Forum » Informacijska varnost » Which one is a phishing site? - koristen test
Which one is a phishing site? - koristen test
ThinkPad ::
Zna komu koristiti. Tule.
Mogoče lahko kdo pojasni, zakaj one zelen barve ni mogoče fejkati. Ali je res 100% zanesljiva (in kolio časa še bo)?
Pa zakaj npr. pri tej banki ni zelene barve že na začetku, ampak jo dobiš šele, ko si že uspešno v e-banki.
Pri drugi banki pa dobim modro barvo. Kaj je zdaj s temi barvami?
Mogoče lahko kdo pojasni, zakaj one zelen barve ni mogoče fejkati. Ali je res 100% zanesljiva (in kolio časa še bo)?
Pa zakaj npr. pri tej banki ni zelene barve že na začetku, ampak jo dobiš šele, ko si že uspešno v e-banki.
Pri drugi banki pa dobim modro barvo. Kaj je zdaj s temi barvami?
- spremenil: ThinkPad ()
BlueRunner ::
Zeleno so EV digitalna potrdila - recimo jim, da so to skoraj ekvivalenti z našimi kvalificiranimi d.p., kot jih pozna naša zakonodaja. To pomeni, da je identiteta podjetja oziroma osebe, ki potrdilo zahteva, preverjena preden se to potrdilo dejansko izda. Seznam podpisovalcev teh EV potrdil je v brskalnike zapečen.
Modro (ali pa rumeno v kakšnem drugem brkljalniku) so "navadna" digitalna potrdila, ki so podpisana s strani ene izmed CA agencij, ki jih imaš označene kot zaupanja vredne (v brkljalniku dobiš privzet seznam + sam lahko na njega dodajaš).
Rdeče + še kakšna dodatna sporočila so potrdila, katerih podatki se ne ujemajo z DNS imenom spletnega mesta, so samopodpisana ali pa jim je veljavnost že potekla. Pri tem pa lahko samopodpisana dodaš na svoj seznam zaupanja vrednih, s čemer bodo postala "modra" (oziroma rumena).
Toliko glede teorije. Glede prakse pa gre tako: edin pomemben podatek je jasna identifikacija lastnika digitalnega podpisa (jasna identifikacija je pri nas npr. matična številka podjetja, davčna številka podjetja, ipd.). Iz te identifikacije naj bi bilo jasno razvidno na čigavo spletno mesto dostopaš, ne da se bi bilo potrebno ukvarjati z DNS imenom, ki je za varnost dejansko v celoti nepomemben podatek.
EV digitalna potrdila so ekvivalentna našim kvalificiranim (kaj je to "kvalificirano", je predpisano v ZEPEP). Razlika pa je v temu, da se je kabala lepo dogovorila s proizvajalci vseh brkljalnikov, da so si ustvarili svoj lasten oligopol, kjer mastno zaračunavajo za to preverjanje identitete osebe, ki potrdilo zahteva - nekaj, kar večina laikov misli, da so delali že vsa prejšnja leta, čeprav niso in pri "navadnih" potrdilih tega večinoma še vedno ne počno.
Hkrati pa se obnašajo monopolistično, ker recimo potrdil naših sigen-ca, PostarCA in ostalih izdajateljev kvalificiranih digitalnih potrdil ne priznavajo kot EV, pa čeprav država z nadzorom nad temi izdajatelji jamči, da se izvaja strogo preverjanje identitete. Torej so ta zelena potrdila gnilo nategovanje folka, ker omejujejo izbiro zaradi "varnosti", ne da bi pri temu priznavali, da zna tudi še kdo drug razen njih na tem planetu poskrbeti za ekvivalentno ali še večjo stopnjo varnosti.
Ali bo to kdaj "razbito"? Hmnja. Ne bi si upal reči, da ne bo. Chrome in FF imata odprto kodo, ki jo lahko kdo pod havbo tudi neopazno zmanipulira. Pri IE in Operi bi to morda bilo malo težje, vendar pa ne nemogoče. Pri temu pa ima IE rahlo prednost, ker bi spreminjanje MS-jevega izvršljivega programa, ki je vključen v data protection sistem pod okni, verjetno sprožilo avtomatično obnovo originalne datoteke. Ampak tudi ta sistem mislim, da je bil v preteklosti že izigran...
Ko bodo zelene pasice postale nekaj, kar bodo uproabniki pričakovali, se bodo kriminalci zagotovo prilagodili. Do takrat pa lahko živiš z grenkim okusom v ustih, da pač oligopoli obstajajo in organi, ki bi jih morali zaznati in proti njim ukrepati, velikokrat sploh ne vedo kaj jim poskušaš pojasniti... Pa ne govorim o naših "nacionalnih". Govorim kar o Evropski komisiji.
Kar se pa tiče spletnih mest, kjer je prijavna maska na http:// namesto na https:// ali pa ima https:// stran vključene elemente (slike, CSS, iframe, ...) iz http:// domen pa so za uproabo nevarne, saj izgubiš možnost pravilnega prikaza dejanske stopnje ne-varnosti. Na srečo pa se brkljalniki temu počasi (vendar po moje prepočasi in premalo agresivno) prilagajajo tako, da v teh primerih vedno bolj "težijo".
Glede izbire samih barv, pa menim, da bi morale biti barve:
- zelena za EV in ostale digitalne podpise ustrezne kvalitete (razbiti kabalo!)
- zelena za lastne potrjene digitalne podpise (tudi brez PKI hirearhije si lahko varen!)
- rumena za navadne digitalne podpise, katerih izdajatelj ne izpolnjuje kriterijev za zeleno
- oranžna za neveljavne podpise (pretečeni, še ne veljavni, brez veljavne hirearhije)
- rdeča za nešifriran prenos in strani, kjer so pomešani viri z različnimi stopnjami varnosti (tudi zelen + rumen ti bi dala rdečo)
Glede upoštevanja DNS imena, pa menim, da bi bil že skrajni čas, da ga ukinemo kot metodo preverjanja istovetnosti, ker digitalni podpis v komunikaciji uproabnik - spletno mesto ne rabi govoriti govori o identifikaciji konkretnega strežnika, ampak o lastništvu konkretnega spletnega mesta. Tako bi bilo prihranjeno veliko denarja, pozornost laičnih uporabnikov pa se bi preusmerila na to, kar je pomembno (lastništvo) in ne to, kar je nepomembno (današenj ali jutrišnje poljubno DNS ime).
Modro (ali pa rumeno v kakšnem drugem brkljalniku) so "navadna" digitalna potrdila, ki so podpisana s strani ene izmed CA agencij, ki jih imaš označene kot zaupanja vredne (v brkljalniku dobiš privzet seznam + sam lahko na njega dodajaš).
Rdeče + še kakšna dodatna sporočila so potrdila, katerih podatki se ne ujemajo z DNS imenom spletnega mesta, so samopodpisana ali pa jim je veljavnost že potekla. Pri tem pa lahko samopodpisana dodaš na svoj seznam zaupanja vrednih, s čemer bodo postala "modra" (oziroma rumena).
Toliko glede teorije. Glede prakse pa gre tako: edin pomemben podatek je jasna identifikacija lastnika digitalnega podpisa (jasna identifikacija je pri nas npr. matična številka podjetja, davčna številka podjetja, ipd.). Iz te identifikacije naj bi bilo jasno razvidno na čigavo spletno mesto dostopaš, ne da se bi bilo potrebno ukvarjati z DNS imenom, ki je za varnost dejansko v celoti nepomemben podatek.
EV digitalna potrdila so ekvivalentna našim kvalificiranim (kaj je to "kvalificirano", je predpisano v ZEPEP). Razlika pa je v temu, da se je kabala lepo dogovorila s proizvajalci vseh brkljalnikov, da so si ustvarili svoj lasten oligopol, kjer mastno zaračunavajo za to preverjanje identitete osebe, ki potrdilo zahteva - nekaj, kar večina laikov misli, da so delali že vsa prejšnja leta, čeprav niso in pri "navadnih" potrdilih tega večinoma še vedno ne počno.
Hkrati pa se obnašajo monopolistično, ker recimo potrdil naših sigen-ca, PostarCA in ostalih izdajateljev kvalificiranih digitalnih potrdil ne priznavajo kot EV, pa čeprav država z nadzorom nad temi izdajatelji jamči, da se izvaja strogo preverjanje identitete. Torej so ta zelena potrdila gnilo nategovanje folka, ker omejujejo izbiro zaradi "varnosti", ne da bi pri temu priznavali, da zna tudi še kdo drug razen njih na tem planetu poskrbeti za ekvivalentno ali še večjo stopnjo varnosti.
