-
Data: 2022-08-20 18:28:37
Temat: Re: Mają wszystko...
Od: Marek <f...@f...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <m...@n...dev> wrote:
> Bzdury totalne.
> Strony phishingowe mogły mieć prawidłowy certyfikat na swojej
> domenie
> _podobnej_ do atakowanej.
> Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
Serio? Dopiero teraz zauważyłeś o czym jest dyskusja? Nie
dyskutujemy jak działa technicznie SSL/certyfikacja tylko jak to się
*nie* sprawdza obecnie w praktyce. 100% oszukanych nie zwróciło uwagi
na literówkę czy podobieństwo domeny, bo tego nie ogarniają, ergo
dla nich całe certyfikacja i zaufanie o kant dupy potłuc bo to się
rozpada na pierwszym takim użytkowniku. 100%! To jest skuteczność.
Słyszałeś o tym, żeby chociaż 10% ofiar nie dało się oszukać bo
zauważyli niezgodność nazwy z oczekiwaną?
Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
goryczą w głosie kłódkę, EVkę a mimo to "plugin" ściągnął całą kasę
z kego konta. I co teraz? Może zaproponujesz paradygmat małpy z
brzytwą i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych,
którzy umieją zweryfikować wiarygodność domeny i certyfikatu!"?
Problem "podobnych" domen to nie wszystko.
Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w
efekcie którego można go "przekierować" na serwer z prawidłową nazwą
i prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie
odróżnia mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie
ma EV?
Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe*
site'y, z których user korzysta pierwszy raz i nazwa domeny nie ma
dla niego żadnego znaczenia. User widząc kłódkę i prawidłowy
certyfikat uznaje (bo mu tak 20 lat temu wpojono), że to "bezpieczna"
strona, bo ktoś ją "zweryfikował" i wystawił certyfikat (zwykły, nie
EV). A to bzdura na resorach. Oczywiście zorientowano się, że ta cała
certyfikacja to lipa i wprowadzono EV. Teraz wystarczy poczekać aż
zdaży się jeden lub dwa przypadki, w których ktoś wyda EV z
naruszeniem procedur ("bo co, nie da się? Potrzymaj mi piwo...") i
zostanie wymyślony EV wersja druga, poprawiona. W której certyfikaty
będą wydawane po oddaniu krwi i moczu.
> Zapewnia integralność danych od wyjścia z mojego komputera do
> serwera i
> z powrotem. Nadal nie rozumiesz o czym mówimy?
Serio czy sobie teraz żartujesz?
To w szerokiej praktyce *nie* ma znaczenia. Piękne założenia
integralności i poufności danych dzięki użyciu ssl rozsypują się w
zderzeniu ze środowiskiem w jakim owa funkcjonalność zostaje użyta. W
środowisku śmieciowego oprogramowania jakim jest większość
smartfonów i PC (pomijam garstkę nerdów, którzy jeszcze jako tako
panują nad swoimi urządzeniami). Jest miliony sposobów aby zakpić z
owej "integralności i poufności" poprzez ataki na słabe punkty, które
są w ogóle poza kontekstem SSL. Czy kompromitują SSL? Oczywiście nie,
ale sprowadzają z powrotem problem do początku, w którym
"bezpieczeństwo połączenia" (którym się tak fascynujesz) czy
"prawidłowy certyfikat" przy fraduach nie odgrywa żadnego znaczenia.
--
Marek
Następne wpisy z tego wątku
- 20.08.22 22:37 Grzegorz Niemirowski
- 20.08.22 22:45 Grzegorz Niemirowski
- 20.08.22 22:48 Grzegorz Niemirowski
- 20.08.22 23:04 Grzegorz Niemirowski
- 21.08.22 00:31 Michał Jankowski
- 21.08.22 01:25 Marek
- 21.08.22 01:33 Marek
- 21.08.22 01:45 Marek
- 21.08.22 02:29 Marek
- 21.08.22 09:31 Stachu Chebel
- 21.08.22 10:29 Marek
- 21.08.22 12:12 Mirek
- 22.08.22 13:10 Piotr Gałka
- 22.08.22 13:13 Piotr Gałka
- 22.08.22 13:28 J.F
Najnowsze wątki z tej grupy
- Czy cos fi przechodzi przez trafo separujące?
- śrubka masy
- Ciekawostka na dziś lock bity
- [OT] napisy w YT
- Było 83V
- Stare komputery
- Odbiornik ADS-B i wzmacniacze
- Thunderbird i dysk...
- opornosc falowa
- Bateria 9V 6F22, alkaliczna v cynkowa, samorozładowanie, bateria wysokiej trwałości do miernika
- Tani zakup z ali?
- w czasach LED komary mają ciężko
- walizka z kodami
- Rejestrator temperatur - termopara, siec
- Router LTE z możliwością zmian MTU
Najnowsze wątki
- 2025-08-06 Gdynia => Konsultant wdrożeniowy (systemy controlingowe) <=
- 2025-08-06 Białystok => Inżynier oprogramowania .Net <=
- 2025-08-06 "[...] sejmowe wystąpienie posłanki Klaudii Jachiry, która zakończyła je słowami ,,Sława Ukrainie"."
- 2025-08-05 "Chiny przekraczają w wydobyciu 4 mld ton węgla, Indie i USA ponad 1 mld, a Rosja 500 mln ton [...]"
- 2025-08-05 Panuje się 181 159,42 zł./mies. na posła w 2026r.
- 2025-08-05 "Chiny przekraczają w wydobyciu 4 mld ton węgla, Indie i USA ponad 1 mld, a Rosja 500 mln ton [...]"
- 2025-08-05 Czy cos fi przechodzi przez trafo separujące?
- 2025-08-05 kajaki i promile
- 2025-08-05 Re: Tesla jest bezpieczna, wczoraj spaliła się doszczętnie na Ursynowie i nikomu się nic nie stało
- 2025-08-05 Gdynia => Przedstawiciel handlowy / KAM (branża TSL) <=
- 2025-08-05 Re: Atak na lekarza w Oławie. Policja zatrzymała sprawcę na lotnisku Polska Agencja Prasowa 4 sierpnia 2025, 12:16 FACEBOOK X E-MAIL KOPIUJ LINK W szpitalu w Oławie 37-letni pacjent zaatakował lekarza, po tym, jak ten odmówił mu wypisania długoterminowego
- 2025-08-05 B2B i książka przychodów i rozchodów
- 2025-08-04 Re: Atak na lekarza w Oławie. Policja zatrzymała sprawcę na lotnisku Polska Agencja Prasowa 4 sierpnia 2025, 12:16 FACEBOOK X E-MAIL KOPIUJ LINK W szpitalu w Oławie 37-letni pacjent zaatakował lekarza, po tym, jak ten odmówił mu wypisania długoterminowego
- 2025-08-04 Na grupie comp.os.linux.advocacy CrudeSausage twierdzi, że Micro$lop używa SI do szyfrowania formatu dok. XML
- 2025-08-04 Na grupie comp.os.linux.advocacy CrudeSausage twierdzi, że Micro$lop używa SI do szyfrowania formatu dok. XML