Goto page Previous 1, 2, 3, 4 Next
Marek
Guest
Sat Aug 20, 2022 10:48 am
On Sat, 20 Aug 2022 00:21:52 +0200, Mirek <mirek@null.dev> wrote:
Quote:
Ja pier...
To że za darmo nie ma znaczenia. Ważne że podpisujący sprawdza czy
domena jest twoja i masz prawo go używać.
Powiedz wszystkim oszukanym przez strony phishingowe, że
najważniejsze że te strony miały prawidłowy certyfikat i były
sprawdzone, że ich domena i mieli prawo jej używać. To najważniejsze.
Ciągle nie pojmujesz, że to "sprawdzanie" nie ma żadnej wartości.
*Wszystkie* strony phisingowe używające SSL maja prawidłowo
wystawiony i podpisany certyfikat i zostały *prawidłowo*
zweryfikowane przez signera certyfikatu. Żadnej z ofiar to nie
pomogło. I to nie była wina jakiś nieogarniętych użytkowników. Nawet
Ty niby technicznie ogranięty user palnąłeś głupstwo jakoby
szyfrowanie zapewnia integralność danych. W teorii *TYLKO* w bardzo
wąskim zakresie, w praktyce nic to nie daje, bo dane mogą być
skompromitowane banalnie przed zaszyfrowaniem albo po odszyfrowaniu.
Quote:
Co ty tam sobie zainstalujesz i co zmienisz u siebie to mnie nie
obchodzi.
Dla mnie ważne jest żeby moje połączenie było bezpieczne.
LOL,
Co z tego, że połączenie jest bezpiecznie, skoro dane nie są
bezpieczne *przed* zaszyfrowaniem (skompromitowany telefon, pc) ani
*po* odszyfrowaniu (oszusci stojący za stroną do fraudów)?
Nie rozumiesz, że szyfrowanie i całe te ceregiele z certyfikatami
dają tylko złudne poczucie bezpieczeństwa. A obecnie web po ssl z
bezpieczeństwem nie ma nic wspólnego. To tylko onanizator, taka
nakładka wibrująca do wywołania samozadowolenia z chwilowego poczucia
prywatności na łączu. I właściwe tylko do tego się skraca bo działa
tylko w wąskim zakresie *po* zaszyfrowaniu i *przed* odszyfrowaniem
(a nawet w tym zakresie są sposoby). Miała chronić przed jakimś
mitycznym podglądaczem, który podgaldajac payload miałby
niewiadomo-co-strasznego zrobić. Z dumą eliminując mityczne
zagrożenie spowodowała najgorsze z możliwych scenariuszy: skupienie
wektorow ataku na źródło *wszystkich* twoich danych, twój komputer,
laptop smartfon itp. Po co podglądać jakieś fragmentaryczne dane na
łączu jak można mieć dostęp do wszystkiego na raz? Obecnie
"szyfrowanie" http to zakładanie wypasionego zamka do drzwi z papieru
i dytky do komórki.
--
Marek
Mirek
Guest
Sat Aug 20, 2022 11:26 am
On 20.08.2022 10:48, Marek wrote:
Quote:
Powiedz wszystkim oszukanym przez strony phishingowe, że najważniejsze
że te strony miały prawidłowy certyfikat i były sprawdzone, że ich
domena i mieli prawo jej używać. To najważniejsze.
Ciągle nie pojmujesz, że to "sprawdzanie" nie ma żadnej wartości.
*Wszystkie* strony phisingowe używające SSL maja prawidłowo wystawiony i
podpisany certyfikat i zostały *prawidłowo* zweryfikowane przez signera
certyfikatu. Żadnej z ofiar to nie pomogło. I to nie była wina jakiś
nieogarniętych użytkowników.
Bzdury totalne.
Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
_podobnej_ do atakowanej.
Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
Nawet Ty niby technicznie ogranięty user
Quote:
palnąłeś głupstwo jakoby szyfrowanie zapewnia integralność danych. W
teorii *TYLKO* w bardzo wąskim zakresie, w praktyce nic to nie daje, bo
dane mogą być skompromitowane banalnie przed zaszyfrowaniem albo po
odszyfrowaniu.
Zapewnia integralność danych od wyjścia z mojego komputera do serwera i
z powrotem. Nadal nie rozumiesz o czym mówimy?
Jeżeli nie ufasz swojemu komputerowi to wyrzuć go, nie wiem - zainstaluj
Linuksa, kup Mac-a - cokolwiek, albo trzymaj pieniądze w skarpecie ale
nie zmieniaj mi tu tematu.
