L'autenticazione a due fattori può essere ''bucata''! Dall'Italia arriva la scoperta ma non c'è soluzione

[fabius21]

Quote:

Originariamente inviato da xarz3

Poi continua a pensarla come vuoi, io dico solo che tutto lo stack è marcio e banalizzare i problemi scaricando il barile sull utente non migliorerà le cose

Concordo, anche se a volte l'utente se la cerca.

Ad esempio una settimana fà un'azienda mi chiama al cell, e sembravano convincenti, finchè non mi hanno chiesto il numero di carta. Ovviamente gli ho chiesto la partita iva per far verificare il loro bilancio, e se ciò che avesse detto era vero, alla fine lo mandato in austria nella frazione di fucking

[[K]iT[o]]

Ho scoperto che se mi rubano le chiavi, possono entrarmi in casa eludendo il sistema meccanico della serratura. Grazie ricercatori, mi avete aperto gli occhi.

[frncr]

Quote:

Originariamente inviato da xarz3

Non è improbabile ache si verifichi se
1. L'attacco è mirato e su misura per la vittima.

Gli attacchi mirati a cui ho fatto accenno sono tutt'altra cosa, e non succedono a te o a me ma solo a specifiche persone che sono interessanti per gli scopi dei criminali di turno.

Quote:

Originariamente inviato da xarz32

. L'attacco è su larga scala (milioni di persone). Qualcuno che rimane vittima su una larga scala lo trovi.

Come ho già detto uno dei motivi per cui il phishing di massa funziona è proprio perché è indirizzato indistintamente a una enormità di persone (in pratica a tutti coloro che hanno un indirizzo email), e molte di queste persone non conoscono e/o non applicano le più elementari norme di prevenzione.

Quote:

Originariamente inviato da xarz3

Riguardo ai tuoi commenti, ripeto banalizzi il problema scaricando il barile al 100% sull utente.

Io non banalizzo proprio nulla. Piuttosto, fare come te e ridurre tutto il problema dei crimini informatici a questioni meramente tecniche è semplicistico e molto ingenuo (lasciamo che gli esperti risolvano in problemi tecnici per tutti) ed è totalmente inefficace perché la stragrande maggioranza delle violazioni avviene solo o anche grazie ai comportamenti incauti degli utenti, perciò è evidente che il provvedimento più utile per contrastare tali violazioni sarebbe educare gli utenti, prima ancora di escogitare contromisure tecniche ulteriori. Nessuna delle tecniche di cui si sta parlando, a partire da quella di cui alla "notizia", avrebbe alcuna possibilità di essere efficace se l'utente applicasse le più banali misure di prevenzione (come controllare l'indirizzo della pagina che chiede le credenziali).

Quote:

Originariamente inviato da xarz3

Nessuno sta attento il 100% dei casi, assicurandosi che le tab aperte non siano state manipolate in background e controllando l url ogni santa volta.

Tu puoi parlare solo per te. Io non sono né un super esperto di sicurezza informatica né un paranoico, ma non esiste nel modo più assoluto che io possa eseguire un login su un servizio critico come una banca senza aver prima verificato l'indirizzo. Ripeto: non esiste! Chi non fa almeno questo è uno sprovveduto, e questo è il primo problema da affrontare, non certo farsi belli descrivendo per filo e per segno lo stack sw che il criminale di turno potrebbe usare per l'attacco "browser in the middle" o altri.

Quote:

Originariamente inviato da xarz3

Ora stiamo parlando di banche ma in generale non ti è mai accaduto che ti scadesse la sessione su un sito che usi e devi riloggarti? E tu mi vuoi garantire che in tutti i casi all 100% hai sempre chiuso e riaperto la tab ogni santissima volta oppure controllato l url??

Ripeto: su servizi critici si deve controllare l'indirizzo prima del login (e magari anche perdere quel secondo extra per ciccare sull'icona del certificato e vedere che corrisponda), e quando si è finito ciò che si deve fare si chiude la sessione. Il login sui servizi non critici e che si usano in continuazione non si fa nemmeno, bastano i cookies per autenticarsi.

Quote:

Originariamente inviato da xarz3

Il vero problema è che HTML +JS [CUT]

Per quanto mi riguarda javascript si attiva solo su whitelist, perciò è impossibile che io finisca inavvertitamente in bocca a qualche trappolone come quelli descritti, ma in ogni caso TUTTE le tecniche qui descritte non sono basate su "buchi" dello stack ma sulla disattenzione dell'utente.

E' da miopi e da feticisti della tecnologia pensare che il problema fondamentale sia creare sistemi "inviolabili" e non invece insegnare agli utilizzatori come non farsi raggirare, applicando delle semplici precauzioni.
E' come pensare che basterebbe costruire cassaforti indistruttibili, senza insegnare ai loro proprietari come custodire le relative chiavi e non farsele fregare dal primo criminale un po' più furbo della media.

[xarz3]

Quote:

Originariamente inviato da frncr

Gli attacchi mirati a cui ho fatto accenno sono tutt'altra cosa, e non succedono a te o a me ma solo a specifiche persone che sono interessanti per gli scopi dei criminali di turno.


Come ho già detto uno dei motivi per cui il phishing di massa funziona è proprio perché è indirizzato indistintamente a una enormità di persone (in pratica a tutti coloro che hanno un indirizzo email), e molte di queste persone non conoscono e/o non applicano le più elementari norme di prevenzione.


Io non banalizzo proprio nulla. Piuttosto, fare come te e ridurre tutto il problema dei crimini informatici a questioni meramente tecniche è semplicistico e molto ingenuo (lasciamo che gli esperti risolvano in problemi tecnici per tutti) ed è totalmente inefficace perché la stragrande maggioranza delle violazioni avviene solo o anche grazie ai comportamenti incauti degli utenti, perciò è evidente che il provvedimento più utile per contrastare tali violazioni sarebbe educare gli utenti, prima ancora di escogitare contromisure tecniche ulteriori. Nessuna delle tecniche di cui si sta parlando, a partire da quella di cui alla "notizia", avrebbe alcuna possibilità di essere efficace se l'utente applicasse le più banali misure di prevenzione (come controllare l'indirizzo della pagina che chiede le credenziali).


Tu puoi parlare solo per te. Io non sono né un super esperto di sicurezza informatica né un paranoico, ma non esiste nel modo più assoluto che io possa eseguire un login su un servizio critico come una banca senza aver prima verificato l'indirizzo. Ripeto: non esiste! Chi non fa almeno questo è uno sprovveduto, e questo è il primo problema da affrontare, non certo farsi belli descrivendo per filo e per segno lo stack sw che il criminale di turno potrebbe usare per l'attacco "browser in the middle" o altri.


Ripeto: su servizi critici si deve controllare l'indirizzo prima del login (e magari anche perdere quel secondo extra per ciccare sull'icona del certificato e vedere che corrisponda), e quando si è finito ciò che si deve fare si chiude la sessione. Il login sui servizi non critici e che si usano in continuazione non si fa nemmeno, bastano i cookies per autenticarsi.


Per quanto mi riguarda javascript si attiva solo su whitelist, perciò è impossibile che io finisca inavvertitamente in bocca a qualche trappolone come quelli descritti, ma in ogni caso TUTTE le tecniche qui descritte non sono basate su "buchi" dello stack ma sulla disattenzione dell'utente.

E' da miopi e da feticisti della tecnologia pensare che il problema fondamentale sia creare sistemi "inviolabili" e non invece insegnare agli utilizzatori come non farsi raggirare, applicando delle semplici precauzioni.
E' come pensare che basterebbe costruire cassaforti indistruttibili, senza insegnare ai loro proprietari come custodire le relative chiavi e non farsele fregare dal primo criminale un po' più furbo della media.

Per il reverse tabnabbing ci sono best practices per eliminare il rischio, ma leggendoti scommetto che se tu fossi uno sviluppatore te ne sbatteresti perché "la colpa è degli utenti che cliccano". Questa è la mentalità che sto criticando

[danylo]

Quote:

ma non c'è soluzione

Invece c'e': smetterla una buona volta di cliccare sui link delle email


.

[Hiei3600]

Quote:

Originariamente inviato da danylo

Invece c'e': smetterla una buona volta di cliccare sui link delle email

[marcram]

Quote:

Originariamente inviato da danylo

Invece c'e': smetterla una buona volta di cliccare sui link delle email


.

Anche i programmi di posta... già bloccano il caricamento automatico delle immagini remote, potrebbero ben bloccare i click sui link nelle email che non sono in whitelist...

[Emin001]

Quote:

Originariamente inviato da Proteo71

Dò per scontato che tu e tua sorella avete numeri consecutivi, giusto ??
Altrimenti sarebbe la madre di tutte le coincidenze !!!

per niente, numeri e prefissi totalmente diversi e operatori diversi: 3(tim) e wind.
IMHO credo che sia stato un tentativo di truffa ma faccio fatica a capire come sia tecnicamente possibile, l'altra ipotesi è un qualche guasto problema alle celle o alle apparecchiature collegate.

[zappy]

Quote:

Originariamente inviato da WarDuck

Dando una rapida occhiata all'articolo sul "Browser-In-The-Middle", in sostanza alla vittima viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante, di fatto quindi l'utente è come se usasse un browser remoto (controllato dall'attaccante).

continuo a non capire (per limiti miei certamente).
che significa "viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante"?!?
io uso il browser pincopallo, scrivo l'url www.banca.it, o clicco un link www.banca.it... come fanno a farmi vedere "un altro browser"?!?

Quote:

Originariamente inviato da xarz3

...Tu magari dopo 1 o 2 ore ora vuoi veramente andare sul sito della banca e causalmente ti trovi la pagina aperta proprio sul login in una delle tab. Inserisci le credenziali e... Bam, rubate.

casualmente?
casualmente non apro tab di login per lasciare lì a marcire per ore...

Quote:

Originariamente inviato da xarz3

...Poi continua a pensarla come vuoi, io dico solo che tutto lo stack è marcio e banalizzare i problemi scaricando il barile sull utente non migliorerà le cose

marci sono i siti che richiedono js per fare effettini, cazzatine, menu o altre vaccate psichedeliche varie.
detesto i siti che funzionano solo con js.

Quote:

Originariamente inviato da frncr

...Per quanto mi riguarda javascript si attiva solo su whitelist.

esatto.
e molto spesso, volta per volta.

[crosno]

La scoperta dell' acqua calda...

[MorgaNet]

Interessante questo necroposting.....