Vlákno názorů k článku Whalebone: Češi v cloudu zpracovávají kyberhrozby, stačí přesměrovat provoz od Lemming - Pokud to funguje na principu DNS přesměrování, tak...

Pokud to funguje na principu DNS přesměrování, tak to bude mít problém s HTTPS odkazy - uživateli bude vyskakovat, že web má chybný certifikát, ne?

nebude, https certifikáty jsou převážně vázány pouze na doménu, na ip se běžně nepoužívají a ani to ani často žádoucí.

Bude to mít ale problém s DNSSec, nedával jsem ale dostatečný pozor a teď nevím, jestli vrací jinou IP adresu, což by mělo právě problém s DNSSec validací nebo vrací, že záznam je nenalezen.

Podle obrazku v clanku to vypada, ze presmeruji odpoved na jine IP, kde se zobrazi napr. varovani. Takze DNSSEC asi bude taktez problem. Ale treba to bude vyreseno, pokud cilova domena pouziva DNSSEC, vrati se v odpovedi neexistujici zaznam.

Certifikat by tomu vadit asi nemel (v nejhorsim napise prohlizec, ze je certifikat serveru invalid...). DNS dotazy se resi jeste pred navazanim HTTP ci HTTPS spojeni. Melo by to asi fungovat tak, ze klient posle DNS dotaz (do toho Whalebone) na adresu, kam se chce klient pripojit. A pokud (Whalebone) bude mit v databazi (ze to domenove jmeno je malware sit), tak vrati v odpovedi klientovi IP adresu serveru, kde se na jakykoliv HTTP request rekne, ze je to malware sit. Nic slozityho bych za tim nehledal. Alespon z toho clanku to tak zni. Tohle zvladne bezny antivirak, teda ten toho zvladne mnohem vice, tohle je jen jednoduche k nasazeni.

https zkomplikuje HPKP, to také není bez rizika, Na druhou stranu je cíl splněný, uživatel se nedostane na cílový nebezpečný web :).

Problém antiviráku je, že je přímo na dané pc a může být odstavený.

Souhlasím a kromě odstavení antiviru také hraje roli to, že ne na všechna zařízení jsou antiviry k dispozici. Předpokládáme, že počet všech možných typů "smart" zařízení poroste.

No právě. Uživatel bude chtít jít na https://www.napadenyweb.cz. DNS s tímhle udělátkem vrátí IP stroje, kde mu to má říct, že je tam malware. Prohlížeč se tedy spojí přes HTTPS na počítač na tom IP, ale ten podepsaný certifikát pro www.napadenyweb.cz mít nebude.

Leda by tohle řešení obsahovalo i CA, jejíž certifikát by si člověk musel nainstalovat.

DNSSEC i HPKP (nebo i samostatné https) vnímáme jako velmi důležité bezpečnostní mechanismy, které nechceme obcházet a generovat tak zranitelnosti v ověřování autenticity a integrity (např. tak, že bychom někomu nutili přidání důvěry naší certifikační autority) na úkor našeho řešení.

Oba zmíněné protokoly jsou pro nás důležité ve chvíli, kdy chceme uživateli zobrazit varování a některý z protokolů je využit. Varování o závadné doméně bude z pohledu uživatele výjimečná situace a bude závislé na konfiguraci služby pro danou síť. Za takových okolností nebude možné zobrazit srozumitelné varování (ale administrátor může být na situaci upozorněn).

Rád bych ještě zmínil, že se jedná o situaci, kdy uživatel přistupuje na závadnou doménu z browseru přímo. Pokud Whalebone zablokuje načtení závadného iframu, nedovolí komunikaci podvrženému skriptu nebo zablokuje komunikaci s c&c serverem, tak uživatel rozdíl pravděpodobně ani nezaznamená.

Robert Šefr
https://whalebone.io/