6

Mała rzecz, a cieszy. Chome oznaczy niebezpieczne strony pytające o hasła oraz dane kart kredytowych

Jestem pewien, że większość z Was przy okazji logowania do ważnych usług sprawdza, czy połączenie jest szyfrowane. Ale czytelnicy Antyweba, zaznajomieni z technologiami to w ujęciu ogółu stosunkowo mała grupa. Większość takich rzeczy nie robi i bezrefleksyjnie podaje swoje dane kart kredytowych, logowania do banków, usług poczty elektronicznej. Może zdarzyć się, że nierozważny użytkownik sieci nie sprawdzi, czy uzyskał połączenie HTTPS i odda cyberprzestępcom newralgiczne informacje. Google w nowej odsłonie Chrome Beta wdraża mechanizm, który powiadomi o potencjalnie niebezpiecznej stronie.

Wcześniej, Google zaktualizował swoją przeglądarkę w stabilnym kanale do wersji 55 i ostatecznie przypieczętował śmierć niebezpiecznego Flasha. Dalszy ciąg zabezpieczania Chrome odbywa się już w kanale Beta, gdzie program już teraz powiadamia o nieszyfrowanych połączeniach przy okazji wprowadzania ważnych danych. Wszędzie tam, gdzie będziemy mieć do czynienia z połączeniem HTTP, a strona poprosi nas o wprowadzenie hasła lub danych karty kredytowej, aplikacja poinformuje nas o nieuzyskaniu szyfrowanego połączenia. Ma to oczywiście na celu przestrzeżenie użytkowników o możliwym wycieku danych tak, aby kilka razy zastanowili się oni przed tym, jak cokolwiek do pól danych wpiszą. Google podjęło podobne kroki jak Mozilla, która również w programie deweloperskim udostępniła wersję flagowej przeglądarki, która powiadamia o nieszyfrowanym połączeniu przy okazji wprowadzania ważnych danych.

Można się zatem spodziewać, że Chrome 56, który w końcu trafi do stabilnego kanału dystrybucyjnego będzie informować użytkowników o nieszyfrowanych połączeniach. Obecnie, w wersji beta, strony zawierające w sobie pola pytające o hasła lub dane kart kredytowych są oznaczane jako niebezpieczne w polu adresu, tak jak jest to przedstawione na zrzucie poniżej.

chrome

Działanie Google na poziomie programu pozwoli na równiejszą walkę z atakami phishingowymi, które w dalszym ciągu są niezwykle popularne. W ogromnym skrócie – najczęściej odbywa się to tak, że użytkownik otrzymuje wiadomość e-mail, rzekomo od usługi, w której jest zarejestrowany. Prosi się go o ponowne wprowadzenie danych w udostępnionym w wiadomości linku. Po jego kliknięciu, otwiera się witryna do złudzenia przypominająca np. bank, jednak najważniejszą różnicą jest brak szyfrowanego połączenia. Jeżeli użytkownik wprowadzi w takich polach prawdziwe dane, otwiera cyberprzestępcom drogę do ich wykradzenia i dalszego użycia. Według Securelist, najwięcej tego typu ataków odbywa się na terenie Azji, szczególnie w w Chinach. Nie lepsza pod tym względem jest Ameryka Południowa, tam prym wiedzie Brazylia. Polska należy do krajów, gdzie tego typu cyberzagrożenia są znacznie mniejszym problemem.

chrome

Jakich instytucji dotyczą tego typu ataki? Przede wszystkim banków. Dzięki pozyskaniu informacji na temat kont bankowych oraz kart kredytowych, cyberprzestępcy mogą bardzo szybko uzyskać korzyści. Wystarczy, że na odpowiednio spreparowanej stronie wpiszemy pełne dane naszego „plastiku”, po chwili możemy spodziewać się momentalnego wycieku pieniędzy.

chrome

Ale nowy Chrome to nie tylko poprawki względem bezpieczeństwa

Google dodatkowo wprowadza obsługę Web Bluetooth API. Za pomocą tego narzędzia, deweloperzy będą mogli tworzyć strony internetowe, które będą mogły się łączyć bezpośrednio z urządzeniami Bluetooth, korzystając z odrobiny kodu Javascript. Dajmy na to – strona internetowa będzie mogła uzyskać dane na temat przenośnego miernika tętna łączącego się za pośrednictwem Bluetooth.


Niedawno uruchomiliśmy serwis z Pracą w IT! Gorąco zachęcamy do przejrzenia najnowszych ofert pracy oraz profili pracodawców.

  • Daniel

    Taka informacja już była w stabilnej wersji. Jedynie trzeba było flagę włączyć. No i wątpie by w tak nieczytelnym kolorze była ta informacja. U mnie jest ona na kolorowo wraz z małą animajcą. Niebezpieczny jest oznaczany na czerwono wraz z wykrzyknikiem w trójkącie a bezpieczne to zielona zamknięta kłódka. No ale co z tego jak większość osób nie zna co to jest SSL i klikają w każdy link jaki wyskorzy? Dla nich to tylko wielka informacja podczas ładowania się strony powinna być „strona bezpieczna” lub „strona niebezpieczna nie podawaj żadnych poufnych danych ( wymienione jakie)”. Albo po prostu zakupić program antywirusowy, który posiada odpowiednie zabezpieczenia a płatności lub łączenie się ze stroną banku przerzuca na własną wersję przeglądarki „SafePay”

    • mongol13

      Szkoda gadać, jak kiedyś doszło do tego, że musiałem jednemu „ynformatykowi” tłumaczyć ideę certyfikatów, skąd się biorą, kto je podpisuje i jak strony są dzięki nim uwierzytelnianie, to zdało się, że chłopu się mózg zagotuje i wypłynie uszami…

      Ja nie wymagam, żeby ludzie wiedzieli, jak to działa, tak samo, jak w przypadku autoryzacji i uwierzytelniania przez Kerberos w AD, bo nie mają takiego obowiązku. To jest spoko. Smutne jest raczej to, że ludzie… nie czytają. W ogóle. Brak certyfikatu bezpieczeństwa przy logowaniu? Brak SSLa? Przeglądarka wrzeszczy, że strona niezaufana na wściekle czerwonym tle? Mail, żeby uważać, bo podszywają się pod stronę banku? Ch*j tam- wchodzimy, ja wiem lepiej, nic mi tu nie będzie przeszkadzać! A potem płacz, bo strona banku była fałszywa. Serio- skoro ludzie potrafią się wypiąć na wielką czerwoną planszę z wymogiem 2-krotnego potwierdzenia, to takie małe gówienko koło paska adresu nie zostanie nawet przez nich zauważone. I to jest smutne.

    • Daniel

      Oj nie wrzucaj informatyków do jednego worka. Dlaczego? Bo infromatyka to wielkie pojęcie zaczynające się od programowania na układy po sztuczne inteligencje. Są programiści, którzy wcale nie znają się na bezpieczeństwie :o lub nie wiedzą dlaczego ich sprzet nie działa. A z drugiej strony masz informatyków, którzy zajmują się bezpieczeństwem i sieciami ale nie mają większego pojęcia o innej dziedzinie z inf.

      A co do zwykłych ludzi. Raz, że są ingnorantami, którzy później płaczą, że to wina banku, przegląradki czy dostawcy internetu, że złapali wirusa lub utracili wszystkie dane. Nie raz dostałem laptopa, który posiadał IE z pierdyliardem toolbarów i jakiś tam dodatków. Jakieś zabezpieczenie? Nie. Ani antywirusa ani podstawowej wiedzy na temat poruszania się po sieci. Więc obojętnie co Google wymyśli dla bezpieczeństwa to nie zadziała niestety. Nawet mogą wielki baner walnąć strona z wirusami nie wchodzić to znajdą się tacy co wejdą i podadzą wszystkie informacje dotyczące banku.

  • Jakoś czułem się bardziej bezpieczny bez tych cudów i czym częściej muszę coś ponownie wpisywać w wyskakującym okienku przy zakupie tym bardziej się obawiam o hasło , numer karty i zabezpieczenie

  • Flank Anker

    Autorze, popraw tytuł bo wstyd!

  • Kamil Ro. Dzióbek

    Witam! Akurat jestem ekspertem w omawianej dziecinie. Więc się wypowiem, chociaż nie powinienem ponieważ to zdradzanie wiedzy tajemnej, która w nieodpowiednich rekach może zrobić krzywdę wielu ludziom. Ale skoro tego bloga nikt nie czyta, a jak nawet przeczyta to nie będzie na tyle nieodpowiedzialny by wrzucać to do ogólnego internetu.

    >Po jego kliknięciu, otwiera się witryna do złudzenia przypominająca np. bank, jednak najważniejszą różnicą jest brak szyfrowanego połączenia.

    Aktualnie większość ataków phishingowych odbywa się tak, phishinger wykupuje serwer domenę z literówką lub przestawionymi znakami, oraz certyfikat do niej. Wiec zawsze kłódeczka i szyfrowanie jest. Np robi gooogle przez trzy ‚ooo’ lub Mircosoft (przestawne ‚r’ i ‚c’ miejscami). Zamieniają tez małe L na 1 (jeden). Po prostu mozg bierze pod uwagę pierwszą i ostatnia literę o tym się możecie tutaj przekonać:
    http://www.crazynauka.pl/tekst-z-poprzestawianymi-literami/
    zresztą na pewno to widzieliście jeśli macie internet.
    Na niektórych monitorach jeden i małe L wygląda identycznie dla starych ludzi (oni zwykle maja gorszy wzrok niż za młodu).
    Podsumowując Google wciska kit z phishingiem. Tak naprawdę chcą obrzydzić nieszyfrowane połączenie by zlikwidować konkurencje w postaci dostawców internetu. Google uważa, że tylko one może szpiegować ludzi i sprzedawać później te dane temu kto więcej zapłaci (zwykle FBI i CIA). NA tym się opiera ich model biznesowy i boją się że dostawcy internetu w to wejdą i ich skasują.

    Prawdziwy problem bezpieczeństwa jest gdzie indziej. Otóż na większości stronach są podczepione skrypty google analitycs. Google na stronach i reszty konkurencji nawet jeśli przegląda się je w Firefoksie(a nie oprogramowaniu Google), przez cross site scripting [1] odczytuje zawartość nawet jeśli strona jest szyfrowana. Nie tylko dostaje dostęp do zawartości ale też często ciasteczek (sesja), wpisywanych rzeczy z klawiatury i innych prywatnych rzeczy na temat użytkownika. Dzieki temu może uwierzytelniać za użytkownika wszystko co nie ma potwierdzenia SMSem. No chyba, że ktoś ma telefon z androidem to wtedy Google może zrobić potwierdzenie SMSem.
    [1] https://en.wikipedia.org/wiki/Cross-site_scripting

    >Jestem pewien, że większość z Was przy okazji logowania do ważnych usług sprawdza, czy połączenie jest szyfrowane. Ale czytelnicy Antyweba, zaznajomieni z technologiami to w ujęciu ogółu stosunkowo mała grupa.

    Nawet moja mamusia sprawdza czy jest kłódeczka w jej banku. Po prostu była wielka kampania telewizyjna i teraz każdy wie, że należy to robić. No znaczy, młodzi nie oglądający TV tego nie wiedzą. Czyli powiedziałbym że mniej zaawansowani technicznie to wiedzą, natomiast bardziej zaawansowany (przez ciągłe korzystanie) tego nie wiedzą.

    Zlikwidowano Batery Api bo pozwalało śledzić użytkownika, a nawet wiedzieć co robi (oglądanie filmu i granie szybciej zużywa baterię niż przeglądanie netu).
    [1] https://nakedsecurity.sophos.com/2016/11/02/firefox-kills-the-battery-status-super-cookie/

    Teraz Google wprowadza Web Bluetooth API które pod względem bezpieczeństwa jest o setki rzędów niebezpieczniejsze. Przez Web Bluetooth API Google będzie mógł zidentyfikować telefony w naszym sąsiedztwie, przez co będzie wiedział jakich mamy znajomych, i gdzie się znajdujemy. Google już wymusza łączenie konta Google z numerem telefonu odmawiając zalogowania się do Gmaila bez jego podania. Będzie mógł zrobić graf naszych znajomych nawet jeśli nie dzwonimy do nich (teraz to może tylko zrobić jak dzwonimy z telefonu z Androidem lub do telefonu z androidem) i zaproponować nam znajomych na ich serwisie społecznościowym albo zidentyfikować małe grupki składające się na ruch Oporu Przeciw Cyberkorporacjom.

    Google bardzo chce wiedzieć gdzie się znajdujemy, nawet kiedyś jak puścili samochody na ulicę (niby do robienia zdjęć ulic) to zczytywali identyfikatory Wi-Fi i resztę danych (chociaż teoretycznie cześć tych danych do dziś nie mogą odkodować i liczą ze w przyszłości komputery kwantowe sobie z tym poradzą). Chcieli zidentyfikować gdzie dokładnie jest dana osoba łącząca się z Wi-Fi.

    Podsumowując zmiany dotyczące bezpieczeństwa w nowym chrome są bardzo na minus.