Ognuna delle tue affermazioni qui fa una falsa supposizione:
La maggior parte dei siti web che visito ha un certificato SSL.
È fantastico, ma SSL / TLS ti protegge solo da alcuni tipi di attacchi.
Praticamente, un sito che ha un certificato TLS (valido) significa semplicemente che il proprietario di quel sito web ha in qualche modo dimostrato la proprietà del nome di dominio utilizzato per accedere al sito, possibilmente spendere una grande quantità di denaro per farlo (o forse non spenderne nessuno). Di solito, questo significa che puoi fidarti che il sito è quello che dicono di essere, salvo lo spoofing del dominio (che tratterò in risposta al tuo terzo punto). Tuttavia, potrebbe non significare questo (vedi ad esempio il fiasco che ha ottenuto la revoca / non fiducia di tutto ciò che è stato emesso da Symantec all'inizio di quest'anno). Quindi, un certificato TLS in realtà verifica solo la proprietà del sito, non che il sito sia legittimo o che stia facendo quello che dice di essere.
I certificati TLS offrono un ulteriore vantaggio di protezione, ti consentono di utilizzare HTTPS. HTTPS fornisce esattamente due tipi di protezione se utilizzato correttamente :
- Fornisce un livello ragionevolmente alto di sicurezza che i dati che stai ricevendo sono gli stessi dati che il Web server inviato. Questo è importante per garantire che nulla sia stato aggiunto o rimosso dal sito da terze parti mentre era in transito verso di te.
- Fornisce un livello ragionevolmente alto di fiducia che i dati che stai trasferendo siano non visibile in transito a terze parti. Questo è il motivo per cui è così importante assicurarsi che qualsiasi sito a cui si fornisce una password o dati personali utilizzi HTTPS.
Questo ti lascia ancora aperto a parecchi attacchi. La più ovvia è che il server web venga violato (o il CDN se ne sta usando uno). Ce ne sono anche altri, come attacchi XSS, pubblicità dannose (si pensi a tutti i siti perfettamente legittimi là fuori che hanno reindirizzamenti automatici nascosti a siti dannosi a causa degli annunci che utilizzano) e attacchi allo stesso TLS (tali attacchi sono il motivo per cui non sono sensati l'operatore utilizza ancora SSLv2 o SSLv3, entrambi sono noti come non funzionanti). Quindi, HTTPS / TLS / SSL di per sé non è una protezione rigorosa.
Inoltre, come hai detto tu stesso, la maggior parte dei siti web che visiti utilizza TLS, non tutti. Pensa molto se dovresti davvero fidarti di quegli altri siti che non lo utilizzano, se non sono disposti a dedicare cinque minuti per configurare i loro server con certificati gratuiti di LetsEncrypt, quali altri gli aspetti della sicurezza stanno tagliando gli angoli?
La maggior parte di loro sono abbastanza grandi da poter essere certi che non possono essere hackerati, o abbastanza piccoli da non pensare che sia redditizio per gli hacker.
Non hai guardato nessuna notizia negli ultimi dieci anni? Solo in termini di divulgazioni pubbliche , ci sono dozzine di attacchi noti a siti con oltre 100 milioni utenti (questo è un grande sito secondo le definizioni della maggior parte delle persone, poiché 100 milioni sono più dell'1% della popolazione mondiale e probabilmente più vicino al 3-4% del numero totale di persone su Internet). Suggerisco di dare un'occhiata all ' elenco di violazioni pubbliche su Have I Been Pwned?, ci sono alcuni grandi nomi, inclusi quelli che gestiscono dati molto sensibili ( Experian per esempio). Quindi no, non è realistico aspettarsi che qualcosa sia "troppo grande per essere hackerato". In effetti, i grandi siti sono alcuni degli obiettivi più attraenti per gli aggressori, perché hanno molti utenti. Hanno anche una reputazione notoriamente negativa per quanto riguarda la divulgazione pubblica di violazioni della sicurezza (hanno più incentivi a non farlo, poiché hanno più potenziali clienti da perdere).
D'altro canto, i piccoli siti sono facili , anche se non attraenti. Se pensi ai grandi siti come investimenti ad alto rischio per gli hacker, quelli piccoli sono investimenti a basso rischio. Potrebbero non dare tanto in termini di rendimento, ma spesso daranno rendimenti molto più consistenti, quindi sono comunque bersagli interessanti.
Inoltre, considera che molto spesso gli aggressori prendono di mira software che è vulnerabile, non necessariamente siti specifici. WordPress è un buon esempio, poiché viene utilizzato su siti sia grandi che piccoli ed è stato utilizzato con successo più volte in passato come vettore di attacco.
Sento odore di siti Web di pesce
Prima di tutto, solo perché un sito non è "sospetto" non significa che non sia una minaccia. Ci sono anche alcuni siti legittimi che sembrano "sospetti" secondo le definizioni di molte persone.
In secondo luogo, non è difficile copiare un sito legittimo, ma con il risultato si continuano a fare cose illegittime. Lo spoofing del dominio, nelle sue varie forme, viene spesso utilizzato per questo. Qualche tempo fa c'era un post sul blog piuttosto buono su un grande sito di infosec (che purtroppo non riesco a trovare in questo momento, altrimenti lo collegherei qui) a dimostrarlo con apple.com.
tipo di cose che devi cercare ma che probabilmente non riesci a individuare, puoi dire la differenza tra uv e υν? No, questa non è una domanda a trabocchetto, la prima sono le lettere latine minuscole "u" e "v", mentre la seconda sono le lettere greche minuscole upsilon e nu. Nella maggior parte dei caratteri sans-serif (come quelli utilizzati da quasi tutti i browser nella barra degli indirizzi e il carattere predefinito sulla maggior parte dei siti secondari SE), queste due coppie di caratteri sono quasi indistinguibili. Anche in molti caratteri serif, sono difficili da distinguere per la maggior parte delle persone. Allo stesso modo, АВ è in realtà una coppia di caratteri cirillici, non latini, e di nuovo è indistinguibile dal latino "AB" nella maggior parte dei caratteri. Entrambi i casi illustrano esempi di attacchi omografici IDN, una tecnica in base alla quale gli aggressori sfruttano la somiglianza di caratteri diversi che sembrano simili o identici per indurre le persone a seguire i loro collegamenti facendoli sembrare collegamenti a siti Web legittimi.
molto, non dare per scontato che sarai in grado di riconoscere un sito che è una minaccia finché non sarà troppo tardi.