eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.misc.elektronikaMają wszystko...Re: Mają wszystko...
  • Data: 2022-08-20 18:28:37
    Temat: Re: Mają wszystko...
    Od: Marek <f...@f...com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <m...@n...dev> wrote:
    > Bzdury totalne.
    > Strony phishingowe mogły mieć prawidłowy certyfikat na swojej
    > domenie
    > _podobnej_ do atakowanej.
    > Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.

    Serio? Dopiero teraz zauważyłeś o czym jest dyskusja? Nie
    dyskutujemy jak działa technicznie SSL/certyfikacja tylko jak to się
    *nie* sprawdza obecnie w praktyce. 100% oszukanych nie zwróciło uwagi
    na literówkę czy podobieństwo domeny, bo tego nie ogarniają, ergo
    dla nich całe certyfikacja i zaufanie o kant dupy potłuc bo to się
    rozpada na pierwszym takim użytkowniku. 100%! To jest skuteczność.
    Słyszałeś o tym, żeby chociaż 10% ofiar nie dało się oszukać bo
    zauważyli niezgodność nazwy z oczekiwaną?
    Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
    goryczą w głosie kłódkę, EVkę a mimo to "plugin" ściągnął całą kasę
    z kego konta. I co teraz? Może zaproponujesz paradygmat małpy z
    brzytwą i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych,
    którzy umieją zweryfikować wiarygodność domeny i certyfikatu!"?

    Problem "podobnych" domen to nie wszystko.
    Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w
    efekcie którego można go "przekierować" na serwer z prawidłową nazwą
    i prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie
    odróżnia mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie
    ma EV?

    Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe*
    site'y, z których user korzysta pierwszy raz i nazwa domeny nie ma
    dla niego żadnego znaczenia. User widząc kłódkę i prawidłowy
    certyfikat uznaje (bo mu tak 20 lat temu wpojono), że to "bezpieczna"
    strona, bo ktoś ją "zweryfikował" i wystawił certyfikat (zwykły, nie
    EV). A to bzdura na resorach. Oczywiście zorientowano się, że ta cała
    certyfikacja to lipa i wprowadzono EV. Teraz wystarczy poczekać aż
    zdaży się jeden lub dwa przypadki, w których ktoś wyda EV z
    naruszeniem procedur ("bo co, nie da się? Potrzymaj mi piwo...") i
    zostanie wymyślony EV wersja druga, poprawiona. W której certyfikaty
    będą wydawane po oddaniu krwi i moczu.

    > Zapewnia integralność danych od wyjścia z mojego komputera do
    > serwera i
    > z powrotem. Nadal nie rozumiesz o czym mówimy?

    Serio czy sobie teraz żartujesz?
    To w szerokiej praktyce *nie* ma znaczenia. Piękne założenia
    integralności i poufności danych dzięki użyciu ssl rozsypują się w
    zderzeniu ze środowiskiem w jakim owa funkcjonalność zostaje użyta. W
    środowisku śmieciowego oprogramowania jakim jest większość
    smartfonów i PC (pomijam garstkę nerdów, którzy jeszcze jako tako
    panują nad swoimi urządzeniami). Jest miliony sposobów aby zakpić z
    owej "integralności i poufności" poprzez ataki na słabe punkty, które
    są w ogóle poza kontekstem SSL. Czy kompromitują SSL? Oczywiście nie,
    ale sprowadzają z powrotem problem do początku, w którym
    "bezpieczeństwo połączenia" (którym się tak fascynujesz) czy
    "prawidłowy certyfikat" przy fraduach nie odgrywa żadnego znaczenia.

    --
    Marek

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: