Насколько опасно переводить IP-адреса напрямую через хосты в Windows?

Question

Насколько опасно переводить IP-адреса напрямую через хосты в Windows?

_{Извините за неудобства, так как английский не мой родной.}

я использую hosts получить доступ к некоторым веб-сайтам, поскольку DNS загрязнен.

Мой вопрос, возьми www.google.com В качестве примера.

Если я успешно пользуюсь социальным сервисом злоумышленника и изменяю перевод в hosts на фишинговый сайт.

Если я использую httpтогда я полностью облажался, верно?

Если я использую https, то браузер выдаст предупреждение, если мой компьютер не скомпрометирован.

Для https может ли фишинговый веб-сайт передать сертификат www.google.com мне доказать это подлинно?

2

windows hosts-file phishing

Источник

25 июл '11 в 10:24

3 ответа

Решение

SSL (HTTPS) защитит вас только до тех пор, пока ваш клиент не будет взломан.

Если кому-то удастся изменить /etc/hosts, он также может изменить ваш браузер, чтобы он не выполнял проверку SSL сервера, к которому вы подключаетесь, или он может добавить поддельный сертификат своего мошеннического сервера в базу данных доверенных сертификатов вашей системы.

Однако, если ваш клиент не скомпрометирован, и кто-то может перенаправить ваш браузер на другой IP-адрес (например, какой-то взлом, связанный с DNS, или обмануть вас, чтобы изменить / etc / hosts без чего-либо еще), браузер предупредит вас, что неправильно с сертификатом сервера, и, если вы не проигнорируете предупреждение и продолжите, вы в безопасности.

На ваш второй вопрос:

В случае https, возможно ли, что фишинговый веб-сайт просто передаст мне сертификат от www.google.com, чтобы подтвердить его подлинность?

Нет, это невозможно, если злоумышленнику не удалось получить закрытый ключ сервера (например, взломав сам сервер). Даже если мошеннический сервер "передал" сертификат сервера, он не сможет доказать свою личность клиенту, если он не обладает этим закрытым ключом. Если он попытался сделать это, он потерпит неудачу, и браузер покажет предупреждение.

4

Источник

Ambroz Bizjak 25 июл '11 в 11:10

Данте, твои правки приветствуются. Но ответ остается. Если файл hosts скомпрометирован, вся ваша безопасность может быть скомпрометирована в отношении тех доменов, которые были социально спроектированы для этого файла.

HTTPS является исключением и будет предлагать некоторую форму защиты из-за системы сертификатов, которая позволит вам знать, что просматриваемый вами веб-сайт может быть не тем, чем кажется.

0

Источник

A Dwarf 25 июл '11 в 11:36

Другие вопросы по тегам windows hosts-file phishing

grawity 25 июл '11 в 10:57 2011-07-25 10:57 · Accepted Answer · 2011-07-25 10:57

Рассмотрим следующие утверждения:

Все центры сертификации, которым доверяет ваш веб-браузер, отказываются выдавать сертификат для examplebank.com злоумышленнику без подтверждения права собственности на домен.
Ключи подписи всех органов надежно хранятся, и посторонние лица не могут выдать сертификат себе. (См. Недавний взлом Comodo.)
Ваш веб-браузер правильно проверяет, выдан ли SSL-сертификат сервера действительным центром сертификации, не отозван ли, действителен ли для использования серверами, и выдан ли для examplebank.com домен.
Нет активной вредоносной программы или ошибки браузера, из-за которой такие проверки можно обойти.
Вы всегда открыты https://examplebank.comявно запрашивая SSL, а не полагаясь на то, что сайт перенаправит вас.
Вы фактически читаете сообщения об ошибках SSL вместо того, чтобы слепо нажимать Игнорировать при открытии веб-сайта.

Если все вышеперечисленное верно, HTTPS предупредит вас, что вы пытались подключиться к поддельному веб-сайту. Однако HTTPS не может обойти перенаправления более низкого уровня (такие как подмена examplebank.com по DNS или /etc/hosts), поэтому, если вы проигнорируете предупреждения, ваши данные будут отправлены злоумышленнику, а не в реальный банк.

В заключение, да, это опасно.

В ответ на отредактированный вопрос:

Если вы используете простой HTTP, вы облажались.
Если вы используете HTTPS, вы получите большое красное предупреждение (см. Первую часть ответа).
Каждый "сертификат" имеет пару ключей RSA (иногда DSA, ECDSA). Открытый ключ пары является частью сертификата, а закрытый ключ заблокирован на веб-сервере и никогда не отправляется по сети. Оба ключа необходимы для успешного завершения рукопожатия TLS/SSL.
Если злоумышленник предоставит сертификат, но не имеет соответствующего закрытого ключа, он не сможет расшифровать любой трафик, проходящий через TLS. В Википедии есть описание рукопожатия TLS.