The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Рост атак, связанных с захватом контроля над DNS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от opennews (?), 11-Янв-19, 19:36 
Компьютерная команда экстренной готовности США (US-CERT) предупредила (https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS...) администраторов о выявлении массовых атак (https://www.fireeye.com/blog/threat-research/2019/01/global-...), проводимых через перенаправление трафика на подконтрольным злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS.


Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах).  В отчёте также отмечается выполнение подмены серверов DNS, в случае если пользователь поддерживает собственные DNS-серверы, а не использует DNS-сервис регистратора.


После получения доступа к параметрам DNS атакующие указывают для домена IP-адрес своего хоста, на котором запускают прокси, перенаправляющий весь трафик на легитимный сервер жертвы. В отличие от зафиксированных в прошлые годы подобных атак, злоумышленники получают рабочий SSL-сертификат, подтверждая контроль за доменом в автоматически выдающем сертификаты сервисе Let’s Encrypt. В результате HTTPS трафик на подставной хост воспринимается браузерами как корректный и не вызывает подозрения у пользователей.


Тот факт, что у сайта изменился IP-адрес зачастую остаётся незамеченным длительное время, так как сайт жертвы продолжает работать без изменений, за исключением небольшого увеличения времени отклика из-за дополнительного перенаправления трафика через сервер атакующих. На подконтрольном злоумышленникам сервере, работающем как прокси для совершения MITM-атаки, производится анализ всего транзитного трафика для захвата конфиденциальных данных, паролей и платёжной информации.

Общий масштаб атаки пока не ясен. С учётом применения корректных SSL-сертификатов и изменений IP в DNS-сервисах (привязанные к домену DNS-серверы регистратора остаются не изменёнными) со стороны достаточно трудно выявить факт вмешательства злоумышленников. Среди скомпрометированных систем отмечаются некоторые коммуникационные компании, ISP, государственные организации и крупные коммерческие предприятия.

Для того чтобы не стать жертвой атаки владельцам доменов рекомендуется  включить двухфакторную аутентификацию для входа в интерфейс регистратора или провайдера DNS, а также проверить соответствие выдаваемого для домена IP-адреса с фактическим адресом своего сервера, проанализировать логи на предмет поступления входящих запросов с разных IP и выполнить поиск дополнительных SSL-сертификатов, сгенерированных для своего домена.


URL: https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49937

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Рост атак, связанных с захватом контроля над DNS"  –14 +/
Сообщение от Онаним (?), 11-Янв-19, 19:36 
Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно. Платные сертификаты эти ребята стали бы покупать только в самых крайних случаях.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Рост атак, связанных с захватом контроля над DNS"  +4 +/
Сообщение от Эш Уильямс (?), 11-Янв-19, 19:49 
Это уже не проблемы letsencrypt.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Рост атак, связанных с захватом контроля над DNS"  –4 +/
Сообщение от Онаним (?), 11-Янв-19, 20:31 
В самом деле. Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации. Напоминаю, что PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Рост атак, связанных с захватом контроля над DNS"  –4 +/
Сообщение от Онаним (?), 11-Янв-19, 20:32 
Вообще же это может стать шагом к тому, что LE вынесут из браузеров.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Эш Уильямс (?), 11-Янв-19, 21:19 
Тут скорее проблема в DNS, решать проблемы dns/dnssec/DoH/DoT на уровне сертификата бесполезны с пробитым днс.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Рост атак, связанных с захватом контроля над DNS"  +5 +/
Сообщение от Аноним (19), 11-Янв-19, 22:20 
Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом. А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно, да?
https://habr.com/post/425261/
> EV-сертификаты мертвы
> Десять крупнейших в мире сайтов: нигде нет EV
> Остался аргумент с фишингом. Часто заявляется, что EV каким-то образом уменьшает его. Именно такое утверждается на слайде с презентации Entrust с начала этого года:
> Здесь целая куча подтасовок, и для анализа лучше всего почитайте этот тред от Райана Слеви. Он проанализировал исследование, на котором основан слайд.
> Райан — очень умный криптограф, работающий над Chromium, и у него отличная способность чётко выводить на чистую воду любую чушь. В конце концов он резюмирует ситуацию: «В общем, это плохая статья. Но что ещё хуже, они пытаются выдать её за исследование „на данных”. При этом используют ошибочную методологию и избирательный подход, чтобы поддержать бизнес-модель, которая опирается на пользователей, несущих всю ответственность за обнаружение изменений пользовательского интерфейса».
> То есть мы возвращаемся к тому, что EV будет эффективен только если люди меняют поведение из-за изменения UI. В реальности люди не знают, на что обращать внимание, а само это изменение вообще постепенно прекращает своё существование. Либо изменение слишком малозначительное, чтобы люди обращали на него внимание.

И фишингу подвержен не только LE: https://news.netcraft.com/archives/2017/04/12/lets-encrypt-a...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

23. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (19), 11-Янв-19, 22:30 
Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устранению последствий. Процедура отзыва и так почти не работает, а EV ещё и задержки вносит.
> Что подводит меня ко второму пункту: обновление сертификата должно быть автоматизировано, и это то, что вы просто не можете сделать, если требуется проверка личности. С сертификатом DV автоматизация делается просто, она является краеугольным камнем Let's Encrypt и действительно важным атрибутом этого сервиса. Недавно я провёл некоторое время с командой разработчиков в крупном европейском банке, и они серьёзно подумывали о том, чтобы отказаться от EV именно по этой причине. На самом деле, не только по этой причине, был ещё риск, что им понадобится очень быстро получить новый сертификат (например, из-за компрометации ключей), что гораздо сложнее для EV, чем для DV. Кроме того, долгосрочные сертификаты фактически создают дополнительные риски из-за неработающей процедуры отзыва, поэтому быстрые итерации (например, сертификаты Let's Encrypt действуют 3 месяца) становятся преимуществом. Сертификаты, действующие два года — это не преимущество, разве что с точки зрения заработать на них…

https://twitter.com/tomashala/status/1032969187789074433
> We have replaced EV cert by @letsencrypt on our payment portal for this reasons:
> - automatic renewal (no long and complicated manual process & reduces risk of expiration)
> - price
> - people don't care about cert type
> - shorter expiration=quicker restore from potential compromise

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

32. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 11-Янв-19, 23:15 
Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать, всем, кроме их полутора клиентов, строго фиолетово.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

51. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от пох (?), 12-Янв-19, 09:43 
> Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать

они раньше так и делали. Но великие специалисты по безопасности, "работающие над хромом" позаботились, чтобы их полтора клиента не смогли зайти на сайт с самоподписанным сертификатом, и светили свои заходы гуглю.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

85. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от Аноним (85), 12-Янв-19, 23:22 
А что такого сделали спкциалдистя с хромом, можно узнать ? А то вот совсем не наблюдаю проблем с корпоративными ресурсами сидящими на своем корпоративном ЦА. Да, однократно свой ЦА ставится в доверенные. (ну в виндовом домене сам, через политику, остальным руками). Вот нет проблем. совсем нет. Ни с хромом ни с мобил, ни с десктопов ни с каким другим браузером. (ествественно если сертификат своего ЦА не поставить, то ругается. Но это, как бы, ожидаемо).
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

87. "Рост атак, связанных с захватом контроля над DNS"  –2 +/
Сообщение от пох (?), 13-Янв-19, 09:23 
> А что такого сделали спкциалдистя с хромом, можно узнать ?

вам-  нельзя.
научитесь читать и понимать прочитанное, потом приходите.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

95. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (95), 13-Янв-19, 13:27 
> Вот нет проблем. совсем нет. Ни с хромом ни с мобил, ни с десктопов ни с каким другим браузером.

Есть такое мнение, мил человек, что ты балабол.

Вот неполный квест который огребает отдел системного администрирования при установке сертификата собственного ЦА на различные устройства:

  - алло, а как поставить ваш сертификат на устройство фирмы триамбламмям? Инструкцию вы не написали! Те что есть не подходят! Какая ОС не знаю!
  - алло, я выяснил, у меня андройд 4.2, как поставить ваш долбанный сертификат на мой андройд 4.2? Что значит рутнуть?
  - алло, я/мне из-за вас купил/и новый неудобный смартфон и я поставил сертификат, как мне теперь снять пин? Что значит каждый раз вводить?!
  - алло, я снял пин и у меня пропал и доступ к vpn и все мои зашифрованные документы и фото моей дочки и важные записки!! не делал я бекапа!! я не админ, это вы админы и должны были делать бекапы на моем телефоне!! верните документы!!
  - алло, поставьте сертификат партнёру на другом континенте. Нет, он не говорит ни по-русски, ни по английски. Что за ОС хз, он говорит всё время разное. Но он приносит нам деньги - решите вопрос с его телефоном!
  - алло, а ваш сертификат правильно работает? а как это проверить? Нет ошибки сертификата, просто вебсокет закрывается и всё тут.
  - алло, а как проверить тестовый сайт снаружи, что значит корректно никак, выставите CRL вашего приватного ЦА в Инет! Ну или настройте OCSP. Да я срать хотел на ваши политики безопасности!


Только не надо начинать песни "а вот в нормальных конторах". Админы из нормальных контор это серьезные взрослые люди, в тексте выглядят, например, как человек под ником пох, но не как ты.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

50. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 09:42 
> Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устранению последствий

и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сайт - надо не "быстро" замести крошки под ковер, а выключать сайт, рассылать клиентам письма счастья, и включать обратно не раньше, чем будет готов результат расследования как и что именно украдено и приняты меры.

> Процедура отзыва и так почти не работает

а вот за это спасибо скажи своим идолам из копро-рации правильных вещей с их великими "криптоспециалистами". Когда браузер постоянно лезет на миллион внешних сайтов за кучей ненужносписков, тебя не спрашивая, надо ли оно вообще и прямо сейчас, но crl мы грузить не будем, "они слишком большие" (что как раз говорит о том, что ими активно пользовались) и выбора пользователю тоже не предоставим, наш пользователь видится нам исключительно в виде огромной жопы с глазами и ушами чтоб жрать ими навоз.

> - shorter expiration=quicker restore from potential compromise

ну правильно, чего там париться - "все равно через два месяца протухнет". Всего-то два месяца, ага.

А вот возможность для пользователя который таки care about, заметить что серт не тот - эффективно ликвидирована следом за crl. Потому что он каждый раз новый. И pkp туда же.

Спасибо дорогому гуглю и его макакам - впрочем, опять же, при таких деньгах есть сомнения в действенности закона Хэнлона.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 11-Янв-19, 23:11 
Потому что злоумышленнику ещё (ворованную) кредитку засветить придётся, а если там есть 3DSecure - возможно и номер (ворованного) телефона. Каждый засвет - риск.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

47. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (47), 12-Янв-19, 07:34 
> Райан — очень умный криптограф, работающий над Chromium

дальше можно не читать

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

59. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 18:05 
завидовать - грех!
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

73. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от Анонимный Алкоголик (??), 12-Янв-19, 19:33 
> Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать
> ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом.
> А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно,
> да?

