Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Zasada ograniczonego zaufania, na przykładzie serwisu niebezpiecznik.pl

Stosując zasadę ograniczonego zaufania, kara się obu uczestników ruchu, pomimo tego, iż tylko jeden z nich popełnił faktyczne wykroczenie. Natomiast najczęściej stawianym zarzutem uczestnikowi ruchu postępującemu zgodnie z przepisami jest brak zachowania ostrożności...

Co wspólnego mają przepisy prawa o ruchu drogowym z popularnym w Polsce serwisem poświęconym bezpieczeństwu komputerowemu?

6.4.2013 około godz. 19:30 czytelnicy, którzy wówczas odwiedzili serwis niebezpiecznik.pl zostali przekierowywani na manifest w serwisie Pastebin. Niebezpiecznik odwoływał się wówczas w celu pokazywania reklam do pliku znajdującego się na zewnętrznym serwerze, do tego też pliku wstrzyknięto kod, który powodował przekierowanie.

Z postu Piotra Koniecznego, wynika, że ekipa Niebezpiecznika nie popełniła żadnego błędu „nikt nie przełamał zabezpieczeń Niebezpiecznika”.

Jednakże to ekipa Niebezpiecznika ponosi odpowiedzialność za podmianę strony serwisu.

To Oni decydują o tym, co znajduje się w kodzie strony, czy będzie to dziurawy kod czy też podatny na atak zaimplementowany zewnętrzny skrypt.

Autorzy ataku zdecydowali się pokazać światu swój manifest, co by było gdyby zdecydowali się postąpić inaczej?

Możliwe skutki ataku

Dla Kowalskiego atak miał takie same skutki jak podmiana strony, czy też atak na serwery DNS, odwiedził On, bowiem nie tą stronę, którą chciał. Czy jeśli ktoś włamie się na serwer, podmieni fizycznie stronę i będzie przekierowywał pod inny adres, czy też uznamy ten fakt za mało istotny i dowcipnie powiemy, że "dołączyliśmy do grona najlepszych ;)"? : )

Serwis niebezpiecznik.pl jest dość popularny w naszym kraju, poprzez pomyślny atak na serwis, można zaatakować jego użytkowników…

Atakujący mógł wstrzyknąć kod JavaScript, który serwowałby atak na aplikacje np. 0day na Javę, która ostatnio z tego słynie, wówczas taki exploit po udanym ataku mógłby ściągnąć i zainstalować malware czy też rootkita na maszynie czytelnika serwisu…

Atakujący również mógł wykonać kopię 1:1 niebezpiecznik.pl na swoim serwerze i tam przekierować odwiedzających, co dawało by mu dość spore pole do popisu biorąc pod uwagę społecznie zaufanie do serwisu. Przykładów zaufania nie trzeba szukać za daleko, wystarczy odwołać się do tegorocznej akcji primaaprilisowej serwisu, podczas której 1/3 czytających primaaprilisowy post zmieniło zgodnie ze wskazaniem redakcji swój plik hosts wpisując tam:

178.217.184.34 facebook.com.

Kolejno czytelnicy odwiedzili zamiast strony logowania Facebooka, przygotowaną jej kopię na serwerze redakcji, po naciśnięciu przycisku „Zaloguj się” użytkownicy byli przekierowywani na stronę z informacją o primaaprilisowym żarcie, jak zaznaczyła redakcja hasła użytkowników nie były przesyłane… atakujący mógł postąpić podobnie z tą drobną różnicą, że przejąłby podane hasła przez nieświadomych użytkowników…

To sprowadza Nas do początku postu, czyli zasady ograniczonego zaufania, czytelnik pomimo tego, że nie popełnił żadnego przewinienia i poprawnie wpisał adres serwisu, mógł być za to ukarany …

Oczywiście nie można popadać w paranoje, aczkolwiek na pewno warto stosować zasadę ograniczonego zaufania i nie należy pod żadnym pozorem dokonywać bez namysłu żadnych zmian w systemie, zalecanych przez kogokolwiek.

Czy możemy zrobić coś, aby być bardziej bezpieczni w sieci?

Możemy stworzyć sobie bezpieczne domeny korzystając z Qubes OS ; )

Czego nie należy zrobić?

Z poprzedniego postu wiemy już, że nie należy bezmyślnie kopiować rzeczy i wklejać jako wykonywalne polecenia, dochodzi Nam do tego lekkomyślne dokonywanie zmian w systemie i ograniczone zaufanie do autorytetów czy też bezpiecznych serwisów. : )

Czy na systemie GNU/Linux jestem bezpieczny?

Tak, Linux jest „bezpieczniejszy” od Windowsa ... dzięki temu, że mniej osób go używa. :-) Zarówno Linux, jak i Mac OS czy też Windows posiadają błędy w architekturze, poprzez co nie można ich określić mianem „bezpiecznych”.

Co zatem Nam pozostaje?

Przede wszystkim trzeba dbać o swój system operacyjny i rozważne korzystać z sieci. : )
Najsłabszym ogniwem jest zawsze użytkownik, bez rozwagi nawet Qubes OS Nam nie pomoże. ; )

Modyfikacja 1: Dałem ciała, dopisuję:

Powód wpisu: Post Piotra Koniecznego

Inspiracja: Post Piotra + komentarz pod wspomnianym wyżej postem, który napisał Michał Cichocki

Więcej informacji: Blog Adam 'pi3' Zabrocki

Modyfikacja 2: Podsumowanie:

Mamy tu małe nieporozumienie, nie uważam, że niebezpiecznik.pl to zły serwis, nie ujmuję Panu Piotrowi wiedzy czy też umiejętności. Jeśli miałbym określić intencję napisania powyższego postu, to można by było ją zawrzeć w tym zdaniu:
Wpadka może zdarzyć się każdemu, ale napiszcie, że wtopiliście, a nie, że nic się nie stało i nie przełamano zabezpieczeń niebezpiecznika.

Jeśli chodzi o ogólnie pojęte bezpieczeństwo, to korzystając z okazji, mogę Wam polecić poza niebezpiecznikiem, sekurak.pl (Od razu może napiszę, że nie mam nic wspólnego z tym serwisem, nie płacą mi za reklamę i Waszej opinii pozostawiam to, który jest lepszy, możecie też czytać regularnie oba. : ))  

internet bezpieczeństwo porady

Komentarze

0 nowych
Axles   17 #1 22.04.2013 09:11

Z tego co napisałeś, faktycznie ktoś kto zna się na rzeczy mógłby wykorzystać Niebezpiecznik do niecnych celów. Zasada ograniczonego zaufania to dobra zasada, ale też nie można stać się paranoikiem :)

budda86   9 #2 22.04.2013 09:35

No, ale jeśli to było przekierowanie, to przecież adres przeglądarce się zmienił, prawda?

'Linux jest „bezpieczniejszy” od Windowsa ... dzięki temu, że mniej osób go używa.'

Android to Linux ;)

Autor edytował komentarz.
Sajbi   4 #3 22.04.2013 09:39

Wpis niezły (dobry temat) :) MacOSX/Linux + Myśląca osoba i mamy twierdze nie komputer... ale idiotów nie sieją, sami się rodzą.

Sajbi   4 #4 22.04.2013 09:41

@budda86 sytem oparty na jądrze linuxa jak już, a całe dobrodziejstwo platformy zabite jest przez google i społecznościowe nakierowanie systemu.

adamwiacek   3 #5 22.04.2013 09:50

Hej słuchajcie! Podmieniamy skrypt od Google Analytics i cały internet jest nas!

Mój przeglądarkowy przepis na poczucie anonimowości "przeglądarkowej" w sieci - AdBlock + DoNotTrack + NoScript + zapobiegawczo Java off :)

Autor edytował komentarz.
deepone   10 #6 22.04.2013 10:44

Troszkę fanatyzmem systemów pingwinowych zalatuje.
Bezpieczny system? Nie posiadać komputera.

