The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

11.01.2019 18:42  Рост атак, связанных с захватом контроля над DNS

Компьютерная команда экстренной готовности США (US-CERT) предупредила администраторов о выявлении массовых атак, проводимых через перенаправление трафика на подконтрольный злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS.

Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах). В отчёте также отмечается выполнение подмены серверов DNS, в случае если пользователь поддерживает собственные DNS-серверы, а не использует DNS-сервис регистратора.

После получения доступа к параметрам DNS атакующие указывают для домена IP-адрес своего хоста, на котором запускают прокси, перенаправляющий весь трафик на легитимный сервер жертвы. В отличие от зафиксированных в прошлые годы подобных атак, злоумышленники получают рабочий SSL-сертификат, подтверждая контроль за доменом в автоматически выдающем сертификаты сервисе Let’s Encrypt. В результате HTTPS трафик на подставной хост воспринимается браузерами как корректный и не вызывает подозрения у пользователей.

Тот факт, что у сайта изменился IP-адрес зачастую остаётся незамеченным длительное время, так как сайт жертвы продолжает работать без изменений, за исключением небольшого увеличения времени отклика из-за дополнительного перенаправления трафика через сервер атакующих. На подконтрольном злоумышленникам сервере, работающем как прокси для совершения MITM-атаки, производится анализ всего транзитного трафика для захвата конфиденциальных данных, паролей и платёжной информации.

Общий масштаб атаки пока не ясен. Cо стороны достаточно трудно выявить факт вмешательства злоумышленников c учётом применения ими корректных SSL-сертификатов и изменения IP в DNS-сервисах (если атака проводится не через подмену DNS-серверов, а через правку привязки IP в интерфейсе управления DNS, то привязанные к домену DNS-серверы регистратора остаются не изменёнными). Среди скомпрометированных систем отмечаются некоторые коммуникационные компании, ISP, государственные организации и крупные коммерческие предприятия.

Для того чтобы не стать жертвой атаки владельцам доменов рекомендуется включить двухфакторную аутентификацию для входа в интерфейс регистратора или провайдера DNS, а также проверить соответствие выдаваемого для домена IP-адреса с фактическим адресом своего сервера, проанализировать логи на предмет поступления входящих запросов только с одного IP и выполнить поиск дополнительных SSL-сертификатов, сгенерированных для своего домена.

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/c...)
  2. OpenNews: Зафиксирована подмена сайта Linux.org через захват DNS
  3. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  4. OpenNews: Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен
  5. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
  6. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Онаним (?), 19:36, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –14 +/
    Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно. Платные сертификаты эти ребята стали бы покупать только в самых крайних случаях.
     
     
  • 2.2, Эш Уильямс (?), 19:49, 11/01/2019 [^] [ответить]    [к модератору]
  • +4 +/
    Это уже не проблемы letsencrypt.
     
     
  • 3.6, Онаним (?), 20:31, 11/01/2019 [^] [ответить]     [к модератору]
  • –4 +/
    В самом деле Отсутствие идентификации персоны, получающей доверенный сертификат... весь текст скрыт [показать]
     
     
  • 4.7, Онаним (?), 20:32, 11/01/2019 [^] [ответить]    [к модератору]  
  • –4 +/
    Вообще же это может стать шагом к тому, что LE вынесут из браузеров.
     
  • 4.10, Эш Уильямс (?), 21:19, 11/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Тут скорее проблема в DNS, решать проблемы dns/dnssec/DoH/DoT на уровне сертификата бесполезны с пробитым днс.
     
  • 4.19, Аноним (19), 22:20, 11/01/2019 [^] [ответить]     [к модератору]  
  • +5 +/
    Если злоумышленник имеет контроль над доменом, почему центр сертификации не долж... весь текст скрыт [показать]
     
     
  • 5.23, Аноним (19), 22:30, 11/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устра... весь текст скрыт [показать]
     
     
  • 6.32, Онаним (?), 23:15, 11/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать, всем, кроме их полутора клиентов, строго фиолетово.
     
     
  • 7.51, пох (?), 09:43, 12/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    они раньше так и делали Но великие специалисты по безопасности, работающие над... весь текст скрыт [показать]
     
     
  • 8.85, Аноним (85), 23:22, 12/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    А что такого сделали спкциалдистя с хромом, можно узнать А то вот совсем не на... весь текст скрыт [показать]
     
     
  • 9.87, пох (?), 09:23, 13/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    > А что такого сделали спкциалдистя с хромом, можно узнать ?

    вам-  нельзя.
    научитесь читать и понимать прочитанное, потом приходите.

