W dniu 22.04.2024 o 13:16, Grzegorz Niemirowski pisze:
Trybun <MLSCh@jachu.cb> napisał(a):
I jest to dozwolone przez prawo? Oczywiście mam tu na myśli sytuację
gdy ktoś zastrzega sobie prawa do własności. Bo jakoś nie może do
mnie trafić że Onet godzi się na wykorzystywanie swojego serwisu
przez piratów, a nawet jak się nie godzi to nie może nic zrobić.
Oczywiście nie jest dozwolone i Onet się nie godzi, tylko nie bardzo
jest jak łapać tych przestępców. Poza tym to jest sprawa
trzeciorzędna. Jest wykonywany atak na użytkowników i liczy się
bezpieczeństwo ich danych, kwestią praw autorskich w takim przypadku
nikt sobie nie zawraca głowy.
Skoro tak piszesz, ale oni, czyli choćby serwisy bankowe twierdzą że
to jest jednym z elementów ochrony. Oczywiście banki korzystają z
wieloetapowych zabezpieczeń, ale właśnie https przedstawiają jako
jeden z jego elementów.
No właśnie - jeden z elementów. A nie jakiś jeden magiczny sposób na
rozwiązanie wszystkich problemów. I jak wspomniałem, https jest teraz
wszędzie, więc nie bardzo jest się czym chwalić.
Nie mam pojęcia na czym polega ten certyfikat, ale chyba strona
"ziemniak' nie może być utożsamiana z stroną "grzegorz", i chyba na
tej podstawie a to antywirus a to przeglądarka czasem blokuje łącze z
takim serwisem. Być może to jakaś bzdura w stylu "do mikstury jest
potrzebna krew dziewicy" podczas gdy krew starej prostytutki jest
równie przydatna, ale sprawia to wrażenie bezpieczeństwa.. Pytanie
czy jest to tylko wrażenie czy faktyczne bezpieczeństwo?
Właśnie próbowałem to wytłumaczyć, ale chyba trzeba zacząć od zera.
HTTPS daje nam trzy rzeczy:
- integralność danych, czyli pewność, że nie zostały przez kogoś
zmodyfikowane gdzieś po drodze w czasie transmisji
- poufność danych, czyli są one zaszyfrowane i niedostępne dla
ewentualnego podsłuchującego
- autentyczność, czyli potwierdzenie tożsamości autora informacji
To ostatnie jest widoczne dla użytkownika jako certyfikat, czyli zbiór
informacji opisujących dany podmiot, w szczególności jego nazwę. Coś
jak dowód osobisty. Autentyczność certyfikatu jest potwierdzana przez
podpisanie go podpisem cyfrowym przez zaufany podmiot. W przypadku
mojej strony takim podmiotem jest firma DigiCert. Te zaufane podmioty
nazywamy urzędami certyfikacji (CA - certificate authority).
Przeglądarki internetowe mają listy urzędów, którym ufają. Nazwa urząd
może być myląca, bo zwykle jest to jakaś firma, a nie jednostka
(samo)rządowa, ale w każdym razie chodzi o coś, czemu ufamy i co może
wydać jakieś poświadczenie. Jest to w sumie podobne do urzędu
miejskiego, do którego przychodzisz z wnioskiem, w którym twierdzisz,
że nazywasz się Trybun, a urząd weryfikuje to i wydaje Ci dowód
osobisty. Możesz potem się tym dowodem posługiwać, bo ludzie mogą
zweryfikować Twoją tożsamość gdyż: a) porównują dane z dowodu z tym,
co widzą (zdjęcie z twarzą, podany wzrost z widocznym wzrostem, kolor
oczu itd) i b) ufają urzędowi, który wydał dokument. Nie zaufają
dowodowi osobistemu wydanemu przez Biedronkę.
Jak się ma certyfikat na stronie www do dowodu osobistego? O zaufanym
wystawcy dokumentu już wspomniałem. Teraz zostaje kwestia danych
"osobowych", które możemy sprawdzić. W przypadku stron taką podstawową
daną, którą przeglądarka może zweryfikować, jest adres strony. Więc
gdy wchodzimy na onet.pl, przeglądarka sprawdza, czy strona przedstawi
się certyfikatem wydanym na domenę onet.pl. Każda przeglądarka robi to
automatycznie, to jest podstawowe sprawdzenie. Antywirus nie ma nic do
rzeczy. I tym, co ciągle podkreślam jest fakt, że sprawdzana jest
tylko domena. Nie ma sprawdzania treści strony. Jeśli wejdziemy na
ziemniak.com i przeglądarka zobaczy certyfikat ziemniak.com, to nie
zaprotestuje, nawet jeśli na tej stronie będzie formularz logowania do
konta Onetu. Dlaczego? Bo certyfikat potwierdza domenę, a to się
zgadza. Nie mówi nic o zawartości strony. Tak samo dowód osobisty
potwierdza dane osobowe, a nie to czy ktoś lubi czekoladę albo czy
jest uczciwy. My wiemy, że tekst "zaloguj się do swojego konta
onet.pl" widoczny na stronie ziemniak.com jest dziwny i niepokojący,
ale przegladarka nie ma jak tego wiedzieć. Antywirus teoretycznie
mógłby, ale potrzebowałby do tego sporej bazy opisującej miliardy
stron, lub też posiadający jakiś mechanizm zgadujący. Trochę tak jak
są bazy sygnatur wirusów w antywirusach, a także mechanizmy
heurystyczne antywirusów, które szukają na dysku rzeczy, które wydają
się podejrzane, bo są charakterystycznego dla wirusów. Tutaj tak
naprawdę wystarczy spojrzenie na adres strony. Jeśli jest onetowy
formularz logowania, a w pasku adresu jest ziemnika.com, to to jest
oczywisty sygnał oszustwa. To, a nie kłódki i certyfikaty. Trzeba
pamiętać, że HTTPS zabezpiecza przed pewnymi atakami, ale nie przed
phishingiem (podszywaniem). Wprawdzie może pomóc przy wykryciu
phishingu, ale tylko jako element sprawdzenia.
W przypadku ataku zaczynającego się od maila z linkiem do strony
oszustów, to tak właściwie już w tym momencie możemy zacząć
weryfikację. W podany link w ogóle nie trzeba klikać i sprawdzać
certyfikatów. Wystarczy na ten link najechać myszą bez klikania, żeby
sprawdzić dokąd prowadzi. Zwykle będzie to jakiś dziwny adres, który
już samą swoją nietypowością będzie alarmem. Często już sama treść
maila jest wskazówką. Pisała łamanym polskim, wyglądająca dziwnie,
wymuszająca robienie nietypowych rzeczy. Np. wspomniana aktualizacja
konta. Na czym właściwie ma polegać i po co ją robić? Żaden portal
oferujący darmowe maile nie będzie czegoś takiego wymagał. Po co?
Jeśli korzystamy z płatnej usługi, to może być potrzebne uzupełnienie
czegoś na potrzeby faktur. Ewentualnie podanie danych na wypadek
odzyskiwania konta po zapomnieniu hasła. Ale nie są to rzeczy, po
których konto się zablokuje jak się ich nie poda. No chyba że chodzi o
konto, które ma być zamknięte, bo się od lat nie logowaliśmy. Ale
nawet wtedy nie klika się w żadne linki, tylko otwiera przeglądarkę i
wchodzi na dany portal wpisując jego adres z palucha albo korzystając
z ulubionych.
I w sumie pierwsza rzecz, ale przypomniało mi się na końcu:
sprawdzenie adresu nadawcy maila. Może być sfałszowany, ale często
nawet przy oszustwach widać rzeczywisty adres oszusta, oczywiście
różny od spodziewanego. Czyli zamiast onet.pl będzie jakiś gmail albo
w ogóle losowa domena, stworzona tylko na potrzeby tego ataku.
Bardzo dobra grafika podsumowująca te rzeczy jest tutaj:
https://securivy.com/wp-content/uploads/2022/02/phishing-1400x693.png
Nie znając tematu przyznam że czytając o bezpiecznym https
przypuszczałem że takie adresy są przydzielane tylko jakimś pewnym,
sprawdzonym podmiotom. Z drugiej strony nie słyszałem o jakichś
globalnych służbach dbających o bezpieczeństwo w necie. Dzięki za
rozjaśnienie sprawy.
|