Názory k článku Postřehy z bezpečnosti: „zip“ nově využíván při útocích nejen jako typ souboru

Prima. Teď si ty odkazy zkuste otevřít v internetovém prohlížeči. Pak se podívejte do adresního řádku, co tam uvidíte. A pak mi konečně odpovězte na otázku, v čem je nebezpečnější, když uživatel má v adresním řádku prohlížeče adresu toaster-update.zip než když tam je toaster-update.com. Co znamená zavináč v adrese vím. Ale taky jsem si vyzkoušel, jak s tím zacházejí prohlížeče – a to vy jste obávám se neudělal.

24. 5. 2023, 21:00 editováno autorem komentáře

Podle vasi teorie by byl phising zcela nefunkci vec, protoze prece staci se podivat do adresniho radku :-) Tak se ted muzete smele pustid do toho, proc to na spoustu lidi funguje... :D

Aha, já jsem si bláhově myslel, že to toaster-upgrade.zip se ukazuje v adresním řádku. A on to má zatím uživatel napsané na čele.

Také by mne zajímalo – když já následující adresa hrozně nebezpečná: https:​//github­.com∕kubernetes∕ku­bernetes∕archi­ve∕refs∕tags∕@v1271­.zip

Proč není nebezpečná také adresa:
https:​//github­.com∕kubernetes@ku­bernetes.app/ar­chive/refs/tag­s/v1271.zip

Nebo adresa:
https:​//github­.com∕kubernetes∕ku­bernetes∕archi­ve∕refs∕tags∕v1271@ku­bernetes.run

Nebo adresa:
https:​//github­.com/kubernetes­s/kubernetess/ar­chive/refs/tag­s/v1271.zip

A z ceho jste si dovodil, ze ostatni zminene gTLD nebezpecne nejsou? :-) Za vznikem novych gTLD je predevsim hlad po penezich... kterych dokazou zainteresovane neziskove organizace utratit zhora neomezeny pocet (a bohuzel jsme toho svedky i u RIPE, kde se aktualne hlasuje o modelu financovani, ktery cele rade ISP i u nas dost zvysi naklady... ale ano, zamestnanci si litaji na delsi vzdalenosti v byznys class a samozrejme se neresi zadny time-tracking toho, jak efektivne pracuji - proste takovy statni moloch v malem ;-) ).

No nic, dle ocekavani jste se vubec nevyrovnal s tim, proc teda funguje ten phising, kdyz to z URL je tak kristalove zrejme. No jo, ono je ponekud pravdepodobnejsi, ze bude fungovat lepe na neajtaka, nez na nekoho kdo spravuje kubernetes cluster ;-) Ergo vase priklady jsou dost mimo misu.

A z ceho jste si dovodil, ze ostatni zminene gTLD nebezpecne nejsou? :-)
Z toho, že se to týká úplně všech TLD. No a pokud jsou nebezpečné všechny TLD, tak buď můžeme vypnout internet, nebo můžeme dělat opatření, která jsou nezávislá na TLD.

Phishing funguje buď tak, že uživatel vůbec neřeší, co je v adresním řádku prohlížeče – a pak je úplně jedno, jestli je tam .zip nebo .com. A nebo uživatel přehlédne nějakou menší změnu v doméně, že tam třeba místo mojebanka.cz je mojebanka-cz.cz. Adresa faktura.zip oproti očekávané alza.cz/bflmpsvz­/faktura.zip je dost velká změna, takže v druhém případě si toho uživatel všimne mnohem spíš, než kdyby tam bylo třeba alza-cz.eu/bflmpsvz/f­aktura.zip. No a adresa alza-cz-bflmpsvz-faktura.zip také bude docela podezřelá.

Zkrátka doména .zip se pro phishing používat nebude o nic víc, než jiné domény, protože zkrátka jsou lepší cesty, jak zmást uživatele.

Bagatelizator rizik jste opravdu skvely, to se musi nechat :-)

Když nemáte kolem pozemku žádný plot, vy se postavíte na jedno místo a prohlásíte: „tady chybí metr plotu, zbytek neřešme“ a já řeknu: „ne, nechybí jenom jeden metr, je potřeba vyřešit plot kolem celého pozemku“, kdo bagatelizuje riziko? Já nebo vy?

No vase reseni je stylem "tady stoji jen metr plotu, zbytek chybi... no tak zbourejme ten metr, je s tim min prace nez dodelat zbytek" :-)

Jenže žádný metr plotu nikde nestojí.

Ja vim, vy si myslite ze mate pravdu, i kdyz ji nemate :-)

To samé se dá říct i o vás. Místo těchto hloupých řečí byste mohl uvést příklad útoku, který lze provést, když existuje TLD .zip, ale nelze jej provést s jinými TLD. Zatím jsme to viděli případ, kdy uživatel chce stahovat soubor faktura.zip z nějakého webu (třeba e-shopu), skončí místo toho s adresou faktura.zip v adresním řádku prohlížeče. Jenže pokud tohle nebude uživateli divné, nebude mu divné ani kdyby skončil na doméně faktura.com nebo jakékoli jiné.

Ze si nedokazete (a nebo jste jen liny) precist to, co uz o tom davno napsali jini fakt neni muj problem... :-)

Co napsali jiní jsem četl – a na rozdíl od nich jsem si to i vyzkoušel.

Samozřejmě nemůžu říct, že jsem četl všechno, co napsali jiní. A vy jste četl, co napsali jiní? Pokud ano, našel jste tam něco, co by mohlo způsobit problém? Pokud ano – proč jste to tu za celou dobu nenapsal?

Ze jsou vase testy nedokonale rovnez neni muj problem ;-) A vsimnete si, ze polemizujete s necim, co do prostoru prinesl i autor tohoto clanku. Vy jste mozna expert na uplne vsecko, ale autor se narozdil od vas bezpecnosti skutecne venuje.

Vzhledem k tomu, že jsem toho otestoval víc, než co bylo v článcích, které jsem četl, pak buď byly mé testy dostatečné, nebo byly testy autorů článků ještě méně dokonalé, než ty moje.
Každopádně jste zase žádný útok nepopsal, takže tu jen plácáte, ale nic reálného nemáte. Diskuse s vámi tedy nemá smysl.

A ze jste vysledky tech svych udajne komplexnich testu teda nekde nepublikoval ;-) Myslim ze Petr Krcmar by vas clanek na toto tema nemel problem publikovat, ze? Tak bud zadny test neprobehl a vymyslite si, nebo se bojite toho, ze by se verejne znemoznil :D

Já jsem nepsal nic o komplexních testech. Zkusit otevřít adresu v prohlížeči není žádný komplexní test. Ale výsledek toho testu jsem napsal tady v komentářích. Pořád jsem tu ale napsal mnohem víc informací o té "zranitelnost", než jste napsal vy...

Napsal jste spoustu TL;DR blabolu, my vime :)

Filipe, vy tou svou demagogií, či jak to nazvat, spolehlivě zboříte/ zaplevelíte každou zdejší polemiku. Kašlete na to prosím. Ptal jsem se jak to vysvětlit uživatelům a ne nutně vás. Vaše názory zda to je nebo není nebezpečné jsou mi u … irelevantní. Děkuji za pochopení.

@FKoudelka

na druhou stranu tady ma Filip pravdu, specificky domenu ZIP neni potreba uzivatelum vysvetlovat, neni v ni vetsi problem nez v jakekoliv jine nevhodne domene/url na kterou to uzivatele presmeruje a on si nevsimne,..

navic milionkrat vetsi problem pro uzivatele nez domena .zip je to ze nevi/nevsimne_si kam realne vede odkaz a to ze zobrazeny text odkazu neni to co se nacte, coz by videl pri pokledu na status listu po najeti na odkaz pred tuknutim...

ala https://duveryhodnastranka.cz
[a href="http://­tezbaudaju.com"]https:­//duveryhodnas­tranka.cz[/a]

Ok , názory beru, ale kdo se má furt pročítat vzájemnýma urážkama.
To platí samozřejmě i pro Dannyho.
Dík za názor.

28. 5. 2023, 10:24 editováno autorem komentáře

FKoudelka: Co přesně chcete vysvětlovat uživatelům? Mění se pro uživatele něco s existencí TLD .zip?

Možná ne, ale jestli to pustil do éteru J.Kopřiva, jenž je první liga, tak to asi není neopodstatněná obava. Na druhou stranu, asi to nechám být protože to jednoduše vysvětlit nepůjde.

28. 5. 2023, 22:47 editováno autorem komentáře

To, že je kolem něčeho humbuk a zmiňují to i kapacity v oboru, neznamená, že je to reálný problém ani že je tak závažný, jak to vypadá.

V článku jsou zmíněné dva případy – 1. přesměrování a 2. přístupové údaje v URL spojené s homografovým útokem. Oba dva případy jsou ale založené na tom, že uživatel nevěnuje pozornost adrese v adresním řádku prohlížeče – a buď nevěnuje pozornost adrese vůbec, nebo se řídí adresou zobrazenou ve stránce (e-mailu), případně adresou, kam vede odkaz. Ve všech těchto případech měli ale uživatelé vážný problém už dávno před příchodem TLD .zip a s touto doménou se situace nezhoršila.

Pokud existuje ještě nějaký jiný způsob útoku, myslím, že by bylo fajn ho tady v diskusi zmínit. Pokud myslíte, že by bylo složité to vysvětlit, bylo by fajn alespoň to nastínit, kam ten útok zhruba míří. Protože to, že byly zmíněny dva typy „útoků“, které nejsou pro TLD .zip nijak specifické, je dost podezřelé, a těžko pak věřit tomu, že problém TLD .zip je reálný.

To, že je kolem něčeho humbuk a zmiňují to i kapacity v oboru, neznamená, že je to reálný problém ani že je tak závažný, jak to vypadá.
———-
Nevím, nejsem kapacita v oboru. Vy také ne. ( O tom právě mluvím , viz demagogie)

Pokud myslíte, že by bylo složité to vysvětlit, bylo by fajn alespoň to nastínit, kam ten útok zhruba míří
———————
Myslel jsem : vysvětlit uživatelům

Když kapacity v oboru netvrdí, že jde o důležitý problém; nepopíšou princip, jak to zneužít; ani netvrdí, že princip zneužití znají, ale nebudou ho zveřejňovat, protože by mohl sloužit jako návod – pak není důvod myslet si, že je to vážný problém. Nebo vy jste zaznamenal, že by nějaká kapacita v oboru tvrdila, že je potřeba se tím zabývat? (Všimněte si prosím, že v článku není napsané, že je to nebezpečné. V článku je napsáno, že se Google vysloužil kritiku a že se řada odborníků obávala.)

Vysvětlení uživatelům není zas tak složité, platí už dlouhá léta (fakticky od začátku, jenže ze začátku nebylo potřeba to řešit) a platí pro všechny TLD, .zip na tom nic nemění:

• Nezáleží na tom, co je napsáno v textu odkazu („viditelný podtržený text“).
• Nezáleží ani na tom, kam vede odkaz (to, co se na počítači objeví ve stavovém řádku po najetí myší na odkaz).
• Záleží jenom na tom, co je napsané v adresním řádku prohlížeče v okamžiku, kdy už jste na dané cílové stránce. Tj. např. na stránce, kam píšete heslo; která je zobrazená v okamžiku, kdy se stahuje soubor; nebo na stránce, ze které čerpáte informace.
• Z adresy je podstatná jenom doména – to je zvýrazněná část hned vlevo na začátku adresy (v prohlížečích jako Chrome nebo Safari) nebo hned za protokolem „https://“ (v pokročilých prohlížečích jako Vivaldi).
• Doména vypsaná v adresním řádku musí být ta, kterou očekáváte – např. doména vaší banky, doména ministerstva apod.

K tomu pak ještě dvě pravidla, která se netýkají přímo URL: 1. Používat správce hesel a používat ho správně. 2. Nestahovat software odjinud, než z oficiálního distribučního místa daného operačního systému (u komerčních systémů je to obvykle nějaký „obchod/store“).

Ano, není to jen jedna věta, ale zase to není nic, co by většina lidí nemohla pochopit.

Edit: je to jak říká p.Jirsák, prohlížeč to na doménu faktura.zip ani se zavináčem obecně nepustí. takhle jednoduché to tedy není, jdu to studovat z originálu.

25. 5. 2023, 08:43 editováno autorem komentáře

ale zkuste vynechat ta /před @

https://lupa.cz@faktura.zip

25. 5. 2023, 08:57 editováno autorem komentáře

Ta část URL před zavináčem obsahuje přístupové údaje (uživatelské jméno a heslo). Pro protokol HTTP myslím není jejich použití definováno (možná to dříve některé prohlížeče převedly na HTTP Basic autentizaci, tím si nejsem jistý; možná by to i dnes fungovalo, pokud by server na požadavek odpověděl výzvou pro zadání hesla přes HTTP protokol, že tam prohlížeč ty údaje použije). V prohlížečích se to používalo u FTP protokolu, ale ten už dnešní prohlížeče nepodporují. Dnes pro HTTP prohlížeč (Chrome-based) ty údaje nepoužije ani v případě, kdy dostane ze serveru odpověď, že je potřeba HTTP autentizace. Vzhledem k tomu, že prohlížeč ty přístupové údaje nijak nepoužívá, ani je v URL nezobrazuje a z URL je odstraní.

Takže zneužití toho, že uživatel zamění doménu s názvem souboru, dopadne tak, že se uživateli v adresním řádku zobrazí jenom ten název domény. No a pokud uživateli není divné, že se ze stahování souboru faktura.zip najednou stala doména faktura.zip, nebude mu divné ani to, když se z toho stane doména faktura.info nebo cokoli jiného.

Jinak celou dobu píšu o webovém prohlížeči, což je zdaleka nejčastější vektor útoku přes URL. Samozřejmě URL nejsou jen v prohlížečích – ale opět platí, že když někdo bude používat třeba curl nebo wget, tak buď rozumí tomu, co dělá, a TLD zip ho nezaskočí. Nebo neví, co dělá, jenom odněkud zkopíroval celý příkaz – a pak je úplně jedno, jestli tam bude doména zip nebo jestli tam bude devil-hacker.xxx.