![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
don_katalanMax Tulyev
Кто не в курсе: фишинг - это создание веб-сайта, один-в-один похожего на сайт, например, банка, и перенаправление туда пользователя. Пользователь думает, что он зашёл на сайт настоящего банка, вводит пароль, злоумышленник крадёт этот пароль, заходит с ним на сайт уже реального банка, и переводит оттуда себе все деньги.
Чтобы это работало, нужно чтобы лох, ой, то есть жертва, на этот подставной сайт попала. Есть много разных вариантов как это сделать. Первый - сделать сайт, назвать его как-то в Интернете и поставить ссылку на него в людном месте, например, в спам-письмах. Назвать подставной сайт как-то тоже надо - это как раз и есть фишинговый домен, который как правило похож на настоящий, но немного отличается (потому что два сайта с одним именем быть не могут).
Второй способ более интересный: специальным образом "отравить" сервер ДНС провайдера, который отвечает за преобразование имени в цифровой адрес Интернета, и заставить этот сервер отвечать фальшивыми данными. То есть устройство пользователя будет в полной уверенности, что оно соединяется с сайтом заданным именем (банком), а по факту - соединение будет переброшено на фишинговую страничку.
К сожалению, возможность такого "отравления" - это не баг в каком-то конретном софте, а вот прямо фундаментальный баг самого протокола ДНС. И будет вам хоть фишинг, хоть сайт Путина вместо Зеленского открываться 😊
Для того, чтобы устранить саму возможность серверу ДНС кушать отраву, был придуман и внедрён апдейт протокола, который называется DNSSEC. Он использует цифровые подписи при ответах, и если подпись результата преобразования не совпадает с подписью владельца - система отбрасывает такой ответ как очевидно зловредный.
А теперь немного о новой системе украинской цензуры, которая тоже использует протокол ДНС и требует, чтобы вместо запрещённого (как они декларируют, "фишингового") сайта открывался их сайт-заглушка, где они нерадивого любителя "запрещёнки" идентифицируют, посчитают и потом применят к нему, гаду такому, меры воздействия.
То есть вместо айпи адреса запрещённого сайта предлагается отдавать сайт рагулятора, подменив в ответе что? - правильно, тот самый айпи адрес сервера. С подменой которого у нас и борется DNSSEC.
И дальше у провайдера появляется дилема: либо забить на подмену айпи адреса, которую требует система цензуры (и попасть на штрафы и аннулирование лицензии), либо отключить поддержку DNSSEC. И открыть ворота более взрослым дядям, которые для фишинга не спам рассылают, а централизованно работают с ДНС (обычно крупных) провайдеров.
Как думаете, что сделает провайдер в этом случае?
Поэтому - в очередной раз - НЕ ВЕРЬТЕ рагулям, которые строят цензуру! Они делают что угодно, но НЕ БОРЯТСЯ с фишингом на самом деле! Им пофиг на ваш кошелёк, им важно только одно: остаться у власти любой ценой!
P.S. Сегодня правление ИнАУ проголосовало за приостановление борьбы с этой системой и вхождение в "рабочую группу" по её доработке. При этом рагулями было сказано заранее, что само существование системы и её ключевые принципы работы "не являются предметом переговоров". Я голосовал против, но большинство высказалось за.
===
Олексій Семеняка
Критиковать лучше, не делая технических ошибок. Да и остальных тоже стоит избегать.
DNSSEC кончается на операторским рекурсоре (рекурсивный DNS-резолвер), адрес которого и отдаётся клиентам оператора. В клиентский софт (в первую очередь, в браузеры) никакая проверка DNSSEC не встроена. Ну то есть, существует расширение для Хрома, но им пользуется примерно никто.
Потому что вот так работает модель безопасности: DNSSEC до рекурсоре, если внутренняя среда не является доверенной - DoH/DoT от рекурсора до пользовательского условного libresolv.
Откуда простой вывод: рекурсор может делать подмену прозрачно, и не ломая ничего. И весь твой пафос на правильную тему превратился в пшик. Ну и нафига ты так подставляешься?
Заодно замечу, что практике блокировок в Европе уже много-много лет, увы. И выполняются они ровно через DNS, на что было отдельное решение European Court of Justice.
---
Max Tulyev
Во-первых, речь про то, что настройки в популярных серверах ДНС (по крайней мере, простой) не применять DNSSEC к определённому списку доменов не существует. Я не отрицаю, что можно написать/пропатчить софт, чтобы он так работал. Вопрос, кто будет это делать и за какие средства? Просто выключат DNSSEC у кого он был включен, да и всё.
Во-вторых, как минимум восьмёрки поддерживают DNSSEC. И бодро прекращают резолвить когда например подпись экспайред.
Кто не в курсе: фишинг - это создание веб-сайта, один-в-один похожего на сайт, например, банка, и перенаправление туда пользователя. Пользователь думает, что он зашёл на сайт настоящего банка, вводит пароль, злоумышленник крадёт этот пароль, заходит с ним на сайт уже реального банка, и переводит оттуда себе все деньги.
Чтобы это работало, нужно чтобы лох, ой, то есть жертва, на этот подставной сайт попала. Есть много разных вариантов как это сделать. Первый - сделать сайт, назвать его как-то в Интернете и поставить ссылку на него в людном месте, например, в спам-письмах. Назвать подставной сайт как-то тоже надо - это как раз и есть фишинговый домен, который как правило похож на настоящий, но немного отличается (потому что два сайта с одним именем быть не могут).
Второй способ более интересный: специальным образом "отравить" сервер ДНС провайдера, который отвечает за преобразование имени в цифровой адрес Интернета, и заставить этот сервер отвечать фальшивыми данными. То есть устройство пользователя будет в полной уверенности, что оно соединяется с сайтом заданным именем (банком), а по факту - соединение будет переброшено на фишинговую страничку.
К сожалению, возможность такого "отравления" - это не баг в каком-то конретном софте, а вот прямо фундаментальный баг самого протокола ДНС. И будет вам хоть фишинг, хоть сайт Путина вместо Зеленского открываться 😊
Для того, чтобы устранить саму возможность серверу ДНС кушать отраву, был придуман и внедрён апдейт протокола, который называется DNSSEC. Он использует цифровые подписи при ответах, и если подпись результата преобразования не совпадает с подписью владельца - система отбрасывает такой ответ как очевидно зловредный.
А теперь немного о новой системе украинской цензуры, которая тоже использует протокол ДНС и требует, чтобы вместо запрещённого (как они декларируют, "фишингового") сайта открывался их сайт-заглушка, где они нерадивого любителя "запрещёнки" идентифицируют, посчитают и потом применят к нему, гаду такому, меры воздействия.
То есть вместо айпи адреса запрещённого сайта предлагается отдавать сайт рагулятора, подменив в ответе что? - правильно, тот самый айпи адрес сервера. С подменой которого у нас и борется DNSSEC.
И дальше у провайдера появляется дилема: либо забить на подмену айпи адреса, которую требует система цензуры (и попасть на штрафы и аннулирование лицензии), либо отключить поддержку DNSSEC. И открыть ворота более взрослым дядям, которые для фишинга не спам рассылают, а централизованно работают с ДНС (обычно крупных) провайдеров.
Как думаете, что сделает провайдер в этом случае?
Поэтому - в очередной раз - НЕ ВЕРЬТЕ рагулям, которые строят цензуру! Они делают что угодно, но НЕ БОРЯТСЯ с фишингом на самом деле! Им пофиг на ваш кошелёк, им важно только одно: остаться у власти любой ценой!
P.S. Сегодня правление ИнАУ проголосовало за приостановление борьбы с этой системой и вхождение в "рабочую группу" по её доработке. При этом рагулями было сказано заранее, что само существование системы и её ключевые принципы работы "не являются предметом переговоров". Я голосовал против, но большинство высказалось за.
===
Олексій Семеняка
Критиковать лучше, не делая технических ошибок. Да и остальных тоже стоит избегать.
DNSSEC кончается на операторским рекурсоре (рекурсивный DNS-резолвер), адрес которого и отдаётся клиентам оператора. В клиентский софт (в первую очередь, в браузеры) никакая проверка DNSSEC не встроена. Ну то есть, существует расширение для Хрома, но им пользуется примерно никто.
Потому что вот так работает модель безопасности: DNSSEC до рекурсоре, если внутренняя среда не является доверенной - DoH/DoT от рекурсора до пользовательского условного libresolv.
Откуда простой вывод: рекурсор может делать подмену прозрачно, и не ломая ничего. И весь твой пафос на правильную тему превратился в пшик. Ну и нафига ты так подставляешься?
Заодно замечу, что практике блокировок в Европе уже много-много лет, увы. И выполняются они ровно через DNS, на что было отдельное решение European Court of Justice.
---
Max Tulyev
Во-первых, речь про то, что настройки в популярных серверах ДНС (по крайней мере, простой) не применять DNSSEC к определённому списку доменов не существует. Я не отрицаю, что можно написать/пропатчить софт, чтобы он так работал. Вопрос, кто будет это делать и за какие средства? Просто выключат DNSSEC у кого он был включен, да и всё.
Во-вторых, как минимум восьмёрки поддерживают DNSSEC. И бодро прекращают резолвить когда например подпись экспайред.
Лживая кремлёвская пропаганда
Date: 2023-03-10 09:32 am (UTC)