Quote:
LOL,
Co z tego, że połączenie jest bezpiecznie, skoro dane nie są bezpieczne
*przed* zaszyfrowaniem (skompromitowany telefon, pc) ani *po*
odszyfrowaniu (oszusci stojący za stroną do fraudów)?
Nie rozumiesz, że szyfrowanie i całe te ceregiele z certyfikatami dają
tylko złudne poczucie bezpieczeństwa. A obecnie web po ssl z
bezpieczeństwem nie ma nic wspólnego. To tylko onanizator, taka nakładka
wibrująca do wywołania samozadowolenia z chwilowego poczucia prywatności
na łączu. I właściwe tylko do tego się skraca bo działa tylko w wąskim
zakresie *po* zaszyfrowaniu i *przed* odszyfrowaniem (a nawet w tym
zakresie są sposoby). Miała chronić przed jakimś mitycznym podglądaczem,
który podgaldajac payload miałby niewiadomo-co-strasznego zrobić. Z
dumą eliminując mityczne zagrożenie spowodowała najgorsze z możliwych
scenariuszy: skupienie wektorow ataku na źródło *wszystkich* twoich
danych, twój komputer, laptop smartfon itp. Po co podglądać jakieś
fragmentaryczne dane na łączu jak można mieć dostęp do wszystkiego na
raz? Obecnie "szyfrowanie" http to zakładanie wypasionego zamka do drzwi
z papieru i dytky do komórki.
Nie mam już siły ani ochoty tłumaczyć po co jest https i przed czym
chroni a przed czym nie.
Weź może doczytaj sobie i wróć za tydzień.
Moja rada jest taka: nie loguj się nigdzie ani tym bardziej nie kupuj w
sklepach, które nie używają https z prawidłowym certyfikatem.
Może dla ciebie nie ma to wartości, bo najwyraźniej tego nie ogarniasz.
Na szczęście dla ogarniających ma, i nikt normalny nie postawi sklepu na
http w trosce o swoją i twoją dupę.
--
Mirek.
Adam
Guest
Sat Aug 20, 2022 1:17 pm
Dnia Sat, 20 Aug 2022 11:26:45 +0200, Mirek napisał(a):
Quote:
On 20.08.2022 10:48, Marek wrote:
Powiedz wszystkim oszukanym przez strony phishingowe, że najważniejsze
że te strony miały prawidłowy certyfikat i były sprawdzone, że ich
domena i mieli prawo jej używać. To najważniejsze.
Ciągle nie pojmujesz, że to "sprawdzanie" nie ma żadnej wartości.
*Wszystkie* strony phisingowe używające SSL maja prawidłowo wystawiony i
podpisany certyfikat i zostały *prawidłowo* zweryfikowane przez signera
certyfikatu. Żadnej z ofiar to nie pomogło. I to nie była wina jakiś
nieogarniętych użytkowników.
Bzdury totalne.
Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
_podobnej_ do atakowanej.
Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
(...)
I o to właśnie chodzi.
@Marek, chyba jednej podstawowej rzeczy nie rozumiesz.
Ataki polegają na podmianie domeny, czyli przykładowo próbujesz się łączyć
z
https://richbaNk.marek.com natomiast w rzeczywistości połączysz się z
https://richbaMk.marek.com i jeśli nie przyuważysz różnicy, to jesteś w
czarnej dupie.
Obie strony mają certyfikaty, oba są prawidłowe.
Tyle tylko, że ktoś np. mógł Ci namieszać w routerze, w DNS czy w czymś tam
innym.
--
Pozdrawiam.
Adam
Mirek
Guest
Sat Aug 20, 2022 1:36 pm
On 20.08.2022 13:17, Adam wrote:
Quote:
@Marek, chyba jednej podstawowej rzeczy nie rozumiesz.
Ataki polegają na podmianie domeny, czyli przykładowo próbujesz się łączyć
z
https://richbaNk.marek.com natomiast w rzeczywistości połączysz się z
https://richbaMk.marek.com i jeśli nie przyuważysz różnicy, to jesteś w
czarnej dupie.
Zgadza się, z tym że to nie najlepszy przykład, bo obydwie to subdomeny
na marek.com, czyli obydwoma rządzi Marek. Najważniejsze jest to co koło
ostatniej kropki przed /
Łatwiej by było zrobić:
richbank.marek.com/mojabespiecznastrona/dane/jeszczekupatekstuktoryniktnieczyta/login.html
a podstawić:
richbank.marek.com.mojabespiecznastrona.dane.jeszczekupatekstuktoryniktnieczyta.zlymirek.ru/login.html
Quote:
Obie strony mają certyfikaty, oba są prawidłowe.
