Vlákno názorů k článku Rhybaření střídá pharming od Věroš Kaplan - Na některých UNIXech existuje uživatelská kopie souboru /etc/hosts...

Na některých UNIXech existuje uživatelská kopie souboru /etc/hosts (tak pět let zpátky jsem si s ním hrál), do které uživatel samozřejmě zapsat může.

Je možné podvrhnout IP adresu i úpravou LD_PRELOAD či podobných. (ale to nelze narozdíl od úpravy /etc/hosts udělat za běhu programu a není to tak triviální jako u zmiňované úpravy /etc/hosts na Windows)

Pokud však komunikujeme přes SSL zabezpe4ený kanál s důvěryhodnou (opravdu důvěryhodnou) CA, tak bychom na moc problémů narazit neměli. Mýlím se?

--Věroš

hodne podle meho resi www proxy, na jeji /etc/hosts se jen tak neco nedostane a pozadovane adresy se prekladaji az nani. imho phd.

Pokud však komunikujeme přes SSL zabezpe4ený kanál s důvěryhodnou (opravdu důvěryhodnou) CA, tak bychom na moc problémů narazit neměli. Mýlím se?

No, pokud pripustis ze je utocnik tak daleko, ze ti muze modifikovat LD_PRELOAD, tak ti nepomuze ani SSL.

K clanku: popsany zpusob utoku mi prijde asi na urovni deset let starych rootkitu (ve stylu "modifikuj /bin/ls, at uzivatel nevidi me soubory"). Prece pokud utocnik muze modifikovat hosts (jako root/administrator), tak muze udelat milion jinych veci, ktere zadny antivirus neodhali (pocinaje zmenou jadra a konce zmenou weboveho prohlizece).

Ono tomu jde stejně snadno zabránit i na Windows, stačí používat uživatele s omezenými právy. Pak nějaká modifikace hosts červem nehrozí.

Take si to myslim.
Sice pouzivam jiny OS, ale v tomto pripade se chovaji uplne stejne. pokud neserfuji jako root, je prepsani hosts temer nemozne. temer je tam kvuli napadeni prohlizece technikou vedouci k povyseni uziv. prav - a o takove ja nevim, i kdyz to neznamena ze neni...

PS: neverim tomu ze duslednym pouzivanim nekvalifikovaneho uzivatelskeho uctu a kvalitnejsiho prohlizece (FF mam treba na mysli) tyto zakerne techniky neeliminujete na >>0 a to nezavisle na OS (ve Windows a Linuxu to plati urcite).
PJ

Je škoda, že autor článku opoměl uvést jeden zásadní způsob boje se všemi těmito škůdci: použít jiný operační systém. Nechci zde tvrdit, že *BSD, Linux, Solaris atd. jsou samospasitelné, i tam existují určitá bezpečnostní rizika, ale zrovna v tomto případě, pokud brouzdám jako běžný uživatel a nikoli root, je mnohem obtížnější pro kohokoliv modifikovat /etc/hosts a něco mi tam podvrhávat, nadto funkční trojské koně či viry nebo červy jsou pro tyto OSy mnohem vzácnější a obvykle fungují jen na některých verzích-distribucích, neboť tyto nemusí být plně binárně kompatibilní a útočník by si je musel lokálně zkompilovat. Myslím, že práce v takovém OSu je opravdu mnohem bezpečnější než všechny antiviry a firewally, o kterých se autor zmiňuje, dohromady.