Насколько безопасно SSL и HTTPS при просмотре от посторонних. Пров, СОРМ ?
Собственно вот я к примеру просматриваю почту в вебе через https, сможет ли пров или кто там за провом сидит перехватить почту?
Я законнектился с удаленным серваком через Putty опять же SSH, можно ли из трафика инфу какую вытянуть, там пароли, комманды и т.д.?
комментариев: 9796 документов: 488 редакций: 5664
пароли нет, только явки (по анализу траффика) ;-)
комментариев: 11558 документов: 1036 редакций: 4118
Для SSHv1, кажется, были атаки на различение трафика. Другое дело, что эта версия протокола ныне почти не используется.
Я не в курсе, поясните, пожалуйста.
комментариев: 11558 документов: 1036 редакций: 4118
Поскольку браузеры по умолчанию не диагностируют SSL-подключения, если сертификат сайта заверен доверенным УЦ, то всё, что требуется от противника для MITM-атаки — это получить собственный сертификат для того же домена, но от другого доверенного УЦ. В итоге пользователь даже не заметит подмены.
Некоторые браузеры отображают информацию о поставщике SSL-сертификата. Для Firefox даже было расширение (Trustbar, кажется), которое показывало здоровенный логотип УЦ, чтобы пользователь уж точно не пропустил подмену. Но это просто костыли, не устраняющие ошибки в модели угрозы.
Кстати, ту же самую хитрость можно распространить и на S/MIME-шифрованные письма. (Разница только в том, что серверный сертификат зачастую можно получить в полностью автоматическом режиме, а для получения персонального сертификата всё-таки как нужно доказать свою личность. Ну, или получить "содействие" от УЦ.)
Спасибо, понял.
Я-то уж грешным делом подумал, что пропустил каку-то фундаментальную новость, и PKI, нажитую честным коммерческим трудом, можно выбрасывать на помойку :)
Отлегло :)
комментариев: 11558 документов: 1036 редакций: 4118
на счет сертификата, в мозиле в внизу замочек там же щелкаешь и пишутся свойства сертификата ?
Стоит, стоит... без него пров лицензию не получит на предоставление услуг связи (просто и банально).
комментариев: 11558 документов: 1036 редакций: 4118
Анализируется трафик (принадлежность к единой tcp-сессии, адреса клиента и сервера, порты, время и пр.), а не содержание протокола. Деталей информации, передаваемой внутри SSL, это не раскрывает, но позволяет строить некоторые общие предположения.
комментариев: 9796 документов: 488 редакций: 5664
Одни позволяет определить тип передаваемых данных (файлообмен, почта, работа браузера).
Другие позволяют нарушать анонимность.
Так, в работе "Inferring the Source of Encrypted HTTP Connections" приводятся такие оценки.
Пусть в 2006 году по данным Неткрафта в Интернете было 38 миллионов активных сайтов.
Тогда для создания их статистического профиля группа из 400 работников, обрабатывающих по 600 сайтов в час на полуавтоматизированной системе могла бы обновлять их статистические профили за неделю. Статистический профиль всего Вэб-контента Интернета займёт 13 Gb. Ещё эффеективнее эту задачу может решить Google.
С помощью такого статистического профиля можно вычислить обращение к сайту через VPN, или SSH туннель с вероятностью 66-90%.
Также можно определять кто что делает по беспроводной сети и т.д.
Защита (но неполная) от такого анализа трафика есть в сети TOR, т.к. там используется приведение размера пакетов к стандартному виду и из них убирается лишняя служебная информация.
комментариев: 1060 документов: 16 редакций: 32
http://www.wired.com/threatlev.....03/packet-forensics/
Небольшая компания Packet Forensics производит устройства для организации MiTM атак против SSL. Естественно, для произведения атаки необходимо получить поддельный сертификат у какого-либо удостоверяющего центра. Verisign уже успела заявить, что никогда не выпускала поддельных сертификатов.
комментариев: 9796 документов: 488 редакций: 5664
По этой новости возможно опубликуем перевод работы Кристофера Согояна, где рассказывается, что фальшивые сертификаты раздаются
направо и налевов специально установленном для сотрудничестве с госорганами порядке и прослушивание осуществляется. Достаточно склонить к сотрудничеству одного из более чем ста центров сертификации.То что модель инфраструктуры открытых ключей для сертификатов, в которых доверие между пользователями (клиентом и сервером) исходит из третьей стороны (удостоверяющий центр выдачи сертификатов) — ущербна, для специалистов не новость. Согоян лишь формализовал атаку в рамках этой модели и показал, что факты использования этих атак можно встретить на практике.
Если УЦ скомпрометирован, то идея с заверенными сертификатами да, ущербна. Но это если УЦ скомпрометирован.