Tyle tylko, że ktoś np. mógł Ci namieszać w routerze, w DNS czy w czymś tam
innym.
Nie trzeba nic w niczym mieszać. Wystarczy mieć coś pod kontrolą
podłączonego w tej samej sieci lokalnej.
--
Mirek.
Mateusz Viste
Guest
Sat Aug 20, 2022 1:47 pm
2022-08-20 o 13:17 +0200, Adam napisał:
Quote:
Tyle tylko, że ktoś np. mógł Ci namieszać w routerze, w DNS czy w
czymś tam innym.
Przed tym właśnie - i w zasadzie tylko przed tym - chroni certyfikat.
To, co wyświetla się w pasku URL ma zgadzać się z tym, co zawiera FQDN
przedstawionego (i podpisanego przez zaufane CA) certyfikatu x509.
Mateusz
Mateusz Viste
Guest
Sat Aug 20, 2022 1:51 pm
2022-08-20 o 13:36 +0200, Mirek napisał:
Quote:
Nie trzeba nic w niczym mieszać. Wystarczy mieć coś pod kontrolą
podłączonego w tej samej sieci lokalnej.
Nie wystarczy, bo w dalszym ciągu na tym "czymś" nie masz certyfikatu
podpisanego dla docelowej (prawdziwej) domeny. Musiałbyś dodatkowo
namieszać w komputerze/smartfonie klienta aby ten zaufał twojemu CA.
Mateusz
Mirek
Guest
Sat Aug 20, 2022 2:03 pm
On 20.08.2022 13:51, Mateusz Viste wrote:
Quote:
Nie wystarczy, bo w dalszym ciągu na tym "czymś" nie masz certyfikatu
podpisanego dla docelowej (prawdziwej) domeny. Musiałbyś dodatkowo
namieszać w komputerze/smartfonie klienta aby ten zaufał twojemu CA.
Ej przeczytaj dokładnie o czym mowa i komu odpisujesz.
Ja na zlymirek.ru mam swój prawidłowy certyfikat i nic nie muszę mieszać.
--
Mirek.
Marek
Guest
Sat Aug 20, 2022 6:28 pm
On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <mirek@null.dev> wrote:
Quote:
Bzdury totalne.
Strony phishingowe mogły mieć prawidłowy certyfikat na swojej
domenie
_podobnej_ do atakowanej.
Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
Serio? Dopiero teraz zauważyłeś o czym jest dyskusja? Nie
dyskutujemy jak działa technicznie SSL/certyfikacja tylko jak to się
*nie* sprawdza obecnie w praktyce. 100% oszukanych nie zwróciło uwagi
na literówkę czy podobieństwo domeny, bo tego nie ogarniają, ergo
dla nich całe certyfikacja i zaufanie o kant dupy potłuc bo to się
rozpada na pierwszym takim użytkowniku. 100%! To jest skuteczność.
Słyszałeś o tym, żeby chociaż 10% ofiar nie dało się oszukać bo
zauważyli niezgodność nazwy z oczekiwaną?
Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
goryczą w głosie kłódkę, EVkę a mimo to "plugin" ściągnął całą kasę
z kego konta. I co teraz? Może zaproponujesz paradygmat małpy z
brzytwą i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych,
którzy umieją zweryfikować wiarygodność domeny i certyfikatu!"?
Problem "podobnych" domen to nie wszystko.
Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w
efekcie którego można go "przekierować" na serwer z prawidłową nazwą
i prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie
odróżnia mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie
ma EV?
Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe*
site'y, z których user korzysta pierwszy raz i nazwa domeny nie ma
dla niego żadnego znaczenia. User widząc kłódkę i prawidłowy
certyfikat uznaje (bo mu tak 20 lat temu wpojono), że to "bezpieczna"
strona, bo ktoś ją "zweryfikował" i wystawił certyfikat (zwykły, nie
EV). A to bzdura na resorach. Oczywiście zorientowano się, że ta cała
certyfikacja to lipa i wprowadzono EV. Teraz wystarczy poczekać aż
zdaży się jeden lub dwa przypadki, w których ktoś wyda EV z
naruszeniem procedur ("bo co, nie da się? Potrzymaj mi piwo...") i
zostanie wymyślony EV wersja druga, poprawiona. W której certyfikaty
będą wydawane po oddaniu krwi i moczu.
Quote:
Zapewnia integralność danych od wyjścia z mojego komputera do
serwera i
z powrotem. Nadal nie rozumiesz o czym mówimy?
Serio czy sobie teraz żartujesz?
To w szerokiej praktyce *nie* ma znaczenia. Piękne założenia
integralności i poufności danych dzięki użyciu ssl rozsypują się w
zderzeniu ze środowiskiem w jakim owa funkcjonalność zostaje użyta. W
środowisku śmieciowego oprogramowania jakim jest większość
smartfonów i PC (pomijam garstkę nerdów, którzy jeszcze jako tako
panują nad swoimi urządzeniami). Jest miliony sposobów aby zakpić z
owej "integralności i poufności" poprzez ataki na słabe punkty, które
są w ogóle poza kontekstem SSL. Czy kompromitują SSL? Oczywiście nie,
ale sprowadzają z powrotem problem do początku, w którym
"bezpieczeństwo połączenia" (którym się tak fascynujesz) czy
"prawidłowy certyfikat" przy fraduach nie odgrywa żadnego znaczenia.
--
Marek
Grzegorz Niemirowski
Guest
Sat Aug 20, 2022 10:37 pm
Marek <fake@fakeemail.com> napisał(a):
Quote:
To że nikt nie podmienił danych ani ich nie zobaczył nic z certyfikatem
nie ma wspólnego.
Oczywiście, że ma. SSL zapewnia Ci:
- poufność
- integralnośc
- niezaprzeczalność
Quote:
Dobre pytanie, teraz zwykły to właściwie do niczego. EV ewentualnie, ale
jak widać nawet do fraudow EV nie jest potrzebny.
Bo SSL nie jest od zapobiegania fraudom.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
Grzegorz Niemirowski
Guest
Sat Aug 20, 2022 10:45 pm
Marek <fake@fakeemail.com> napisał(a):
Quote:
Jescze raz: jaka jest wartość tego, skoro zwykły certyfikat dziś nic nie
znaczy?
Znaczy dużo. Już się o tym rozpisywałem, masz też ten temat objaśniony na
wielu stronach, nie mówiąc już o książkach.
Quote:
Mozna nawet używać selfsigned.
Nie można. Przeglądarki drą ryja jak widzą self-signed.
Quote:
W tym kontekście pisałem, że certyfikat (jako mechanizm zaufania) nie ma
już znanego związku (wartościowego) z szyfrowaniem.
Powtórzę, masz zapewnione trzy rzeczy: poufność (szyfrowanie), integralność
(nikt nie modyfikował danych po drodze) i niezaprzeczalność (wiesz, z kim
wymieniasz dane).
Quote:
Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat można
wygenerowac od ręki i za darmo.
Ale musisz kontrolować domenę. W ten sposób certyfikat potwierdza, że
łączysz się z daną domeną.
Quote:
Powtarzasz kryptograficzne mity (MiM), które realnie NIGDY (w znaczącej
skali) nie musiały być wykorzystane do fraudow. Ludzie są bardziej głupi.
Stawiam nawet tezę, że gdyby w ogóle SSL nie było to poziom fraudów
opartych na "podejrzeniu" zawartości payloadu czy "podstawionych" witryn
byłby na podobnym samym poziomie co mamy teraz. Szyfrowanie to tylko
zbędna komplikacja, wnosząca tylko złudzenie bezpieczeństwa i dobrze
sprzedający się buzzword.
Zostaw te fraudy. Rozpowszechniony został mit, że HTTPS chroni przed
fraudami. Ale nie chroni i nigdy nie chronił, nie ma co już więcej o tym
pisać. Chroni komunikację i robi to dobrze. Dodatkowo zapewnia
uwierzytelnianie i to nawet dwóch stron. Ale z ochroną przed fraudami
rozumianymi jako ludzka nieuczciwość nie ma nic wspólnego.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
Grzegorz Niemirowski
Guest
Sat Aug 20, 2022 10:48 pm
Marek <fake@fakeemail.com> napisał(a):
Quote:
Szybko. Są za darmo signed akceptowane przez przeglądarki. Certyfikat nie
ma żadnej wartości.
Ma, potwierdza domenę.
Quote:
Moja przeglądarka akceptuje wszystkie. Nie odróżnia selfsigned od innych.
To masz jakąś popsutą, zaprzestań jej używania.
Quote:
Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma dla
niej żadnej wartości.
Doczytaj zamiast powtarzać ciągle to samo.
Quote:
ROTFL ale żeś palnął, nie kompromituj się.Sam przed szyfrowaniem mogę
sobie zamienić kontent w przeglądarce z 10 dolarów na 10 milionów. Mogę
zamienić nr konta. Dokładnie tak działały złośliwe "pluginy" do
przeglądarek. Zamieniały numery kont, podstawialy inne. I szyfrowanie w
niczym ofierze nie pomogło. Obrona przed tego typu takimi nie leży w
szyfrowaniu. Przestań bredzić.
Masz rację, szyfrowanie tutaj nie pomaga. Tylko co z tego? To nie jest żaden
argument ani dowód na to, że Mirek się skompromitował. Ataki są bardzo różne
i jest oczywiste, że dane zabezpieczenie nie pomoże na wszystkie.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
Grzegorz Niemirowski
Guest
Sat Aug 20, 2022 11:04 pm
Marek <fake@fakeemail.com> napisał(a):
Quote:
Czy kompromitują SSL? Oczywiście nie,
A naprodukowałeś postów jakby SSL został skompromitowany i jeszcze dodajesz
bajki o self-signed.
Quote:
ale sprowadzają z powrotem problem do początku, w którym "bezpieczeństwo
połączenia" (którym się tak fascynujesz) czy "prawidłowy certyfikat" przy
fraduach nie odgrywa żadnego znaczenia.
Odgrywa na tyle, na ile może. W jednych przypadkach pomaga, w innych nie. To
zależy też od świadomości danego użytkownika. Nie wiem czemu się tak
uwziąłeś na ten SSL.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
MichaĹ Jankowski
Guest
Sun Aug 21, 2022 12:31 am
W dniu 20.08.2022 o 18:28, Marek pisze:
Quote:
On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <mirek@null.dev> wrote:
Bzdury totalne.
Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
_podobnej_ do atakowanej.
Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
Serio? Dopiero teraz zauważyłeś o czym jest dyskusja? Nie dyskutujemy
jak działa technicznie SSL/certyfikacja tylko jak to się *nie* sprawdza
obecnie w praktyce. 100% oszukanych nie zwróciło uwagi na literówkę czy
podobieństwo domeny, bo tego nie ogarniają, ergo dla nich całe
certyfikacja i zaufanie o kant dupy potłuc bo to się rozpada na
pierwszym takim użytkowniku. 100%! To jest skuteczność. Słyszałeś o tym,
żeby chociaż 10% ofiar nie dało się oszukać bo zauważyli niezgodność
nazwy z oczekiwaną?
Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
goryczą w głosie kłódkę, EVkę a mimo to "plugin" ściągnął całą kasę z
kego konta. I co teraz? Może zaproponujesz paradygmat małpy z brzytwą
i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych, którzy
umieją zweryfikować wiarygodność domeny i certyfikatu!"?
Problem "podobnych" domen to nie wszystko.
Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w efekcie
którego można go "przekierować" na serwer z prawidłową nazwą i
prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie odróżnia
mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie ma EV?
Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe* site'y, z
których user korzysta pierwszy raz i nazwa domeny nie ma dla niego
żadnego znaczenia. User widząc kłódkę i prawidłowy certyfikat uznaje
(bo mu tak 20 lat temu wpojono), że to "bezpieczna" strona, bo ktoś ją
"zweryfikował" i wystawił certyfikat (zwykły, nie EV). A to bzdura na
resorach. Oczywiście zorientowano się, że ta cała certyfikacja to lipa i
wprowadzono EV. Teraz wystarczy poczekać aż zdaży się jeden lub dwa
przypadki, w których ktoś wyda EV z naruszeniem procedur ("bo co, nie da
się? Potrzymaj mi piwo...") i zostanie wymyślony EV wersja druga,
poprawiona. W której certyfikaty będą wydawane po oddaniu krwi i moczu.
EV is dead.
MJ
Marek
Guest
Sun Aug 21, 2022 1:25 am
On Sat, 20 Aug 2022 23:04:53 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
zależy też od świadomości danego użytkownika. Nie wiem czemu się
tak
uwziąłeś na ten SSL.
Nie uwziolem się na ssl, tylko na hype certyfikatowy.
--
Marek
Marek
Guest
Sun Aug 21, 2022 1:33 am
On Sat, 20 Aug 2022 22:48:22 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
Ma, potwierdza domenę.
I co z tego, że potwierdza? Domena jest używana przez przestępców,
jej nazwa czy jest prosta czy krzywa nie ma znaczenia bo zwykły user
nie zwraca na to uwagi, bo mu kiedyś powiedziano że jak jest kłódka
to jest OK.
--
Marek
Goto page Previous 1, 2, 3, 4 Next