- Dołączył
- 26 Maj 2015
- Posty
- 19180
- Reakcje/Polubienia
- 55810
Cały artykuł:Niewielka próbka 1000 stron najbardziej popularnych według rankingu Alexa ujawnia, że aż 80% domen internetowych da się użyć do ataków phishingowych lub ataków ukierunkowanych, pomimo używania certyfikatu SSL. Nowy rodzaj ataku Client Domain Hooking odkryty przez Piotra Duszyńskiego (konsultanta ds. bezpieczeństwa i programisty z 10-letnim stażem specjalizującym się w bezpieczeństwie aplikacji internetowych i mobilnych) budzi podziw, a zarazem otwiera oczy szeroko i potwierdza to, co eksperci powtarzają od lat — należy korzystać z VPN. Szyfrować. Szyfrować. I jeszcze raz szyfrować przy łączeniu się do zasobów zdalnych, aby uodpornić się na przechwycenie komunikacji (MiTM). Niestety w pewnych okolicznościach nawet stosowanie VPN przy ataku Client Domain Hooking to za mało. Jednym pewny i bezpieczny sposób to używanie TLS dla całej transmisji przeglądarki z serwerem.
Proszę wyobrazić sobie sytuację, w której korzysta się ze źle zabezpieczonej aplikacji mobilnej, systemu do księgowości online, portalu CRM, chmury współdzielenia plików. Osoba atakująca, jeżeli przechwyci pojedyncze nieszyfrowanie zapytanie HTTP — a te są zazwyczaj wysyłane na początku sesji przez przeglądarki pomimo stosowania TLS ze stroną lub aplikacją — może na czas trwania sesji „ukraść” prawdziwą stronę WWW i dokleić ją do złośliwej domeny. Przykład takiego „doczepienia” wyszukiwarki DuckDuckGo wygląda tak:
Strona główna DuckDuckGO, ale adres URL jest jakiś inny… Jest to dowód na opracowany atak.
Oficjalny Twitter dewelopera przeglądarki. Proszę zwrócić uwagę na adres URL. Logowanie do Twittera zostanie ujawnione w logach serwera atakującego.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
