20.02 // Техника успешного внедрения в SSL соединение
На конференции Black Hat была продемонстрирована успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров.
Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна – разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил процесс аутентификации. Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.
Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.
Источник: OpenNet
Да и вообще люди разные, для разных целей пользуются Tor'ом. Могли и свои кредитки использовать.
Того, что вы называете "мутью" тут менее 10%. Да и Tor-траффик составляет ничтожную часть всех SSL-соединений, просто он хорошо подходит для этого эксперимента. И о какой притянутой аргументации идёт речь?
зы
"Вы правы, Ватсон, я имею прямое отношение к преступному миру. Я -СЫЩИК! :)"
Не знаю зачем тут перевели стрелки на сами шапочки, но присутствие докладчика на конференции не делает ни его самого, ни его презентацию, более весомыми и содержательными просто по факту их зачитки там. Ну и гляньте цвет прессы (которые даже для перевода выбирают соответствующие источники) которая наиболее бурно реагирует на вполне очевидные вещи, но зачитанные со столь высокой трибуны блэкхатов.
Касательно презентации Мокси, самая интересная часть, и при том отчего-то самая краткая, состояла в трюках с интернациональными доменами. В отличии от игр с внешним видом иконок и содержимого, которой (игре) в его слайдах отведена большая часть, этот вид изобретенной на новый лад атаки, позволит обмануть даже подозрительного пользователя. Ссылка (если идти по ссылке с незащищенной страницы) будет выглядеть почти как обычно, в строке адреса будет все выглядеть тоже прилично и браузер даже на сертификат не будет ругаться.
Но к проблемам именно SSL это не имеет никакого отношения, и внедряться будут не в уже установленный между пользователем и банком, с правильно заверенным сертификатом, сеанс. Внедряться будут в мозг пользователя, через разъемы которые предварительно ему долго и тщательно встраивались. Если перечитывать много раз, более-менее нейтральный текст перевода с опеннета, это все равно не очевидно, даже если его скурить.
Вообще говоря, делает (при прочих равных). Есть оргкомитет (более-менее квалифицированный, и обычно состоящий из ведущих специалистов области), который оценивает заявки на конференцию, и дядю Васю с нулевыми результатами туда не пропустят (сам выступал, правда не на blackhat, потому немного знаю эту кухню).
- Отключите интернациональные шрифты для строки адреса
- Поставьте внятные чёткие шрифты
Тогда будет сразу видно, интернациональный символ или слэш в адресе. Кстати, в презентации китайские "слэши" от нормальных довольно сильно отличаются на вид. Также стоит учесть, что нормальные слэши всегда есть в строке адреса, ибо начинаться адрес обязан как https://.Как контрмера, можно запретить левые вопиющие символы при регистрации доменов, но это уже юридический уровень.
А вообще, уязвимости, основанные на коллизии между разными алфавитами были известны ещё давно. И на конкретно pgpru они не раз обсуждались (даже меры противодействия вырабатывались).
Она и сейчас одна из лучших в мире (говорю как чел который учился и в этой стране, и заграницей).
[/offtop]
комментариев: 11558 документов: 1036 редакций: 4118
В высшей школе это чуть менее, чем полностью зависит от вуза и факультета. А в целом всё очень плохо, особенно в школе средней. Если за рубежом ещё хуже, то апокалипсис не за горами.
[/offtopic]
Вот слайды доклада, а тут есть видеозапись тех же слайдов под аудиозапись доклада + исходники экслоита на питоне (stripped-down public release). Обсуждайте, коли есть желание.
Многие современные школьшые учителя уже не могут решить многие математические задачи для дореволюционных гимназистов. А ведь в ближайшие десятилетия, в связи с исчерпанием нефтяных запасов, предстоит переводить всё промышленное производство на новые сырьевые источники. Откуда инженеры-то возьмуться?
[/offtop]
В Америке предлагалось ввести в качестве обязательного вопроса на вступительном экзамене в вуз умение делить 111 на 3 в уме. © Арнольд. А вообще, когда наши, даже из самых захудалых школ переводятся в типичные забугорные они там становятся отличниками. Если всё назвать своими словами, то типичный иностранец соответствует уровню медицинский дибила/робота/
абстрактноемышление не развито. Представьте себе российскую школу где практически нет домашних заданий, контрольных и аттестации – вот это и будет типичная забугорная школа. Секрет прост: есть деньги, МНОГО ДЕНЕГ, а тогда ума и не надо. Когда нужны реальные специалисты они их завоязт тоннами с Индии и Китая.Вы прям как не в РФ :) Забыли кодовую фразу? "Сейчас живём, а после нас – хоть потоп" ©. Именно ей всё и определяется в "этой стране" (впрочем, в большинстве других не лучше).
[/off]
Дело тут даже не в том, что мы "сидим на трубе" в экономическом смысле, и не в том, что автомобили ездят на бензине, а в том почти всё производство на "этой планете" зависит от продуктов нефтепереработки и новые технологические процессы нужно будет создавать заново. Вопрос, кто это будет делать, если курс на всеобщую дебилизацию будет продолжаться?[/offtop]
комментариев: 9796 документов: 488 редакций: 5664
Зачем удалять, давайте повесим на видное место и разведём еще больше флуда.
По марксистско-ленинской системе предполагалось, что смена общественного строя связана в том числе с изменением средств производства, вооружений, техническим прогрессом и потом уже сменой экономических и политических отношений.
Серьёзные вопросы из зала не приветствуются, так как это не имеет отношения к теме.
В Советском Союзе трудились два академика ВАСХНИЛ – Трофим Денисович Лысенко и Николай Иванович Вавилов. Трофим Денисович горячо оппонировал разрабатываемой Николаем Ивановичем теории генетики. Результатом научного спора академиков явились три последовательных события:
Николай Иванович умер от голода в тюрьме № 1 г. Саратова.
Теория Трофима Денисовича после его смерти канула в Лету, прихватив с собою имя ее разработчика.
А теория генетики Николая Ивановича выросла в самостоятельную Науку и нынче обеспечивает население Земли продовольствием, попутно предоставляя инструментарий для клонирования овечек Долли, который, со временем, позволит человечеству победить саму Смерть.
комментариев: 9796 документов: 488 редакций: 5664
Представьте, что все уже умерли, человечество наконец-то погибло от собственной глупости, справедливость таким образом окончательно восторжествовала, остались абстрактные Алиса и Боб. Сможет Мэллори внедриться в SSL-соединения?