forum.opennet.ru

"Рост атак, связанных с захватом контроля над DNS"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Рост атак, связанных с захватом контроля над DNS"	+5 +/–
Сообщение от Аноним (19), 11-Янв-19, 22:20
Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом. А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно, да? https://habr.com/post/425261/ > EV-сертификаты мертвы > Десять крупнейших в мире сайтов: нигде нет EV > Остался аргумент с фишингом. Часто заявляется, что EV каким-то образом уменьшает его. Именно такое утверждается на слайде с презентации Entrust с начала этого года: > Здесь целая куча подтасовок, и для анализа лучше всего почитайте этот тред от Райана Слеви. Он проанализировал исследование, на котором основан слайд. > Райан — очень умный криптограф, работающий над Chromium, и у него отличная способность чётко выводить на чистую воду любую чушь. В конце концов он резюмирует ситуацию: «В общем, это плохая статья. Но что ещё хуже, они пытаются выдать её за исследование „на данных”. При этом используют ошибочную методологию и избирательный подход, чтобы поддержать бизнес-модель, которая опирается на пользователей, несущих всю ответственность за обнаружение изменений пользовательского интерфейса». > То есть мы возвращаемся к тому, что EV будет эффективен только если люди меняют поведение из-за изменения UI. В реальности люди не знают, на что обращать внимание, а само это изменение вообще постепенно прекращает своё существование. Либо изменение слишком малозначительное, чтобы люди обращали на него внимание. И фишингу подвержен не только LE: https://news.netcraft.com/archives/2017/04/12/lets-encrypt-a...
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Рост атак, связанных с захватом контроля над DNS, opennews, 11-Янв-19, 19:36 [смотреть все]

Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно Платные серти, Онаним, 11-Янв-19, 19:36 (1) //
- Это уже не проблемы letsencrypt , Эш Уильямс, 11-Янв-19, 19:49 (2) //
  - В самом деле Отсутствие идентификации персоны, получающей доверенный сертификат, Онаним, 11-Янв-19, 20:31 (6) //
    - Вообще же это может стать шагом к тому, что LE вынесут из браузеров , Онаним, 11-Янв-19, 20:32 (7)
    - Тут скорее проблема в DNS, решать проблемы dns dnssec DoH DoT на уровне сертифик, Эш Уильямс, 11-Янв-19, 21:19 (10)
    - Если злоумышленник имеет контроль над доменом, почему центр сертификации не долж , Аноним, 11-Янв-19, 22:20 (19)
      - Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устра, Аноним, 11-Янв-19, 22:30 (23)
        
        Ну, ооо рога и копыта у себя может хоть самоподписный сертификат на платёжке в, Онаним, 11-Янв-19, 23:15 (32)
        
        они раньше так и делали Но великие специалисты по безопасности, работающие над, пох, 12-Янв-19, 09:43 (51)
        
        А что такого сделали спкциалдистя с хромом, можно узнать А то вот совсем не на, Аноним, 12-Янв-19, 23:22 (85)
        
        вам- нельзя научитесь читать и понимать прочитанное, потом приходите , пох, 13-Янв-19, 09:23 (87)
        Есть такое мнение, мил человек, что ты балабол Вот неполный квест который огреба, Аноним, 13-Янв-19, 13:27 (95)
        
        и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сай, пох, 12-Янв-19, 09:42 (50)
      - Потому что злоумышленнику ещё ворованную кредитку засветить придётся, а если т, Онаним, 11-Янв-19, 23:11 (30)
      - дальше можно не читать, Аноним, 12-Янв-19, 07:34 (47)
        
        завидовать - грех , пох, 12-Янв-19, 18:05 (59)
      - А если злоумышленник имеет контроль над вашей квартирой Его должны в ней пропис, Анонимный Алкоголик, 12-Янв-19, 19:33 (73)
        
        В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может , demon, 14-Янв-19, 14:36 (100)
        Неправильная аналогия Путаешь технологии Аналогом сертификата https будет вста, Аноним, 15-Янв-19, 10:53 (103)
    - Во-первых, Let s Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни , Аноним, 11-Янв-19, 22:39 (25)
      - Если что, оплата услуги - это тоже своего рода идентификация Да, кредитку можно, Онаним, 11-Янв-19, 23:12 (31)
        
        Да уж прям возрастает В 15м году Симантек ничтоже сумняшеся выпустил wildcard на, Аноним, 12-Янв-19, 00:00 (33)
        
        И правильно, надо было купить у них серт тогда бы они вам помогли А с фига ли о, GentooBoy, 12-Янв-19, 01:18 (42)
        
        Потому что они выпустили сертификат НЕ своего клиента , Аноним, 12-Янв-19, 07:39 (48)
        
        как это не своего Он им деньги заплатил Причем они честно-честно провели эту с, их клиент, 12-Янв-19, 18:11 (60)
        
        Ну я отзывал для своего тестового домена полгода назад Хотел проверить, как оно, Аноним, 12-Янв-19, 18:46 (69)
        Я не писал про энтерпрайз Это был небольшой НЕайтишный бизнес Сертификат у ент, Аноним, 12-Янв-19, 22:45 (81)
        
        ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ, пох, 13-Янв-19, 09:33 (88)
        
        Ещё один любитель выквзывать позицию энтерпрайзов Олоэ, включи логику К тебе о, Аноним, 12-Янв-19, 22:30 (80)
        
        паспорт и данные принес За валидацию ручную, потому что это как раз EV - запл, пох, 13-Янв-19, 09:39 (89)
    - Она и так бесполезна, с кучей мало кому известных центров сертификации которым а, Аноним, 12-Янв-19, 07:31 (46)
      - а все известные мы уже позаблокировали, гуглезила, 12-Янв-19, 18:12 (61)
    - Это его обязанность , YetAnotherOnanym, 12-Янв-19, 11:32 (52)
      - Откуда ж вы такие лезете Нет, нет и ещё раз нет Идентификация личности нужна т, Аноним, 12-Янв-19, 19:33 (74)
    - Теория -- это такая штука Лучший способ её употребления -- сворачивать в труб, Ordu, 12-Янв-19, 22:45 (82)
- Че сказать то хотел , Аноним, 11-Янв-19, 21:28 (11)
- это тот самый случае, где ононим отсасывает, конечноfixed, rshadow, 11-Янв-19, 22:05 (15)
- Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у lets, Crazy Alex, 11-Янв-19, 22:49 (28) //
  - Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в С, OpenEcho, 12-Янв-19, 00:19 (35) //
    - Ну вот судя по новости и по источнику на сайте letsencrypt это всё же в планах, Crazy Alex, 12-Янв-19, 00:23 (36)
      - Стоп, это я туплю Там так We are also planning to introduce a Certificate Trans, Crazy Alex, 12-Янв-19, 00:25 (38)
      - Тезка, хорош туфту гнать если не в курсе Иди суда https www entrust com ct-se, OpenEcho, 12-Янв-19, 00:40 (41)
      - В планах у них завести СВОЙ ЦТ сервер В чужие публичные СТ они все подписанные , Аноним, 12-Янв-19, 13:55 (57)
        
        Как посмотреть На примере опеннетовского сертификата , Аноним, 12-Янв-19, 21:11 (78)
        
        openssl s_client -showcerts -connect www opennet ru 443 dev null 2 dev null , Аноним, 12-Янв-19, 23:46 (86)
КН Д Р , Аноним, 11-Янв-19, 19:52 (3)
Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректны, Аноним, 11-Янв-19, 21:09 (8) //
- Это советы не для юзеров, а для админов Взламывают их , Аноним, 11-Янв-19, 21:46 (14)
- Если ломанули пароль админа без 2FA то админ может и не знать что его поимели е, OpenEcho, 12-Янв-19, 00:23 (37)
Certificate Transparency пишет логи всех сертификатов А, например, Certspotter , zomg, 11-Янв-19, 21:17 (9) //
- Проблема в том, что масса доменов регается маленькими конторками, у которых свои, OpenEcho, 12-Янв-19, 00:30 (40)
Там кулхацкеры, сям кулхацкеры Их бы потуги, да в мирное русло пустить, гляди, Витязь, 11-Янв-19, 21:30 (12) //
- Хакер в столовой Но, справедливости ради, если бы не хакеры, то корпорации пис, Аноним, 11-Янв-19, 22:12 (17)
- Это заблуждение сродни тому, что в некоторых конторах админы политиками закрываю, Аноним, 12-Янв-19, 09:16 (49)
- Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китай, Лень_регацца, 13-Янв-19, 17:44 (97)
попытка пропихнуть dns-over-чо-то-там , Аноним, 11-Янв-19, 22:05 (16) //
- закручивание гаек по типу борьбы с терроризмом, Аноним, 11-Янв-19, 22:26 (22)
- Нет Враги захватывают учётку на регистраторе, а не мужика посередине сажают , marios, 12-Янв-19, 11:37 (53)
Интересно, как они заставляют провайдера обратиться к подставному DNS Другое , Alexey, 11-Янв-19, 22:14 (18) //
- Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои , Ordu, 12-Янв-19, 00:27 (39) //
  - ты отстал от жизни, сейчас немодно свои dns сервера Уводят учетку, прямо в той, пох, 12-Янв-19, 18:14 (62) //
    - Не удивительно, я лет десять не имел дела со скрипткиддисами Да, читать ты умееш, Ordu, 12-Янв-19, 18:17 (64)
      - причем тут скрипткиддисы Ты десять лет походу домены не регистрировал - там нын, пох, 12-Янв-19, 18:26 (67)
        
        При том, что увод паролей -- это деятельность для скрипткиддиса И чё Думаешь ск, Ordu, 12-Янв-19, 19:22 (72)
        
        говорю ж - не надо ему Он прям в том же интуитивно-приятном интефрейсе поменяет, пох, 12-Янв-19, 20:01 (76)
Предлагают поменять одну проблему на другую Появится больше кривонастроенных дн, Аноним, 11-Янв-19, 22:20 (20) //
- Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали с, Аноним, 12-Янв-19, 00:10 (34)
Чем второй фактор поможет, при наличии у товарищ майора HTTP HTTPS канала MITM , Эш Уильямс, 11-Янв-19, 22:24 (21) //
- его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке Товарищ майо, тов. лейтенант, 11-Янв-19, 22:39 (26) //
  - Ты лично только языком работаешь Любитель бутылок , Лень_регацца, 13-Янв-19, 17:52 (99)
- Где вы там товарища майора увидели , Crazy Alex, 11-Янв-19, 22:47 (27) //
  - А чё тебя это зацепило , Лень_регацца, 13-Янв-19, 17:47 (98)
- SMS это не самый хороший выбор второго фактора Есть например TOTP , Гентушник, 12-Янв-19, 18:52 (71)
коммуникационные компании, isp, dns сервер у регистратора с паролем 123 Паааня, пох, 11-Янв-19, 22:37 (24)
IPFS, же, Anon4ik_, 11-Янв-19, 22:56 (29)
Очень похоже на начало информационной атаки на Letsencrypt Не удивлюсь, если в с, Аноним, 12-Янв-19, 02:05 (43) //
- И будет совершенно не удивительно LE придётся добавить идентификацию клиента та, Онаним, 12-Янв-19, 16:28 (58) //
  - не, они это не для того затевали , пох, 12-Янв-19, 18:15 (63)
  - Не придётся, ибо такая проверка излишня, а значит дорога и вредна Для того, что, Аноним, 12-Янв-19, 22:51 (83) //
    - В противном случае их просто потихоньку - по мере увеличения доли участия их сер, Онаним, 13-Янв-19, 10:21 (90)
      - Ты платиновых спонсоров LE видел, дурачок Там Google и Mozilla Они и организов, Аноним, 15-Янв-19, 11:06 (104)
Очередной взлом сервера с помощью пароля на root , Ivan1986, 12-Янв-19, 02:56 (44) //
- Вообще мимо Вы домены когда нибудь покупали Что такое гегистрар в курсе Новос, OpenEcho, 12-Янв-19, 06:43 (45) //
  - И в отсутствии у многих регистраторов двухфауторки до недавних пор У большинств, Аноним, 12-Янв-19, 22:53 (84) //
    - 2FA это тоже не панацея, уже было много случаев, когда взломы происходят использ, OpenEcho, 14-Янв-19, 17:18 (101)
Ничо вы, на самом деле, не понимаете за цепочку доверия Цепочка доверия долж, YetAnotherOnanym, 12-Янв-19, 11:57 (54) //
- кто вы, чтобы сдавать вам компьютерщиков да, при первом использовании карточки , Аноним, 12-Янв-19, 12:39 (55) //
  - это тоже немодно, это только в вашем спёрбанке так У правильных пацанов клиента , пох, 12-Янв-19, 18:24 (66)
  - Понятно, спасибо Девушка, я хочу аннулировать карточку и расторгнуть договор Н, YetAnotherOnanym, 12-Янв-19, 18:43 (68) //
    - Без проблем Нужна ваша подпись вот здесь, и ещё вот здесь Секундочку, вот ваш , Онаним, 12-Янв-19, 22:23 (79)
- ну только совершенно необязательно ТАК через задницу - вполне годится прямо на э, пох, 12-Янв-19, 18:20 (65) //
  - К сожалению, нас, параноиков, меньшинство Но это ещё пол-беды - на нас денег сд, YetAnotherOnanym, 12-Янв-19, 18:51 (70) //
    - ну тыж понимаешь, юзверь будет делать ровно то, что его заставят Сейчас его зас, пох, 12-Янв-19, 19:36 (75)
- Э Что за подход Особенно если сайт на сервере в соседней стойке жужжит С п, Анонимный Алкоголик, 12-Янв-19, 20:15 (77) //
  - Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это ф, YetAnotherOnanym, 13-Янв-19, 10:32 (91) //
    - it под колпаком, совместимо с честью на уровне занавески для борделя, компромат , Аноним, 13-Янв-19, 11:02 (92)
Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remot, Аноним, 13-Янв-19, 11:05 (93) //
- логи скомпрометированы ночной сменой и touch, ээ-то не показатель , Аноним, 13-Янв-19, 11:37 (94)
Новость - провокация, имеющая целью вынудить владельцев таких DNS засветить св, Аноним, 14-Янв-19, 19:26 (102)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру