Nyílt Wi-Fi használata "már bejelentkezett alkalmazásokkal" mennyire kockázatos? (bővebben lent)

10/

Ez nem igaz. Csak azokra vonatkozik akiknek nem tűnik fel az ilyen figyelmeztetés: [link] 😆

#11

Ha el nem felejtem, erre holnap mutatok valamit.

#12

Várom a magyarázatot.

Nem magyarázni akarok, hanem mutatni valamit.

Itt egy adathalász oldal: [link]

Nem én csináltam, egy csávó töltötte fel egy securityvel foglalkozó fórumra. Ránézésre még a tanúsítvány is rendben van: [link]

A készítője még arra is ügyelt, hogy mobilnézetben is viszonylag jól jelenjen meg: [link]

A szerveroldali PHP kódja viszont csak ennyi:

<?php

file_put_contents("db", $_POST["login"] . ":" . $_POST["pwd"] . PHP_EOL, FILE_APPEND);

header("Location: [link]

?>

Ez annyit csinál, hogy a megadott user/password párost elmenti egy fájlba, és átirányít egy valódi Facebook oldalra. Ha kicsit szofisztikáltabb lenne, akkor be is jelenteztethetne a valódi Facebookra...

Ha valaki a saját hálózaton üzemeltet egy DNS szervert (vagy ha mondjuk OpenWRT-s routere van, elég átírni a hosts fájlt), vagy ha valamilyen DNS poisoningot tud alkotni, abban az esetben, ha a gyanútlan felhasználó meglátogatja a facebook.com-ot, ezt a kamuoldalt hozza be neki a böngésző, és egy szót nem fog szólni tanúsítványhiba miatt.

Hogy lenne már megtévesztő???

A vak is látja hogy a lakat mellett a facebook.com helyett az ipdns.hu szerepel..!!!

#15

Jajjistenem, nem érted, miről beszélek.

Ha valaki saját DNS szervert üzemeltet, akkor be tudja állítani, hogy a facebook.com IP címére (31.13.84.36) ez az oldal jöjjön be, amit fent mutattam. Érted?

Persze hogy értem. Csakhogy a tanusítványok nem így működnek. A publikus kulcs csak akkor 'jelez' zöld biztonságosat ha a server oldali privát párjával találkozik. A dns csak a kulcssomóban segít megtalálni a helyes kulcsot.

Tehát hiába az eltérítés vagy a címsorban nem fog stimmelni a név, vagy nem biztonságosnak fogja jelezni a böngésző. Ez ilyen egyszerű. 🙂

"Tehát hiába az eltérítés vagy a címsorban nem fog stimmelni a név, vagy nem biztonságosnak fogja jelezni a böngésző. Ez ilyen egyszerű."

Pont, hogy nem, épp ezt akartam megmutatni a fenti példával.

Az oldalhoz generálva lett egy Let's Encrypt tanúsítvány, amit a böngésző teljes mértékben megbízhatónak talál.

Amikor a felhasználó beírja, hogy facebook.com, a támadó által felállított DNS szerver fogja visszaküldeni a domain-hez tartozó IP címet, ami a támadó webszerverére mutat. A webszerver kiszolgálja a tartalmat, és a tanúsítványt is, ami a facebook.com domain-re lett kiállítva. A böngésző ellenőrzi a domaint (facebook.com), a hozzá tartozó tanúsítványt, és mindent rendben fog találni, ott lesz a zöld lakat.

Persze, ha valaki megnézi a tanúsítványt, látni fogja, hogy az Let's Encrypt-es, de hát ki a tök nézegeti a tanúsítványokat (az átlagfelhasználó azt sem tudja, mire jó).

#16

Az alkalmazást nem lehet így megtéveszteni, mivel az lokálisan fut, az e-maileket IMAP protokollon keresztül éri el, de ott ő megcsinál több ellenőrzést is, egyezteti a saját kulcsát a levelezőszerverével, és ha az nem egyezik, akkor már nem is fogja elküldeni a bejelentkezési adatokat.