id: Гость   вход   регистрация
текущее время 02:22 29/03/2024
Владелец: ParanoidAnt (создано 20/02/2009 17:40), редакция от 20/02/2009 17:44 (автор: SATtva) Печать
Категории: криптография, софт, анонимность, анализ трафика, протоколы, tor, стандарты, x.509, атаки, ssl, человек посередине
https://www.pgpru.com/Новости/2009/ТехникаУспешногоВнедренияВSSLСоединение
создать
просмотр
редакции
ссылки

20.02 // Техника успешного внедрения в SSL соединение


На конференции Black Hat была продемонстрирована успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров.


Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна – разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил процесс аутентификации. Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.


Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.


Источник: OpenNet


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— Гость (24/02/2009 15:15, исправлен 24/02/2009 15:24)   <#>
[off]
В Советском Союзе трудились два академика ВАСХНИЛ – Трофим Денисович Лысенко и Николай Иванович Вавилов. Трофим Денисович горячо оппонировал разрабатываемой Николаем Ивановичем теории генетики.

Вот мнение уважаемого академика Ольшанского, который писал: "Многие противники Лысенко в своей борьбе против его научных взглядов пользуются недостойным приемом – клеветой, восстанавливая против него общественное мнение. Распространяют слухи, что якобы по вине Лысенко погибли видные советские биологи, другие были уволены со своих постов, третьи подвергались всякого рода гонениям. Муссируется клевета о виновности Т. Д. Лысенко в гибели академика Н. И. Вавилова и ряда других советских ученых."

Вавилов и Лысенко, тайное становится явным

Теория Трофима Денисовича после его смерти канула в Лету, прихватив с собою имя ее разработчика.

современные гипотезы в области молекулярной биологии больше соответствуют идеям Лысенко, а не морганистов. Многие положения Лысенко по генетике, которые не признавались его современниками, в настоящее время полностью подтвердились, как, например, положение о том, что наследственность может передаваться не только половым путём, но и соматическими клетками, а также и многие другие.

http://www.contr-tv.ru/common/2790/

Инструментарий для клонирования овечек скорее послужит обратной цели, поскольку программирование вообще чревато ошибками, а тут правка сложной систем на уровне машинного кода (фактически, хакерство) при непонимании (и даже догматическом отрицании существавания) общего замысла да ещё и в корыстных целях. При несистемном исправлении ошибок вносятся новые, и наступает момент, что система становиться неисправимой, потому что при исправлении делаются новые ошибки, ущерб от которых больше, чем от старых. Особенно когда образованность и нравственность падает, а доступность и сила инструментов растёт. Я даже не говорю о сознательных злоупотреблениях.
[/off]

человечество наконец-то погибло от собственной глупости, остались абстрактные Алиса и Боб. Сможет Мэллори внедриться в SSL-соединения?
Судя по тому, что остались, а значит не глупы, то не сможет. Только это абстрактный аргумент, а на практике в защите как раз нуждаются слабые, умом в том числе.
— Гость (24/02/2009 15:22)   <#>
Сорри, перед ссылкой "Вавилов и Лысенко, тайное становится явным" забыл закрыть комментарий.
— unknown (24/02/2009 16:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А что мы только науку, да историю обсуждаем.
Давайте плавно перейдём к искусству. Может Моцарт и Сальери имеют не меньшее отношение к рассматриваемому вопросу, чем Вавилов и Лысенко?
— SATtva (24/02/2009 16:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, господа, пофлудили и хватит.
— unknown (24/02/2009 16:34, исправлен 24/02/2009 16:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Инструментарий для клонирования овечек скорее послужит обратной цели, поскольку программирование вообще чревато ошибками, а тут правка сложной систем на уровне машинного кода (фактически, хакерство

В конференции codecon 2009 впервые будет раздел биохакерство:

http://www.codecon.org/2009/cfp.txt


* Purifying DNA using common household items
* Developing genetically-modified bacteria in a kitchen laboratory
* Using specially-designed software to assist in bioengineering
* The use of simple bioengineering techniques to solve real-world
problems.

В комитете – знакомые деятели:

Jon Callas, PGP, USA
Roger Dingledine, The Tor Project, USA
Nick Mathewson, The Tor Project, USA
Paul Syverson, Naval Research Laboratory, USA

Так что за будущее американского образования и науки можно быть спокойным.
— Гость (24/02/2009 21:09)   <#>
[off]
Инструментарий для клонирования овечек скорее послужит обратной цели, поскольку программирование вообще чревато ошибками, а тут правка сложной систем на уровне машинного кода (фактически, хакерство) при непонимании (и даже догматическом отрицании существавания) общего замысла да ещё и в корыстных целях. При несистемном исправлении ошибок вносятся новые, и наступает момент, что система становиться неисправимой, потому что при исправлении делаются новые ошибки, ущерб от которых больше, чем от старых.

Тезис звучит круто, но есть ещё одно маленькое но: всё так, только когда система никогда не замораживается и в неё до бесконечности продолжают вносить новые фичи, пока она не распухнет до степени лопания под собственным весом багов.

По теме "науки vs страна" в одном исследовании по статистике нобелевских лауреатов указывалось, что наибольший процент таковых с штатов, и при этом там в основном кореные жители "той страны". Как может быть такое, что лучшей научной школе соответствует самое слабое школьное образование, я для себя так и не понял. Возможно, современные результаты, тянущие на нобелевку, опреедляются больше техническим оснащением, чем остальными факторами. Также, дело может быть в отголосках холодной войны, когда там были вынуждены создавать и поддерживать сильные научные школы.
[/off]
ЗЫ: SATtva, извините, не удержался прокомментировать.
— Гость (25/02/2009 06:43)   <#>
[off]
Как может быть такое, что лучшей научной школе соответствует самое слабое школьное образование, я для себя так и не понял
"Американский университет это место, где русские евреи учат китайцев высшей математике." ©
[/off]
— Гость (30/07/2009 19:56)   <#>
Мокси, такой мокси. Он опять это сделал. Если прошлый раз описывали как "слом" SSL, то сейчас можно сказать проще: Мокси "поимел" все ваши интернеты.
— __Ivan__ (17/01/2010 15:58)   <#>
береженного Бог бережет.
— Гость (05/02/2010 07:05)   <#>
[offtop]
Мокси "поимел" все ваши интернеты.
Ответ не заставил себя ждать:
A Note On The Cost Of Research:

PayPal has responded to the research that I've published by suspending my account. This means that, in addition to having my assets seized, I can no longer receive PayPal donations from people who would like to support my research. I've switched to Amazon's payment system, which I am now accepting donations through.
http://www.thoughtcrime.org/software/sslstrip/ Глядя на некоторые его разработки, типа всем известного port knocking, начинаешь понимать отличие между хакерскими разработками и академическими. Как описывается изначальный смысл первых, это умение быстро "подштопать", "подляпать", что-то где-то в глубине системы поменять, не особо заботясь о последствиях, но лишь о сиюминутном результате – получается так называемых "грязный хак". Академические – это в противовес длинная тягомотина, где мало результата но много "никому не нужной теории" (читай – чтобы понять её нужность, нужно самому заниматься наукой), зато результат чёткий и работает везде и всегда без неожиданностей в рамках допущений. Вот тот же порт кнокинг: защищает лишь от сверхслабого противника при очень сильных допущениях, тот же провайдер легко может прослушать все "коды открытия порта" и всё на том.
[/offtop]
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3