Jak wiecie coś, co kiedyś nazywało się Alior Sync obecnie nazywa się T-Mobile Usługi Bankowe. Moje poczucie estetyki (tak, wbrew pozorom jakąś estetykę jednak mam) zostało brutalnie zgwałcone przez nową skórkę. Podobnie się czułem gdy Era zmieniała się w T-Mobile. Ale ja nie o tym.
Kapcie mi spadły. Naprawdę.
Wpisuję w przeglądarkę kulturalnie adres https://online.sync.pl, co się dzieje? Serwer kulturalnie mówi mi, żebym sobie poszedł. Ale, kulturalnie, bo mówi mi gdzie mam sobie pójść:
HTTP/1.0 302 Found Location: https://www.t-mobilebankowe.pl/hub/index.html Connection: Keep-Alive Content-Length: 0
Moja przeglądarka jest równie kulturalna co serwer, więc podąża za przekierowaniem i pokazuje mi jakże piękną stronę z informacją o zmianach. Oraz informację, że zaraz zostanę przekierowany. Gdzie? Cytuję:
<meta http-equiv="refresh" content="10; url=http://www.t-mobilebankowe.pl/">
Tak proszę państwa, zostanę przekierowany na stronę, która jest serwowana po HTTP. Oczywiście na tej stronie są piękne buttony do logowania, które z kolei przekierowują na stronę dostępną po HTTPS.
To teraz w ramach niedzielnej kreatywności proszę we własnym zakresie wymyślić sobie scenariusz ataku wykorzystujący takie a nie inne zachowanie. Dziękuję.
Moje poczucie estetyki także zostało brutalnie zgwałcone, co zgłosiłem na infolini. Niestety Pan z różową chusteczką w kieszeni (kurwa - jedyne co mi się nasuwa na myśl po takim widoku to podobne zachowania w meksykańskich więzieniach - faceci co biorą w d**ę obnoszą się z podobnymi chusteczkami) oznajmił że dla nich niezadowolenie klientów z beznadziejnego wyglądu to nie problem bo dziennie mają ponad 1000 nowych...
Podmiana na dowolną treść tego co przyszło po HTTP. W tym przekierowanie na własny serwer :), w końcu użytkownik przyjdzie z zaufanej strony, więc nie powinien mieć podejrzeń.
Ale wracając do głównego tematu - moim zdaniem warto się zastanowić nad tym, czego oczekujemy od użytkowników. Mówimy im - "nigdy nie klikaj na linki, wpisuj adres prosto w pasku adresu". Jeśli tak, to po co banki mają na swoich stronach prezentacyjnych (serwowanych po HTTP) linki do serwisu transakcyjnego? To w końcu mają klikać na te linki, czy wpisywać je ręcznie?
A może tam jest mała gwiazdeczka, która wspomina o linkach w "zaufanych" źródłach. OK, mail może i nie jest zaufany (phishing), ale czy strona serwowana po HTTP jest? Ktoś może powiedzieć, że do udanego ataku intruz musi być w dobrym miejscu w sieci. Jak pokazały ostatnie doświadczenia - może być na Twoim routerze.
Więc może tak naprawdę chodzi nam przede wszystkim nie o to, czy na link klikniemy, czy go wpiszemy ręcznie, ale jaki link jest widoczny w pasku przeglądarki, gdy już jesteśmy na stronie? Załóżmy, że tak jest - czy mogę ufać temu co widzę?
Nie, nie mogę. I nie chodzi mi tutaj o jakieś możliwości spoofingu paska adresu, tylko atak na DNS. I nie, nie na sam protokół DNS (poisoning), tylko na "skłonienie" użytkownika do skorzystania z "naszych" serwerów DNS. Znów - wszystko zależy od tego gdzie jest intruz, ale podstawienie swojego serwera wcale nie musi być takie trudne.
By się nie rozpisywać - nie, nie można wierzyć w to, co widzimy w pasku. Więc jedyne co pozostaje to sprawdzenie certyfikatu. A ilu użytkowników jest w stanie to zrobić poprawnie?
...a nawet nie wszedłem jeszcze na temat malware na stacji. Mówi się, że generałowie przygotowują się do wojen, które już były. A co powiedzieć o wpajaniu zasad "bezpiecznego postępowania", które są umiarkowanie skuteczne?