Trybun <MLSCh@jachu.cb> napisał(a):
I jest to dozwolone przez prawo? Oczywiście mam tu na myśli sytuację gdy
ktoś zastrzega sobie prawa do własności. Bo jakoś nie może do mnie trafić
że Onet godzi się na wykorzystywanie swojego serwisu przez piratów, a
nawet jak się nie godzi to nie może nic zrobić.
Oczywiście nie jest dozwolone i Onet się nie godzi, tylko nie bardzo jest
jak łapać tych przestępców. Poza tym to jest sprawa trzeciorzędna. Jest
wykonywany atak na użytkowników i liczy się bezpieczeństwo ich danych,
kwestią praw autorskich w takim przypadku nikt sobie nie zawraca głowy.
Skoro tak piszesz, ale oni, czyli choćby serwisy bankowe twierdzą że to
jest jednym z elementów ochrony. Oczywiście banki korzystają z
wieloetapowych zabezpieczeń, ale właśnie https przedstawiają jako jeden z
jego elementów.
No właśnie - jeden z elementów. A nie jakiś jeden magiczny sposób na
rozwiązanie wszystkich problemów. I jak wspomniałem, https jest teraz
wszędzie, więc nie bardzo jest się czym chwalić.
Nie mam pojęcia na czym polega ten certyfikat, ale chyba strona "ziemniak'
nie może być utożsamiana z stroną "grzegorz", i chyba na tej podstawie a
to antywirus a to przeglądarka czasem blokuje łącze z takim serwisem. Być
może to jakaś bzdura w stylu "do mikstury jest potrzebna krew dziewicy"
podczas gdy krew starej prostytutki jest równie przydatna, ale sprawia to
wrażenie bezpieczeństwa.. Pytanie czy jest to tylko wrażenie czy faktyczne
bezpieczeństwo?
Właśnie próbowałem to wytłumaczyć, ale chyba trzeba zacząć od zera.
HTTPS daje nam trzy rzeczy:
- integralność danych, czyli pewność, że nie zostały przez kogoś
zmodyfikowane gdzieś po drodze w czasie transmisji
- poufność danych, czyli są one zaszyfrowane i niedostępne dla ewentualnego
podsłuchującego
- autentyczność, czyli potwierdzenie tożsamości autora informacji
To ostatnie jest widoczne dla użytkownika jako certyfikat, czyli zbiór
informacji opisujących dany podmiot, w szczególności jego nazwę. Coś jak
dowód osobisty. Autentyczność certyfikatu jest potwierdzana przez podpisanie
go podpisem cyfrowym przez zaufany podmiot. W przypadku mojej strony takim
podmiotem jest firma DigiCert. Te zaufane podmioty nazywamy urzędami
certyfikacji (CA - certificate authority). Przeglądarki internetowe mają
listy urzędów, którym ufają. Nazwa urząd może być myląca, bo zwykle jest to
jakaś firma, a nie jednostka (samo)rządowa, ale w każdym razie chodzi o coś,
czemu ufamy i co może wydać jakieś poświadczenie. Jest to w sumie podobne do
urzędu miejskiego, do którego przychodzisz z wnioskiem, w którym twierdzisz,
że nazywasz się Trybun, a urząd weryfikuje to i wydaje Ci dowód osobisty.
Możesz potem się tym dowodem posługiwać, bo ludzie mogą zweryfikować Twoją
tożsamość gdyż: a) porównują dane z dowodu z tym, co widzą (zdjęcie z
twarzą, podany wzrost z widocznym wzrostem, kolor oczu itd) i b) ufają
urzędowi, który wydał dokument. Nie zaufają dowodowi osobistemu wydanemu
przez Biedronkę.
Jak się ma certyfikat na stronie www do dowodu osobistego? O zaufanym
wystawcy dokumentu już wspomniałem. Teraz zostaje kwestia danych
"osobowych", które możemy sprawdzić. W przypadku stron taką podstawową daną,
którą przeglądarka może zweryfikować, jest adres strony. Więc gdy wchodzimy
na onet.pl, przeglądarka sprawdza, czy strona przedstawi się certyfikatem
wydanym na domenę onet.pl. Każda przeglądarka robi to automatycznie, to jest
podstawowe sprawdzenie. Antywirus nie ma nic do rzeczy. I tym, co ciągle
podkreślam jest fakt, że sprawdzana jest tylko domena. Nie ma sprawdzania
treści strony. Jeśli wejdziemy na ziemniak.com i przeglądarka zobaczy
certyfikat ziemniak.com, to nie zaprotestuje, nawet jeśli na tej stronie
będzie formularz logowania do konta Onetu. Dlaczego? Bo certyfikat
potwierdza domenę, a to się zgadza. Nie mówi nic o zawartości strony. Tak
samo dowód osobisty potwierdza dane osobowe, a nie to czy ktoś lubi
czekoladę albo czy jest uczciwy. My wiemy, że tekst "zaloguj się do swojego
konta onet.pl" widoczny na stronie ziemniak.com jest dziwny i niepokojący,
ale przegladarka nie ma jak tego wiedzieć. Antywirus teoretycznie mógłby,
ale potrzebowałby do tego sporej bazy opisującej miliardy stron, lub też
posiadający jakiś mechanizm zgadujący. Trochę tak jak są bazy sygnatur
wirusów w antywirusach, a także mechanizmy heurystyczne antywirusów, które
szukają na dysku rzeczy, które wydają się podejrzane, bo są
charakterystycznego dla wirusów. Tutaj tak naprawdę wystarczy spojrzenie na
adres strony. Jeśli jest onetowy formularz logowania, a w pasku adresu jest
ziemnika.com, to to jest oczywisty sygnał oszustwa. To, a nie kłódki i
certyfikaty. Trzeba pamiętać, że HTTPS zabezpiecza przed pewnymi atakami,
ale nie przed phishingiem (podszywaniem). Wprawdzie może pomóc przy wykryciu
phishingu, ale tylko jako element sprawdzenia.
W przypadku ataku zaczynającego się od maila z linkiem do strony oszustów,
to tak właściwie już w tym momencie możemy zacząć weryfikację. W podany link
w ogóle nie trzeba klikać i sprawdzać certyfikatów. Wystarczy na ten link
najechać myszą bez klikania, żeby sprawdzić dokąd prowadzi. Zwykle będzie to
jakiś dziwny adres, który już samą swoją nietypowością będzie alarmem.
Często już sama treść maila jest wskazówką. Pisała łamanym polskim,
wyglądająca dziwnie, wymuszająca robienie nietypowych rzeczy. Np. wspomniana
aktualizacja konta. Na czym właściwie ma polegać i po co ją robić? Żaden
portal oferujący darmowe maile nie będzie czegoś takiego wymagał. Po co?
Jeśli korzystamy z płatnej usługi, to może być potrzebne uzupełnienie czegoś
na potrzeby faktur. Ewentualnie podanie danych na wypadek odzyskiwania konta
po zapomnieniu hasła. Ale nie są to rzeczy, po których konto się zablokuje
jak się ich nie poda. No chyba że chodzi o konto, które ma być zamknięte, bo
się od lat nie logowaliśmy. Ale nawet wtedy nie klika się w żadne linki,
tylko otwiera przeglądarkę i wchodzi na dany portal wpisując jego adres z
palucha albo korzystając z ulubionych.
I w sumie pierwsza rzecz, ale przypomniało mi się na końcu: sprawdzenie
adresu nadawcy maila. Może być sfałszowany, ale często nawet przy oszustwach
widać rzeczywisty adres oszusta, oczywiście różny od spodziewanego. Czyli
zamiast onet.pl będzie jakiś gmail albo w ogóle losowa domena, stworzona
tylko na potrzeby tego ataku.
Bardzo dobra grafika podsumowująca te rzeczy jest tutaj:
https://securivy.com/wp-content/uploads/2022/02/phishing-1400x693.png
--
Grzegorz Niemirowski
https://www.grzegorz.net/
|