     
  • 9.95, Аноним (95), 13:27, 13/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Есть такое мнение, мил человек, что ты балабол Вот неполный квест который огреб... весь текст скрыт [показать]
     
  • 6.50, пох (?), 09:42, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сай... весь текст скрыт [показать]
     
  • 5.30, Онаним (?), 23:11, 11/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Потому что злоумышленнику ещё (ворованную) кредитку засветить придётся, а если там есть 3DSecure - возможно и номер (ворованного) телефона. Каждый засвет - риск.
     
  • 5.47, Аноним (47), 07:34, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Райан — очень умный криптограф, работающий над Chromium

    дальше можно не читать

     
     
  • 6.59, пох (?), 18:05, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    завидовать - грех!
     
  • 5.73, Анонимный Алкоголик (??), 19:33, 12/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    А если злоумышленник имеет контроль над вашей квартирой Его должны в ней пропис... весь текст скрыт [показать]
     
     
  • 6.100, demon (??), 14:36, 14/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может выдать себе свидетельство ЕГРН, на основании которого в паспортном столе его пропишут в вашей квартире. А еще он может пойти к нотариусу и оформить продажу вашей квартиры, причем нотариус, проверив собственника в ЕГРН по своим каналам, спокойно заверит договор продажи. Это не проблема паспортного стола или нотариуса.
     
  • 6.103, Аноним (-), 10:53, 15/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Неправильная аналогия Путаешь технологии Аналогом сертификата https будет вста... весь текст скрыт [показать]
     
  • 4.25, Аноним (25), 22:39, 11/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Во-первых, Let s Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни ... весь текст скрыт [показать]
     
     
  • 5.31, Онаним (?), 23:12, 11/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Если что, оплата услуги - это тоже своего рода идентификация. Да, кредитку можно свистнуть, но риск палева для конечного исполнителя-школотрона увеличивается в разы.
     
     
  • 6.33, Аноним (33), 00:00, 12/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Да уж прям возрастает В 15м году Симантек ничтоже сумняшеся выпустил wildcard н... весь текст скрыт [показать]
     
     
  • 7.42, GentooBoy (ok), 01:18, 12/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    И правильно, надо было купить у них серт тогда бы они вам помогли. А с фига ли они должны отзывать сертификат своего клиента, по просьбе анонима?
     
     
  • 8.48, Аноним (47), 07:39, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Потому что они выпустили сертификат НЕ своего клиента?
     
     
  • 9.60, их клиент (?), 18:11, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    как это не своего Он им деньги заплатил Причем они честно-честно провели эту с... весь текст скрыт [показать]
     
     
  • 10.69, Аноним (33), 18:46, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну я отзывал для своего тестового домена полгода назад. Хотел проверить, как оно работает. Процедура не очень сложная. В течение дня начала показываться плашка «revoked».
     
  • 10.81, Аноним (33), 22:45, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Я не писал про энтерпрайз Это был небольшой НЕайтишный бизнес Сертификат у ент... весь текст скрыт [показать]
     
     
  • 11.88, пох (?), 09:33, 13/01/2019 [^] [ответить]     [к модератору]  
  • +/
    ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ... весь текст скрыт [показать]
     
  • 8.80, Аноним (33), 22:30, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Ещё один любитель выквзывать позицию энтерпрайзов Олоэ, включи логику К тебе о... весь текст скрыт [показать]
     
     
  • 9.89, пох (?), 09:39, 13/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    паспорт и данные принес За валидацию ручную, потому что это как раз EV - запл... весь текст скрыт [показать]
     
  • 4.46, Аноним (47), 07:31, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Она и так бесполезна, с кучей мало кому известных центров сертификации которым авторы браузеров заставляют доверять по умолчанию.
     
     
  • 5.61, гуглезила (?), 18:12, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    а все известные мы уже позаблокировали

     
  • 4.52, YetAnotherOnanym (ok), 11:32, 12/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации

    Это его обязанность.

     
     
  • 5.74, Аноним (33), 19:33, 12/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Откуда ж вы такие лезете Нет, нет и ещё раз нет Идентификация личности нужна ... весь текст скрыт [показать]
     
  • 4.82, Ordu (ok), 22:45, 12/01/2019 [^] [ответить]     [к модератору]  
  • +4 +/
    Теория -- это такая штука Лучший способ её употребления -- сворачивать в труб... весь текст скрыт [показать]
     
  • 2.11, Аноним (-), 21:28, 11/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Че сказать то хотел?
     
