Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2017-04-18 01:24:44

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

[ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

Jak w temacie:

https://thehackernews.com/2017/04/unicode-Punycode- … g-attack.html

Jak na razie, załatać można tylko Firefoxa, ustawiając w about:config klucz

Kod:

network.IDN_show_punycode,  true

Domyślnie ten klucz istnieje, ale ma wartość false.

W przypadku Chrome załatana ma być wersja 58, Opera pewnie też kiedyś
to załata, w każdym razie dziura jest dosyć groźna, zwłaszcza w połączeniu
z nieaktualizowanym softem w routerze.

Tu jest demo ataku.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2017-04-18 01:30:43)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Online

 

#2 2017-04-18 10:17:35

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

thx -.-

Offline

 

#3 2017-04-18 10:27:20

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD


Morfitronik — blog o linux'ach, głównie Debian, OpenWRT/LEDE i Android

Offline

 

#4 2017-04-18 18:12:59

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

morfik napisał(-a):

Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD

Chodzi o to, żeby wyświetlać adresy internetowe w standardzie UTF8
- ze znakami charakterystycznymi dla rożnych języków.

Np przez internet zapierdziela adres domenowy w US-ASCII,
a wyświetla w przeglądarce różyczka.pl.

Dowcip polega na tym, że programiści z US nie znają wszystkich języków świata i dlatego chińscy, japońscy , perscy czy arabscy hakerzy mają z tego niezłą polewkę czasami.


W ten sposób można zrobić kopie stron wszystkich banków w ZSRE,
a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?
Co się tyczy odpowiedniego przekierowania DNS, to jak często " statystyczny Kowalski" aktualizuje soft w routerze?

Swoją drogą punkt dla FF, 30 sekund i poprawione, a w przypadku Chrome, Opery  czy bibliotek -  Webkitów, wszystko jest podatne we wszystkich systemach.

Pozdro

Ostatnio edytowany przez Jacekalex (2017-04-18 18:19:44)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Online

 

#5 2017-04-18 18:51:57

Carnophage
Użytkownik
Skąd: no route to host…
Zarejestrowany: 2010-05-06
Serwis

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

Warto rownież rozważyć zmianę czcionki, co oczywiście problemu nie rozwiązuje, ale czyni pewne próby zdecydowanie bardziej oczywistymi:
http://i.imgur.com/Rje0NZL.png

Ostatnio edytowany przez Carnophage (2017-04-18 18:53:39)


Happy siduction user ^__^

Offline

 

#6 2017-04-18 19:18:35

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

Jacekalex napisał(-a):

a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?

Eee, ja. xD A poza tym, to to znowu tak nie działa, to musisz wejść w link, ewentualnie skopiować tekst i go wkleić w pole adresu. A jak masz zakładkę banku czy z palca wpisujesz adres, to ci ten atak żadnej krzywdy nie wyrządzi.

Idąc dalej, jeśli się przyjrzysz uważnie, to jeden cert jest podpisany przez let's encrypt i tam masz może kłódkę ale nie masz żadnego podpisu. A wejdź w apple.com i od razu różnica już jest widoczna w pasku adresu. Ja zawsze patrzę po tej nazwie i jak nie ma nazwy, a jest to jakiś krytyczny serwis, to jednak patrzę co tam za cert siedzi. xD

http://i.imgur.com/nbzzZFP.png


Morfitronik — blog o linux'ach, głównie Debian, OpenWRT/LEDE i Android

Offline

 

#7 2017-04-18 20:27:25

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

Pod warunkiem, że strona stosuje Extended Validation.

Poza tym, 99% ludziów nie zauważy, kiedy strona np ingbanku czy mbanku nie pokaże nagłówka EV, tylko w najlepszym razie, kiedy pokaże się ostrzeżenie dotyczące certyfikatu, a to też nie zawsze.

Ostatnio edytowany przez Jacekalex (2017-04-18 20:27:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Online

 

#8 2017-04-19 06:36:01

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...

Chyba wszystkie szanujące się banki i strony stosujące jakieś formy płatności (paypal) raczej już wykorzystują ten EV i dobrze jest zwracać uwagę na to co pisze tam na pasku.

A tak po za tym, to chyba let's encrypt przyczynił się do eskalacji tego ataku jak nikt inny. xD


Morfitronik — blog o linux'ach, głównie Debian, OpenWRT/LEDE i Android

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)