20.02 // Техника успешного внедрения в SSL соединение
На конференции Black Hat была продемонстрирована успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров.
Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна – разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил процесс аутентификации. Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.
Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.
Источник: OpenNet
комментариев: 9796 документов: 488 редакций: 5664
Вот пока годами умные люди пишут статьи, теоретические работы и исследования -всем плевать, никто из IT-индустрии не верит и не читает. Пока кого-то зло не возьмёт и он не выдаст готовый к употреблению эксплойт ну чтобы уж все увидели, что проблема не надуманная и не чисто теоретическая. Без этого что никак? Чтоб сначала оценить так, пофиксить, а затем уже эксплойтить старый протокол.
комментариев: 1060 документов: 16 редакций: 32
Некоторые УЦ отказались от MD5 только когда продемонстрировали возможность создания поддельных сертификатов. А некоторые наверно и сейчас используют...
Что нужно "пофиксить" из двух ранее указанных, чтобы предотвратить "успешное внедрение в SSL соединение"?
комментариев: 11558 документов: 1036 редакций: 4118
Банкам, е-магазинам и прочим учреждениям, полагающимся на ssl, стоит для начала прекратить тренировать пользователей логинам с http-страниц. SSL — достаточно хорошая штука (не считая того, что он защищает и без того самую безопасную часть, не заботясь о совершенно небезопасных машинах пользователей), только вот никто не использует его, как надо, и большинство уже даже не знают, как надо.
Кто курил текст, разъясните как это выглядит, плиз. Имеется в виду, что пользователь вообще ничего не замечает в процессе атаки, или хоть по какой-то диагностике, выдаваемой браузером, атаку можно засечь? Я так понимаю, браузер лишь не выдаёт предупреждения о смене https на http в строке адреса? В смысле, что если при вводе пароля на сайт в строке адреса именно https написано, то можно не бояться этой конкретной атаки?
комментариев: 155 документов: 20 редакций: 5
Ситуация с информационной безопасностью в сети вообще плачевная. И тут нет ничего удивительного. Вы же не считаете уязвимостью автомобилей Мерседес-Бенц, возможность прокалывать шины любым гопником. А в интернете – запросто. И ситуация с web-серверами скорее мне напоминает ситуацию в Израиле, где каждый школьный автобус бронированный. И с этим вряд-ли что-то можно поделать. Это проблема в генах.
Спасает лишь то, что организованная интернет-преступность ведет себя не слишком агрессивно.
комментариев: 9796 документов: 488 редакций: 5664
Заходим на страницу https://www.pgpru.com. видим знак смешанного контента (битый замОк). Открываем список элементов страницы по кнопке ABP. Для всех, которые не https вводим блокирующий фиьтр:
После сохранения проверяем, что послее перезагрузки страницы на ней зак замкА небитый.
Можно вводить логин.
также можно сделать для гугла. Правда защита неидеальная, а против сайтов, которые после аутентификации перенаправляют с https на http вообще бесполезная.
комментариев: 9796 документов: 488 редакций: 5664
Это устаревающее положение. Если пользователь использует tor, то как раз наоборот – MITM вполне себе актуален.
А плохо защищённые беспроводные и домашние сети, где может вклиниться кто-угодно?
С развитием миниатюрных компьютеров, когда они станут достаточно мощными, но размером со спичечный коробок и умещающих в себе два LAN-разъёма, скоро на сетевой провод можно будет вешать жучок, управляемый по беспроводным протоколам, выполняющий MITM, использующий уязвимости маршрутизаторов и собирающий любую доступную информацию как пассивным так и активным способом.
комментариев: 155 документов: 20 редакций: 5
Или пользоваться Opera, в ней нет некоторых тупых багов Мозиллы.
Есть свои не менее тупые, да еще и более скрытые. Тут аж тема была в новостях, про одну из таких с хитромудрой схемой распознавания принадлежности адресов к локалке, до сих пор (новость) в лидерах по оценке читателей висит.
В Лисе есть шанс баги отловить, при открытом коде, хотя бы чисто теоретически это сделать проще.
Логично предположить, что все кредитные карты были выданы банками анонимным (то есть неидентифицированным) клиентам (раз уж те поперлись с ними в Tor) видимо целью данного кредитования было разорение собственного банка!
"Если вы видите, как швейцарский банкир прыгает в окно небоскреба, не раздумывая делайте то же. Значит – это выгодно!".
Интересно, кто сочиняет всю эту муть, которую вы уже два дня исправно обсуждаете?