  • 2.15, rshadow (ok), 22:05, 11/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    это тот самый случае, где ононим отсасывает, конечно

    fixed

     
  • 2.28, Crazy Alex (ok), 22:49, 11/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.
     
     
  • 3.35, OpenEcho (?), 00:19, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в С... весь текст скрыт [показать]
     
     
  • 4.36, Crazy Alex (ok), 00:23, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну вот судя по новости (и по источнику на сайте letsencrypt) это всё же в планах на 2019
     
     
  • 5.38, Crazy Alex (ok), 00:25, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Стоп, это я туплю Там так We are also planning to introduce a Certificate Tran... весь текст скрыт [показать]
     
  • 5.41, OpenEcho (?), 00:40, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Тезка, хорош туфту гнать если не в курсе.

    Иди суда:
    https://www.entrust.com/ct-search/
    или суда:
    https://crt.sh/
    и проверь любой сертификат выданный Letsencrypt-om

     
  • 5.57, Аноним (85), 13:55, 12/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    В планах у них завести СВОЙ ЦТ сервер В чужие публичные СТ они все подписанные ... весь текст скрыт [показать]
     
     
  • 6.78, Аноним (78), 21:11, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат

    Как посмотреть? На примере опеннетовского сертификата...

     
     
  • 7.86, Аноним (85), 23:46, 12/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    openssl s_client -showcerts -connect www opennet ru 443 dev null 2 dev null ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (44)

  • 1.3, Аноним (3), 19:52, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    КН(Д)Р?
     
  • 1.8, Аноним (8), 21:09, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > корректных SSL-сертификатов
    > рекомендуется включить двухфакторную аутентификацию

    Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректный?

     
     
  • 2.14, Аноним (19), 21:46, 11/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Это советы не для юзеров, а для админов. Взламывают их.
     
  • 2.37, OpenEcho (?), 00:23, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Если ломанули пароль админа без 2FA то админ может и не знать что его поимели е... весь текст скрыт [показать]
     
  • 1.9, zomg (?), 21:17, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Certificate Transparency пишет логи всех сертификатов. А, например, Certspotter умеет алертать если увидит в логах левый сертификат для вашего домена.
     
     
  • 2.40, OpenEcho (?), 00:30, 12/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Проблема в том, что масса доменов регается маленькими конторками, у которых свои... весь текст скрыт [показать]
     
  • 1.12, Витязь (?), 21:30, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    Там кулхацкеры, сям кулхацкеры... Их бы потуги, да в мирное русло пустить, глядишь что-то полезное для общества сделали, а то сродни фабрике троллей, только ломать и манупулировать могут, мамкины анархисты.
     
     
  • 2.17, Аноним (17), 22:12, 11/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    "Хакер в столовой".

    Но, справедливости ради, если бы не хакеры, то корпорации писали бы софт так, что он ломался бы при любой случайности. А вину валили бы на пользователей.

     
  • 2.49, Аноним (8), 09:16, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Это заблуждение сродни тому, что в некоторых конторах админы политиками закрываю... весь текст скрыт [показать]
     
  • 2.97, Лень_регацца (?), 17:44, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китайско-корейские госхакеры и прочие уродцы на службе у толстосумов?
     
  • 1.16, Аноним (-), 22:05, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    попытка пропихнуть dns-over-чо-то-там?
     
     
  • 2.22, Аноним (22), 22:26, 11/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    закручивание гаек по типу борьбы с терроризмом
     
  • 2.53, marios (ok), 11:37, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Нет. Враги захватывают учётку на регистраторе, а не мужика посередине сажают.
     
  • 1.18, Alexey (??), 22:14, 11/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    Интересно, как они заставляют провайдера обратиться к подставному DNS Другое ... весь текст скрыт [показать]
     
     
  • 2.39, Ordu (ok), 00:27, 12/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои ... весь текст скрыт [показать]
     
     
  • 3.62, пох (?), 18:14, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    ты отстал от жизни, сейчас немодно свои dns сервера Уводят учетку, прямо в то... весь текст скрыт [показать]
     
     
  • 4.64, Ordu (ok), 18:17, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Не удивительно, я лет десять не имел дела со скрипткиддисами Да, читать ты умее... весь текст скрыт [показать]
     
     
  • 5.67, пох (?), 18:26, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    причем тут скрипткиддисы? Ты десять лет походу домены не регистрировал - там нынче опция "свои dns сервера" не у всех с первой попытки вообще находится.


     
     
  • 6.72, Ordu (ok), 19:22, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    При том, что увод паролей -- это деятельность для скрипткиддиса И чё Думаешь с... весь текст скрыт [показать]
     
     
  • 7.76, пох (?), 20:01, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    говорю ж - не надо ему Он прям в том же интуитивно-приятном интефрейсе поменяет... весь текст скрыт [показать]
     
  • 1.20, Аноним (20), 22:20, 11/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Предлагают поменять одну проблему на другую Появится больше кривонастроенных дн... весь текст скрыт [показать]
     
     
  • 2.34, Аноним (33), 00:10, 12/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали с... весь текст скрыт [показать]
     
  • 1.21, Эш Уильямс (?), 22:24, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Чем второй фактор поможет, при наличии у товарищ майора HTTP/HTTPS канала (MITM) и SMS (SS7)?
     
     
  • 2.26, тов. лейтенант (?), 22:39, 11/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке Товарищ май... весь текст скрыт [показать]
     
     
  • 3.99, Лень_регацца (?), 17:52, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ты лично только языком работаешь. Любитель бутылок.
     
  • 2.27, Crazy Alex (ok), 22:47, 11/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Где вы там товарища майора увидели?
     
     
  • 3.98, Лень_регацца (?), 17:47, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    А чё тебя это зацепило?
     
  • 2.71, Гентушник (ok), 18:52, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    SMS это не самый хороший выбор второго фактора. Есть например TOTP.
     
  • 1.24, пох (?), 22:37, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    коммуникационные компании, isp, dns сервер "у регистратора" с паролем 123.

    Пааанятна...

    дайте, пожалуйста, другой глобус.

     
  • 1.29, Anon4ik_ (?), 22:56, 11/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    IPFS, же
     
  • 1.43, Аноним (43), 02:05, 12/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Очень похоже на начало информационной атаки на Letsencrypt Не удивлюсь, если в ... весь текст скрыт [показать]
     
     
  • 2.58, Онаним (?), 16:28, 12/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    И будет совершенно не удивительно. LE придётся добавить идентификацию клиента таки, не по кредитке, так по мобильнику. Вот только их недоношенная трёхмесячная автоматика с этим жить будет плохо.
     
     
  • 3.63, пох (?), 18:15, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    не, они это не для того затевали.
     
  • 3.83, Аноним (33), 22:51, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Не придётся, ибо такая проверка излишня, а значит дорога и вредна Для того, что... весь текст скрыт [показать]
     
     
  • 4.90, Онаним (?), 10:21, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В противном случае их просто потихоньку - по мере увеличения доли участия их сертификатов в таких атаках - вынесут из браузеров, и всё.
     
     
  • 5.104, Аноним (-), 11:06, 15/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Ты платиновых спонсоров LE видел, дурачок Там Google и Mozilla Они и организов... весь текст скрыт [показать]
     
  • 1.44, Ivan1986 (?), 02:56, 12/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса

    Очередной взлом сервера с помощью пароля на root?

     
     
  • 2.45, OpenEcho (?), 06:43, 12/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Вообще мимо Вы домены когда нибудь покупали Что такое гегистрар в курсе Нов... весь текст скрыт [показать]
     
     
  • 3.84, Аноним (33), 22:53, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства она до сих пор опциональна.
     
     
  • 4.101, OpenEcho (?), 17:18, 14/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства
    > она до сих пор опциональна.

    2FA это тоже не панацея, уже было много случаев, когда взломы происходят используя имеено 2FA.
    К тому же многие провайдеры, кроме как 2FA от гугла вообще не понимают

     
  • 1.54, YetAnotherOnanym (ok), 11:57, 12/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ничо вы, на самом деле, не понимаете за "цепочку доверия".
    "Цепочка доверия" должна состоять не в том, что Comodo (Кто такой Студебе^w Comodo? Это ваш родственник Comodo? Папа ваш Comodo?) своим корневым сертификатом заверяет промежуточный сертификат, а этим промежуточным сертификатом - сертификат сайта. Правильная цепочка доверия - это когда вы в том отделении банка, где получали карточку, спрашиваете у операционистки, которая вам её выдала, где  сидят их компьютерщики, идёте к ним и просите распечатать вам на бумажке правильеый сертификат их интернет-банка. И при этом смотрите, как этот сотрудник себя ведёт. Если он, с недоумением пожав плечами, при вас открывает сайт и берёт серт оттуда - вам стОит всерьёз задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности. А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда - с этим банком можно иметь дело.
     