Ali bo to kdaj "razbito"? Hmnja. Ne bi si upal reči, da ne bo. Chrome in FF imata odprto kodo, ki jo lahko kdo pod havbo tudi neopazno zmanipulira. Pri IE in Operi bi to morda bilo malo težje, vendar pa ne nemogoče. Pri temu pa ima IE rahlo prednost, ker bi spreminjanje MS-jevega izvršljivega programa, ki je vključen v data protection sistem pod okni, verjetno sprožilo avtomatično obnovo originalne datoteke. Ampak tudi ta sistem mislim, da je bil v preteklosti že izigran...
Ko bodo zelene pasice postale nekaj, kar bodo uproabniki pričakovali, se bodo kriminalci zagotovo prilagodili. Do takrat pa lahko živiš z grenkim okusom v ustih, da pač oligopoli obstajajo in organi, ki bi jih morali zaznati in proti njim ukrepati, velikokrat sploh ne vedo kaj jim poskušaš pojasniti... Pa ne govorim o naših "nacionalnih". Govorim kar o Evropski komisiji.
Kar se pa tiče spletnih mest, kjer je prijavna maska na http:// namesto na https:// ali pa ima https:// stran vključene elemente (slike, CSS, iframe, ...) iz http:// domen pa so za uproabo nevarne, saj izgubiš možnost pravilnega prikaza dejanske stopnje ne-varnosti. Na srečo pa se brkljalniki temu počasi (vendar po moje prepočasi in premalo agresivno) prilagajajo tako, da v teh primerih vedno bolj "težijo".
Glede izbire samih barv, pa menim, da bi morale biti barve:
- zelena za EV in ostale digitalne podpise ustrezne kvalitete (razbiti kabalo!)
- zelena za lastne potrjene digitalne podpise (tudi brez PKI hirearhije si lahko varen!)
- rumena za navadne digitalne podpise, katerih izdajatelj ne izpolnjuje kriterijev za zeleno
- oranžna za neveljavne podpise (pretečeni, še ne veljavni, brez veljavne hirearhije)
- rdeča za nešifriran prenos in strani, kjer so pomešani viri z različnimi stopnjami varnosti (tudi zelen + rumen ti bi dala rdečo)
Glede upoštevanja DNS imena, pa menim, da bi bil že skrajni čas, da ga ukinemo kot metodo preverjanja istovetnosti, ker digitalni podpis v komunikaciji uproabnik - spletno mesto ne rabi govoriti govori o identifikaciji konkretnega strežnika, ampak o lastništvu konkretnega spletnega mesta. Tako bi bilo prihranjeno veliko denarja, pozornost laičnih uporabnikov pa se bi preusmerila na to, kar je pomembno (lastništvo) in ne to, kar je nepomembno (današenj ali jutrišnje poljubno DNS ime).
Zgodovina sprememb…
- spremenilo: BlueRunner ()
jkreuztzfeld ::
Zgolj na temo kabale, stopnje zaupanja root CA-jem iz omenjenih seznamov in vprašanja "Ali bo to kdaj "razbito"?" .
Če me spomin ne vara, je bilo kaki dve leti nazaj, ko je obstajal vsaj en CA (Comodo?), ki je brez problema izdajal NULL prefix wildcard certifikate. Da skrajšam zgodbo, izdali so certifikat s cn atributom www.paypal.com\0*.nekadomena.com, ki so mu takratni browserji (zaradi null characterja) verjeli da pripada www.paypal.com
Edit: še link
Če me spomin ne vara, je bilo kaki dve leti nazaj, ko je obstajal vsaj en CA (Comodo?), ki je brez problema izdajal NULL prefix wildcard certifikate. Da skrajšam zgodbo, izdali so certifikat s cn atributom www.paypal.com\0*.nekadomena.com, ki so mu takratni browserji (zaradi null characterja) verjeli da pripada www.paypal.com
Edit: še link
--
Great minds run in great circles.
Great minds run in great circles.
Zgodovina sprememb…
- spremenil: jkreuztzfeld ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Založniki grozijo ICANN-u zaradi domene .musicOddelek: Novice / Omrežja / internet | 14898 (12994) | BlueRunner |
| » | Preverjanje digitalnega podpisaOddelek: Informacijska varnost | 8465 (6617) | neki4 |
| » | Posiljanje osebnih podatkov (imena, priimki, naslov, rojstni podatki, mobitel št., ..Oddelek: Informacijska varnost | 6202 (5220) | poweroff |
| » | Izvedba popolnega MITM napada (strani: 1 2 3 )Oddelek: Novice / Varnost | 20350 (16736) | Brane2 |
| » | Prihajajo novi spamerjiOddelek: Novice / Zasebnost | 5659 (3654) | BlueRunner |