harisma Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 Αμοιβαία τα αισθήματα, ιδικά για κάποιον που αποδεδειγμένα αγνοούσε υπάρχουσες ευπάθειες. Συμφωνώ εν μέρη, στο e-banking οι κωδικοί μας δεν φεύγουν ποτέ σε plain-text και ιδικά από τις εφαρμογές e-banking. Στην πραγματικότητα όμως ένα ανοιχτό δίκτυο δεν γνωρίζεις τον σκοπό του, τον dns που κάνεις resolve και δεν μπορείς να είσαι ποτέ σίγουρος για τις τεχνικές που ανακαλύπτονται μέρα με την μέρα και πρόκειται να κοροϊδέψουν την εφαρμογή σου για να πάει σε απλό http και να μην κάνει χρήση του cipher. Δεν νομίζω να γίνεται ιδικά σε τράπεζες αλλά μέχρι πριν 2 χρόνια η google και το facebook την πάτησαν με αυτό τον τρόπο. Μετά δημιουργήθηκε μία "πατέντα" το γνωστό HSTS ( Πηγή: https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security) όπου έκανε το εξής: Στα http headers o server έστελνε ένα επιπλέον header που ενημέρωνε τον browser για πόσο χρόνο θα υποστηρίζει το https, για παράδειγμα το facebook έστελνε στον browser ότι για 365 ημέρες θα έχει https έτσι αν την επόμενη μέρα έπεφτες θύμα mitm και επιτιθέμενος προσπαθούσε να σε βγάλει απο https λέγοντας στον browser ότι ο server δεν το υποστηρίζει πλέον τότε ο browser καταλάβαινα ότι κάτι δεν πάει καλά αφού την τελευταία φορά το site του είπε ότι θα υπάρχει https για τουλάχιστον τον επόμενο χρόνο. Μπορείς να δεις το HSTS στον chrome εδώ: chrome://net-internals/#hsts Προτίμησε τα data του κινητού ιδικά αν έχεις να κάνεις με e-banking. EDIT: μόλις κοίταξα αν το winbank χρησιμοποιεί το HSTS και μάντεψε, γιοκ. Κοινός αν συνδεθείς στο winbank μέσο fake ap και ο επιτιθέμενος τρέχει το ssl strip την έχεις πατήσει. Ευπάθεια του συστήματος ότι μπορεί να φας redirect και να σε ξεγελάσουν ΑΜΑ ΔΕΝ ΞΕΡΕΙΣ…τι να πω εγώ τώρα; Συμβουλή: μη χρησιμοποιείς ούτε mail, 1000άδες mail κάθε μέρα που λένε ότι είναι από τη τράπεζα σου, πατάς το link, πας σε site που μοιάζει με τη τράπεζα σου και σου κλέβουν τους κωδικούς. Άρα άκυρο και το mail για σένα. Τέτοιες βλακείες υποστηρίζεις 2 μέρες τώρα! Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 Ευπάθεια του συστήματος ότι μπορεί να φας redirect και να σε ξεγελάσουν ΑΜΑ ΔΕΝ ΞΕΡΕΙΣ…τι να πω εγώ τώρα; Συμβουλή: μη χρησιμοποιείς ούτε mail, 1000άδες mail κάθε μέρα που λένε ότι είναι από τη τράπεζα σου, πατάς το link, πας σε site που μοιάζει με τη τράπεζα σου και σου κλέβουν τους κωδικούς. Άρα άκυρο και το mail για σένα. Τέτοιες βλακείες υποστηρίζεις 2 μέρες τώρα! Μάλλον λάθος κατάλαβες, δεν κάνει redirect. στο σωστό domain μένεις, σε παρακαλώ διάβασε αυτά που έγραψα. Μάλλον δεν τα γράφω καλά, δεν το έχω και με την γραπτό λόγο γενικά ή που δεν θες να καταλάβεις. Θα προσπαθήσω να το κάνω εύκολο, όταν ο browser συνδεθεί στο fake hotspot o fake dns server του δίνει fake ip για το domain και ο server που ακούει στην ip αυτή λέει στον browser σου ότι δεν υποστηρίζει το ssl, κατά συνέπεια ο browser δεν εμφανίζει κάποιο μήνυμα, το url δεν αλλάζει και ο μόνος τρόπος να το καταλάβεις είναι να προσέξεις ότι πλέον δεν υπάρχει κλειδαριά δίπλα από το url, αν εσύ όταν σερφάρεις το κοιτάς πάντα τότε πάω πάσο αλλά εγώ δεν. Το συμπέρασμα μου είναι ότι είσαι ξεροκέφαλος, είναι σαν να προσπαθώ να μάθω τον σκύλο μου να πετάει, αδύνατο, διάβασες κάπου για redirect σε όσα έχω γράψει; Τα περισσότερα για τα οποία με κατηγορείς τα κατεβάζεις από το κεφάλι σου, δεν διαβάζεις αυτά που γράφω και το χειροτερεύεις. Δεν θες να παραδεχθείς ότι είχες άγνοια ακόμα και όταν και δεύτερο μέλος σου λέει ότι το ίδιο το είδε με τα μάτια του, αλλά και αυτός μάλλον δεν ξεχωρίζει το facebook.com από το faceb00k.com. Είσαι τουλάχιστον τραγικός και ναι θα το συνεχίσω ακόμα και για ολόκληρο χρόνο. Η υπομονή μου είναι φοβερή. Και που είσαι, δες και ένα βίντεο μπας και στρίψεις: https://www.youtube.com/watch?v=EjDxb4mkzYM Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 27 Ιουλίου 2016 Share Δημοσ. 27 Ιουλίου 2016 Δεν σε πάει άλλου;…εσύ ζητάς το https://facebook.com και αυτό σε πάει στο http://facebook.com το οποίο μέσω DNS resolve είναι κάποια ip με τη σελίδα ρέπλικα που έχει στήσει ο θύτης. Για σένα για να σου κάνει redirect πρέπει η αλλαγή να γίνει στο κομμάτι του facebook (να στο κάνει faceb00k πχ. όπως λες πάνω). Το ότι τρως port redirection (το https στο έκανε http) και ότι η ip δεν είναι η πραγματική για σένα δεν αποτελεί αναδρομολόγηση; Σταματάω εδώ. Πολύ χρόνος για να καταλάβει κάποιος που απλά δεν τον αφήνει ο εγκέφαλος του. ΥΓ: Και να σε ρωτήσω και κάτι. Από όλα αυτά πως σε προστατεύει με το να μην είναι ανοιχτό το δίκτυο; Παίζει κάποιο ρόλο; Για αυτό σου λέω….μπούρδες λες. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 28 Ιουλίου 2016 Share Δημοσ. 28 Ιουλίου 2016 Δεν σε πάει άλλου;…εσύ ζητάς το https://facebook.com και αυτό σε πάει στο http://facebook.com το οποίο μέσω DNS resolve είναι κάποια ip με τη σελίδα ρέπλικα που έχει στήσει ο θύτης. Για σένα για να σου κάνει redirect πρέπει η αλλαγή να γίνει στο κομμάτι του facebook (να στο κάνει faceb00k πχ. όπως λες πάνω). Το ότι τρως port redirection (το https στο έκανε http) και ότι η ip δεν είναι η πραγματική για σένα δεν αποτελεί αναδρομολόγηση; Σταματάω εδώ. Πολύ χρόνος για να καταλάβει κάποιος που απλά δεν τον αφήνει ο εγκέφαλος του. ΥΓ: Και να σε ρωτήσω και κάτι. Από όλα αυτά πως σε προστατεύει με το να μην είναι ανοιχτό το δίκτυο; Παίζει κάποιο ρόλο; Για αυτό σου λέω….μπούρδες λες. Η διαφορά είναι ότι δεν σου κάνει ο θύτης port redirect αλλά ο ίδιος σου ο browser και το κάνει και αυτόματα, ο λόγος που η αυτόματη σύνδεση σε ανοιχτά δίκτυα είναι επικίνδυνη είναι ο εξής, ας πούμε ότι είσαι στο "Α" δίκτυο και σου κάνω deauth μάντεψε που θα συνδεθεί η συσκευή σου, στο πρώτο open διαθέσιμο και να δω τότε κατά πόσο θα πάρεις χαμπάρι το "port redirect" που γράφεις παραπάνω. Αυτός είναι και ο λόγος που δεν πρέπει να αφήνετε την συσκευή σας να κάνει auto connect σε open networks, είναι ο εύκολος τρόπος για mitm. Εσύ λες ασυναρτησίες και είσαι παντελώς άσχετος, για την ακρίβεια και βάση των προηγούμενων ποστ σου όλα αυτά τα έμαθες σε αυτό το theard. Ακόμα μία φορά τραγικός. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 28 Ιουλίου 2016 Share Δημοσ. 28 Ιουλίου 2016 Ρε εγώ άσχετος είμαι, αυτό το έχουμε ξεκαθαρίσει από την αρχή, μην το επαναλαμβάνεις. Πάμε να δούμε τι λέει ο σχετικός τώρα: Στην αρχή λες: «Η προϋπόθεση για την παραπάνω τεχνική είναι η συσκευή σας να συνδεθεί αυτόματα και χωρίς να το καταλάβετε στο νέο ξεκλείδωτο δίκτυο του επιτιθέμενου» Μετά η προϋπόθεση εμπλουτίζεται και χρειάζεται ΚΑΙ να ΜΗΝ πάρεις χαμπάρι την αλλαγή https σε http: “Σου εγγυώμαι ότι ο browser δεν θα πετάξει τίποτα και ναι δεν θα είναι https αλλά θα το πάρεις χαμπάρι;” Από την αρχή προσπαθώ να σου εξηγήσω ότι αυτή η δεύτερη προϋπόθεση ΒΑΣΙΖΕΤΑΙ πάνω σε αμέλεια του χρήστη και όχι σε ευπάθεια του συστήματος που ισχυρίζεσαι (σου έφερα και το παράδειγμα με το mail). Το heartbleed πχ ήταν ευπάθεια του συστήματος αυτό δεν είναι. Θες να το κάνεις εσύ με το ζόρι; κάνε το, ο υπόλοιπος κόσμος (γνώστης) δε το θεωρεί πάντως. Σταματάω εδώ. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 28 Ιουλίου 2016 Share Δημοσ. 28 Ιουλίου 2016 (επεξεργασμένο) Ρε εγώ άσχετος είμαι, αυτό το έχουμε ξεκαθαρίσει από την αρχή, μην το επαναλαμβάνεις. Πάμε να δούμε τι λέει ο σχετικός τώρα: Στην αρχή λες: «Η προϋπόθεση για την παραπάνω τεχνική είναι η συσκευή σας να συνδεθεί αυτόματα και χωρίς να το καταλάβετε στο νέο ξεκλείδωτο δίκτυο του επιτιθέμενου» Μετά η προϋπόθεση εμπλουτίζεται και χρειάζεται ΚΑΙ να ΜΗΝ πάρεις χαμπάρι την αλλαγή https σε http: “Σου εγγυώμαι ότι ο browser δεν θα πετάξει τίποτα και ναι δεν θα είναι https αλλά θα το πάρεις χαμπάρι;” Από την αρχή προσπαθώ να σου εξηγήσω ότι αυτή η δεύτερη προϋπόθεση ΒΑΣΙΖΕΤΑΙ πάνω σε αμέλεια του χρήστη και όχι σε ευπάθεια του συστήματος που ισχυρίζεσαι (σου έφερα και το παράδειγμα με το mail). Το heartbleed πχ ήταν ευπάθεια του συστήματος αυτό δεν είναι. Θες να το κάνεις εσύ με το ζόρι; κάνε το, ο υπόλοιπος κόσμος (γνώστης) δε το θεωρεί πάντως. Σταματάω εδώ. Θεώρησα δεδομένο ότι οι χρήστες δεν κοιτάνε την κλειδαριά δίπλα στο ssl στα κινητά τους, εσύ μάλλον είσαι εξαίρεση, το heartbleed που αναφέρεις ήταν η τρύπα της Αλεξανδράτου στο openssl. Η ευπάθεια που αναφέρω είναι ότι ο browser γυρνά από https σε http χωρίς να να σε προειδοποιήσει ότι κάτι δεν πάει καλά, είναι και ο λόγος που τα windows όταν είσαι σε ένα ασύρματο με "Α" όνομα encrypted και ξαφνικά γίνει open σου βγάζουν ενημέρωση ότι κατι δεν πάει καλά με το δίκτυο αλλά και στην MS μάλλον χαζούληδες είναι δεν ξέρουν τι κάνουν. σου αρέσει η όχι αυτό το τρικ έχει στοιχίσει σε κόσμο και συνεχίζει, θες να το ονομάσεις ευπάθεια η phissing ή όπως αλλιώς θες, να φανταστώ ότι οι σχεδιαστές των browsers έχουν τις ίδιες ιδέες με εσένα και πιστεύουν ότι ο τελικός χρήστης πρέπει να γνωρίζει τι είναι το ssl και το https αλλά μπα δεν παίζει, έτσι λοιπόν υλοποίησαν το hsts, καλά καλά το 70% δεν έχει ιδέα τι κάνει ένα κοινός διακόπτης. Και για να τελειώνουμε άγνοια του χρήστη θεωρώ όταν ο χρήστης κάνει κάτι λάθος, κλικ σε λάθος λινκ, σύνδεση σε λαθος wifi κτλ, όταν το σύστημα κάνει σύνδεση αυτόματα σε open wifi και γυρνά απο https σε http δεν είναι άγνοια του χρήστη, ευπάθεια του συστήματος είναι, ακόμα και γνώστες της τεχνικής μπορούν να την πατήσουν και αυτό είναι που δεν παραδέχεσαι και μου κάνεις ανούσια και φορτισμένη κουβέντα τις τελευταίες μέρες. Τουλάχιστον έστω και ειρωνικά παραδέχεσαι ότι είσαι άσχετος Επεξ/σία 28 Ιουλίου 2016 από orgixmh Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα