Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Ogłoszenia
- » [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
#1 2017-04-18 01:24:44
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
[ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
Jak w temacie:
https://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html
Jak na razie, załatać można tylko Firefoxa, ustawiając w [b]about:config[/b] klucz
Kod:
network.IDN_show_punycode, true
Domyślnie ten klucz istnieje, ale ma wartość false.
W przypadku Chrome załatana ma być wersja 58, Opera pewnie też kiedyś
to załata, w każdym razie dziura jest dosyć groźna, zwłaszcza w połączeniu
z nieaktualizowanym softem w routerze.
Tu jest [url=https://xn--80ak6aa92e.com/]demo ataku[/url].
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2017-04-18 01:30:43)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#2 2017-04-18 10:17:35
Pakos - Członek DUG
#3 2017-04-18 10:27:20
morfik - Cenzor wirtualnego świata
Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD
Offline
#4 2017-04-18 18:12:59
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
[quote=morfik]Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD[/quote]
Chodzi o to, żeby wyświetlać adresy internetowe w standardzie UTF8
- ze znakami charakterystycznymi dla rożnych języków.
Np przez internet zapierdziela adres domenowy w US-ASCII,
a wyświetla w przeglądarce różyczka.pl.
Dowcip polega na tym, że programiści z US nie znają wszystkich języków świata i dlatego chińscy, japońscy , perscy czy arabscy hakerzy mają z tego niezłą polewkę czasami.
W ten sposób można zrobić kopie stron wszystkich banków w ZSRE,
a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?
Co się tyczy odpowiedniego przekierowania DNS, to jak często " statystyczny Kowalski" [url=https://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/]aktualizuje soft w routerze[/url]?
Swoją drogą punkt dla FF, 30 sekund i poprawione, a w przypadku Chrome, Opery czy bibliotek - Webkitów, wszystko jest podatne we wszystkich systemach.
Pozdro
Ostatnio edytowany przez Jacekalex (2017-04-18 18:19:44)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2017-04-18 18:51:57
Carnophage - Użytkownik
- Carnophage
- Użytkownik
- Skąd: no route to host…
- Zarejestrowany: 2010-05-06
- Serwis
Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
Warto rownież rozważyć zmianę czcionki, co oczywiście problemu nie rozwiązuje, ale czyni pewne próby zdecydowanie bardziej oczywistymi:
[img]http://i.imgur.com/Rje0NZL.png[/img]
Ostatnio edytowany przez Carnophage (2017-04-18 18:53:39)
Happy siduction user ^__^
Offline
#6 2017-04-18 19:18:35
morfik - Cenzor wirtualnego świata
Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
[quote=Jacekalex]a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?[/quote]
Eee, ja. xD A poza tym, to to znowu tak nie działa, to musisz wejść w link, ewentualnie skopiować tekst i go wkleić w pole adresu. A jak masz zakładkę banku czy z palca wpisujesz adres, to ci ten atak żadnej krzywdy nie wyrządzi.
Idąc dalej, jeśli się przyjrzysz uważnie, to jeden cert jest podpisany przez let's encrypt i tam masz może kłódkę ale nie masz żadnego podpisu. A wejdź w apple.com i od razu różnica już jest widoczna w pasku adresu. Ja zawsze patrzę po tej nazwie i jak nie ma nazwy, a jest to jakiś krytyczny serwis, to jednak patrzę co tam za cert siedzi. xD
[img]http://i.imgur.com/nbzzZFP.png[/img]
Offline
#7 2017-04-18 20:27:25
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
Pod warunkiem, że strona stosuje Extended Validation.
Poza tym, 99% ludziów nie zauważy, kiedy strona np ingbanku czy mbanku nie pokaże nagłówka EV, tylko w najlepszym razie, kiedy pokaże się ostrzeżenie dotyczące certyfikatu, a to też nie zawsze.
Ostatnio edytowany przez Jacekalex (2017-04-18 20:27:59)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#8 2017-04-19 06:36:01
morfik - Cenzor wirtualnego świata
Re: [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
Chyba wszystkie szanujące się banki i strony stosujące jakieś formy płatności (paypal) raczej już wykorzystują ten EV i dobrze jest zwracać uwagę na to co pisze tam na pasku.
A tak po za tym, to chyba let's encrypt przyczynił się do eskalacji tego ataku jak nikt inny. xD
Offline
Strony: 1
- Forum Debian Users Gang
- » Ogłoszenia
- » [ŁATAĆ SIĘ]Groźna dziura phishingowa we wszyskich przeglądarkach...
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00013 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00104 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.194.138' WHERE u.id=1 |
| 0.00076 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.135.194.138', 1732182791) |
| 0.00056 | SELECT * FROM punbb_online WHERE logged<1732182491 |
| 0.00080 | DELETE FROM punbb_online WHERE ident='3.147.86.143' |
| 0.00067 | SELECT topic_id FROM punbb_posts WHERE id=310137 |
| 0.00114 | SELECT id FROM punbb_posts WHERE topic_id=29508 ORDER BY posted |
| 0.00064 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29508 AND t.moved_to IS NULL |
| 0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00092 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29508 ORDER BY p.id LIMIT 0,25 |
| 0.00120 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29508 |
| Total query time: 0.008 s | |