     
  • 2.55, Аноним (55), 12:39, 12/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    кто вы, чтобы сдавать вам компьютерщиков да, при первом использовании карточки ... весь текст скрыт [показать]
     
     
  • 3.66, пох (?), 18:24, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    это тоже немодно, это только в вашем спёрбанке так.
    У правильных пацанов клиента такой фигней не вынуждают заниматься - наберите хорошо известный номер телефона на карте, пропищите в тоновом режиме номер карты, теперь пропищите ваш пин - поздравляем, карта активирована.
    Кстати, вы сможете тем же способом этот пин поменять, не зная его.

    В качестве дополнительной меры безопасТносте - мы можем иногда попросить вас пропищать еще и номер-дату-выдачи паспорта.
    Васян, записывающий ваш dtmf (если вы из офиса это сделали, ему его даже специально распознавать не надо, он отдельно прямо цифрами пишется), будет за это отдельно вам признателен - еще и кредитец на вас возьмет.

    Это не шутка, это Ситибанк. Европейский уровень безопастносте как он есть.

     
  • 3.68, YetAnotherOnanym (ok), 18:43, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Понятно, спасибо. Девушка, я хочу аннулировать карточку и расторгнуть договор. Нет, остаток средств, пожалуйста, по расходному кассовому ордеру.
    В том же Сбере можно было без проблем пройти в отдел автоматизации на свежим дистром клиент-банка и   новыми ключами (когда я работал в фирме, имевшей р/с в СБ).
     
     
  • 4.79, Онаним (?), 22:23, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Без проблем. Нужна ваша подпись вот здесь, и ещё вот здесь. Секундочку, вот ваш ордер на две тысячи сто одиннадцать рублей 50 копеек, пожалуйста, присаживайтесь, ожидайте вызова вашего номера в кассу, всегодоброгодосвидания.
     
  • 2.65, пох (?), 18:20, 12/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > Правильная цепочка доверия - это когда вы в том отделении банка

    ну только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая.

    А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан.

    Проблема в том, что у гуглезилы совершенно противоположные задачи.

     
     
  • 3.70, YetAnotherOnanym (ok), 18:51, 12/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.
     
     
  • 4.75, пох (?), 19:36, 12/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю.

    > Но это ещё пол-беды - на нас денег сделать затруднительно

    ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого.

    а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.

     
  • 2.77, Анонимный Алкоголик (??), 20:15, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Если он, с недоумением пожав плечами, при
    > вас открывает сайт и берёт серт оттуда - вам стОит всерьёз
    > задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности.
    > А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда
    > - с этим банком можно иметь дело.

    Э... Что за подход?
    Особенно если сайт на сервере в соседней стойке жужжит... С папочкой. Ну конечно пожимать плечами ему следует без лишнего недо умения...
    Но и идти к собственно занятым безопасностью эникеям за сертификатом должно быть незачем. ("операционистки" достаточно; или даже без неё)...

     
     
  • 3.91, YetAnotherOnanym (ok), 10:32, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это филиал, а сервер в Москве, и у админа настроено заходить не по VPN, а через Интернет, и разрешение DNS через сервера провайдера - специально, чтобы видеть, как у клиентов, и тогда он тоже подвержен спуфингу? А если он вообще не в помещениях самого банка, а где-нибудь в EC2? Я допускаю такое, потому что в своё время знал товарища, который с пеной у рта доказывал, что держать собственное железо и собственных админов чуть ли не неприлично, что ни одна серьёзная организация не захочет иметь дело с такими отсталыми людьми, которые не понимают, что надо всё переносить на хостинг и отдавать на отсосинг.
    Если же операционистке дадут инструкцию, в какой папочке на внутренней файлопомойке взять сертификат, если вдруг кто-то спросит - ну это ж самое лучшее, что может быть. Только операционистки, когда я их об этом спрашивал, переадресовывали вопрос в службу поддержки онлайн-банкинга, который, внезапно, работает на сайте того же банка в режиме чата (не, ну можно ещё позвонить, узнать, что звонок очень важен и послушать музычку).
     
     
  • 4.92, Аноним (55), 11:02, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    it под колпаком, совместимо с честью на уровне занавески для борделя, компромат фабрикуется своевременно, но сертификаты и оптимизм это хорошо, да
     
  • 1.93, Аноним (93), 11:05, 13/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remote addr в логах.
     
     
  • 2.94, Аноним (55), 11:37, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    логи скомпрометированы ночной сменой и touch, ээ-то не показатель)
     
  • 1.102, Аноним (-), 19:26, 14/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Новость - провокация, имеющая целью вынудить "владельцев" таких DNS засветить свой номер телефона и т.п.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor