The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Техника успешного внедрения в SSL соединение"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Техника успешного внедрения в SSL соединение"  +/
Сообщение от opennews (??) on 20-Фев-09, 14:23 
На конференции Black Hat была продемонстрирована (http://www.securityfocus.com/brief/910) успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров.


Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна - разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил проце...

URL: http://www.securityfocus.com/brief/910
Новость: http://www.opennet.dev/opennews/art.shtml?num=20390

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


11. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Sw00p aka Jerom email on 20-Фев-09, 16:20 
поставь галку в ФФ

i am about to view an encrypted page that contains some unencrypted information

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 20-Фев-09, 15:20 
>номеров кредитный карт<

Надеюсь у них не хватит мозгов опубликовать код...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 20-Фев-09, 15:54 
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...

А я очень надеюсь на это... чтобы код был опубликован...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Painbringer on 20-Фев-09, 16:13 
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...

читать надо новости

> Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от User294 (??) on 20-Фев-09, 20:34 
>Надеюсь у них не хватит мозгов опубликовать код...

Нет уж, в криптографии метод страуса не катит.Если проблема есть - ее нужно знать.И исправлять.И появление утилиты поспособствует этому.А иначе такие утилиты все-равно появятся но только сугубо у плохих парней.Которые будут втихаря тырить инфо и навариваться.По мне так уж лучше короткий по времени пиндец который сподвигнет всех на учет новых реалий чем длительный и тихий тыреж конфиденциальной инфы хаксорами при пофигизме админов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Volodymyr Lisivka on 21-Фев-09, 03:56 
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...

Уже сто лет как. Типичная прокся для отладки кода. В веб-девелопменте используют когда утилита для тестирования не может подключится по https. Selenium так работает например.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 20-Фев-09, 15:32 
>>Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.

ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты задалбывают и их отключают. Вот и результат?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от User294 (??) on 20-Фев-09, 20:37 
>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты
>задалбывают и их отключают. Вот и результат?

Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг, дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем их закидают обеспокоенные юзеры...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от ABC (??) on 20-Фев-09, 23:06 
>>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты
>>задалбывают и их отключают. Вот и результат?
>
>Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты
>как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо
>сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг,
>дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем
>их закидают обеспокоенные юзеры...

В принципе, правильно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 20-Фев-09, 16:07 
и как жить будем если опубликуют?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от alikd on 20-Фев-09, 16:13 
>и как жить будем если опубликуют?

Жить будем лучше. Станем более внимательнее, избавимся от некоторых иллюзий. А может даже и браузеры станут лучше. )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 20-Фев-09, 17:26 
>на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные

Тор - и есть главная уязвимость, прямая угроза man in the middle. Умникам осталось лишь раструбить на какой-нибудь конференции. Уже далеко не первый случай и, наверное, не последний. Боянистов нынче много развелось.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от User294 (??) on 20-Фев-09, 20:38 
>Тор - и есть главная уязвимость, прямая угроза man in the middle.

Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от gest on 21-Фев-09, 04:35 
Дак вобще-то SSL защищен от атаки "человек на проводе." Так что никакой роутер вам не поможет в прослушивании SSL сессии.

А тут я так понимаю шифрование просто обошли, отправляя данные пользователя на исходный сайт просто по HTTP и возвращая результат обратно пользователю.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от bunny on 23-Фев-09, 12:58 
Та ну не знаю, как оно там защищено - внутри одного хаба нормально все было видно просто с использованием, напрмер, ethercap. Именно по "чел посередине". Сначала косыми ARP стал между клиентом и сервером - а дальше все данные видел. Основное условие - успеть стать посредине в момент хэндшейка. Если не успел - то да.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 21-Фев-09, 14:02 
>>>Тор - и есть главная уязвимость, прямая угроза man in the middle.
>
>>Более того - любой роутер и прочая байда по пути - тоже
>>прямая угроза MITM-а.Прикиньте, да?!
>Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!

Ты априори доверяешь своему провайдеру (если не рассматривать всякие нужные криптографические штучки, вроде предварительного распределения ключей и т.п.). Что ж, легче доверять провайдеру, которому это нафиг не нужно, чем каждому красноглазому хацкеру из тора.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Timka (??) on 20-Фев-09, 18:03 
"разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт"

Что-то мне подсказывает, что 16 из 16 номеров этих кредитных карт уже "были украдены до нас" :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от аноним on 21-Фев-09, 03:07 
а ктото сомневалсо что это не возможно? это был вопрос времени =)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от FireWolf on 21-Фев-09, 08:42 
Может я что-то и не допонял из новости, но по-моему самое простое это проксировать https на http и заменять адрес в отдаваемой странице с https на http... (ну и запонминать так же как NAT/PAT)
Чтож в этом удивительного - не изобрели ничего, просто показали что очень много людей готовы предоставить свои данные всем кто этого захочет...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от XoRe (ok) on 24-Фев-09, 16:00 
Если кто не понял, то атака типа:
БЫЛО: юзер - https - сайт
СТАЛО: юзер - http - прокси - https - сайт

Я бы сказал, что это скорее из социальной инженерии.
И внедрение не в SSL соединение, а в моск юзера =)
Само SSL соединение работает безупречно.
Просто оно работает между сайтом и прокси.
А юзеры (особенно те, которые на IE) не видят, что у них в адресе http вместо https.
В FireFox, если зайти на https://addons.mozilla.org/ru/firefox/, то сразу видно, что https - пол адресной строки забирает уведомление о https =)
Так что это атака на внимательность пользователей, а не на SSL.

P.S.
И нехрен светить номера кредиток, лазая через Tor.
Это все равно что передавать свои данные просто по http.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Техника успешного внедрения в SSL соединение"  +/
Сообщение от Аноним (??) on 26-Янв-10, 23:41 
Идея проста до безобразия, но бьет очень точно.
Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)
Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру