Pytanie:
Dlaczego strony internetowe i urządzenia nie oferują hakerom fałszywych danych logowania?
Cromulent
2018-06-01 17:49:54 UTC
view on stackexchange narkive permalink

Myślałem o tym wcześnie rano i zastanawiałem się, dlaczego strony internetowe i urządzenia nie oferują hakerom fałszywych danych logowania? Rozumiem przez to, że jeśli haker odkryje niektóre z twoich danych i spróbuje zalogować się na stronie internetowej (na przykład), witryna pokaże, że zalogowałeś się pomyślnie, ale pokaże fikcyjne dane, które są całkowicie fałszywe.

W ten sposób haker nie będzie wiedział, czy ma poprawne dane logowania, czy nie. Będzie również chronić ludzi w sytuacji bezpieczeństwa. Na przykład wyobraź sobie, że przestępca ukradł komuś telefon i zdał sobie sprawę, że nie ma do niego dostępu. Następnie kieruje broń na właściciela, który następnie wpisuje część swoich danych poprawnie, ale niektóre niepoprawnie. Urządzenie odblokowuje się w trybie fałszywym, a następnie przestępca myśli, że ma dostęp, i decyduje się nie strzelać do osoby, ponieważ spełniła jego życzenia. Ale przestępca nigdy nie wie, że to, co widzi, to tylko fałszywy login.

Czy ktoś zaimplementował coś takiego? Wydaje mi się, że to całkiem niezły pomysł.

1) Dlaczego właściciele urządzeń / witryn muszą cokolwiek robić.Dlaczego użytkownicy nie mogą tego ustawić samodzielnie?2) Jeśli wiadomo, że urządzenie / witryna to robi, czy atakujący nie będą próbowali zweryfikować, czy mają prawdziwy dostęp?3) Twoje podejście nie przetrwa [zasada Kerchoffa] (https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle).
Czy to nie mieści się w kategorii „bezpieczeństwo przez zapomnienie” - wydaje mi się, że dałoby to właścicielom fałszywe poczucie bezpieczeństwa.
To bzdura dla ludzkich hakerów, ale może działać całkiem dobrze w przypadku prostych botów.Witryna, którą administruję, wykorzystuje fałszywe formularze zgłoszeniowe POST do wyłapywania spamerów i działa całkiem dobrze.
Jeśli jest to znany system, przestępca po prostu się uśmiecha, ładuje broń i kontynuuje: „Tak, teraz prawdziwy” - „Jest!”.- "Kłamca !"* BANG * I niestety tak było.Nie rozumiem, jakie to daje bezpieczeństwo.
Skąd witryna wie, że użytkownik jest hakerem, a nie rzeczywistym użytkownikiem?Czy to odnosi się do przypadków, w których (spoza Chin) użytkownik loguje się z Chin, czy coś w tym rodzaju?
A jeśli po prostu błędnie wpiszę hasło?Nie chcę być zalogowany w trybie fałszywym.Chcę wiedzieć, że wprowadziłem nieprawidłowe hasło.
Jak często przestępcy proszą ofiary o zalogowanie się na swoje konta z użyciem broni palnej?Brzmi to jak skrajny przypadek, który spowodowałby niepotrzebne zamieszanie w ogólnym przypadku.O wiele bardziej prawdopodobne jest, że pomylę się z hasłem (zdarza się to kilka razy dziennie) niż zostanę zatrzymany (jeszcze się to nie wydarzyło).
To jest [garnek miodu] (https://en.wikipedia.org/wiki/Honeypot_ (przetwarzanie danych))
@SethR: właściwie słyszałem o tym w wiadomościach kilka razy, więc to się zdarza.Nie sądzę, że chodzi o kradzież tożsamości, bardziej po to, aby telefon można było zresetować i sprzedać.
@Tom.Bowen89 sposobem obejścia tego problemu byłby obraz bezpieczeństwa - ikona jest wyświetlana po zalogowaniu i tylko „prawdziwy” użytkownik wie, czy jest właściwa.Jeśli wybiorę obraz kota jako obraz bezpieczeństwa, a po zalogowaniu się i zobaczę motyla, wiem, że wpisałem nieprawidłowe hasło.(Nie próbuję przedstawiać argumentów za ogólnym podejściem PO, tylko odnieść się do konkretnego problemu).
Taki istnieje, [MobileSitter firmy Frauenhofer Institute] (https://www.sit.fraunhofer.de/en/imobilesitter/?cHash=c055727af39b2fb3d6e6e15111b4e2ac&wmc=SM_TW) (nie jest powiązany) jest jednym z przykładów, które znam.Rozwiązują problem dokładnie tak, jak skomentował to @dwizum, dostarczając wizualną wskazówkę (lub po prostu zapamiętujesz jedno hasło w menedżerze haseł i sprawdzasz je).
Jak wiem, jest to realizowane w niektórych zamkach drzwi.Są dwa kody: do normalnego użytku i do wymuszonego otwierania, które również otworzy drzwi, ale powiadomi strażników / policję.
@SethWhite To proste, wystarczy sprawdzić, czy zły bit jest ustawiony https://tools.ietf.org/html/rfc3514
@SethR Najwyraźniej nie jesteś wystarczająco ważny: P
W rzeczywistości zostało to zaimplementowane.ESET Anti-Theft utworzył drugie konto Windows na moim komputerze.Jest odblokowany i jeśli haker złapie przynętę i kliknie na nią, ESET zrobi im zdjęcie, powiadomi mnie i rozpocznie śledzenie mojego komputera.
Powiązane: [Czy jest możliwe, aby ataki siłowe były nieskuteczne, podając fałszywie pozytywne odpowiedzi na nieudane próby logowania?] (Https://security.stackexchange.com/questions/129898/is-it-possible-make-brute-siła-ataki-nieskuteczna-przez-dawanie-fałszywie pozytywnych-odpowiedzi)
Jedenaście odpowiedzi:
Steffen Ullrich
2018-06-01 17:58:39 UTC
view on stackexchange narkive permalink

W ten sposób haker nie będzie wiedział, czy ma poprawne dane logowania, czy nie.

Jeśli informacje przedstawione po zalogowaniu nie mają związku z osobą, która login powinien być dla, wtedy większość hakerów szybko zorientuje się, że prawdopodobnie nie jest to prawdziwy login.

Jednak aby wyświetlić informacje, które wyglądają tak, jakby pasowały do ​​użytkownika, może być potrzebny znaczny wysiłek. Musi również zostać utworzony specjalnie dla każdego użytkownika i zawierać prawdziwe informacje o użytkowniku, aby nie wyglądał na fałszywy, ale nie za bardzo, aby żadne ważne informacje nie wyciekły.

Nie możesz oczekiwać, że Twój dostawca zrobi to za Ciebie, ale w wielu przypadkach możesz spróbować zrobić to samodzielnie, np. dodać kolejne konto e-mail, inne konto na Facebooku itp.

Właściwie widzę, jak można to skonfigurować.Nie używaj fałszywego loginu, ale raczej prawdziwego, ale ograniczonego loginu.Aplikacje i dane byłyby otwarte lub ograniczone, gdybyś był zalogowany pod przymusem, zobaczyłbyś tylko te rzeczy, które nie są oznaczone jako ograniczone.
@Loren to fajny pomysł.Logowanie pod przymusem może zawierać ograniczone dane (może kilka starych dokumentów) i celowo uszkodzone aplikacje.Na przykład fałszywy login może mieć aplikację bankowości internetowej, która wygląda na prawdziwą, ale zawsze się zawiesza.Dane mobilne mogą być ograniczone („Przepraszamy, wykorzystałeś wszystkie swoje dane w tym miesiącu”), a aplikacje mogą wtedy narzekać, że nie będą działać, dopóki nie połączą się z Internetem.
@RobertColumbia Taktyka byłaby znana, nie można używać takich rzeczy.Ale miej aplikację do pieczenia na liście zastrzeżonej - z kodem przymusu po prostu jej nie widzisz.Dopóki używasz aplikacji do wrażliwych rzeczy, nawet ktoś, kto wie, jak działa system, nie może stwierdzić, czy jest to kod przymusu, czy nie inaczej niż przez zrootowanie telefonu.Jeśli chcesz, aby był jeszcze bardziej bezpieczny, są dwa kody przymusu - jeśli drugi jest używany, cały wrażliwy zestaw danych jest usuwany.(Użyj pierwszego na podsłuchującym funkcjonariuszu, drugiego, jeśli zostaniesz aresztowany.)
Nie jest to takie trudne do osiągnięcia: ** poproś użytkowników **, aby zrobili to dla siebie.Na przykład, kiedy tworzysz konto na Facebooku, FB może poprosić Cię o utworzenie „fikcyjnego profilu” na wypadek, gdybyś został przejęty.Mimo to myślę, że hakerzy będą wiedzieć, że jest fałszywa, a ponieważ jest to funkcja dobrze znana wszystkim użytkownikom, nie przyniesie żadnego efektu.
Nawet jeśli dostęp jest przyznany do oczywiście fałszywych danych, dane te nadal muszą zostać przetworzone, aby stwierdzić, że są fałszywe, co sprawia, że haker potrzebuje więcej czasu, aby uzyskać dostęp do prawdziwych danych.
Byłoby to bardzo dezorientujące dla użytkowników.Lepiej poznaj swoich odbiorców.
TheWolf
2018-06-01 17:58:55 UTC
view on stackexchange narkive permalink

