Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
  
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
TwojePC.pl © 2001 - 2024
Piątek 18 stycznia 2019 
    

Polak tworzy narzędzie do łatwego ataku na systemy zabezpieczone 2FA


Autor: Wedelek | 05:14
(3)
Od kilkunastu godzin w sieci głośno jest o nowym algorytmie napisanym przez Piotra Duszyńskiego, który potrafi skutecznie obejść wszelkie zabezpieczenia, w tym dwustopniową weryfikację. Działanie Modliszki jest bardzo proste. Oprogramowanie przechwytuje cały ruch w obu kierunkach w tle nie zwracając na siebie uwagi (reverse proxy). Modliszka radzi sobie ze stronami zabezpieczonymi certyfikatem SSL jak i pozbawionymi tego zabezpieczenia, omijając przy tym również funkcję podwójnej autoryzacji. Ponieważ system ten wykorzystuje oryginalne elementy strony pod którą się podszywa całość wygląda identycznie jak oryginał, a ofiara nie ma pojęcia, że jego dane są kradzione lub podmieniane przez inne w locie.

Siłą modliszki jest łatwość implementacji w kodzie strony, która ma posłużyć do przeprowadzenia ataku. Cracker nie musi mieć skomplikowanej wiedzy. Wystarczy mu znajomość podstaw i certyfikat TLC. Jej twórca twierdzi, że impulsem do stworzenia algorytmu była chęć pokazania opinii publicznej jak łatwo można złamać popularne zabezpieczenia korzystając z ludzkiej niewiedzy.

Kod Modliszki znajdziecie w serwisie GitHub.


 
    
K O M E N T A R Z E
    

  1. Polak potrafi! (autor: Qjanusz | data: 18/01/19 | godz.: 09:07)
    Piotr Duszyński dostanie propozycję dobrej posady, a firmy zabezpieczające rozpoczną wyścig o zabezpiecznie stron przed Modliszką.


  2. Fajne. (autor: Kenjiro | data: 18/01/19 | godz.: 09:22)
    Naprawdę fajne.

  3. PS 1. (autor: Kenjiro | data: 18/01/19 | godz.: 09:25)
    Nie da rady w 100% zabezpieczyć przed automatami tego typu, można się starać, ale to jest zawsze z góry przegrana walka, bo ostatni cios zadaje zawsze phisher.
    Moim zdaniem narzędzie ma za zadanie zwrócić uwagę ludzi na kontrolę adresu, którego się używa, chociaż sprawa nie jest trywialna chociażby z powodu IDN.

     
D O D A J   K O M E N T A R Z
    

Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.