Forum » Informacijska varnost » Detekcija phishing-a
Detekcija phishing-a
Robocop1 ::
Z izobraževalnim namenom sem izdelal server za web hosting. Izdelal sem si tudi spletno aplikacijo, ki uporabniku omogoča registracijo, prijavo v račun ter spreminjanje nastavitev. Da si boste lažje predstavljali, izdelujem nekaj takega, kot je 000webhost, samo da je celoten sistem (HW in SW) pri meni doma. Vse lepo dela, uporabnik se lahko prijavi in postavi svojo spletno stran. Sedaj pa bi rad malo izboljšal varnost. Da ne bi kdo postavil kakšnih fejk strani in se šel "ribarjenje", bi rad izdelal nekakšno detekcijo zlonamernih strani. Ne vem pa kako te stvari v praksi delujejo.
- Ne morem iskati po ključnih besedah na spletni strani. Če uporabnik v kodi napiše "gmail" ali "facebook", še ne pomeni, da je stran zlonamerna.
- Ne morem vsako spletno stran ročno odpreti in pogledati čemu je namenjena. To bi zahtevalo redno vzdrževanje (kar je zamudno) in poseganje v zasebnost uporabnika.
Kakšen pristop uporabljajo ponudniki webhostinga? Je na drugi strani kakšen admin, ki to redno pregleduje ali obstaja kakšna varnostna tehnologija za detekcijo phishinga? Ni mi problem sprogramirati kakšno logiko, samo zanima me, kako to v praksi deluje.
- Ne morem iskati po ključnih besedah na spletni strani. Če uporabnik v kodi napiše "gmail" ali "facebook", še ne pomeni, da je stran zlonamerna.
- Ne morem vsako spletno stran ročno odpreti in pogledati čemu je namenjena. To bi zahtevalo redno vzdrževanje (kar je zamudno) in poseganje v zasebnost uporabnika.
Kakšen pristop uporabljajo ponudniki webhostinga? Je na drugi strani kakšen admin, ki to redno pregleduje ali obstaja kakšna varnostna tehnologija za detekcijo phishinga? Ni mi problem sprogramirati kakšno logiko, samo zanima me, kako to v praksi deluje.
MasterKiD ::
Ponavadi pri takšnih ponudnikih imajo "Report abuse" opcijo in ljudje prijavijo, če je kaj takega. Recimo, da sistem najde določeno besedo, ki bi lahko pomenila zlonamerno stran, da te obvesti in nato ti preveriš ročno. Tukaj ni nekih easy možnosti ali celo avtomatskih.
Robocop1 ::
Testiral sem delovanje na 000webhost. Prijavo na gmail sem shranil kot HTML spletno stran in formo popravil tako, da je prijavne podatke postalo (POST) na neko PHP stran, kjer sem jih lahko shranil (bolj podrobno ne bom razlagal, ker namen teme ni izdelava phishinga). Fejk "gmail" prijavno stran sem potem testiral. Kljub temu, da sem za spletno stran vedel le jaz in nikomur nisem poslal linka, je ponudnik čez nekaj ur odstranil mojo testno stran, ker je bil zaznan phishing.
Testne fejk strani ni mogel noben prijaviti. Zdaj se sprašujem, ali ponudnik dejansko preveri vsebino strani ali imajo kakšen inteligentni softver. Res pa je, da sta bili spletni strani (original gmail prijavna stran in fejk) identični - enak HTML, razen POST metode. Če bi analiza temeljila na primerjavi HTML-ja, potem bi bilo možno odkriti zlonamerno stran. Če pa bi samostojno izdelal enako spletno stran, je nemogoče odkriti namen, z nobeno softversko tehniko.
Testne fejk strani ni mogel noben prijaviti. Zdaj se sprašujem, ali ponudnik dejansko preveri vsebino strani ali imajo kakšen inteligentni softver. Res pa je, da sta bili spletni strani (original gmail prijavna stran in fejk) identični - enak HTML, razen POST metode. Če bi analiza temeljila na primerjavi HTML-ja, potem bi bilo možno odkriti zlonamerno stran. Če pa bi samostojno izdelal enako spletno stran, je nemogoče odkriti namen, z nobeno softversko tehniko.
c3p0 ::
Eno je preventiva, drugo je kontroliranje sistema, ko vseeno pride do zlorabe. Oboje pa mora biti ustrezno pokrito.
Mi uporabljamo komercialni program, ki vsako datoteko poskenira takoj, ne glede na pot po kateri se najde na spletni strani (FTP, SSH, web upload...). Ne gre le za AV skeniranje, ampak custom regex ipd. vzorce, tudi dosti lastnih. Očitno okužene datoteke grejo takoj v karanteno, ostale se pregleda ročno in opozori uporabnika.
Potem je tu še ModSecurity, spet s splošnimi komercialnimi in nekaj custom pravili, ki preprečuje brute force botnet napade na WP in Joomlo, kar je zadnje čase najbolj popularno.
Tretje je omejevanje pošiljanja pošte, s spamassassin (SA) in max. št sporočil na uro. Torej, če le pride do zlorabe in sporočila nekako pridejo mimo SA, večje škode kot kakšnih 100 poslanih sporočil ne more biti. Največkrat gre za spammerje ali phishing strani.
Vse skupaj torej zna biti kar kompleksen sistem, z rednim posodabljanjem in stalnim nadzorom.
Je pa res, da dosti providerjev tega ne dela iz različnih razlogov (pomanjkanje ustreznega znanja, lenoba, "študent hostingi", licence stanejo...) in jih zdrami komaj report SI-CERTa ali direktno od zlorabljene institucije, ali pa še to ne.
Mi uporabljamo komercialni program, ki vsako datoteko poskenira takoj, ne glede na pot po kateri se najde na spletni strani (FTP, SSH, web upload...). Ne gre le za AV skeniranje, ampak custom regex ipd. vzorce, tudi dosti lastnih. Očitno okužene datoteke grejo takoj v karanteno, ostale se pregleda ročno in opozori uporabnika.
Potem je tu še ModSecurity, spet s splošnimi komercialnimi in nekaj custom pravili, ki preprečuje brute force botnet napade na WP in Joomlo, kar je zadnje čase najbolj popularno.
Tretje je omejevanje pošiljanja pošte, s spamassassin (SA) in max. št sporočil na uro. Torej, če le pride do zlorabe in sporočila nekako pridejo mimo SA, večje škode kot kakšnih 100 poslanih sporočil ne more biti. Največkrat gre za spammerje ali phishing strani.
Vse skupaj torej zna biti kar kompleksen sistem, z rednim posodabljanjem in stalnim nadzorom.
Je pa res, da dosti providerjev tega ne dela iz različnih razlogov (pomanjkanje ustreznega znanja, lenoba, "študent hostingi", licence stanejo...) in jih zdrami komaj report SI-CERTa ali direktno od zlorabljene institucije, ali pa še to ne.
Zgodovina sprememb…
- spremenil: c3p0 ()
SeMiNeSanja ::
Poleg ostalega (ker je že Sago omenil) imajo veliki hosterji lahko postavljene tudi WAF sisteme, ki naj bi vsaj deloma bili sposobni zaznati tovrstno obnašanje 'porednih' spletnih aplikacij in sprožiti kakšen alarm.
čuhalev ::
V ozadju mora biti neka zaupanja vredna baza, ki ima lahko le md5sum datotek in preverja, če imaš ti enake slike in koliko jih imaš.
Takšna baza ali že kompletna rešitev zagotovo ni poceni.
Takšna baza ali že kompletna rešitev zagotovo ni poceni.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | [Opozorilo] Nova KBM phishing e-maili! (strani: 1 2 )Oddelek: Loža | 12472 (10499) | stb |
| » | NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )Oddelek: Novice / Varnost | 48730 (41801) | tony1 |
| » | Administracija - na kakšen načinOddelek: Izdelava spletišč | 872 (648) | techfreak :) |
| » | Pomoč pri spletni strani (strani: 1 2 3 )Oddelek: Izdelava spletišč | 7864 (5325) | gepard69 |