Pojęcie, które opisujesz, nazywa się Wiarygodne zaprzeczenie , a metody jego zapewnienia rzeczywiście zostały zaimplementowane w pewnym oprogramowaniu, a VeraCrypt jest jednym przykład.

Jednym z problemów z implementacją go w witrynach internetowych, jak sugerujesz, jest to, że twórcy witryny bardzo trudno jest wymyślić fałszywe dane, które są wystarczająco realistyczne, aby oszukać atakującego, nie ujawniając żadnych poufnych dane o użytkowniku. W oprogramowaniu szyfrującym, takim jak VeraCrypt, zadanie to jest przenoszone na użytkownika, który jest oczywiście w znacznie lepszej sytuacji, aby to zrobić.

Nie sądzę, żeby to było wiarygodne zaprzeczenie.Honeypot! = Prawdopodobne zaprzeczenie.
@forest: Pytanie jest nieco zagmatwane, ponieważ opisuje miodę, ale przypadek użycia (przestępca celujący pistoletem w właściciela telefonu) domaga się wiarygodnego zaprzeczenia.Ta odpowiedź dotyczy przypadku użycia.
@BenVoigt nadal nie jest tym, czym można zaprzeczyć
@Kevin: Dokładnie to oznacza termin „prawdopodobna zaprzeczalność” w kontekście kryptosystemów.Oprócz VeraCrypt, o którym wspomniała ta odpowiedź, zobacz także LUKS, TrueCrypt.
@Kevin, jeśli chodzi o systemy kryptograficzne, wiarygodna odmowa zasadniczo oznacza, że gdy jestem zmuszony do zapewnienia dostępu do treści zabezpieczonych hasłem / szyfrowaniem, po zapewnieniu tego dostępu (podaję dane logowania do mojego konta, wprowadź hasło / klucz odszyfrowywania), mogę twierdzić, że 'dałem dostęp do zabezpieczonych treści, a przeciwnik nie może w rozsądny sposób udowodnić, że jest inaczej.Mogę wiarygodnie zaprzeczyć, że prawdziwe dane są nadal ukryte za kolejnym kluczem / poświadczeniem i że faktycznie zapewniłem dostęp do prawdziwych danych (lub wszystkich dostępnych danych).
@BenVoigt Nauczyłem się czegoś nowego.Nie wiedziałem, że ten termin jest używany w ten sposób w kryptografii.
Siguza
2018-06-02 09:07:44 UTC
view on stackexchange narkive permalink

Ponieważ hakerzy nie atakują formularzy logowania

Wada polega na tym, że zakładasz, że hakerzy dostają się na konta przez brutalne wymuszanie danych uwierzytelniających na zdalnych usługach. Ale to i tak daremne.

Każda witryna internetowa z przyzwoitymi zabezpieczeniami (te bez przyzwoitych zabezpieczeń też nie przejmowałyby się twoim pomysłem) będzie miała ograniczenie liczby nieudanych prób logowania można wykonać w określonych ramach czasowych na adres IP, zwykle około 5 nieudanych prób co 6 godzin. Jeśli bezpieczeństwo jest nieco silniejsze, konta mogą również wymagać działania ze strony właściciela po kilku nieudanych próbach i / lub właściciel może zostać powiadomiony o nieudanych próbach logowania lub nawet o wszystkich logowaniach z nowych urządzeń.

Więc podczas gdy ataki siłowe mogą być możliwe do wykonania w przypadku zwykłych danych (takich jak skróty haseł ujawnione podczas naruszenia), są one praktycznie niewykonalne w przypadku jakiejkolwiek usługi z choćby odrobiną bezpieczeństwa.

