The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Рост атак, связанных с захватом контроля над DNS

11.01.2019 18:42

Компьютерная команда экстренной готовности США (US-CERT) предупредила администраторов о выявлении массовых атак, проводимых через перенаправление трафика на подконтрольный злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS.

Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах). В отчёте также отмечается выполнение подмены серверов DNS, в случае если пользователь поддерживает собственные DNS-серверы, а не использует DNS-сервис регистратора.

После получения доступа к параметрам DNS атакующие указывают для домена IP-адрес своего хоста, на котором запускают прокси, перенаправляющий весь трафик на легитимный сервер жертвы. В отличие от зафиксированных в прошлые годы подобных атак, злоумышленники получают рабочий SSL-сертификат, подтверждая контроль за доменом в автоматически выдающем сертификаты сервисе Let’s Encrypt. В результате HTTPS трафик на подставной хост воспринимается браузерами как корректный и не вызывает подозрения у пользователей.

Тот факт, что у сайта изменился IP-адрес зачастую остаётся незамеченным длительное время, так как сайт жертвы продолжает работать без изменений, за исключением небольшого увеличения времени отклика из-за дополнительного перенаправления трафика через сервер атакующих. На подконтрольном злоумышленникам сервере, работающем как прокси для совершения MITM-атаки, производится анализ всего транзитного трафика для захвата конфиденциальных данных, паролей и платёжной информации.

Общий масштаб атаки пока не ясен. Cо стороны достаточно трудно выявить факт вмешательства злоумышленников c учётом применения ими корректных SSL-сертификатов и изменения IP в DNS-сервисах (если атака проводится не через подмену DNS-серверов, а через правку привязки IP в интерфейсе управления DNS, то привязанные к домену DNS-серверы регистратора остаются не изменёнными). Среди скомпрометированных систем отмечаются некоторые коммуникационные компании, ISP, государственные организации и крупные коммерческие предприятия.

Для того чтобы не стать жертвой атаки владельцам доменов рекомендуется включить двухфакторную аутентификацию для входа в интерфейс регистратора или провайдера DNS, а также проверить соответствие выдаваемого для домена IP-адреса с фактическим адресом своего сервера, проанализировать логи на предмет поступления входящих запросов только с одного IP и выполнить поиск дополнительных SSL-сертификатов, сгенерированных для своего домена.

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/c...)
  2. OpenNews: Зафиксирована подмена сайта Linux.org через захват DNS
  3. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  4. OpenNews: Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен
  5. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
  6. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49937-dns
Ключевые слова: dns, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (99) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Онаним (?), 19:36, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно. Платные сертификаты эти ребята стали бы покупать только в самых крайних случаях.
     
     
  • 2.2, Эш Уильямс (?), 19:49, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это уже не проблемы letsencrypt.
     
     
  • 3.6, Онаним (?), 20:31, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В самом деле. Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации. Напоминаю, что PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.
     
     
  • 4.7, Онаним (?), 20:32, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вообще же это может стать шагом к тому, что LE вынесут из браузеров.
     
  • 4.10, Эш Уильямс (?), 21:19, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут скорее проблема в DNS, решать проблемы dns/dnssec/DoH/DoT на уровне сертификата бесполезны с пробитым днс.
     
  • 4.19, Аноним (19), 22:20, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если злоумышленник имеет контроль над доменом, почему центр сертификации не долж... большой текст свёрнут, показать
     
     
  • 5.23, Аноним (19), 22:30, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устра... большой текст свёрнут, показать
     
     
  • 6.32, Онаним (?), 23:15, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать, всем, кроме их полутора клиентов, строго фиолетово.
     
     
  • 7.51, пох (?), 09:43, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать

    они раньше так и делали. Но великие специалисты по безопасности, "работающие над хромом" позаботились, чтобы их полтора клиента не смогли зайти на сайт с самоподписанным сертификатом, и светили свои заходы гуглю.

     
     
  • 8.85, Аноним (85), 23:22, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что такого сделали спкциалдистя с хромом, можно узнать А то вот совсем не на... текст свёрнут, показать
     
     
  • 9.87, пох (?), 09:23, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вам- нельзя научитесь читать и понимать прочитанное, потом приходите ... текст свёрнут, показать
     
  • 9.95, Аноним (95), 13:27, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Есть такое мнение, мил человек, что ты балабол Вот неполный квест который огреб... большой текст свёрнут, показать
     
  • 6.50, пох (?), 09:42, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сай... большой текст свёрнут, показать
     
  • 5.30, Онаним (?), 23:11, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что злоумышленнику ещё (ворованную) кредитку засветить придётся, а если там есть 3DSecure - возможно и номер (ворованного) телефона. Каждый засвет - риск.
     
  • 5.47, Аноним (47), 07:34, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Райан — очень умный криптограф, работающий над Chromium

    дальше можно не читать

     
     
  • 6.59, пох (?), 18:05, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    завидовать - грех!
     
  • 5.73, Анонимный Алкоголик (??), 19:33, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать
    > ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом.
    > А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно,
    > да?

    А если злоумышленник имеет контроль над вашей квартирой? Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?

     
     
  • 6.100, demon (??), 14:36, 14/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может выдать себе свидетельство ЕГРН, на основании которого в паспортном столе его пропишут в вашей квартире. А еще он может пойти к нотариусу и оформить продажу вашей квартиры, причем нотариус, проверив собственника в ЕГРН по своим каналам, спокойно заверит договор продажи. Это не проблема паспортного стола или нотариуса.
     
  • 6.103, Аноним (-), 10:53, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неправильная аналогия Путаешь технологии Аналогом сертификата https будет вста... большой текст свёрнут, показать
     
  • 4.25, Аноним (25), 22:39, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Отсутствие идентификации персоны, получающей доверенный сертификат

    Во-первых, Let's Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни было *персон* не требуется. А во-вторых, если злоумышленники получили доступ к админке сервера для изменения настроек DNS, то оригинальный владелец уже и не совсем владелец, ответственность за это несёт либо владелец (если логин-пароль увели), либо регистратор/хостер (если базу учёток стырили), но никак не центр выдачи сертификатов.

     
     
  • 5.31, Онаним (?), 23:12, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если что, оплата услуги - это тоже своего рода идентификация. Да, кредитку можно свистнуть, но риск палева для конечного исполнителя-школотрона увеличивается в разы.
     
     
  • 6.33, Аноним (33), 00:00, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да уж прям возрастает!
    В 15м году Симантек ничтоже сумняшеся выпустил wildcard на домены моих знакомых. По тыреной карточке, ага. Управление доменами и днс вернули быстро, а вот те перевыпущеные сертификаты так и были валидны до конца их срока действия (год). Саппорт на запросы об отзыве вообще не реагировал. Точнее, один раз написали на индлише что-то типа «вы не наш клиент — пойдите вон». Entrust, у которого мои друзья покупали домены, ответил что-то вроде «так это ж не мы выпустили — отозвать не можем». Вот и вся защита интырпрайз уровня.
     
     
  • 7.42, GentooBoy (ok), 01:18, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И правильно, надо было купить у них серт тогда бы они вам помогли. А с фига ли они должны отзывать сертификат своего клиента, по просьбе анонима?
     
     
  • 8.48, Аноним (47), 07:39, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что они выпустили сертификат НЕ своего клиента ... текст свёрнут, показать
     
     
  • 9.60, их клиент (?), 18:11, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    как это не своего Он им деньги заплатил Причем они честно-честно провели эту с... текст свёрнут, показать
     
     
  • 10.69, Аноним (33), 18:46, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я отзывал для своего тестового домена полгода назад Хотел проверить, как оно... текст свёрнут, показать
     
  • 10.81, Аноним (33), 22:45, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я не писал про энтерпрайз Это был небольшой НЕайтишный бизнес Сертификат у ент... текст свёрнут, показать
     
     
  • 11.88, пох (?), 09:33, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ... большой текст свёрнут, показать
     
  • 8.80, Аноним (33), 22:30, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё один любитель выквзывать позицию энтерпрайзов Олоэ, включи логику К тебе о... текст свёрнут, показать
     
     
  • 9.89, пох (?), 09:39, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    паспорт и данные принес За валидацию ручную, потому что это как раз EV - запл... большой текст свёрнут, показать
     
  • 4.46, Аноним (47), 07:31, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Она и так бесполезна, с кучей мало кому известных центров сертификации которым авторы браузеров заставляют доверять по умолчанию.
     
     
  • 5.61, гуглезила (?), 18:12, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а все известные мы уже позаблокировали

     
  • 4.52, YetAnotherOnanym (ok), 11:32, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации

    Это его обязанность.

     
     
  • 5.74, Аноним (33), 19:33, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Откуда ж вы такие лезете?!
    Нет, нет и ещё раз нет. Идентификация личности нужна только для случая PV сертификата. Даже EV требует проверки ОРГАНИЗАЦИИ и, опционально, наличия у запрашивающего разрешения на такое действие от руководителя организации.
     
  • 4.82, Ordu (ok), 22:45, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Теория -- это такая штука Лучший способ её употребления -- сворачивать в труб... большой текст свёрнут, показать
     
  • 2.11, Аноним (-), 21:28, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Че сказать то хотел?
     
  • 2.15, rshadow (ok), 22:05, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это тот самый случае, где ононим отсасывает, конечно

    fixed

     
  • 2.28, Crazy Alex (ok), 22:49, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.
     
     
  • 3.35, OpenEcho (?), 00:19, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.

    Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в СТ после того как StarCom был куплен китайцами и которые выдававали левые сертификаты, а LE один из первых подключился к certificate transparency

     
     
  • 4.36, Crazy Alex (ok), 00:23, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот судя по новости (и по источнику на сайте letsencrypt) это всё же в планах на 2019
     
     
  • 5.38, Crazy Alex (ok), 00:25, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Стоп, это я туплю. Там так:

    We are also planning to introduce a Certificate Transparency (CT) log in 2019. All certificate authorities like Let’s Encrypt are required to submit certificates to CT logs but there are not enough stable logs in the ecosystem. As such, we are moving forward with plans to run a log which all CAs will be able to submit to.

    то есть CT сейчас не то чтобы сильно юзабельным выглядит?

     
  • 5.41, OpenEcho (?), 00:40, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тезка, хорош туфту гнать если не в курсе.

    Иди суда:
    https://www.entrust.com/ct-search/
    или суда:
    https://crt.sh/
    и проверь любой сертификат выданный Letsencrypt-om

     
  • 5.57, Аноним (85), 13:55, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В планах у них завести СВОЙ ЦТ сервер. В чужие публичные СТ они все подписанные сертификаты льют с момента своего появления. С марта 2018 (или чуть ранее, не помню) они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат. Вы это всегла можете проверить, посмотрев сертификат. Примерно с тогоже марта это делать обязаны все подписывальщики сертификатов, иначе гугл их не будет трастить в своих браузерах, но по факту многие это далать начали сильно раньше.
     
     
  • 6.78, Аноним (78), 21:11, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат

    Как посмотреть? На примере опеннетовского сертификата...

     
     
  • 7.86, Аноним (85), 23:46, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    openssl s_client -showcerts -connect www opennet ru 443 dev null 2 dev null ... большой текст свёрнут, показать
     

  • 1.3, Аноним (3), 19:52, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    КН(Д)Р?
     
  • 1.8, Аноним (8), 21:09, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > корректных SSL-сертификатов
    > рекомендуется включить двухфакторную аутентификацию

    Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректный?

     
     
  • 2.14, Аноним (19), 21:46, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это советы не для юзеров, а для админов. Взламывают их.
     
  • 2.37, OpenEcho (?), 00:23, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если ломанули пароль админа без 2FA то админ может и не знать что его поимели (если конечно совсем куку админ, который не установил оповещения о логинах в контрольную панель ДНС через мыло).
    А с 2FA ему будет приходить на телефон код разблокировки в добавок к паролю к DNS админке
     

  • 1.9, zomg (?), 21:17, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Certificate Transparency пишет логи всех сертификатов. А, например, Certspotter умеет алертать если увидит в логах левый сертификат для вашего домена.
     
     
  • 2.40, OpenEcho (?), 00:30, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проблема в том, что масса доменов регается маленькими конторками, у которых своих спецов нет и пользуются услугами приходящих "компьютерщеков" и которые дерут бабки почасово и платить им за мониторинг - жаба, а у "приходящих спецов" нет стимула хрячить бесплатно, да и в большинстве своем, у них менталитет -"чем чаще вызывают, тем больше бабла". А хозяева доменов как правило особо не парятся со сложными паролями, отсюда - описанный эффект.
     

  • 1.12, Витязь (?), 21:30, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Там кулхацкеры, сям кулхацкеры... Их бы потуги, да в мирное русло пустить, глядишь что-то полезное для общества сделали, а то сродни фабрике троллей, только ломать и манупулировать могут, мамкины анархисты.
     
     
  • 2.17, Аноним (17), 22:12, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "Хакер в столовой".

    Но, справедливости ради, если бы не хакеры, то корпорации писали бы софт так, что он ломался бы при любой случайности. А вину валили бы на пользователей.

     
  • 2.49, Аноним (8), 09:16, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это заблуждение сродни тому, что в некоторых конторах админы политиками закрывают сеть (делая себе лазейку даже в очень как бы защищенной сети), надеясь на них, но не защищая каждый компьютер. В результате вешают себе над головой Дамоклов меч (взломали контроллер домена либо даже одну рабочую станцию - сети и компьютеров в конторе нет). Любой домашний компьютер или смартфон защищен лучше такой рабочей станции, ибо они изначально рассчитаны на работу в агрессивной информационной среде.
     
  • 2.97, Лень_регацца (?), 17:44, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китайско-корейские госхакеры и прочие уродцы на службе у толстосумов?
     

  • 1.16, Аноним (-), 22:05, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    попытка пропихнуть dns-over-чо-то-там?
     
     
  • 2.22, Аноним (22), 22:26, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    закручивание гаек по типу борьбы с терроризмом
     
  • 2.53, marios (ok), 11:37, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Враги захватывают учётку на регистраторе, а не мужика посередине сажают.
     

  • 1.18, Alexey (??), 22:14, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Интересно, как они заставляют провайдера обратиться к "подставному" DNS? Другое дело если провели "инекцию", хотя это не просто и выражается определённой активностью. Можно, конечно, заставить всех пользователей развёртывать собственный кеширующий, но провайдер для того и нужен, чтобы предоставлять сервис. А вот чтобы ломали крупных провайдеров давно не слышал, тем более массово. Печаль пряма.
     
     
  • 2.39, Ordu (ok), 00:27, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои авторитативные dns сервера. Или может вписывают dns сервера провайдера, и проставляют AAAA, который им удобно.

    > чтобы ломали крупных провайдеров давно не слышал, тем более массово

    Не было никаких поломанных крупных провайдеров, речь о другом:
    "организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах)."

     
     
  • 3.62, пох (?), 18:14, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ты отстал от жизни, сейчас немодно "свои dns сервера".
    Уводят учетку, прямо в той панели меняют A запись, сервера БЕСПЛАТНО предоставляет сам регистратор, их менять не надо, и палева, кстати, меньше.

     
     
  • 4.64, Ordu (ok), 18:17, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ты отстал от жизни, сейчас немодно "свои dns сервера".
    > ты отстал от жизни

    Не удивительно, я лет десять не имел дела со скрипткиддисами.

    > Уводят учетку, прямо в той панели меняют

    Да, читать ты умеешь, я вижу. Молодец.

     
     
  • 5.67, пох (?), 18:26, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    причем тут скрипткиддисы? Ты десять лет походу домены не регистрировал - там нынче опция "свои dns сервера" не у всех с первой попытки вообще находится.


     
     
  • 6.72, Ordu (ok), 19:22, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > причем тут скрипткиддисы?

    При том, что увод паролей -- это деятельность для скрипткиддиса.

    > Ты десять лет походу домены не регистрировал - там
    > нынче опция "свои dns сервера" не у всех с первой попытки
    > вообще находится.

    И чё? Думаешь скрипткиддис не в состоянии её найти? Они может ничего не понимают в том, как система работает, но уж с гуями они справляются без особых проблем.

     
     
  • 7.76, пох (?), 20:01, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И чё? Думаешь скрипткиддис не в состоянии её найти?

    говорю ж - не надо ему. Он прям в том же интуитивно-приятном интефрейсе поменяет одну запись, на том самом dns, на котором оно штатно и лежало всю жизнь. И палева меньше, и уметь ничо не надо.

     

  • 1.20, Аноним (20), 22:20, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Предлагают поменять одну проблему на другую. Появится больше кривонастроенных днс серверов и отказоустойчивость будет не такая. Описанную проблему в новости даже проблемой можно не считать, если увели пароль, поменяли ип у сайта и ты этого не заметил, то так ли нужен этот домен за которым не следишь
     
     
  • 2.34, Аноним (33), 00:10, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали сайт-магазин за сто баксов. Платёжка от какого-нибудь яндкс или платипалкой. Заказы приходят по емейлу и в целом всё хорошо. Пока вдруг не начинаются жалобы от покупателей на двойные списания или владелец бизнеса не обнаруживает на счету ноль вместо ожидаемых тысяч.
    А вот потом выясняется, что студия, которая клепала этот магазин, еле дышит и из ит персонала там остался один инженер поддержки.

    P.S. Риальне история моих друзей из Бразилии.

     

  • 1.21, Эш Уильямс (?), 22:24, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Чем второй фактор поможет, при наличии у товарищ майора HTTP/HTTPS канала (MITM) и SMS (SS7)?
     
     
  • 2.26, тов. лейтенант (?), 22:39, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке.
    Товарищ майор не будет утруждать себя ни mitm, ни какими-то там sms. Он насадит тебя на бутылку, и ты сам, добровольно и с песней, все поменяешь как надо, и все пользовательские логины-пароли-адреса ему выложишь удобно и красиво.

    мы _так_ работаем, а ты фильмов про шпионов насмотрелся. Ты бы еще индийские смотрел, и думал, что мы тебе песни петь будем.

     
     
  • 3.99, Лень_регацца (?), 17:52, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты лично только языком работаешь. Любитель бутылок.
     
  • 2.27, Crazy Alex (ok), 22:47, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Где вы там товарища майора увидели?
     
     
  • 3.98, Лень_регацца (?), 17:47, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А чё тебя это зацепило?
     
  • 2.71, Гентушник (ok), 18:52, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    SMS это не самый хороший выбор второго фактора. Есть например TOTP.
     

  • 1.24, пох (?), 22:37, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    коммуникационные компании, isp, dns сервер "у регистратора" с паролем 123.

    Пааанятна...

    дайте, пожалуйста, другой глобус.

     
  • 1.29, Anon4ik_ (?), 22:56, 11/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    IPFS, же
     
  • 1.43, Аноним (43), 02:05, 12/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Очень похоже на начало информационной атаки на Letsencrypt.
    Не удивлюсь, если в скором времени появятся новости с заголовками типа "нужно перестать доверять сертификатам Letsencrypt для увеличения безопасности"
     
     
  • 2.58, Онаним (?), 16:28, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И будет совершенно не удивительно. LE придётся добавить идентификацию клиента таки, не по кредитке, так по мобильнику. Вот только их недоношенная трёхмесячная автоматика с этим жить будет плохо.
     
     
  • 3.63, пох (?), 18:15, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не, они это не для того затевали.
     
  • 3.83, Аноним (33), 22:51, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не придётся, ибо такая проверка излишня, а значит дорога и вредна. Для того, чтобы сделать описанное тобой, надо очень много присесть и не наступить на всякие *-DSS и GDPR. А это пиceц как сложно. Да и не будет этого никто делать — не стоИт перед проектом задачи превратиться в «классического» провайдера ssl.
     
     
  • 4.90, Онаним (?), 10:21, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В противном случае их просто потихоньку - по мере увеличения доли участия их сертификатов в таких атаках - вынесут из браузеров, и всё.
     
     
  • 5.104, Аноним (-), 11:06, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты платиновых спонсоров LE видел, дурачок? Там Google и Mozilla. Они и организовывали вместе с другими создание LE и оплачивают работу. Зачем им выкидывать из браузеров?
    И даже если зачем-то выкинут/закроют, то добавят LE2 быстро.
     

  • 1.44, Ivan1986 (?), 02:56, 12/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса

    Очередной взлом сервера с помощью пароля на root?

     
     
  • 2.45, OpenEcho (?), 06:43, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще мимо...
    Вы домены когда нибудь покупали? Что такое гегистрар в курсе?
    Новость о том, что левые люди получают доступ к административной панели ДНС, где меняют поинтер на ИП адрес подставного сервака. Причина - в безалаберном отношении к паролям и ничего больше.
     
     
  • 3.84, Аноним (33), 22:53, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства она до сих пор опциональна.
     
     
  • 4.101, OpenEcho (?), 17:18, 14/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства
    > она до сих пор опциональна.

    2FA это тоже не панацея, уже было много случаев, когда взломы происходят используя имеено 2FA.
    К тому же многие провайдеры, кроме как 2FA от гугла вообще не понимают

     

  • 1.54, YetAnotherOnanym (ok), 11:57, 12/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ничо вы, на самом деле, не понимаете за "цепочку доверия".
    "Цепочка доверия" должна состоять не в том, что Comodo (Кто такой Студебе^w Comodo? Это ваш родственник Comodo? Папа ваш Comodo?) своим корневым сертификатом заверяет промежуточный сертификат, а этим промежуточным сертификатом - сертификат сайта. Правильная цепочка доверия - это когда вы в том отделении банка, где получали карточку, спрашиваете у операционистки, которая вам её выдала, где  сидят их компьютерщики, идёте к ним и просите распечатать вам на бумажке правильеый сертификат их интернет-банка. И при этом смотрите, как этот сотрудник себя ведёт. Если он, с недоумением пожав плечами, при вас открывает сайт и берёт серт оттуда - вам стОит всерьёз задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности. А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда - с этим банком можно иметь дело.
     
     
  • 2.55, Аноним (55), 12:39, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    кто вы, чтобы сдавать вам компьютерщиков? да, при первом использовании карточки пин не подойдет, наберете захара петровича, скажете пин и вас активируют, мужчина или берите что дают или не задерживайте очередь.
     
     
  • 3.66, пох (?), 18:24, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это тоже немодно, это только в вашем спёрбанке так.
    У правильных пацанов клиента такой фигней не вынуждают заниматься - наберите хорошо известный номер телефона на карте, пропищите в тоновом режиме номер карты, теперь пропищите ваш пин - поздравляем, карта активирована.
    Кстати, вы сможете тем же способом этот пин поменять, не зная его.

    В качестве дополнительной меры безопасТносте - мы можем иногда попросить вас пропищать еще и номер-дату-выдачи паспорта.
    Васян, записывающий ваш dtmf (если вы из офиса это сделали, ему его даже специально распознавать не надо, он отдельно прямо цифрами пишется), будет за это отдельно вам признателен - еще и кредитец на вас возьмет.

    Это не шутка, это Ситибанк. Европейский уровень безопастносте как он есть.

     
  • 3.68, YetAnotherOnanym (ok), 18:43, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, спасибо. Девушка, я хочу аннулировать карточку и расторгнуть договор. Нет, остаток средств, пожалуйста, по расходному кассовому ордеру.
    В том же Сбере можно было без проблем пройти в отдел автоматизации на свежим дистром клиент-банка и   новыми ключами (когда я работал в фирме, имевшей р/с в СБ).
     
     
  • 4.79, Онаним (?), 22:23, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Без проблем. Нужна ваша подпись вот здесь, и ещё вот здесь. Секундочку, вот ваш ордер на две тысячи сто одиннадцать рублей 50 копеек, пожалуйста, присаживайтесь, ожидайте вызова вашего номера в кассу, всегодоброгодосвидания.
     
  • 2.65, пох (?), 18:20, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Правильная цепочка доверия - это когда вы в том отделении банка

    ну только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая.

    А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан.

    Проблема в том, что у гуглезилы совершенно противоположные задачи.

     
     
  • 3.70, YetAnotherOnanym (ok), 18:51, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.
     
     
  • 4.75, пох (?), 19:36, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю.

    > Но это ещё пол-беды - на нас денег сделать затруднительно

    ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого.

    а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.

     
  • 2.77, Анонимный Алкоголик (??), 20:15, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если он, с недоумением пожав плечами, при
    > вас открывает сайт и берёт серт оттуда - вам стОит всерьёз
    > задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности.
    > А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда
    > - с этим банком можно иметь дело.

    Э... Что за подход?
    Особенно если сайт на сервере в соседней стойке жужжит... С папочкой. Ну конечно пожимать плечами ему следует без лишнего недо умения...
    Но и идти к собственно занятым безопасностью эникеям за сертификатом должно быть незачем. ("операционистки" достаточно; или даже без неё)...

     
     
  • 3.91, YetAnotherOnanym (ok), 10:32, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это филиал, а сервер в Москве, и у админа настроено заходить не по VPN, а через Интернет, и разрешение DNS через сервера провайдера - специально, чтобы видеть, как у клиентов, и тогда он тоже подвержен спуфингу? А если он вообще не в помещениях самого банка, а где-нибудь в EC2? Я допускаю такое, потому что в своё время знал товарища, который с пеной у рта доказывал, что держать собственное железо и собственных админов чуть ли не неприлично, что ни одна серьёзная организация не захочет иметь дело с такими отсталыми людьми, которые не понимают, что надо всё переносить на хостинг и отдавать на отсосинг.
    Если же операционистке дадут инструкцию, в какой папочке на внутренней файлопомойке взять сертификат, если вдруг кто-то спросит - ну это ж самое лучшее, что может быть. Только операционистки, когда я их об этом спрашивал, переадресовывали вопрос в службу поддержки онлайн-банкинга, который, внезапно, работает на сайте того же банка в режиме чата (не, ну можно ещё позвонить, узнать, что звонок очень важен и послушать музычку).
     
     
  • 4.92, Аноним (55), 11:02, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    it под колпаком, совместимо с честью на уровне занавески для борделя, компромат фабрикуется своевременно, но сертификаты и оптимизм это хорошо, да
     

  • 1.93, Аноним (93), 11:05, 13/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remote addr в логах.
     
     
  • 2.94, Аноним (55), 11:37, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    логи скомпрометированы ночной сменой и touch, ээ-то не показатель)
     

  • 1.102, Аноним (-), 19:26, 14/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость - провокация, имеющая целью вынудить "владельцев" таких DNS засветить свой номер телефона и т.п.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру