SI24434A - Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova - Google Patents

Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova Download PDF

Info

Publication number
SI24434A
SI24434A SI201300194A SI201300194A SI24434A SI 24434 A SI24434 A SI 24434A SI 201300194 A SI201300194 A SI 201300194A SI 201300194 A SI201300194 A SI 201300194A SI 24434 A SI24434 A SI 24434A
Authority
SI
Slovenia
Prior art keywords
certificate
address
token
server
recipient
Prior art date
Application number
SI201300194A
Other languages
English (en)
Inventor
Lipičnik Aleš
ArtiÄŤek Jure
Klasinc David
Original Assignee
Connet D.O.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Connet D.O.O. filed Critical Connet D.O.O.
Priority to SI201300194A priority Critical patent/SI24434A/sl
Priority to PCT/SI2014/000036 priority patent/WO2015009247A1/en
Publication of SI24434A publication Critical patent/SI24434A/sl

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova omogoča pridobitev dodatne varnosti obiskovalcem spletnih strani. Spletni pečati z detekcijo, napadov z preusmeritvijo IP naslova (pharming) rešujejo problem odkrivanja napada na spletno mesto s tehnikami pharming, IP spoofing , DNS spoofing, ki v bistvu potvarjajo IP naslov spletnega mesta na določeni spletni domeni npr. 'www.moja domena.si'. Napadalec v takem primeru postavi kopijo spletnega mesta na drugem IP naslovu in z preusmeritvijo doseže, da zahteve za prikaz spletnih strani prispejo na lažni steznik. Izum omogoča, da je obiskovalec takšne spletne strani takoj obveščen o nepravilnosti/napadu in sicer tako, da je spletni pečat prikazan kot nepreverjen, ali pa v celoti izgine, ker ga je napadalec odstranil.

Description

SISTEM PODELJEVANJA SPLETNIH PEČATOV ZAUPANJA Z DETEKCIJO NAPADOV S PREUSMERITVIJO IP NASLOVA
Izum posega na področje varnosti uporabe interneta z vidika končnega uporabnika - obiskovalca spletnih strani.
Predemet zaupanj a zaupanj a izkazujejo izuma je sistem podeljevanja spletnih in postopek preverjanja verodostojnosti na spletnih straneh, s katerimi se podeljeni certifikati zaupanja.
pečatov pečatov običajno
Obiskovalci spletnih strani A so vse pogosteje žrtve spletnih prevar. Velik del spletnih prevar uporablja lažne spletne strani, ki so kopija originalnih strani kakšnega ponudnika. Za zaščito in ugotavljanje avtentičnosti spletnih strani je na voljo več ponudnikov t.i. izdajateljev certifikatov zaupanja B, ki s podelitvijo certifikata jamčijo verodostojnost strani oz. spletnega mesta v celoti. Prejemnik takšnega certifikata C na svojih straneh objavi pečat, najpogosteje v obliki sličice E. Ker je sličice pečatov zelo enostavno kopirati, se pri tehnološko naprednejših izdajateljih le-te servirajo iz strežnika izdajatelja in vsebujejo povezavo nazaj na strežnik izdajatelja. Preko takšne povezave lahko obiskovalec s klikom na pečat preveri avtentičnost pečata in strani v celoti.
Naprednejši sistemi zmorejo preveriti ime spletnega mesta (domene) iz katere prihaja zahteva za prikaz pečata. Na ta način lahko sistem certificiranj a v precej primerih zazna kopiranje spletnih mest s pečatom, ker se pečat pač zahteva iz napačnega strežnika.
Bolj napredne vrste napadov pa ohranijo ime strežnika na kopiji in potvorijo IP naslov strežnika tako, da kaže na lažno • · · spletno stran. V takem primeru osnovna detekcija imena strežnika odpove. Tovrstne napade na spletna mesta zasledimo pod imeni 'pharming', 'DNS spoofing', 'IP spoofing'.
Patenti ki obravnavajo področje detekcije 'pharming', 'DNS spoofing', 'IP spoofing' napadov je kar precej, vendar nobeden ne posega na področje detekcije preko storitve izdajanja certifikatov na spletu.
Patent US 2008/0060054 Al obravnava detekcijo pharming napada na osnovi poizvedbe preko dveh različnih infrastruktur izhajajoč iz delovne postaje odjemalca. Predlagani patent ugotavljanje pravilnosti IP naslova začne z zahtevo iz strežnika, ki je potencialno napaden, s čimer je metoda bistveno drugačna.
Patent US 2008/0055928 Al obravnava detekcij na osnovi t.i. 'belega seznama' (white pripadajočih veljavnih IP naslovov. Tudi uporablja t.i. 'beli seznam', vendar je nekoliko drugačna.
o pharming napada list) domen in pričujoči sistem uporaba le tega
Patent US 2009/0208020 Al obravnava detekcijo pharming napada preko programske opreme na strani odjemalca - t.i. password managerj a.
S sistemom in postopkom po izumu, lahko sistem certificiranj a zazna tudi tovrstne napade in ustrezno ukrepa, npr. obvesti obiskovalca o nepreverjenem pečatu zaupanja z ustrezno spremembo pečata.
Obiskovalec spletne strani s tem pridobi dodatno varnost. Tako zaščitena spletna stran bo vedno izkazovala stanje 'nepreverjeno', tudi v primerih, ko je bil obiskovalčev računalnik 'okužen' z virusom, ki preusmerja IP naslov določene domene.
Podobne rešitve prijavitelju niso poznane.
Izum je možno aplicirati v kateremkoli sistemu certificiranj a spletnih mest, ki izpolnjuje naslednje pogoje;
- v sistemu nastopajo tri entitete: izdajatelj certifikata B, prejemnik certifikata C in obiskovalec A spletne strani prejemnika certifikata C;
- izdajatelj certifikata B razpolaga s tehnologijo (spletni strežnik in spletna aplikacija), ki preverja zahtevke spletnega brskalnika obiskovalca A za prikaz pečata D. Pri tem ni nujno, da je pečat ravno slika, kar je najpogostejša oblika. Pečat je lahko tudi zvočni ali drugačen zapis, ki ga lahko človek zazna in prepozna;
- prejemnik certifikata C ima spletno mesto na katerem je objavil pečat po navodilih la izdajatelja certifikata B;
- prikaz pečata se zahteva s strežnika izdajatelja certifikata B, ki tudi preverja upravičenost zahteve za prikaz.
Izum ponazarjajo naslednje slike:
Slika 1: shematski prikaz sistema certificiranj a spletnih mest s certifikati zaupanja, ki vključuje nastopajoče entitete in podatkovne transakcije.
Slika 2: diagram poteka preverjanja verodostojnosti pečata zaupanja z vključeno detekcijo pravilnosti IP naslova spletnega mesta prejemnika certifikata C.
Slika 3: simbolični prikaz pečata zaupanja.
Ogled internetnih strani se začne z zahtevo za ogled strani 2a, ki jo sproži obiskovalec A na svoji delovni postaji s pomočjo spletnega brskalnika.
Strežnik zahtevane strani odgovori z vsebino spletne strani 2b. V kolikor je zahtevana stran v lasti prejemnika certifikata C in opremljena s pečatom po navodilih la izdajatelja certifikata B, brskalnik obiskovalca A nadaljuje z zahtevo za prikaz pečata 2c na strežnik izdajatelja certifikata B. Strežnik izdajatelja certifikata B odgovori z vsebino pečata 2d, ki jo brskalnik obiskovalca A nato prikaže oziroma predvaja.
Neodvisno od zgornjega postopka mora, v skladu z izumom, prejemnik certfikata zaupanja C na spletno mesto namestiti tudi programsko kodo, ki od strežnika izdajatelja certifikata B periodično zahteva lb podatkovni žeton T. Izdajatelj certifikata B na to zahtevo pošlje odgovor lc z veljavnim podatkovnim žetonom T, ki se shrani lokalno na strežniku
prejmnika certifikata C . Če zahteva lb ni bila prepoznana kot
veljavna, izdaj atelj certifikata B v odgovoru lc vrne
neveljaven/prazen žeton T.
Prej emnik certifikata C v nadaljevanju podatkovni žeton T
uporabi za pošiljanje obiskovalcem, ki zahtevajo ogled spletne strani 2a. Podatkovni žeton T se skupaj z zahtevano vsebino spletne strani 2b pošlje npr.v obliki t.i. 'piškotka' (cookie) ali na drug ustrezen način.
Ko je spletna stran v celoti prikazana v brskalniku obiskovalca A, lahko brskalnik začne preverjati avtentičnost pečata in posledično celotne strani, da se obiskovalec A zaščiti pred morebitnimi zlorabami. V ta namen pošlje zahtevo za prikaz pečata 2c izdajatelju certifikata B. Zahtevi za prikaz pečata 2c je dodan tudi podatkovni žeton T, ki je bil sprejet hkrati z vsebino spletne strani 2b od prejemnika certifikata C. Izdajatelj certifikata B na osnovi takšne zahteve lahko preveri, ali je zahteva prišla za pravo domeno, pa tudi ali je ta domena na pravem IP naslovu.
Po preverjanju, ki ga ponazarja Slika 2, izdajatelj certifikata B vrne pečat zaupanja v obliki, ki ustreza rezultatu preverjanja, torej 'preverjeno' D ali 'nepreverjeno' E, kot to v eni različici simbolično prikazuje slika 3.
Preverjanje poteka v treh korakih. Naprej se preveri ali je žeton T sploh prisoten v zahtevi za prikaz pečata 2c. V naslednjem koraku se preveri ali je žeton T veljaven, kar se ugotavlja iz pričakovane oblike zapisa žetona T in vsebine zapisa. Veljavnost žetona T je časovno omejena, kar je zapisano tudi v vsebini žetona.
V zadnjem koraku se preveri še veljavnost IP naslova strežnika prejemnka certifikata C. Del vsebine žetona T so tudi:
- enoznačna oznaka prejemnka certifikata C,
- enoznačna oznaka domene za katero je certifikat veljaven,
- IP naslov strežnika prejemnka certifikata C, s katerega je bila podana zahteva lb za žeton T.
IP naslov iz žetona T se primerja z veljavnimi IP naslovi domene na kateri prejemnik certifikata C prikazuje svoje spletne strani. Seznam veljavnih IP naslovov (white-list) prijavi prejemnik certifikata C.
Da bi sistem zaščite deloval mora izdajatelj certifikata B izpolniti nekaj predpogojev:
- izdajatelj certifikatov B zaupanja mora razpolagati z ustreznim strežnikom, programsko opremo in podatkovno bazo 3, ki omogoča opisane transakcije;
- izdajatelj certifikatov B mora v podatkovno bazo 3 registrirati/ zapisati prejemnika certifikata C, njegove spletne domene, ki naj bodo zaščitene in seznam veljavnih IP naslovov za posamezno domeno (white-list);
- prejemnik certifikata C mora na domeno, ki ji pripada certifikat zaupanja namestiti program pečata in program za osveževanje žetona T, izdajatelja certifikata B.
skladno z navodili la

Claims (6)

  1. PATENTNI ZAHTEVKI
    1. Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova za varno uporabo interneta obiskovalca spletnih strani značilen po tem, da vključuj e:
    izdajatelja certifikatov (B), ki razpolaga z infrastrukturo, ki vsebuje najmanj računalniški strežnik z ustrezno programsko opremo, podatkovno bazo (3) in internetno povezavo, pri čemer se v bazo podatkov (3) vpiše prejemnike certifikatov (C), njihove spletne domene in veljavne IP naslove teh domen;
    prejemnika certifikatov (C) , ki razpolaga s spletno domeno nameščeno na strežnik, na katerem ima delujoče spletno mesto z eno ali več spletnimi stranmi, pri čemer se na spletno mesto namesti pečat po navodilih (la) izdajatelja certifikata (B) in programska koda, ki od strežnika izdajatelja certifikata (B) periodično zahteva (lb) podatkovni žeton (T).
    obiskovalca certifikata informacijo prej emnika
    Postopek preverjanja verodostojnosti pečatov zaupanja na spletni strani prejemnika (C) značilen po tem, da se skupaj z zahtevo (
  2. 2c) za prikaz pečata iz delovne naprave (A) spletne strani pošlje izdajatelju (B) tudi podatkovni žeton (T), ki nosi o veljavnem IP naslovu spletnega mesta certifikatov (C), na osnovi katerega izdajatelj certifikatov (B) ugotovi veljavnost zahteve (2c) .
  3. 3. Postopek po zahtevku 2, značilen po tem, da se podatkovni žeton (T) prenese v delovno napravo obiskovalca (A) spletne strani hkrati z vsebino spletne strani (2b).
  4. 4. Postopek po zahtevku 2, značilen po tem, da se podatkovni žeton (T) periodično prenese iz strežnika izdajatelja certifikata (B) v strežnik prejemnika certifikata (C) s pomočjo programske kode, ki od strežnika izdajatelja certifikata (B) periodično zahteva (ib) podatkovni žeton (T) .
  5. 5. Postopek po predhodnih zahtevkih, značilen po tem, da se najprej preveri ali je žeton (T) sploh prisoten v zahtevi za prikaz pečata (2c); v naslednjem koraku se preveri ali je žeton (T) veljaven, kar se ugotavlja iz pričakovane oblike zapisa žetona (T) in vsebine zapisa; v zadnjem koraku se preveri še veljavnost IP naslova strežnika prejemnika certifikata (C), pri čemer se IP naslov iz žetona (T) primerja z veljavnimi IP naslovi domene na kateri prejemnik certifikata (C) prikazuje svoje spletne strani.
  6. 6. Postopek po predhodnih zahtevkih, značilen po tem, da je del vsebine žetona (T) enoznačna oznaka prejemnka certifikata (C), enoznačna oznaka domene za katero je certifikat veljaven in IP naslov strežnika prejemnka certifikata (C) , s katerega je bila podana zahteva (ib) za podatkovni žeton (T).
SI201300194A 2013-07-17 2013-07-17 Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova SI24434A (sl)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SI201300194A SI24434A (sl) 2013-07-17 2013-07-17 Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova
PCT/SI2014/000036 WO2015009247A1 (en) 2013-07-17 2014-06-10 System for granting web trust seals with detection of ip-address redirection attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SI201300194A SI24434A (sl) 2013-07-17 2013-07-17 Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova

Publications (1)

Publication Number Publication Date
SI24434A true SI24434A (sl) 2015-01-30

Family

ID=51492420

Family Applications (1)

Application Number Title Priority Date Filing Date
SI201300194A SI24434A (sl) 2013-07-17 2013-07-17 Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova

Country Status (2)

Country Link
SI (1) SI24434A (sl)
WO (1) WO2015009247A1 (sl)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11295301B1 (en) * 2017-12-15 2022-04-05 Worldpay, Llc Systems and methods for electronic certification of e-commerce security badges
CN110995848B (zh) * 2019-12-10 2022-09-06 京东科技信息技术有限公司 一种服务治理方法、装置、系统、电子设备及存储介质
EP3687140B1 (en) * 2020-04-07 2022-07-06 CyberArk Software Ltd. On-demand and proactive detection of application misconfiguration security threats
US11032270B1 (en) 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090043765A1 (en) * 2004-08-20 2009-02-12 Rhoderick John Kennedy Pugh Server authentication
JP4245014B2 (ja) 2006-08-09 2009-03-25 ソニー株式会社 バックライト装置、光源装置、レンズ、電子機器及び導光板
US20080060054A1 (en) 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming
US8397279B2 (en) * 2006-09-07 2013-03-12 Fazal Raheman Method and system of network integrity via digital authorization (NIDA) for enhanced internet security
US20090208020A1 (en) 2008-02-15 2009-08-20 Amiram Grynberg Methods for Protecting from Pharming and Spyware Using an Enhanced Password Manager
SI23779A (sl) * 2011-06-28 2012-12-31 Connet D.O.O. Spletni pečati s podpisom obiskovalca spletne strani

Also Published As

Publication number Publication date
WO2015009247A1 (en) 2015-01-22

Similar Documents

Publication Publication Date Title
Li et al. Analysing the Security of Google’s implementation of OpenID Connect
US8843516B2 (en) Internet security
US9241004B1 (en) Alteration of web documents for protection against web-injection attacks
Johns et al. RequestRodeo: Client side protection against session riding
EP3095225B1 (en) Redirect to inspection proxy using single-sign-on bootstrapping
Richer Oauth 2.0 token introspection
JP5598828B2 (ja) ソフトウェア署名証明書評判モデル
Mao et al. Defeating cross-site request forgery attacks with browser-enforced authenticity protection
US20050268100A1 (en) System and method for authenticating entities to users
US9021586B2 (en) Apparatus and methods for preventing cross-site request forgery
US8667294B2 (en) Apparatus and method for preventing falsification of client screen
Boniface et al. Security analysis of subject access request procedures: How to authenticate data subjects safely when they request for their data
US8904521B2 (en) Client-side prevention of cross-site request forgeries
US9521138B2 (en) System for domain control validation
US9178888B2 (en) Method for domain control validation
CN102355469A (zh) 在浏览器地址栏展示网站是否为可信验证的方法
SI24434A (sl) Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova
CN102255894A (zh) 网站信息验证方法、系统及解析服务器
TWI397297B (zh) 經由第三方位址中內植之登入式標記存取網路服務供應者之方法與系統
KR100956452B1 (ko) 피싱공격 방지 방법
US20090094456A1 (en) Method for protection against adulteration of web pages
JP6444344B2 (ja) 認証サーバ、仲介サーバおよび広告配信サーバ
SI23779A (sl) Spletni pečati s podpisom obiskovalca spletne strani
CN105635322B (zh) 一种基于图像签名验证网站真实性的认证系统及认证方法
Ellison et al. Security and privacy concerns of internet single sign-on

Legal Events

Date Code Title Description
OO00 Grant of patent

Effective date: 20150209

KO00 Lapse of patent

Effective date: 20180320