Nepíši články, nemusím tudíž být expert na vyjmenovaná slova
Nikdo po vás nechce, abyste byl expert na vyjmenovaná slova. Vyjmenovaná slova nejsou žádná expertní látka, kterou by se učili novináři na vysoké. Je to látka třetího ročníku základní školy. Navíc vám ta špatně napsaná slova prohlížeč podtrhuje červenou vlnkovanou čárou. Já bych tu gramatiku normálně přešel, jenže ve vašem případě je obsahová stránka textu ještě lajdáčtější než jeho formální stránka. Ve výsledku vůbec není jasné, co se vlastně snažíte napsat, a to, co jste napsal, nedává žádný smysl (respektive všechny možné varianty toho, co by to mohlo znamenat, jsou v rozporu s realitou).
vy jste začal napadat můj text první a vaše komentáře neměli konstruktivní smysl, proto z toho vzniklo to co vzniklo.
Nikoli. To, co vzniklo, vzniklo tím, že píšete lajdácké a zmatené texty, a snažíte se to zamaskovat vystupováním, jako byste byl nějaký expert. Přitom nedokážete popsat ani tak banální věc, jako že například „útočník napadl webový server např. e-shopu, získal databázi přihlašovacích údajů včetně e-mailů a hesel v otevřeném tvaru, a webový server ovládá i nadále a má možnost vkládat na jeho webové stránky svůj vlastní kód“.
A je externí napadený účet u providera
Předpokládám, že to souvětí má být rozdělené takhle, chybí vám tam čárka.
O jakého providera a jaký napadený účet se jedná? Je to e-shop a uživatelský účet na e-shopu? Je to webmail a účet u něj? Je „provider“ zaměstnavatel a napadený účet je firemní účet zaměstnance (typicky z Active Directory), který umožňuje přihlášení na firemní počítače, k firemnímu souborovému serveru, k firemnímu poštovnímu serveru?
B je neinfikovaný účet s oménou používající sorbs
Předpokládám,že jste myslel „doménou“ a „SORBS“. SORBS je databáze IP adres, blacklist. „Doména“ je (v této diskusi) název zapsaný v DNS, případně celá hierarchie (DNS zóna). „Doména používající SORBS“ je nesmysl, to slovní spojení nemá žádný význam. SORBS nejčastěji využívá nějaký server, obvykle SMTP server.
A pošle poté B url link s odkazem na exploit specificky pro jeho MUA, který je nahrán u A na webu.
„URL link s odkazem“ asi mělo znamenat „URL“. Že by byl exploit schován v URL s protokolem
mailto je hodně nepravděpodobné, asi to bude spíš URL s protokolem
http nebo
https. MUA je poštovní klient. Pokud nejde o webmail, ke kterému se přistupuje přes webový prohlížeč, ale o nějakého samostatného klienta (MS Outlook, Mozilla Thunderbird apod.), neotvírá ten klient odkazy protokolu
http nebo
https neotvírá, používá k tomu webový prohlížeč. Onen exploit tedy musí být zaměřen na používaný webový prohlížeč, nikoli na poštovního klienta. Z analýzy komunikace s MUA ale útočník obvykle nepozná, jaký webový prohlížeč používá dotyčný uživatel. Naopak to obvykle pozná při prvním požadavku na webový server, protože prohlížeč se sám identifikuje. Mimochodem, ke zjištění, že uživatel B používá webmail, není potřeba žádný sofistikovaný útok – obvykle stačí podívat se na doménu, a pokud je tam třeba
gmail.com nebo
seznam.cz, je dost pravděpodobné, že dotyčný používá webmail.
Takže ve výsledku by celý ten útok na B vypadal tak, že by útočník poslal uživateli B e-mail s odkazem na stránku s exploitem. Pokud vás překvapuje, že v popisu toho útoku nikde nevidíte uživatelský účet A, je to správně, protože ten je ve vašem popisu útoku zcela zbytečný.
Pak již probíhá napadení infrastruktury firmy B a vlastní útok buď s podvrženou fakturou apod.
Pro provedení útoku s podvrženou fakturou není vůbec nutné napadat infrastrukturu firmy B, prostě stačí uživateli B poslat e-mail s podvrženou fakturou. Celé to závisí jenom na tom, zda jsou faktury elektronicky podepisovány a uživatel B podpis ověřuje. Pokud nejsou, opět stačí jen poslat e-mail uživateli B, není k tomu potřeba ani napadený účet A ani napadená infrastruktura firmy B.
Pokud jde o IP blokaci email B nepřijde
Nepřijde mu e-mail s pravou fakturou od pravého A. Místo toho mu přijde e-mail poslaný útočníkem z jiné IP adresy s falešnou fakturou. Díky zablokování toho pravého e-mailu přijde B jenom jedna faktura a ne dvě, což by samozřejmě vyvolalo podezření. Gratuluju, právě jste svou blokací významně přispěl k úspěchu útočníka.
desilatel A je notifikován o problému
Klidně je možné, že e-mail od A k B byl doručován přes několik serverů, na některém serveru se nepodařilo ověřit identitu odesílatele, takže zprávu o nedoručení nebude doručovat zpět, protože se s největší pravděpodobností jedná jen o reakci na spam, tedy falešnou zprávu o nedoručení. A i kdyby se e-mail o nedoručení dostal až ke schránce A, tu přece ovládá útočník, takže pro něj není žádný problém tu zprávu o nedoručení smazat. „A“ tedy o žádném problému notifikován není.
A ta finta speciálně se sorbsem, který jako jeden z mála sleduje i tuto síť útočníků je odhalí dřív
Myslel jste: „A ta finta speciálně se SORBSem, který jako jeden z mála sleduje i tuto síť útočníků, je odhalí dřív“? O jakou „tuto síť útočníků“ se jedná? O ničem takovém jste doteď nepsal. Jak SORBS „tuto síť útočníků“ sleduje?
zalistuje smtp na blacklist než přijde email s exploitem od A k B.
Na blacklistu bude server, přes který odesílá uživatel A. Útočník ovšem bude e-mail posílat přes úplně jiný server, takže ten e-mail s exploitem blacklist nezastaví.
Ohledně vaší námitky jak může databáze ip adres odchytit a označit emaily : Ta úvaha je špatná
Ano, ta úvaha je špatná, konečně se v něčem shodneme. Bohužel je to vaše úvaha, já jsem to, že „SORBS odchytí a označí e-maily“ pouze citoval z vašeho komentáře.
Nemůžu bohužel prozradit více.
K nějakému prozrazování jsme se ani zdaleka nedostali. Zatím pořád řešíme jenom to, aby vaše vyjádření byla v souladu s tím, co je SORBS, co a jak používá blacklist IP adres, co je to doména, jak funguje doručování e-mailů, jestli se webové stránky otevírají ve webovém prohlížeči nebo v poštovním klientovi a další úplně základní věci.
70 Odpovědí
40030 Zhlédnutí