineho to je v sousednim nemecku, tam, pokud se nepletu, maji za povinost si wifi site zabezpecit.

[zdenek.svarc]

Zadruhe, zadny zakon ani vyhlaska nam neuklada povinnost zabezpecit si infrastrukturu.

Mmm, tím bych si nebyl příliš jistý, viz § 415 Občanského zákoníku:

§ 415 Každý je povinen počínat si tak, aby nedocházelo ke škodám na zdraví, na majetku, na přírodě a životním prostředí.

Stejně tak je povinnost předcházet škodám transponována do dalších zdrojů práva.

[OFF]

To Zdeněk: Překonání SMS autorizace je jednoduší než se může zdát. Nedávno jsem o tom četl článek. Vlastně stačí jenom uživatele online bankovnictví dostat nějak na svůj web (který vypadá stejně jako originál) a pak už to jede jedna radost .

[zdenek.svarc]

To Zdeněk: Překonání SMS autorizace je jednoduší než se může zdát. Nedávno jsem o tom četl článek. Vlastně stačí jenom uživatele online bankovnictví dostat nějak na svůj web (který vypadá stejně jako originál) a pak už to jede jedna radost .

To ano, pokud se do toho zamíchá trošku sociálního inženýrství, phishing a sslstrip, tak souhlasím, jde to i jednodušeji, než bourat se do mobilních sítí.

[net.work]

To Zdeněk: Překonání SMS autorizace je jednoduší než se může zdát. Nedávno jsem o tom četl článek. Vlastně stačí jenom uživatele online bankovnictví dostat nějak na svůj web (který vypadá stejně jako originál) a pak už to jede jedna radost .

a proto se spolecne se vsemi formulari posila i tzv. token (obyc hidden input), ktery se kontroluje oproti session, nebo jeste lepe oproti databazi a musi souhlasit, jinac to klienta okamzite deautorizuje

[Walkeer]

Zadruhe, zadny zakon ani vyhlaska nam neuklada povinnost zabezpecit si infrastrukturu.

Mmm, tím bych si nebyl příliš jistý, viz § 415 Občanského zákoníku:

§ 415 Každý je povinen počínat si tak, aby nedocházelo ke škodám na zdraví, na majetku, na přírodě a životním prostředí.

Stejně tak je povinnost předcházet škodám transponována do dalších zdrojů práva.

No, chtel bych videt soudce, ktery by na zaklade tohoto hodne obecneho tvrzeni nekoho odsoudil za nezapezpeceni wifiny.

[OFF]

...

Banka nemá jak poznat jestli se přihlásil člověk nebo robot.
Možná jsem tě špatně pochopil, ale každopádně napíšu jak to popisovali.
Podstrčíte klientovi banky vlastní stránku, která vypadá stejně jako originál. Klient se normálně přihlásí (dá vám svoje přihlašovací údaje). Vy se automaticky s těmito údaji přihlásíte na internetbanking. Klient zadá příkaz k úhradě (vy taky, ale příjemcem je váš účet). Banka odešle SMS, klient zadá kód do podstrčené stránky a vy tímto kódem autorizujete upravený příkaz.
Samozřejmě je to dost o pozornosti klienta, ale upřímě, kdo z Vás pokaždé když leze do internetbankingu kontroluje správnost certifikátu (většina lidí ani neví co to je). A v SMS taky moc lidí nebude kontrolovat číslo účtu příjemce.

[net.work]

to pak ano.. ale moc mi neni jasne, jak se muze klientovi podstrcit (vizuelne) stejny web? To jako i URL je stejne, nebo ho to nekam redirectne?

[OFF]

Teoreticky při nabourání do DNS serveru může být i URL stejné. Nicméně jsme už OT, tohle je o zabezpečení WIFI.