Názory k článku Postřehy z bezpečnosti: „zip“ nově využíván při útocích nejen jako typ souboru

Prima. Teď si ty odkazy zkuste otevřít v internetovém prohlížeči. Pak se podívejte do adresního řádku, co tam uvidíte. A pak mi konečně odpovězte na otázku, v čem je nebezpečnější, když uživatel má v adresním řádku prohlížeče adresu toaster-update.zip než když tam je toaster-update.com. Co znamená zavináč v adrese vím. Ale taky jsem si vyzkoušel, jak s tím zacházejí prohlížeče – a to vy jste obávám se neudělal.

24. 5. 2023, 21:00 editováno autorem komentáře

Podle vasi teorie by byl phising zcela nefunkci vec, protoze prece staci se podivat do adresniho radku :-) Tak se ted muzete smele pustid do toho, proc to na spoustu lidi funguje... :D

Aha, já jsem si bláhově myslel, že to toaster-upgrade.zip se ukazuje v adresním řádku. A on to má zatím uživatel napsané na čele.

Také by mne zajímalo – když já následující adresa hrozně nebezpečná: https:​//github­.com∕kubernetes∕ku­bernetes∕archi­ve∕refs∕tags∕@v1271­.zip

Proč není nebezpečná také adresa:
https:​//github­.com∕kubernetes@ku­bernetes.app/ar­chive/refs/tag­s/v1271.zip

Nebo adresa:
https:​//github­.com∕kubernetes∕ku­bernetes∕archi­ve∕refs∕tags∕v1271@ku­bernetes.run

Nebo adresa:
https:​//github­.com/kubernetes­s/kubernetess/ar­chive/refs/tag­s/v1271.zip

A z ceho jste si dovodil, ze ostatni zminene gTLD nebezpecne nejsou? :-) Za vznikem novych gTLD je predevsim hlad po penezich... kterych dokazou zainteresovane neziskove organizace utratit zhora neomezeny pocet (a bohuzel jsme toho svedky i u RIPE, kde se aktualne hlasuje o modelu financovani, ktery cele rade ISP i u nas dost zvysi naklady... ale ano, zamestnanci si litaji na delsi vzdalenosti v byznys class a samozrejme se neresi zadny time-tracking toho, jak efektivne pracuji - proste takovy statni moloch v malem ;-) ).

No nic, dle ocekavani jste se vubec nevyrovnal s tim, proc teda funguje ten phising, kdyz to z URL je tak kristalove zrejme. No jo, ono je ponekud pravdepodobnejsi, ze bude fungovat lepe na neajtaka, nez na nekoho kdo spravuje kubernetes cluster ;-) Ergo vase priklady jsou dost mimo misu.

A z ceho jste si dovodil, ze ostatni zminene gTLD nebezpecne nejsou? :-)
Z toho, že se to týká úplně všech TLD. No a pokud jsou nebezpečné všechny TLD, tak buď můžeme vypnout internet, nebo můžeme dělat opatření, která jsou nezávislá na TLD.

Phishing funguje buď tak, že uživatel vůbec neřeší, co je v adresním řádku prohlížeče – a pak je úplně jedno, jestli je tam .zip nebo .com. A nebo uživatel přehlédne nějakou menší změnu v doméně, že tam třeba místo mojebanka.cz je mojebanka-cz.cz. Adresa faktura.zip oproti očekávané alza.cz/bflmpsvz­/faktura.zip je dost velká změna, takže v druhém případě si toho uživatel všimne mnohem spíš, než kdyby tam bylo třeba alza-cz.eu/bflmpsvz/f­aktura.zip. No a adresa alza-cz-bflmpsvz-faktura.zip také bude docela podezřelá.

Zkrátka doména .zip se pro phishing používat nebude o nic víc, než jiné domény, protože zkrátka jsou lepší cesty, jak zmást uživatele.

Bagatelizator rizik jste opravdu skvely, to se musi nechat :-)

Když nemáte kolem pozemku žádný plot, vy se postavíte na jedno místo a prohlásíte: „tady chybí metr plotu, zbytek neřešme“ a já řeknu: „ne, nechybí jenom jeden metr, je potřeba vyřešit plot kolem celého pozemku“, kdo bagatelizuje riziko? Já nebo vy?

No vase reseni je stylem "tady stoji jen metr plotu, zbytek chybi... no tak zbourejme ten metr, je s tim min prace nez dodelat zbytek" :-)

Jenže žádný metr plotu nikde nestojí.

Ja vim, vy si myslite ze mate pravdu, i kdyz ji nemate :-)

To samé se dá říct i o vás. Místo těchto hloupých řečí byste mohl uvést příklad útoku, který lze provést, když existuje TLD .zip, ale nelze jej provést s jinými TLD. Zatím jsme to viděli případ, kdy uživatel chce stahovat soubor faktura.zip z nějakého webu (třeba e-shopu), skončí místo toho s adresou faktura.zip v adresním řádku prohlížeče. Jenže pokud tohle nebude uživateli divné, nebude mu divné ani kdyby skončil na doméně faktura.com nebo jakékoli jiné.

Ze si nedokazete (a nebo jste jen liny) precist to, co uz o tom davno napsali jini fakt neni muj problem... :-)

Co napsali jiní jsem četl – a na rozdíl od nich jsem si to i vyzkoušel.

Samozřejmě nemůžu říct, že jsem četl všechno, co napsali jiní. A vy jste četl, co napsali jiní? Pokud ano, našel jste tam něco, co by mohlo způsobit problém? Pokud ano – proč jste to tu za celou dobu nenapsal?

Ze jsou vase testy nedokonale rovnez neni muj problem ;-) A vsimnete si, ze polemizujete s necim, co do prostoru prinesl i autor tohoto clanku. Vy jste mozna expert na uplne vsecko, ale autor se narozdil od vas bezpecnosti skutecne venuje.

Vzhledem k tomu, že jsem toho otestoval víc, než co bylo v článcích, které jsem četl, pak buď byly mé testy dostatečné, nebo byly testy autorů článků ještě méně dokonalé, než ty moje.
Každopádně jste zase žádný útok nepopsal, takže tu jen plácáte, ale nic reálného nemáte. Diskuse s vámi tedy nemá smysl.

A ze jste vysledky tech svych udajne komplexnich testu teda nekde nepublikoval ;-) Myslim ze Petr Krcmar by vas clanek na toto tema nemel problem publikovat, ze? Tak bud zadny test neprobehl a vymyslite si, nebo se bojite toho, ze by se verejne znemoznil :D

Já jsem nepsal nic o komplexních testech. Zkusit otevřít adresu v prohlížeči není žádný komplexní test. Ale výsledek toho testu jsem napsal tady v komentářích. Pořád jsem tu ale napsal mnohem víc informací o té "zranitelnost", než jste napsal vy...

Napsal jste spoustu TL;DR blabolu, my vime :)

Filipe, vy tou svou demagogií, či jak to nazvat, spolehlivě zboříte/ zaplevelíte každou zdejší polemiku. Kašlete na to prosím. Ptal jsem se jak to vysvětlit uživatelům a ne nutně vás. Vaše názory zda to je nebo není nebezpečné jsou mi u … irelevantní. Děkuji za pochopení.

@FKoudelka

na druhou stranu tady ma Filip pravdu, specificky domenu ZIP neni potreba uzivatelum vysvetlovat, neni v ni vetsi problem nez v jakekoliv jine nevhodne domene/url na kterou to uzivatele presmeruje a on si nevsimne,..

navic milionkrat vetsi problem pro uzivatele nez domena .zip je to ze nevi/nevsimne_si kam realne vede odkaz a to ze zobrazeny text odkazu neni to co se nacte, coz by videl pri pokledu na status listu po najeti na odkaz pred tuknutim...

ala https://duveryhodnastranka.cz
[a href="http://­tezbaudaju.com"]https:­//duveryhodnas­tranka.cz[/a]

Ok , názory beru, ale kdo se má furt pročítat vzájemnýma urážkama.
To platí samozřejmě i pro Dannyho.
Dík za názor.

28. 5. 2023, 10:24 editováno autorem komentáře

Edit: je to jak říká p.Jirsák, prohlížeč to na doménu faktura.zip ani se zavináčem obecně nepustí. takhle jednoduché to tedy není, jdu to studovat z originálu.

25. 5. 2023, 08:43 editováno autorem komentáře

ale zkuste vynechat ta /před @

https://lupa.cz@faktura.zip

25. 5. 2023, 08:57 editováno autorem komentáře

Ta část URL před zavináčem obsahuje přístupové údaje (uživatelské jméno a heslo). Pro protokol HTTP myslím není jejich použití definováno (možná to dříve některé prohlížeče převedly na HTTP Basic autentizaci, tím si nejsem jistý; možná by to i dnes fungovalo, pokud by server na požadavek odpověděl výzvou pro zadání hesla přes HTTP protokol, že tam prohlížeč ty údaje použije). V prohlížečích se to používalo u FTP protokolu, ale ten už dnešní prohlížeče nepodporují. Dnes pro HTTP prohlížeč (Chrome-based) ty údaje nepoužije ani v případě, kdy dostane ze serveru odpověď, že je potřeba HTTP autentizace. Vzhledem k tomu, že prohlížeč ty přístupové údaje nijak nepoužívá, ani je v URL nezobrazuje a z URL je odstraní.

Takže zneužití toho, že uživatel zamění doménu s názvem souboru, dopadne tak, že se uživateli v adresním řádku zobrazí jenom ten název domény. No a pokud uživateli není divné, že se ze stahování souboru faktura.zip najednou stala doména faktura.zip, nebude mu divné ani to, když se z toho stane doména faktura.info nebo cokoli jiného.

Jinak celou dobu píšu o webovém prohlížeči, což je zdaleka nejčastější vektor útoku přes URL. Samozřejmě URL nejsou jen v prohlížečích – ale opět platí, že když někdo bude používat třeba curl nebo wget, tak buď rozumí tomu, co dělá, a TLD zip ho nezaskočí. Nebo neví, co dělá, jenom odněkud zkopíroval celý příkaz – a pak je úplně jedno, jestli tam bude doména zip nebo jestli tam bude devil-hacker.xxx.