А если злоумышленник имеет контроль над вашей квартирой? Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

100. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от demon (??), 14-Янв-19, 14:36 
В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может выдать себе свидетельство ЕГРН, на основании которого в паспортном столе его пропишут в вашей квартире. А еще он может пойти к нотариусу и оформить продажу вашей квартиры, причем нотариус, проверив собственника в ЕГРН по своим каналам, спокойно заверит договор продажи. Это не проблема паспортного стола или нотариуса.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

103. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (-), 15-Янв-19, 10:53 
> Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?

Неправильная аналогия. Путаешь технологии. Аналогом сертификата https будет вставка своего замка в дверь. А прописка в квартире, это юридическое владение доменом. Оно никуда не девалось у тех, кого взломали. И они могут вернуть контроль над квартирой, хотя на самом деле и не теряли даже, т.к. получается не смена замка на старой двери, а новая отдельная дверь у злоумышленника (только с замком/сертом злоумышленника временная техническая проблема из-за неработающего отзыва, особенно в хроме).
Так что да, это внезапно не проблема тех мужиков, кто ставит двери/замки в квартиры (или кто просто продаёт их, если где-то таки требуют проверять документы при установке мастером). Вызывайте полицию и выпиливайте дверь и злоумышленника.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

25. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (25), 11-Янв-19, 22:39 
> Отсутствие идентификации персоны, получающей доверенный сертификат

Во-первых, Let's Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни было *персон* не требуется. А во-вторых, если злоумышленники получили доступ к админке сервера для изменения настроек DNS, то оригинальный владелец уже и не совсем владелец, ответственность за это несёт либо владелец (если логин-пароль увели), либо регистратор/хостер (если базу учёток стырили), но никак не центр выдачи сертификатов.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 11-Янв-19, 23:12 
Если что, оплата услуги - это тоже своего рода идентификация. Да, кредитку можно свистнуть, но риск палева для конечного исполнителя-школотрона увеличивается в разы.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (33), 12-Янв-19, 00:00 
Да уж прям возрастает!
В 15м году Симантек ничтоже сумняшеся выпустил wildcard на домены моих знакомых. По тыреной карточке, ага. Управление доменами и днс вернули быстро, а вот те перевыпущеные сертификаты так и были валидны до конца их срока действия (год). Саппорт на запросы об отзыве вообще не реагировал. Точнее, один раз написали на индлише что-то типа «вы не наш клиент — пойдите вон». Entrust, у которого мои друзья покупали домены, ответил что-то вроде «так это ж не мы выпустили — отозвать не можем». Вот и вся защита интырпрайз уровня.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

42. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от GentooBoy (ok), 12-Янв-19, 01:18 
И правильно, надо было купить у них серт тогда бы они вам помогли. А с фига ли они должны отзывать сертификат своего клиента, по просьбе анонима?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

48. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (47), 12-Янв-19, 07:39 
Потому что они выпустили сертификат НЕ своего клиента?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

60. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от их клиент (?), 12-Янв-19, 18:11 
как это не своего? Он им деньги заплатил. Причем они честно-честно провели эту самую "DV" - все ок, все сошлось.

и да, желаю вам успехов в попытках заблокировать такой же dv LE.

P.S. отдельный вопрос - что это был за ентер-прайс такой, прочавкавший одновременно и сайт и dns, чтоб ненароком не дать ему данные своей кредитки.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

69. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 18:46 
Ну я отзывал для своего тестового домена полгода назад. Хотел проверить, как оно работает. Процедура не очень сложная. В течение дня начала показываться плашка «revoked».
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

81. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 22:45 
Я не писал про энтерпрайз. Это был небольшой НЕайтишный бизнес. Сертификат у ентраста взяли по рекомендации аутсорсинговой конторы, которая делала всё айти незадолго до описанных событий. Подозреваю, что рекомендация была не за просто так, учитывая цены ентраста.
Угон dns открывает много путей для махинаций. В описанном мной случае, сам домен и сайт никто не угонял — подменили A-записи всех поддоменов и честно проксили всё, кроме платёжной формы. Доступность и работоспособность процесса покупки проверялась снаружи селениумом два раза в сутки. Но всё равно узнали по звонкам возмущенных клиентов.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

88. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 13-Янв-19, 09:33 
> Я не писал про энтерпрайз. Это был небольшой НЕайтишный бизнес. Сертификат у
> ентраста взяли по рекомендации аутсорсинговой конторы, которая делала всё айти незадолго
> до описанных событий. Подозреваю, что рекомендация была не за просто так,
> учитывая цены ентраста.

ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ сумма - долларов 40 в год(это ж аж на пиво хватило "незапростотак", ага?) Если бы взяли ev - то это стоило бы аж $300 по нынешним ценам, и аж прям ужасные 700 до эпохи дерьма зато нахаляву.

ребята, если это для вас "сириозные деньги" - я не дам вам данных своей кредитки.

кстати, рекомендация-то правильная, учитывая что ентраст жив-здоров а покупателям симантеки светит превращение их серта в тыкву.

причем вовсе не за то что они неправильно валидировали dv, а за то что мешали правильным пацанам вести правильный бизнес.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

80. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 22:30 
Ещё один любитель выквзывать позицию энтерпрайзов? Олоэ, включи логику! К тебе обратился владелец домена на который ты выдал сертификат. Обратился с утверждением того, что сертификат был выпущен незаконно (после привозаконного действия в отношении владельца домена), а ты вместо того чтобы инициировать повторный validation (или даже отзыв на время разбирательства), просто отвечаешь — не мои проблемы. Искренне желаю тебе, чтобы подобный сервис ожидал тебя везде.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

89. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от пох (?), 13-Янв-19, 09:39 
> Ещё один любитель выквзывать позицию энтерпрайзов? Олоэ, включи логику! К тебе обратился
> владелец домена на который ты выдал сертификат.

паспорт и данные принес? За валидацию (ручную, потому что это как раз EV) - заплатил? А если нет - с чего я должен ему верить что он владелец, а не как раз только что угнал dns? Или бесплатно оказывать юридическую услугу.

> что сертификат был выпущен незаконно (после привозаконного действия в отношении владельца

но ни справку из полиции, ни решение суда не принес. То есть официально действовать не стал. Потому что не умеет или потому что сам жулик? А как мне это понять?

> домена), а ты вместо того чтобы инициировать повторный validation (или даже
> отзыв на время разбирательства), просто отвечаешь — не мои проблемы. Искренне

и тем самым подставить свой бизнес в угоду чужому счастью, потому что взяв три копейки за этот dv ты вообще-то обязался кое-что предоставлять, и никакого мелкого шрифта на тему "вдруг неведомый хрен с горы пытается опротестовать вполне кошерно проведенную dv" не предусмотрел?

> желаю тебе, чтобы подобный сервис ожидал тебя везде.

я в общем, желаю "не айтишным бизнесам", сэкономившим три копейки на нормальном админе или не желавшим его слушать, поскорее обанкротиться.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

46. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (47), 12-Янв-19, 07:31 
Она и так бесполезна, с кучей мало кому известных центров сертификации которым авторы браузеров заставляют доверять по умолчанию.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

61. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от гуглезила (?), 12-Янв-19, 18:12 
а все известные мы уже позаблокировали

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

52. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 11:32 
> Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации

Это его обязанность.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

74. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (33), 12-Янв-19, 19:33 
Откуда ж вы такие лезете?!
Нет, нет и ещё раз нет. Идентификация личности нужна только для случая PV сертификата. Даже EV требует проверки ОРГАНИЗАЦИИ и, опционально, наличия у запрашивающего разрешения на такое действие от руководителя организации.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

82. "Рост атак, связанных с захватом контроля над DNS"  +4 +/
Сообщение от Ordu (ok), 12-Янв-19, 22:45 
> PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.

Теория -- это такая штука... Лучший способ её употребления -- сворачивать в трубочку, наполнять чем-нибудь сознание меняющим, и курить. Если теория не меняет сознание, то значит эта теория не стоит выеденного яйца.

Но это присказка была. Подумай о доверии. Что это такое? Проверка сертификата -- это ведь лишь способ проверить что-то. Так же как ключ от двери, которой авторизует для входа, но ведь на деле замок лишь проверяет, что входящая персона имеет при себе подходящий ключ, он не проверяет личность. Системы с отпечатками пальцев или распознавания по лицу лучше, но они проверяют лишь то, что человек может оставить подходящий отпечаток пальца или выглядеть достаточно похоже. Эти системы можно обмануть, потому что они проверяют не наличие реально интересующего нас свойства (быть именно тем самым Васей, которому мы разрешили входить), а других свойств которые коррелируют со свойством "быть Васей".

Так какое именно свойство сайта мы хотим проверить. Проверку какого свойства мы подменяем проверкой сертификата? В большинстве случаев, мы хотим проверить, что это "тот самый сайт". Тот самый, это в смысле что именно тот, который мы посещали вчера. Или именно тот, о котором нам сообщила подруга. Или именно тот, который имел в виду человек, который прислал нам ссылку. Так ведь?

То есть, ситуация примерно следующая. Когда-то в прошлом интернете появился сайт. Он развивался, зарабатывал себе репутацию, и столкнувшись с сайтом мы хотим проверить, что это именно он. Так? Но как это реализовать? Есть два способа. Первый -- это работать с сайтом и проверять, действительно ли это тот сайт. Выглядит не очень практично, но именно через этот способ сайт зарабатывает себе репутацию: человек приходит на незнакомый доселе сайт, находит на нём какую-то полезнейшую для него функциональность, и говорит "это то, что я искал". Второй способ -- это DNS. У первого есть косяк в том, что другой сайт может закосить под наш, и мы можем этого не заметить. DNS делает эти вещи резко сложнее. Доменное имя -- это специальное такое свойство сайта, которое позволяет его идентифицировать. Интернет был построен на гиперссылках, и ключевая часть гиперссылки -- доменное имя. Но доменного имени недостаточно -- возможны же всякие там MitM, так ведь? Вот тут на помощь приходит letsencrypt.

Описанное выше -- не всегда удовлетворительная схема. Иногда я не готов доверять регистраторам имён, потому что они могут подложить свинью под давлением правительства (нашего или чужого) или общественного мнения. Иногда я хочу связаться не с "тем самым сайтом", а с "той самой организацией" или "с тем самым человеком", а сайт для меня лишь интерфейс, и может быть один из многих. Такие случаи менее распространены, но на такие случае есть другие механизмы. От "того самого человека" ты можешь получить сертификат на дискетке, из рук в руки (после того как ты авторизуешь его по внешности, голосу, манере двигаться, может быть задашь ему несколько контрольных вопросов, пароль-отзыв...), и установить его в свой браузер. Или сайт может использовать какие-то внешние центры авторизации -- скажем платные сертификаты от доверенного центра (от того, которому вы оба доверяете). Способы могут быть разные, но я отмечу: нет ничего удивительного в том, что какая-то схема авторизации оказывается неприменимой в ситуациях, для которых она не создавалась. Для заурядного сайта совершенно нормально верить регистратору DNS. С letsencrypt, правда, приходится ещё доверять letsencrypt. Но альтернативой будет либо доверие платным центрам выдачи сертификатов, либо self-signed сертификаты: распространять сертификаты дискетками по почте вряд ли, завязывая авторизацию на почтовый адрес -- это вряд ли существенно лучшее решение.

Но ключевая, меняющая сознание штука -- это то, что ты всегда идентифицируешь "ту сторону" по *косвенным* признакам. Вопрос в том, насколько релевантные косвенные признаки ты используешь. Вопрос в том, удалось ли вам с "той стороной" создать действительно релевантные косвенные отличительные признаки. Всегда есть некое множество возможных значений для "той стороны" и тебе надо проверить по косвенным признакам, что фактическое значение именно то, которое ты хочешь.

И вот только когда вот эта мысль вcocётся можно начинать разговоры о цепочках доверии. Сначала надо понять что есть доверие и чему именно ты хочешь или не хочешь доверять, и только после этого можно говорить о цепочках доверия.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (-), 11-Янв-19, 21:28 
Че сказать то хотел?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от rshadow (ok), 11-Янв-19, 22:05 
это тот самый случае, где ононим отсасывает, конечно

fixed

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Crazy Alex (ok), 11-Янв-19, 22:49 
Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

35. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 12-Янв-19, 00:19 
>CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.

Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в СТ после того как StarCom был куплен китайцами и которые выдававали левые сертификаты, а LE один из первых подключился к certificate transparency

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Crazy Alex (ok), 12-Янв-19, 00:23 
Ну вот судя по новости (и по источнику на сайте letsencrypt) это всё же в планах на 2019
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Crazy Alex (ok), 12-Янв-19, 00:25 
Стоп, это я туплю. Там так:

We are also planning to introduce a Certificate Transparency (CT) log in 2019. All certificate authorities like Let’s Encrypt are required to submit certificates to CT logs but there are not enough stable logs in the ecosystem. As such, we are moving forward with plans to run a log which all CAs will be able to submit to.

то есть CT сейчас не то чтобы сильно юзабельным выглядит?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 12-Янв-19, 00:40 
Тезка, хорош туфту гнать если не в курсе.

Иди суда:
https://www.entrust.com/ct-search/
или суда:
https://crt.sh/
и проверь любой сертификат выданный Letsencrypt-om

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

57. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (85), 12-Янв-19, 13:55 
В планах у них завести СВОЙ ЦТ сервер. В чужие публичные СТ они все подписанные сертификаты льют с момента своего появления. С марта 2018 (или чуть ранее, не помню) они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат. Вы это всегла можете проверить, посмотрев сертификат. Примерно с тогоже марта это делать обязаны все подписывальщики сертификатов, иначе гугл их не будет трастить в своих браузерах, но по факту многие это далать начали сильно раньше.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

78. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (78), 12-Янв-19, 21:11 
> они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат

Как посмотреть? На примере опеннетовского сертификата...

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

86. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (85), 12-Янв-19, 23:46 
openssl s_client -showcerts -connect www.opennet.ru:443 </dev/null 2>/dev/null| openssl x509 -text

            CT Precertificate SCTs:
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 74:7E:DA:83:31:AD:33:10:91:21:9C:CE:25:4F:42:70:
                                C2:BF:FD:5E:42:20:08:C6:37:35:79:E6:10:7B:CC:56
                    Timestamp : Dec  9 20:15:37.927 2018 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:CB:27:C4:50:7B:4A:E2:39:FC:85:2B:
                                3E:43:F6:91:81:6B:39:9F:53:95:1F:74:90:A0:63:EB:
                                2F:00:B4:BF:53:02:21:00:BB:11:C7:C6:45:FD:79:77:
                                0E:01:48:96:02:61:D3:53:3F:6C:20:B4:38:DD:EF:7E:
                                1B:59:23:79:E1:68:72:21
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 29:3C:51:96:54:C8:39:65:BA:AA:50:FC:58:07:D4:B7:
                                6F:BF:58:7A:29:72:DC:A4:C3:0C:F4:E5:45:47:F4:78
                    Timestamp : Dec  9 20:15:37.512 2018 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:D1:9D:C9:36:B0:78:AE:9F:37:02:90:
                                D3:58:23:01:74:1D:3E:27:DD:E4:2F:8A:B1:CE:03:88:
                                39:DD:63:33:BD:02:21:00:EF:17:71:9F:63:C2:9C:CA:
                                3C:33:4C:45:09:76:62:85:4F:2E:4F:94:70:A4:9F:8C:
                                C5:24:B6:48:2D:C1:74:2E


дальше есть описание апи и списка публичных ЦТ, можно поискать чем дергать напрямую из указанных ЦТ, в гите имется несколько проектов для данных целей, Если слишком сложно, то можно сразу посомтреть в готовом виде собранное комодой на

https://crt.sh/?id=1015175376
тут пресертификат, (для того чтобы можно было это вставить в готовый сертификат приходится его подписывать 2 раза, с добавленным, но незаполненным полем CT, потом заполнять поле полученными данными и подписывать еще раз. первый сертификат получается нерабочим, но во втором получается ссылка на его регистрацию, т.е имя и с-по, и прочие параметры сертификата 100% засвечено в СТ, потом они его еще траз льют в СТ, но это ужн не очень обязательно. тудаже сливает и гугл всех кого нашел своим кравлером, "на всякий пожарный")
https://crt.sh/?id=1015175244
тут сам сертификат

Там же пожно посмотреть все, что есть действующего, на *.opennet.ru
https://crt.sh/?Identity=%25.opennet.ru&exclude=expired (тут не будет на сам домен, задание на дом, как посмотреть все что есть на просто opennet.ru)
ну или вообще все, что было выдано за последние года им, я там находил свои сертификаты аж за 2004 год, но добавляли их в 2016 в ЦТ, похоже некоторые ЦА слили в CT все, что ранее выдали.
https://crt.sh/?Identity=%25.opennet.ru

Я делал для своих целей собиралку по всем известным ЦТ напрямую (именно то что делают на crt.sh, но только по интересным мне доменам).. запущенная в начале августа сего года она по одному разу обходила все ЦТ до сердедины сентября. потом продолжая с того места, где остановилось, обходит за 10 минут гдето, если пускать раз в пол часа. (понятно, время обхода зависит о того, сколько успели сертификатов навыдовыать)

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

3. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (3), 11-Янв-19, 19:52 
КН(Д)Р?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Рост атак, связанных с захватом контроля над DNS"  –2 +/
Сообщение от Аноним (8), 11-Янв-19, 21:09 
> корректных SSL-сертификатов
> рекомендуется включить двухфакторную аутентификацию

Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректный?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (19), 11-Янв-19, 21:46 
Это советы не для юзеров, а для админов. Взламывают их.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

37. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 12-Янв-19, 00:23 
Если ломанули пароль админа без 2FA то админ может и не знать что его поимели (если конечно совсем куку админ, который не установил оповещения о логинах в контрольную панель ДНС через мыло).
А с 2FA ему будет приходить на телефон код разблокировки в добавок к паролю к DNS админке
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от zomg (?), 11-Янв-19, 21:17 
Certificate Transparency пишет логи всех сертификатов. А, например, Certspotter умеет алертать если увидит в логах левый сертификат для вашего домена.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от OpenEcho (?), 12-Янв-19, 00:30 
Проблема в том, что масса доменов регается маленькими конторками, у которых своих спецов нет и пользуются услугами приходящих "компьютерщеков" и которые дерут бабки почасово и платить им за мониторинг - жаба, а у "приходящих спецов" нет стимула хрячить бесплатно, да и в большинстве своем, у них менталитет -"чем чаще вызывают, тем больше бабла". А хозяева доменов как правило особо не парятся со сложными паролями, отсюда - описанный эффект.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Рост атак, связанных с захватом контроля над DNS"  +9 +/
Сообщение от Витязь (?), 11-Янв-19, 21:30 
Там кулхацкеры, сям кулхацкеры... Их бы потуги, да в мирное русло пустить, глядишь что-то полезное для общества сделали, а то сродни фабрике троллей, только ломать и манупулировать могут, мамкины анархисты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Рост атак, связанных с захватом контроля над DNS"  +5 +/
Сообщение от Аноним (17), 11-Янв-19, 22:12 
"Хакер в столовой".

Но, справедливости ради, если бы не хакеры, то корпорации писали бы софт так, что он ломался бы при любой случайности. А вину валили бы на пользователей.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

49. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (8), 12-Янв-19, 09:16 
Это заблуждение сродни тому, что в некоторых конторах админы политиками закрывают сеть (делая себе лазейку даже в очень как бы защищенной сети), надеясь на них, но не защищая каждый компьютер. В результате вешают себе над головой Дамоклов меч (взломали контроллер домена либо даже одну рабочую станцию - сети и компьютеров в конторе нет). Любой домашний компьютер или смартфон защищен лучше такой рабочей станции, ибо они изначально рассчитаны на работу в агрессивной информационной среде.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

97. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Лень_регацца (?), 13-Янв-19, 17:44 
Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китайско-корейские госхакеры и прочие уродцы на службе у толстосумов?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (-), 11-Янв-19, 22:05 
попытка пропихнуть dns-over-чо-то-там?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Рост атак, связанных с захватом контроля над DNS"  +3 +/
Сообщение от Аноним (22), 11-Янв-19, 22:26 
закручивание гаек по типу борьбы с терроризмом
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

53. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от marios (ok), 12-Янв-19, 11:37 
Нет. Враги захватывают учётку на регистраторе, а не мужика посередине сажают.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Рост атак, связанных с захватом контроля над DNS"  –3 +/
Сообщение от Alexeyemail (??), 11-Янв-19, 22:14 
Интересно, как они заставляют провайдера обратиться к "подставному" DNS? Другое дело если провели "инекцию", хотя это не просто и выражается определённой активностью. Можно, конечно, заставить всех пользователей развёртывать собственный кеширующий, но провайдер для того и нужен, чтобы предоставлять сервис. А вот чтобы ломали крупных провайдеров давно не слышал, тем более массово. Печаль пряма.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Ordu (ok), 12-Янв-19, 00:27 
Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои авторитативные dns сервера. Или может вписывают dns сервера провайдера, и проставляют AAAA, который им удобно.

> чтобы ломали крупных провайдеров давно не слышал, тем более массово

Не было никаких поломанных крупных провайдеров, речь о другом:
"организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах)."

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

62. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 18:14 
ты отстал от жизни, сейчас немодно "свои dns сервера".
Уводят учетку, прямо в той панели меняют A запись, сервера БЕСПЛАТНО предоставляет сам регистратор, их менять не надо, и палева, кстати, меньше.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

64. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Ordu (ok), 12-Янв-19, 18:17 
> ты отстал от жизни, сейчас немодно "свои dns сервера".
> ты отстал от жизни

Не удивительно, я лет десять не имел дела со скрипткиддисами.

> Уводят учетку, прямо в той панели меняют

Да, читать ты умеешь, я вижу. Молодец.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

67. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 18:26 
причем тут скрипткиддисы? Ты десять лет походу домены не регистрировал - там нынче опция "свои dns сервера" не у всех с первой попытки вообще находится.


Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

72. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Ordu (ok), 12-Янв-19, 19:22 
> причем тут скрипткиддисы?

При том, что увод паролей -- это деятельность для скрипткиддиса.

> Ты десять лет походу домены не регистрировал - там
> нынче опция "свои dns сервера" не у всех с первой попытки
> вообще находится.

И чё? Думаешь скрипткиддис не в состоянии её найти? Они может ничего не понимают в том, как система работает, но уж с гуями они справляются без особых проблем.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

76. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 20:01 
> И чё? Думаешь скрипткиддис не в состоянии её найти?

говорю ж - не надо ему. Он прям в том же интуитивно-приятном интефрейсе поменяет одну запись, на том самом dns, на котором оно штатно и лежало всю жизнь. И палева меньше, и уметь ничо не надо.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

20. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от Аноним (20), 11-Янв-19, 22:20 
Предлагают поменять одну проблему на другую. Появится больше кривонастроенных днс серверов и отказоустойчивость будет не такая. Описанную проблему в новости даже проблемой можно не считать, если увели пароль, поменяли ип у сайта и ты этого не заметил, то так ли нужен этот домен за которым не следишь
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (33), 12-Янв-19, 00:10 
Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали сайт-магазин за сто баксов. Платёжка от какого-нибудь яндкс или платипалкой. Заказы приходят по емейлу и в целом всё хорошо. Пока вдруг не начинаются жалобы от покупателей на двойные списания или владелец бизнеса не обнаруживает на счету ноль вместо ожидаемых тысяч.
А вот потом выясняется, что студия, которая клепала этот магазин, еле дышит и из ит персонала там остался один инженер поддержки.

P.S. Риальне история моих друзей из Бразилии.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Рост атак, связанных с захватом контроля над DNS"  –3 +/
Сообщение от Эш Уильямс (?), 11-Янв-19, 22:24 
Чем второй фактор поможет, при наличии у товарищ майора HTTP/HTTPS канала (MITM) и SMS (SS7)?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Рост атак, связанных с захватом контроля над DNS"  –2 +/
Сообщение от тов. лейтенант (?), 11-Янв-19, 22:39 
его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке.
Товарищ майор не будет утруждать себя ни mitm, ни какими-то там sms. Он насадит тебя на бутылку, и ты сам, добровольно и с песней, все поменяешь как надо, и все пользовательские логины-пароли-адреса ему выложишь удобно и красиво.

мы _так_ работаем, а ты фильмов про шпионов насмотрелся. Ты бы еще индийские смотрел, и думал, что мы тебе песни петь будем.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

99. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Лень_регацца (?), 13-Янв-19, 17:52 
Ты лично только языком работаешь. Любитель бутылок.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Рост атак, связанных с захватом контроля над DNS"  –2 +/
Сообщение от Crazy Alex (ok), 11-Янв-19, 22:47 
Где вы там товарища майора увидели?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

98. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Лень_регацца (?), 13-Янв-19, 17:47 
А чё тебя это зацепило?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

71. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Гентушник (ok), 12-Янв-19, 18:52 
SMS это не самый хороший выбор второго фактора. Есть например TOTP.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от пох (?), 11-Янв-19, 22:37 
коммуникационные компании, isp, dns сервер "у регистратора" с паролем 123.

Пааанятна...

дайте, пожалуйста, другой глобус.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Anon4ik_ (?), 11-Янв-19, 22:56 
IPFS, же
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от Аноним (43), 12-Янв-19, 02:05 
Очень похоже на начало информационной атаки на Letsencrypt.
Не удивлюсь, если в скором времени появятся новости с заголовками типа "нужно перестать доверять сертификатам Letsencrypt для увеличения безопасности"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Рост атак, связанных с захватом контроля над DNS"  –2 +/
Сообщение от Онаним (?), 12-Янв-19, 16:28 
И будет совершенно не удивительно. LE придётся добавить идентификацию клиента таки, не по кредитке, так по мобильнику. Вот только их недоношенная трёхмесячная автоматика с этим жить будет плохо.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

63. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 18:15 
не, они это не для того затевали.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

83. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 22:51 
Не придётся, ибо такая проверка излишня, а значит дорога и вредна. Для того, чтобы сделать описанное тобой, надо очень много присесть и не наступить на всякие *-DSS и GDPR. А это пиceц как сложно. Да и не будет этого никто делать — не стоИт перед проектом задачи превратиться в «классического» провайдера ssl.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

90. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 13-Янв-19, 10:21 
В противном случае их просто потихоньку - по мере увеличения доли участия их сертификатов в таких атаках - вынесут из браузеров, и всё.
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

104. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (-), 15-Янв-19, 11:06 
Ты платиновых спонсоров LE видел, дурачок? Там Google и Mozilla. Они и организовывали вместе с другими создание LE и оплачивают работу. Зачем им выкидывать из браузеров?
И даже если зачем-то выкинут/закроют, то добавят LE2 быстро.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

44. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Ivan1986 (?), 12-Янв-19, 02:56 
> организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса

Очередной взлом сервера с помощью пароля на root?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 12-Янв-19, 06:43 
Вообще мимо...
Вы домены когда нибудь покупали? Что такое гегистрар в курсе?
Новость о том, что левые люди получают доступ к административной панели ДНС, где меняют поинтер на ИП адрес подставного сервака. Причина - в безалаберном отношении к паролям и ничего больше.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

84. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 22:53 
И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства она до сих пор опциональна.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

101. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 14-Янв-19, 17:18 
> И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства
> она до сих пор опциональна.

2FA это тоже не панацея, уже было много случаев, когда взломы происходят используя имеено 2FA.
К тому же многие провайдеры, кроме как 2FA от гугла вообще не понимают

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

54. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 11:57 
Ничо вы, на самом деле, не понимаете за "цепочку доверия".
"Цепочка доверия" должна состоять не в том, что Comodo (Кто такой Студебе^w Comodo? Это ваш родственник Comodo? Папа ваш Comodo?) своим корневым сертификатом заверяет промежуточный сертификат, а этим промежуточным сертификатом - сертификат сайта. Правильная цепочка доверия - это когда вы в том отделении банка, где получали карточку, спрашиваете у операционистки, которая вам её выдала, где  сидят их компьютерщики, идёте к ним и просите распечатать вам на бумажке правильеый сертификат их интернет-банка. И при этом смотрите, как этот сотрудник себя ведёт. Если он, с недоумением пожав плечами, при вас открывает сайт и берёт серт оттуда - вам стОит всерьёз задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности. А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда - с этим банком можно иметь дело.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (55), 12-Янв-19, 12:39 
кто вы, чтобы сдавать вам компьютерщиков? да, при первом использовании карточки пин не подойдет, наберете захара петровича, скажете пин и вас активируют, мужчина или берите что дают или не задерживайте очередь.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

66. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 18:24 
это тоже немодно, это только в вашем спёрбанке так.
У правильных пацанов клиента такой фигней не вынуждают заниматься - наберите хорошо известный номер телефона на карте, пропищите в тоновом режиме номер карты, теперь пропищите ваш пин - поздравляем, карта активирована.
Кстати, вы сможете тем же способом этот пин поменять, не зная его.

В качестве дополнительной меры безопасТносте - мы можем иногда попросить вас пропищать еще и номер-дату-выдачи паспорта.
Васян, записывающий ваш dtmf (если вы из офиса это сделали, ему его даже специально распознавать не надо, он отдельно прямо цифрами пишется), будет за это отдельно вам признателен - еще и кредитец на вас возьмет.

Это не шутка, это Ситибанк. Европейский уровень безопастносте как он есть.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

68. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 18:43 
Понятно, спасибо. Девушка, я хочу аннулировать карточку и расторгнуть договор. Нет, остаток средств, пожалуйста, по расходному кассовому ордеру.
В том же Сбере можно было без проблем пройти в отдел автоматизации на свежим дистром клиент-банка и   новыми ключами (когда я работал в фирме, имевшей р/с в СБ).
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

79. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 12-Янв-19, 22:23 
Без проблем. Нужна ваша подпись вот здесь, и ещё вот здесь. Секундочку, вот ваш ордер на две тысячи сто одиннадцать рублей 50 копеек, пожалуйста, присаживайтесь, ожидайте вызова вашего номера в кассу, всегодоброгодосвидания.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

65. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от пох (?), 12-Янв-19, 18:20 
> Правильная цепочка доверия - это когда вы в том отделении банка

ну только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая.

А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан.

Проблема в том, что у гуглезилы совершенно противоположные задачи.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

70. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 18:51 
К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от пох (?), 12-Янв-19, 19:36 
ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю.

> Но это ещё пол-беды - на нас денег сделать затруднительно

ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого.

а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

77. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Анонимный Алкоголик (??), 12-Янв-19, 20:15 
> Если он, с недоумением пожав плечами, при
> вас открывает сайт и берёт серт оттуда - вам стОит всерьёз
> задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности.
> А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда
> - с этим банком можно иметь дело.

Э... Что за подход?
Особенно если сайт на сервере в соседней стойке жужжит... С папочкой. Ну конечно пожимать плечами ему следует без лишнего недо умения...
Но и идти к собственно занятым безопасностью эникеям за сертификатом должно быть незачем. ("операционистки" достаточно; или даже без неё)...

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

91. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от YetAnotherOnanym (ok), 13-Янв-19, 10:32 
Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это филиал, а сервер в Москве, и у админа настроено заходить не по VPN, а через Интернет, и разрешение DNS через сервера провайдера - специально, чтобы видеть, как у клиентов, и тогда он тоже подвержен спуфингу? А если он вообще не в помещениях самого банка, а где-нибудь в EC2? Я допускаю такое, потому что в своё время знал товарища, который с пеной у рта доказывал, что держать собственное железо и собственных админов чуть ли не неприлично, что ни одна серьёзная организация не захочет иметь дело с такими отсталыми людьми, которые не понимают, что надо всё переносить на хостинг и отдавать на отсосинг.
Если же операционистке дадут инструкцию, в какой папочке на внутренней файлопомойке взять сертификат, если вдруг кто-то спросит - ну это ж самое лучшее, что может быть. Только операционистки, когда я их об этом спрашивал, переадресовывали вопрос в службу поддержки онлайн-банкинга, который, внезапно, работает на сайте того же банка в режиме чата (не, ну можно ещё позвонить, узнать, что звонок очень важен и послушать музычку).
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

92. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (55), 13-Янв-19, 11:02 
it под колпаком, совместимо с честью на уровне занавески для борделя, компромат фабрикуется своевременно, но сертификаты и оптимизм это хорошо, да
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

93. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (93), 13-Янв-19, 11:05 
Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remote addr в логах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

94. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (55), 13-Янв-19, 11:37 
логи скомпрометированы ночной сменой и touch, ээ-то не показатель)
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

102. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (-), 14-Янв-19, 19:26 
Новость - провокация, имеющая целью вынудить "владельцев" таких DNS засветить свой номер телефона и т.п.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру