Názory k článku
Linux.org měl unesenou doménu
-
Dávno už mám obavu, že zaslepený přechod na SSL přesune hrozby z únosu spojení na únos domén, manipulace s DNS záznamy apod. Registrátoři a zprostředkovatelé jsou prachbídně chráněni. Ještě poměrně solidně je řešené ověřování pokynů do centrálního registru (i když i to má své mezery).
Přístup k DNS bývá extrémní slabina, maximálně chráněná jménem a heslem, které se dá resetovat pomocí e-mailu. E-mail běží nezabezpečeně - takže stačí MITM na e-mail s resetem hesla a tradá, doména je v ohrožení.
Pak už stačí v DNS na 10 minut (možná ani to ne) uchvátit provoz, kterážto doba bohatě stačí na získání např. Let's Encrypt certifikátu. Provoz se pak může potichu navrátit zpět na původní server, ale útočník už disponuje certifikátem, kterým může provozovat MITM útok i přes SSL (a návštěvník webu trpí o to falešnějším dojmem bezpečí).
Pokud musí všichni na SSL přecházet, měly by být dořešeny i všechny tyto mechanismy. Řetěz je tak silný, jako jeho nejslabší článek.
-
Riziko resetu hesla emailem se dá omezit správným použitím 2FA. Samozřejmě se to dá taky obejít, ale MITM útok na email a současně i na druhý inf. kanál (nejlépe úplně oddělený od toho prvního) je vyšší liga.
Pochopitelně, že 2FA toto riziko výrazně sníží. Pokud se jedná např. o SMS, pak to riziko zůstává např. ve vztahu zaměstnavatel (služební telefon) => zaměstnanec (přístup k registrátorovi, do banky, ...). Málokdo si uvědomuje, že SIM kartu lze u operátora vyměnit. V případě služebního telefonu to může udělat dost často asistentka firmy. V případě soukromého telefonu je potřeba podvést zaměstnance operátora (případně to spáchat společně s ním).
Možná se zdá, že 2FA slabinu úplně vyřeší, ale není tomu tak. Nejbližší okolí má často velký zájem zabezpečení překonat (spory mezi společníky firem, spory mezi vedením a zaměstnancem, spory mezi kolegy, spory mezi (bývalými) partnery), ... Na to je bohužel ani 2FA neposkytuje úplnou ochranu.
Ale zpět do reality. Podívejte se po českých registrátorech. Spočítejte, kolik z nich má 2FA (aspoň volitelně, když už ne vynuceně). Spočítejte, kolik z nich povoluje uložení kredencí v prohlížeči. Spočítejte, kolik z nich Vám pošle reset hesla e-mailem.
-
654 (neregistrovaný)
Každý klacek pod nohy útočníka se počítá. Bohužel je důležité to slovo "správném" použití 2FA. A to platí pro obě strany. Registrátor musí kód pro 2FA zabezpečit a admin by neměl používat jeden telefon na autorizaci i email, ještě k tomu se zapnutým automatickým vyplňováním 2FA (tato debilní funkce, která anuluje podstatu 2FA, opravdu existuje).
-
Každý klacek pod nohy útočníka se počítá. Bohužel je důležité to slovo "správném" použití 2FA.
Já s tímto tvrzením souhlasím jen částečně.
Útočníci se dělí na amatéry, poloprofesionály a profesionály (těch naštěstí není moc). Tím, jak zvedáme úroveň zabezpečení, tak na jedné straně odřezáváme amatéry. Na druhé straně ale poloprofesionály "vyškolujeme" a zvedáme jejich znalosti.
Dříve se dávaly úplatky ve stokorunách, tisících a desetitisících. Dnes už si nikdo netroufne zničit si život kvůli pár desítkám tisíců. Zde "klacek pod nohy" pomohl. Na druhé straně vznikla kasta, která už nekrade statisíce, ani miliony, ale rovnou miliardy - protože za to riziko stojí. A tuto kastu ten samý "klacek pod nohami" stvořil.
Dříve dokázal auto ukrást pitomec s hasákem na urvání zámku volantu a s vědomostí, jaké dráty má z vytržené spínačky spojit. Takového pitomce většinou chytli ve vedlejší vsi, jak večer ukradené auto rozřezával v garáži. Dnes auto kradou organizované gangy, které ho během dvou, tří hodin dostanou za hranice a během celé cesty mají zapnutou rušičku GSM a GPS. To je další příklad sporného působení "klacku pod nohami".
Dříve lidé pěstovali konopí za okny a lidé si navzájem ochutnávali "matroš". Pak přišla kriminalizace marihuany. Nikdo už nechtěl riskovat, že ho soused napráská. A tak lidé začali hulení kupovat. I ti, co nikdy k tvrdým drogám netíhli, začali potkávat dealery, kteří měli v levé kapse konopí a v pravé kapse větší dobroty. Další "klacek" co "pomohl".
Podle mě je potřeba velmi pečlivě zvažovat dopady každého opatření, protože ne každý dobrý partikulární nápad je prospěšný globálně.
-
null null (neregistrovaný)
@Miroslav Šilhavý
Řekl bych řekl bych že ta teorie s poloprofesionály moc nesedí. protože evidentně se vzrůstajícím zabezpečením nám pořád roste počet lidí schopných něco někde spáchat protože útoků a zásadních rozhodně přibylo a naopak ani neodřezávají ty amatéry, protože si z nich udělali přímo zákazníky (botnenty např.)
-
@Nick Sekáč Magor
To s tím právě souvisí. Botnet je právě výsledkem delaicizace, nebo profesionalizace, chcete-li. Dříve ubožákovi stačil ten hasák. Dneska si musí koupit diagnostiku, rušičku GPS, mít kolegu s odtahovkou a řidičákem na náklaďák (a/nebo přívěs)...
Ono totiž ubylo útočníků, ale vytrénovali se k vyšší efektivitě. Když už se musíte "srát" s programováním botnetu, je už jedno, jestli napadnete sto, nebo sto tisíc počítačů.
-
null null (neregistrovaný)
@Miroslav Šilhavý
Nee, botnet je výsledkem automatizace. Mimochodem, poloprofesionál bude pořád v "půli". To že se změnil inventář tam nehraje roli, to je poplatné době, případně oboru - třeba zlodějíček bude pořád zlodějíek ať z kapsy krade stříbrňák nebo Galaxy Imperial coin ...
-
j (neregistrovaný)
"během celé cesty mají zapnutou rušičku GSM a GPS"
Nemaji, neni k tomu zadnej duvod.Exaktni popis prace zlodeje ... otevre auto, vyzkousi zda nastartuje, objede s nim blok (3-5km) na cemz overi, ze mu nechcipne, a pak vyrazi 200km/h smerem psonkland.
Nez majitel zjisti ze auto nema, ubehne nejmin 30 minut. Nez se mu podari aktivovat pcr, dalsich nejmin 30 min ... to uz je jeho auto 200km daleko. Jakmile prekroci hranice, je to minimalne + dalsi hodina, nez se cesky fizlocajti dohodnou s polskejma. V tenhle okamzik je uz auto nalozeny na korbu, s odpojenejma baterkama.
Z uvedeny akce mam gpx. Marna snaha, pokud dotycnej nema vrtulnik a nehodla si svoje auto mezinarodne honit sam.
Apropos, dneska dokaze auto ukrast naprosto kazdej. Dostane do ruky krabku a k ni maximalne info, kde to ma CAN a kam s tim ma dojet.
-
Ravise (neregistrovaný)
U Světla, DV certifikát nikdy neříkal "tahle doména patří majiteli XY". DV certifikát znamená "tenhle obsah přišel z té domény". Nehledě na to, že potřeba SSL a vyžadování umístění každého certifikátu do logu znamená, že si toho můžeš všimnout prakticky v reálném čase: někdo si nechal vydat certifikát na mojidomenu.tld, ale já to nebyl --> byl to útočník
-
Ravise (neregistrovaný)
Co by teda měl DV říkat? DV (ze zkratky Domain Validated) prostě znamená, že ten, kdo si zažádal o certifikát, měl v čase žádosti doménu pod kontrolou. DV samo o sobě nic víc garantovat nemůže. Bohužel tu stále jsou lidi, co si myslí, že ano...
Že to jde udělat i jinak (a zrovna tady asi i líp) je jiná věc. Ale chtít, aby DV garantoval cosi jako identitu vlastníka je nesmysl. Tečka.
-
Petr M (neregistrovaný)
To taky netvrdím. DV garantuje jenom to, že se bavím s držitelem DNS záznamu. To samý pro jiný služby garantuje DNSSEC.
Proč máme jednu věc implementovanou jinak pro HTTPS a jinak pro zbytek služeb? Proč se před LE muselo za DV platit, když DNSSEC dělá to samý, zadarmo, a bez nějaké pochybné agentury?
Prostě, DV by neměl existovat. Když někdo chce ověřenou identitu, ať si zaplatí EV, ale DV vůbec nedává smysl. Dál už to nebudu řešit, musel bych přejít k osobním poznámkám k mentalitě autorů DV a přepnout se na J-čkův slovník.
-
Lumír (neregistrovaný)
Pořád tu machruješ, tak se ukaž. Předveď mi web server, který bude mít důvěryhodný certifikát třeba na doménu www.root.cz. Abych viděl bez varování tvůj podstrčený obsah, když si do /etc/hosts dám tvou IP adresu s doménou www.root.cz. Pojď!
-
Ondra Satai NekolaZlatý podporovatelNevymysli vymluvy, vymysli urazky. Ale stejne neprijde s necim originalnim...
-
u (neregistrovaný)
No a mate odvahu mu to dat pres "notarskou uschovu penez"?
"Notář provádí úschovu peněz za účelem vydání konkrétní osobě po splnění podmínek či naplnění určitých skutečností stanovených v protokolu o úschově, jejímiž účastníky jsou složitel, příjemce a notář jako správce."
Ukazte i vy a mozna ukaze i on. Pokud neukaze, o nic neprijdete.
-
Filip JirsákStříbrný podporovatelLumír ale nereagoval na nějakého kritika systému, ale na konkrétní tvrzení j. J tu opakovaně tvrdí, že je triviální získat uznávaný certifikát vydaný na jakékoli doménové jméno – a když to má předvést, obrátí a začne tvrdit, že to vlastně vůbec jednoduché není a že by to stálo miliony.
-
Petr M (neregistrovaný)
Znáš firmu Levně - Bezpečně - Kvalitně?
Chceš to levně a bezpečně? Nebude to kvalitně.
Chceš to levně a kvalitně? Nebude to bezpečně.
Chceš to kvalitně a bezpečně? Nebude to levně.A protože pro většinu zákazníků je cena až na prvním místě a "kvalita" jim vydělává, hádej, kterou možnost volí? Kvalitu si pak ještě definují jako "jede na tom Drupal nebo WP, výpadek maximálně hodinu měsíčně". Tak se nediv, že jsme tam, kde jsme...
