W dniu piątek, 19 maja 2017 16:01:36 UTC+2 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> >> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
> >> CA" (zawierający w szczególności root CA, od którego zaczyna się
> >> "ścieżka").
> >>
> >
> > Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
> > robią.
>
> Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
> Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?
>

Tak. Aby ochronić przeglądarke przed tym na co jest nie połatana. Albo aby wychwycić
załaczniki w poczcie (dla programów pocztowych).
Dodałem ci linki, tam jest zajawka jak sie to dzieje.
Dzis to dosyc popularna funkcja AV.

> > Malware tez to moze zrobic.
>
> Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
> cokolwiek.
>

Ano może. Ale gdzies trzeba załozyć że istnieje granica.
Zakładam że malware nie będzie szukać we wszystkich obrazkach jakie user otwiera
informacji o numerkach modulo certyfikatów publicznych.

Ale tak, komputer z rootkitem jest zupełnie niewiarygodny jesli chodzi o zasade. Ale
praktycznie w części działa tak jakby działał bez rootkita czy innego malware.

> > Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie
> > musi byc on poprawny i taki sam jak wystawiany przez bank.
>
> Może też być taki sam.
> Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie
> ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku,
> czy pokazywanie czegoś innego?
> Bo nakład pracy jest taki sam.
>

Jakbym byl tworca to bym na bieżąco produkował ścieżkę certyfikatów z nazwami takimi
samymi jak produkuje oszukiwana strona. Nadanie nazw certyfikatom jest proste.
Nadanie numerków modulo juz nie.
Nie jest problemem zbudowanie ciagu certyfikacji takiego jak ma mbank. To jakieś 5-10
minut roboty ręcznie lub pare sekund skryptu. Oczywiście trzeba głowe ciągu
certyfikatów umiescic w przegladarce ale zakladamy ze malware ma wladze nad
oprogramowaniem usera więc to zrobic może.

Chyba że by mi sie nie chciało to bym zrobil tylko jeden certyfikat glowny, wsadzil
go do przegladarki a potem kazda strone podpisywal certyfikatem z jego nazwa. Pewnie
wiekszosc userow nie zaglada w "kłódeczke" w przegladarce jak jest ona zielona.

A jak user podejżliwy to i tak juz po ptokach i z oszustwa nici...

> Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony
> także może być inny. Ale poleganie na tym to IMHO kiepski pomysł.
>
> > No i co z tego?
> >
> > Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?
>
> Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi
> antywirusami w kontekście PKI i HTTPS.
> Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione
> certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli
> nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera.
>

Poszperaj sobie w sieci pod tym katem, jeden link ci przyslalem ale pewnie znajdziesz
więcej tego typu stronek.

W moim przypadku mialem sytuacje gdzie nie wiedzialem czy mam komputer zarazony czymś
czy modem/router sieciowy mial podmienione dns-y.

na szybko chcialem sprawdzic czy mam poprawnie zaszyfrowana komunikacje i nie
znalazlem innego info niz po prostu ciag certyfikacyjny wczytany na innym urządzeniu.

Poprosilem znajomego aby mi zrobil zrzuty ekranu i umiescil na imgurze.
Upierdliwe a mozna bylo by takie obrazki umiescic gdzies w internecie aby
zainteresowani mogli sie skonsultować.

> >> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
> >> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
> >
> > poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i
umiescila na imgurze.
> > Tego wirus nie podmieni...
>
> Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum,
> autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy,
> które nie mają możliwości modyfikacji oprogramowania w pececie. Autor
> wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak
> samo jak oryginał.

Możesz podac przyklad takiego wirusa? Bo oczywiscie to mozliwe ale czy już
realizowane?
O takim przypadku nie słyszałem.

> Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać
> w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę).
>
> > Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
> > środkami na koncie.
>
> W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
> (lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
> środki na koncie, ew. limity kredytowe itp.

> W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
> atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
> ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
> kogoś innego.
>

No nie. Sporo przypadków było kiedy ludziom zawirusowano komórki (równiez przez sms-y
których nawet nie otwarli) i spokojnie w ciagu nocy oczyszczono konto wieloma
przelewami.

> >> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
> >> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
> >> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
> >> czegokolwiek tego typu na stronie banku to nieporozumienie
> >> (niezrozumienie idei PKI).
> >
> > Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.
>
> Certyfikat może się zmienić nawet bez malware.
>
> > A PKI jest fajne o ile nie masz po drodze firmowego proxy czy
> > antywirusa.
>
> Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy?
> No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy
> firmowe?
>

Takie są. Ja nie korzystam z banku w pracy ale mechnizm jest i działa.
Dlatego temat poruszyłem bo widze że wiara w skutecznośc łańcucha certyfikacji jest
silna ale swiadomosc ze sama zielonosc "kłódki w przeglądarce" to nie jest 100%
sukcesu.


> > Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie
> > bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest
> > wsparta mozliwoscia zewnetrznego sprawdzenia - recznie.
>
> Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc.
> Zrozum to, na malware na pececie żadne certyfikaty nie pomogą.
>

Na wszystkie malware nie. Ale na niektóre tak. W tym watku tylko o tym wspominam i
tylko pod tym katem.
Rodzajów oszustw realizowanych przez malware jest sporo ale narazie nie są one
strasznie wyszukane.

Mam wrażenie że dzisiejsze malware są sporo słabsze technicznie niż wirusy z czasów
dosa czy win95 bo wtedy były to bardzo zgrabnie pisane programiki a dziś to w
praktyce skrypty montowane z dosyć duzych klocków.