Dla atakujących jest to w ten sposób znacznie łatwiej jest wyłudzać informacje lub, jeszcze lepiej, samodzielnie założyć prawdziwą bezpłatną usługę i pracować z założeniem ponownego użycia hasła:

Tak!Dlatego przede wszystkim Twoje inne hasła, niezależnie od systemu haseł, Twoje hasło do poczty elektronicznej powinno ZAWSZE być niepowtarzalne.
I zawsze znaczy Nie, nawet jeśli masz konto na mało znanym forum phpBB z 2001 roku. Lub aplikację na Androida, która prosi o podanie nazwy użytkownika / hasła, nawet jeśli używasz go przez 5 minut.Albo stary traker torrentów.Zwłaszcza w przypadku aplikacji na Androida, gdy aplikacje mogą żądać poczty z kont wszystkich urządzeń, a następnie sprawdzić, jakie hasło zostało użyte.
Sam
2018-06-02 02:45:20 UTC
view on stackexchange narkive permalink

Nigdy też nie słyszałem o żadnej usłudze ani urządzeniu, które to implementuje.

Przypadek, w którym osoba atakująca jest obecna i zmusza Cię do zalogowania się, jest mało prawdopodobna. Bardziej prawdopodobne jest, że po prostu zabiorą Twojego iPhone'a za 1000 USD i uruchomią.

Jednak jest to bardzo prawdopodobne, jeśli „napastnik” jest ochroniarzem / oficerem TSA w punkcie kontroli bezpieczeństwa na lotnisku. Zwłaszcza jeśli jesteś za granicą. (Kilka lat temu odbyła się FENOMENALNA dyskusja Defcon na ten temat.)

Strony internetowe

Prawdopodobnie nie miałoby sensu wdrażanie tego w Strona internetowa. Jeśli Ty (administrator) jesteś pewien, że ktoś, kto próbuje uzyskać dostęp do konta, jest hakerem, po prostu zablokuj go / zablokuj konto. Problem rozwiązany.

Jeśli atakujący próbuje uzyskać dostęp do wielu kont, prawdopodobnie zorientuje się, że coś jest podejrzane, jeśli uda mu się „pomyślnie” zalogować na wiele kont za pierwszym lub drugim podejściem.

Telefony

Chociaż telefony nie zezwalają na fałszywe logowanie (?), ale możesz ustawić je tak, aby blokowały się, gdy hasło nie zostanie wprowadzone poprawnie n razy.

Atakujący / agent TSA każe ci odblokować telefon. Celowo wprowadziłeś złe hasło przy pierwszej próbie.

„Och, ups, złe hasło ...”

Wprowadzasz złe hasło ponownie przy drugiej próbie.

„Przepraszam, moje ręce się spocą, kiedy jestem zdenerwowany ...”

Podczas trzeciej próby wpisujesz nieprawidłowe hasło. Telefon jest teraz zablokowany na 30 minut!

To oczywiście nie zadziała, jeśli recytujesz hasło atakującemu, a on wpisuje je w telefonie. I myślę, że większość blokad telefonów trwa tylko 30 minut (?), Podczas których osoba atakująca / agent TSA dołoży wszelkich starań, aby „przekonać” Cię do zapamiętania hasła na zapleczu.

Laptopy

Twoja sugestia byłaby stosunkowo łatwa do wdrożenia na laptopie ...

Utwórz 2 lub więcej profili użytkowników.

Pierwszy profil, który nazwiesz po sobie (imię i nazwisko). Ustawiasz swoje zdjęcie jako zdjęcie profilowe. To będzie Twoje „fałszywe” konto. Ustaw hasło jako coś prostego i łatwego do zapamiętania. Umieść na koncie trochę „osobistych rzeczy” (muzyka, zdjęcia zwierzaka, dokumenty „służbowe” itp.).

Drugie konto, które podajesz ogólne imię członka rodziny („mężulek”, „dzieci „,„ kochanie ”itp.). Zachowaj domyślne zdjęcie profilowe. Ustaw silne hasło. Będzie to konto z uprawnieniami administratora na laptopie i konto, którego będziesz używać do swojej ważnej / poufnej pracy.

Teraz wyobraź sobie scenariusz, w którym jesteś zmuszony się zalogować ...

Jesteś na lotnisku w Oceanii i masz zamiar polecieć do domu do Eurazji. Ochrona na lotnisku zatrzyma Cię w drodze przez terminal.

Ochrona: „Daj nam swój paszport i laptop!”

Dajesz im laptopa i paszport. Włączają laptopa i próbują zalogować się na konto, które nazwałeś swoim imieniem. Widząc, że potrzebują hasła, żądają podania hasła.

Ty: „Hasło to opensea . Brak spacji”.

Lotnisko bezpieczeństwo wprowadź hasło i pomyślnie wejdź na swoje fałszywe konto.

Po kilku minutach rozejrzenia się i nie znalezieniu niczego, co ich interesuje, wylogowują się i próbują zalogować na Twoje prawdziwe konto.

Bezpieczeństwo: „Czyje to konto? Jakie jest hasło?”

Ty: „To jest konto moich dzieci. Hasło to 123 psy ”.

Wprowadzają hasło, ale nie mogą się zalogować.

Bezpieczeństwo: „To hasło jest błędne! Podaj nam prawidłowe hasło!”

Zachowujesz się zaskoczony i pytasz aby dać ci laptopa, abyś mógł spróbować się zalogować. Podają ci laptopa, a ty zaczynasz wpisywać fałszywe hasła.

Ty: „Te cholerne dzieciaki, powiedziałem im, żeby NIE zmieniali hasła! Przepraszam, mieli używać tylko tego konta za swoje głupie gry wideo! ”

Ochrona na lotnisku naradza się ze sobą, a następnie pozwala wam wyruszyć w drogę. Bezpiecznie wracasz do Eurazji bez narażania poufnych informacji na laptopie.

Czy ochrona na lotnisku w Oceanii pozwoli ci nawet polecieć do Eurazji?Myślałem, że Oceania zawsze była w stanie wojny z Eurazją.
Ludzie wciąż opracowują coraz bardziej sprytne środki techniczne, aby odeprzeć potencjalne żądanie odblokowania telefonu / laptopa / nośnika danych podczas kontroli granicznej / lotniskowej, ale nie widzę, jak to wszystko pomaga.Równie dobrze możesz odmówić im podania swojego hasła.Możesz skończyć w areszcie lub odmówić wejścia, ale może się to również zdarzyć, gdy celowa próba zablokowania telefonu i udawanie głupka ci nie pomoże.Prawdziwym rozwiązaniem jest uniknięcie przenoszenia wrażliwego materiału przez granicę.
VeraCrypt to przykład programu, który go implementuje - możesz ustawić alternatywne hasło, które ujawni tylko fałszywą część danych
W prawdziwym życiu jest jednak dużo bardziej prawdopodobne, że zamiast „pozwolić ci odejść” skonfiskują sprzęt i przekażą go swoim analitykom sądowym, zatrzymają cię i umieszczą na stałe na liście „potencjalnych terrorystów”.[Lub gorzej.] (Https://www.xkcd.com/538/)
Portfele kryptowalut Ledger Nano również to obsługują - umożliwiają wprowadzenie kodu dostępu do warstwy 1 portfela, ale z opcją określenia dodatkowej warstwy 2, w której przechowywane są Twoje prawdziwe klucze.W ten sposób możesz zatrzymać kilka dolarów w warstwie 1 na wypadek, gdyby ktoś zmusił cię do jej odblokowania.
@RobertColumbia "_ Myślałem, że Oceania zawsze toczyła wojnę z Eurazją_" Tak.Dopóki Oceania nie zawrze pokoju z Eurazją, [_zawsze będą toczyć wojnę z Eastazją_] (https://en.wikipedia.org/wiki/Nations_of_Nineteen_Eighty-Four#International_relations).
Po zalogowaniu się na fałszywe konto komputera, jak uzasadniasz, że nie ma ono uprawnień administratora / sudo?
@TripeHound, czy chciałbyś czekoladowe herbatniki z przyprawionym gałką muszkatołową Victory Gin?Racje czekolady zostały właśnie zwiększone do 2 mg na osobę rocznie!Swoją drogą, niezłą dziurę masz z tyłu głowy.
@Nemo wszystkie twoje uprawnienia administratora / sudo są zablokowane na koncie „Administratora”, o którym z radością twierdzisz, że nie znasz go.„Mój mąż ustawił to lata temu, nigdy nie znałem hasła”
Relaxed
2018-06-02 14:20:20 UTC
view on stackexchange narkive permalink

Nie jest to dokładnie kontekst, który miałeś na myśli, ale w rzeczywistości są systemy, które zaimplementowały ten pomysł. Kiedyś pracowałem w (dość wrażliwym) obiekcie, gdzie każdy pracownik miał dwa kody do wyłączania systemu alarmowego: zwykły i kod przymusu. Jeśli użyjesz kodu przymusu, system zostanie wyłączony, aby nie narazić Cię na niebezpieczeństwo, ale w centrum monitorowania włączy się cichy alarm. Czytam na Wikipedii, że rozważano to również w przypadku bankomatów bankowych w USA, ale ostatecznie wykluczono.

Inną podobną koncepcją jest „ honeypot” . Niektóre z nich mogą w rzeczywistości akceptować jakiekolwiek dane uwierzytelniające lub podawać fikcyjne dane podczas ataku, aby móc zarejestrować, co następnie robi atakujący lub w inny sposób wykorzystać sytuację (np. Przechwycić ładunek robaka).

Co do dlaczego nie jest to bardziej powszechne w przypadku produktów konsumenckich, usług online itp. istnieje po prostu kompromis między korzyściami (prawdopodobieństwo, że dany atak jest skuteczny, czy skutecznie zniechęci przestępców, czy po prostu skłoni ich do nieznacznej zmiany techniki) a koszty (bardziej złożone systemy do opracowywania, utrzymywania i certyfikacji - co oznacza również zwiększoną powierzchnię ataku, na którą może pozwolić atakującemu z faktycznym punktem wejścia, przepustowością i kosztami operacyjnymi w celu obsługi fikcyjnych danych dla wszystkich botnetów stale atakujących usługi online, wysiłek w celu stworzenia wiarygodnego fałszywe dane, aby oszukać bardziej wyrafinowane ataki).

Sayan
2018-06-03 21:32:46 UTC
view on stackexchange narkive permalink

W świecie cybernetycznym nazywa się to „technologią oszustwa”, w której rozwiązanie zwodzi cyberprzestępców (napastników) za pomocą gotowych do użycia wabików (pułapek), które „imitują” Twoje prawdziwe zasoby. Setki lub tysiące pułapek można rozmieścić przy niewielkim wysiłku, tworząc wirtualne pole minowe dla cyberataków, które natychmiast ostrzegają o wszelkich złośliwych działaniach dzięki inteligentnej inteligencji. Pułapki zawierałyby dane logowania, fikcyjne dane, fałszywy system itp., Aby oszukać napastnika, zastraszając go tak, jak w rzeczywistym systemie.

Technologia oszustwa to wyłaniająca się kategoria cyberbezpieczeństwa. Produkty oparte na technologii oszustwa mogą wykrywać, analizować i bronić się przed atakami typu zero-day (w przypadku których typ / procedura ataku nie jest wcześniej znana) i zaawansowanym atakom, często w czasie rzeczywistym. Są zautomatyzowane, dokładne i zapewniają wgląd w złośliwą aktywność w sieciach wewnętrznych, której mogą nie dostrzec inne rodzaje cyberobrony. Technologia oszukiwania umożliwia bardziej proaktywną postawę w zakresie bezpieczeństwa, starając się oszukać napastników, wykryć ich, a następnie pokonać, umożliwiając przedsiębiorstwu powrót do normalnych operacji.

W przypadku niektórych dostawców rozwiązań możesz skorzystać z poniższego łącza: https://www.firecompass.com/blog/top-5-emerging-deception-technology-vendors-at-rsa-conference-2017/

Interesujący jest również Turris z NIC.CZ https://www.turris.cz/en/
arp
2018-06-02 10:33:47 UTC
view on stackexchange narkive permalink

Robiono to w przeszłości, raczej pomyślnie, ale w dużej mierze zależy to od tego, czym jest system.

W pewnym momencie nierzadko zdarzało się, że strony internetowe z płatnym dostępem automatycznie wykrywały, kiedy konto logowało się ze zbyt wielu adresów IP lub przy użyciu innych podejrzanych wzorców, i przekierowywały tych użytkowników do wersji witryny, która była głównie reklamy i linki partnerskie do innych witryn. Jeśli zostanie to zrobione dobrze, udostępnianie skradzionych danych logowania może stać się źródłem przychodów.

Istnieją również witryny internetowe, które kierują użytkowników do różnych wersji na podstawie adresu IP lub innych kryteriów; najprostsza wersja to reklama ukierunkowana.

Aby uzyskać dostęp do powłoki, możliwe jest skierowanie logowania do chrootowanego więzienia, które ma tylko niewielką część dysku i specjalnie przygotowane pliki binarne, które niekoniecznie muszą być takie same jak w systemie ogólnym.

jmoreno
2018-06-02 17:16:21 UTC
view on stackexchange narkive permalink

Po pierwsze, w tym scenariuszu nie nazwałbym atakującego hakerem. Haker próbuje obejść zabezpieczenia oferowane przez witrynę internetową, w Twoim scenariuszu napastnik nie dba o to, jak bezpieczne są Twoje usługi, dba o to, jak łatwo jest onieśmielony użytkownika i być może, co potem zrobić z ciałem.

Po drugie, alternatywne dane uwierzytelniające, które zmieniają Twój dostęp, zostały zrobione, ale jeśli dają więcej niż tylko ograniczony pogląd na prawdę, jest to dużo pracy i ma ograniczoną użyteczność.

Powód, dla którego ma ograniczoną użyteczność, ponieważ Twoi użytkownicy o tym wiedzą, musisz założyć, że każdy atakujący również o tym wie. Załóżmy, że zrobiłeś to dla karty bankomatowej i pokazała saldo mniejsze niż sto dolarów, aby ograniczyć straty. Atakujący albo prosi o jedno i drugie (w takim przypadku ofiara ma co najwyżej 50% szans, że nie straci więcej), albo po prostu uwzględnia jako część swoich żądań, że produkuje więcej niż to - „jeśli nie otrzymam co najmniej 200 nie żyjesz ”.

Nie jest to całkowicie bezużyteczne, ale jest skuteczne tylko przeciwko ignoranckim napastnikom. Poleganie na tym, że atakujący nie wie, że coś jest nazywane bezpieczeństwem poprzez niejasność, czyli „dostał to”.

gabdev
2018-06-03 00:10:48 UTC
view on stackexchange narkive permalink

W przypadku ataków internetowych i zdalnych, jak wiele osób tutaj wspomniało wcześniej, pomijając trudności związane z tworzeniem fałszywych treści użytkownika, istnieje problem: skąd wiesz, że to złamany login?

Chodzi mi o to, że jeśli przyjmiesz podejrzaną aktywność, taką jak atak brutalnej siły, możesz po prostu zablokować logowanie dla tego adresu IP i być może samego konta dla chwilę (aż prawdziwy właściciel w jakiś sposób potwierdzi swoją tożsamość)

Jedynymi użytecznymi przypadkami są wymuszone logowanie , to inna historia i całkiem sprytny pomysł. Oto implementacja, którą wyobrażam sobie dla sieci społecznościowej:

  1. Użytkownik tworzy sam konto z fikcyjnymi danymi i ustawia je jako swoje fikcyjne konto.
  2. Kiedy dochodzi do wymuszonego logowania, na przykład gdy galaretka lub chłopak wymusza zalogowanie się, wpisujesz fikcyjne hasło i jest! jesteś zalogowany na swoje piękne, samodzielnie utworzone konto fikcyjne.

ALE To też nie jest idealne rozwiązanie. Atakujący prawdopodobnie by cię znał, a jeśli to na przykład twój szalony były, może po prostu sprawdzić z tobą swój czat i dowiedzieć się, że właśnie zalogowałeś się na fałszywe konto.

Jest to szczególnie istotne, ponieważ będzie to publicznie dobrze znana cecha platformy, którą jesteś, więc każdy, kto cię zmusza, będzie mógł sprawdzić, czy jesteś, czy nie.

W przypadku banków lub innych witryn to całkiem niezły pomysł.

Enerama Çevre Teknolojileri
2018-06-02 17:53:23 UTC
view on stackexchange narkive permalink

Problem polega na tym, że Twoi użytkownicy muszą o tym wiedzieć, więc musisz założyć, że każdy atakujący również o tym wie.

aks
2018-06-04 20:22:26 UTC
view on stackexchange narkive permalink

Dla mnie brzmi to tak, jakbyś zaprosił napastnika do tańca z tobą.

„Hej, napastniku, chcesz zhakować moją witrynę? Oto fałszywa witryna logowania!”

Na pewno nie chcesz zaprosić napastnika do tańca z tobą ponieważ może uznać to za zabawne i trudne, co dałoby mu jeszcze większą motywację do włamania się do Twojej witryny.

Ta odpowiedź to złoto komedii!


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...