  #7 22.04.2013 10:52

A ja uważam Linuksa za bezpieczny system - czemu? Bo kilkadziesiąt tysięcy deweloperów nad nim pracuje. Ale nie uważam go za fortecę

dzikiwiepsz   12 #8 22.04.2013 11:06

Bardzo ciekawy artykuł, i wychodzi przy okazji że cały niebezpiecznik.pl sam jest niebezpieczny nigdy tej stronie nie ufałem :D

GBM MODERATOR BLOGA  20 #9 22.04.2013 11:08

Autorze wpisu, powiedz mi proszę - czemu ten artykuł jest baaaardzo podobny do tego, który napisał Pi3 na swoim blogu ? ;>

Wyczuwam plagiat... !!

"Tak, Linux jest „bezpieczniejszy” od Windowsa ... dzięki temu, że mniej osób go używa."

Staaaaara, wyklepana formułka, która hmm... dzisiaj jest już coraz mniej aktualna ;)

Zaś co do Qubes - wszystko fajnie i w porządku (bo oparte na wirualizacjach), ale hmm... zależy o jakiej docelowo grupie mówimy ;)

adamwiacek   3 #10 22.04.2013 11:10

@fervi.doctor

A ja jestem święcie przekonany, że gdyby nastąpił jakiś BUM - pecetowy linuch dominowałby na rynku OS'ów chociaż w 20% to zaraz pojawiłyby się dziury którymi przelewa się woda.

Teraz nie opłaca się atakować go, bo to małe zyski kosztem poniesionego czasu. Tak naprawdę kto przesiądzie się na pingwina, gdy na każdym kroku atakują go okna, w szkole, administracji publicznej, telewizji itd, itd - żeby nie było, zdarzają się wyjątki.

  #11 22.04.2013 11:35

Autor nieco pojechał z tym podsumowaniem o większym bezpieczeństwie Linuxa.
Dlaczego?

Bo opisał atak socjotechniczny, który jest niezależny od systemu. Używając Linuxa i zmieniając wpisy w /etc/hosts też by sobie w identyczny sposób biedy napytał. Jakiś atak DNS spoofing (bez socjotechniki) - ta sama sytuacja. Dla mnie różnice w bezpieczeństwie się zmniejszają, bo coraz więcej siedzi się w przeglądarce, więc to w dużej mierze od niej zależy, czy będziemy bezpieczni.

Autor edytował komentarz.
deepone   10 #12 22.04.2013 12:43

@lukasamd dobrze prawi. Coraz więcej usług to usługi sieciowe. U nas to często system + przeglądarka.

Co do wirtualizacji - system musi być prosty dla większości użytkowników, w przeciwnym wypadku nie ma szans.
Linuxy w stylu Ubuntu są proste ale jeszcze trzeba przekonać ludzi a tutaj to inna bajka już jest.

  #13 22.04.2013 13:23

doskonale, autor musiał pokazać światu, jak bardzo cieszy się z tego, że również temu świetnemu blogowi się przydarzyło coś takiego, i jednocześnie musi sobie dowalić na koniec kompletnie niepowiązane bzdury o bezpieczeństwie systemów operacyjnych.

I nie, przede wszystkim to należy dbać o swoją głowę, a nie o system i milion zabezpieczeń.

pb2004   7 #14 22.04.2013 14:04

„Zarówno Linux, jak i Mac OS czy też Windows posiadają błędy w architekturze, poprzez co nie można ich określić mianem „bezpiecznych”. ”

Jakie konkretnie błędy? Mam wrażenie że masz na myśli kompromisy ze względu na wygodę użytkownika, ale to nie są błędy.

Shaki81 MODERATOR BLOGA  38 #15 22.04.2013 22:06

A co to niebezpiecznik.pl to jakaś święta nietykalna krowa? Skoro tyle piszą o niebezpieczeństwach w Internecie to powinny zacząć od swojego podwórka. Widzą drzazgę pod lasem a kłody we własnym oku już nie.
Ja natomiast (w przeciwieństwie do kilku komentujących powyżej) cenię sobie ten serwis, ale nie oznacza to, że jest on idealny.

  #16 22.04.2013 22:34

@adamwiacek
Błędy zawsze są błędami. Problemem są wirusy, które wykorzystują błędy do hackingu. Problem w tym, że Linux w odpowiednich warunkach jest bezpieczny (korzystanie z repozytorium i stosowanie przeglądarki w sandbox powinno wyeliminować ponad 99% wirusów). No i podstawa - głowa