-
Data: 2022-08-20 18:28:37
Temat: Re: Mają wszystko...
Od: Marek <f...@f...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <m...@n...dev> wrote:
> Bzdury totalne.
> Strony phishingowe mogły mieć prawidłowy certyfikat na swojej
> domenie
> _podobnej_ do atakowanej.
> Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
Serio? Dopiero teraz zauważyłeś o czym jest dyskusja? Nie
dyskutujemy jak działa technicznie SSL/certyfikacja tylko jak to się
*nie* sprawdza obecnie w praktyce. 100% oszukanych nie zwróciło uwagi
na literówkę czy podobieństwo domeny, bo tego nie ogarniają, ergo
dla nich całe certyfikacja i zaufanie o kant dupy potłuc bo to się
rozpada na pierwszym takim użytkowniku. 100%! To jest skuteczność.
Słyszałeś o tym, żeby chociaż 10% ofiar nie dało się oszukać bo
zauważyli niezgodność nazwy z oczekiwaną?
Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
goryczą w głosie kłódkę, EVkę a mimo to "plugin" ściągnął całą kasę
z kego konta. I co teraz? Może zaproponujesz paradygmat małpy z
brzytwą i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych,
którzy umieją zweryfikować wiarygodność domeny i certyfikatu!"?
Problem "podobnych" domen to nie wszystko.
Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w
efekcie którego można go "przekierować" na serwer z prawidłową nazwą
i prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie
odróżnia mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie
ma EV?
Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe*
site'y, z których user korzysta pierwszy raz i nazwa domeny nie ma
dla niego żadnego znaczenia. User widząc kłódkę i prawidłowy
certyfikat uznaje (bo mu tak 20 lat temu wpojono), że to "bezpieczna"
strona, bo ktoś ją "zweryfikował" i wystawił certyfikat (zwykły, nie
EV). A to bzdura na resorach. Oczywiście zorientowano się, że ta cała
certyfikacja to lipa i wprowadzono EV. Teraz wystarczy poczekać aż
zdaży się jeden lub dwa przypadki, w których ktoś wyda EV z
naruszeniem procedur ("bo co, nie da się? Potrzymaj mi piwo...") i
zostanie wymyślony EV wersja druga, poprawiona. W której certyfikaty
będą wydawane po oddaniu krwi i moczu.
> Zapewnia integralność danych od wyjścia z mojego komputera do
> serwera i
> z powrotem. Nadal nie rozumiesz o czym mówimy?
Serio czy sobie teraz żartujesz?
To w szerokiej praktyce *nie* ma znaczenia. Piękne założenia
integralności i poufności danych dzięki użyciu ssl rozsypują się w
zderzeniu ze środowiskiem w jakim owa funkcjonalność zostaje użyta. W
środowisku śmieciowego oprogramowania jakim jest większość
smartfonów i PC (pomijam garstkę nerdów, którzy jeszcze jako tako
panują nad swoimi urządzeniami). Jest miliony sposobów aby zakpić z
owej "integralności i poufności" poprzez ataki na słabe punkty, które
są w ogóle poza kontekstem SSL. Czy kompromitują SSL? Oczywiście nie,
ale sprowadzają z powrotem problem do początku, w którym
"bezpieczeństwo połączenia" (którym się tak fascynujesz) czy
"prawidłowy certyfikat" przy fraduach nie odgrywa żadnego znaczenia.
--
Marek
Następne wpisy z tego wątku
- 20.08.22 22:37 Grzegorz Niemirowski
- 20.08.22 22:45 Grzegorz Niemirowski
- 20.08.22 22:48 Grzegorz Niemirowski
- 20.08.22 23:04 Grzegorz Niemirowski
- 21.08.22 00:31 Michał Jankowski
- 21.08.22 01:25 Marek
- 21.08.22 01:33 Marek
- 21.08.22 01:45 Marek
- 21.08.22 02:29 Marek
- 21.08.22 09:31 Stachu Chebel
- 21.08.22 10:29 Marek
- 21.08.22 12:12 Mirek
- 22.08.22 13:10 Piotr Gałka
- 22.08.22 13:13 Piotr Gałka
- 22.08.22 13:28 J.F
Najnowsze wątki z tej grupy
- Digikey, SN74CBT3253CD, FST3253, ktoś ma?
- Szukam: czujnik ruchu z możliwością zaączenia na stałe
- kabelek - kynar ?
- Podnieść masę o 0.6V
- Moduł BT BLE 5.0
- Pomiar amplitudy w zegarku mechanicznym
- ale zawziętość i cierpliwość
- Chiński elektrolizer tester wody
- Dzisiaj Bentlejem czyli przybieżeli sześciu Króli do Rysia na kasie
- ciekawy układ magnetofonu
- Mikroskop 3D
- Jak być bezpiecznym z Li-Ion?
- Szukam monitora HDMI ok. 4"
- Obcinaczki z łapaczem
- termostat do lodowki
Najnowsze wątki
- 2025-01-02 Rzeszów => International Freight Forwarder <=
- 2025-01-02 Warszawa => Software Engineer .Net <=
- 2025-01-02 Warszawa => Spedytor międzynarodowy <=
- 2025-01-02 Wróblewo => Analityk finansowy <=
- 2025-01-02 Szczecin => Senior Field Sales (system ERP) <=
- 2025-01-02 Ostrów Wielkopolski => Area Sales Manager OZE <=
- 2025-01-02 Bydgoszcz => Specjalista ds. Sprzedaży (transport drogowy) <=
- 2025-01-01 Już nie płoną
- 2025-01-01 Digikey, SN74CBT3253CD, FST3253, ktoś ma?
- 2025-01-01 Co tam u Was
- 2025-01-01 Koder szuka pracy. Koduję w j.: Asembler, C, C++ (z bibl. Qt) i D.
- 2025-01-01 Gdańsk => Delphi Programmer <=
- 2025-01-01 Łódź => Programista Full Stack .Net <=
- 2025-01-01 Żerniki => Regionalny Kierownik Sprzedaży (OZE) <=
- 2025-01-01 Wrocław => Specjalista ds. Sprzedaży <=