форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Техника успешного внедрения в SSL соединение"		+/–
Сообщение от opennews (??) on 20-Фев-09, 14:23
На конференции Black Hat была продемонстрирована (http://www.securityfocus.com/brief/910) успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров. Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна - разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил проце... URL: http://www.securityfocus.com/brief/910 Новость: http://www.opennet.ru/opennews/art.shtml?num=20390
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

	11. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от Sw00p aka Jerom on 20-Фев-09, 16:20
	поставь галку в ФФ i am about to view an encrypted page that contains some unencrypted information
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от Аноним (??) on 20-Фев-09, 15:20
>номеров кредитный карт< Надеюсь у них не хватит мозгов опубликовать код...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от Аноним (??) on 20-Фев-09, 15:54
	>>номеров кредитный карт< > >Надеюсь у них не хватит мозгов опубликовать код... А я очень надеюсь на это... чтобы код был опубликован...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от Painbringer on 20-Фев-09, 16:13
	>>номеров кредитный карт< > >Надеюсь у них не хватит мозгов опубликовать код... читать надо новости > Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от User294 (??) on 20-Фев-09, 20:34
	>Надеюсь у них не хватит мозгов опубликовать код... Нет уж, в криптографии метод страуса не катит.Если проблема есть - ее нужно знать.И исправлять.И появление утилиты поспособствует этому.А иначе такие утилиты все-равно появятся но только сугубо у плохих парней.Которые будут втихаря тырить инфо и навариваться.По мне так уж лучше короткий по времени пиндец который сподвигнет всех на учет новых реалий чем длительный и тихий тыреж конфиденциальной инфы хаксорами при пофигизме админов.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от Volodymyr Lisivka on 21-Фев-09, 03:56
	>>номеров кредитный карт< > >Надеюсь у них не хватит мозгов опубликовать код... Уже сто лет как. Типичная прокся для отладки кода. В веб-девелопменте используют когда утилита для тестирования не может подключится по https. Selenium так работает например.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от Аноним (??) on 20-Фев-09, 15:32
>>Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии. ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты задалбывают и их отключают. Вот и результат?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от User294 (??) on 20-Фев-09, 20:37
	>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты >задалбывают и их отключают. Вот и результат? Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг, дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем их закидают обеспокоенные юзеры...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от ABC (??) on 20-Фев-09, 23:06
	>>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты >>задалбывают и их отключают. Вот и результат? > >Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты >как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо >сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг, >дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем >их закидают обеспокоенные юзеры... В принципе, правильно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от Аноним (??) on 20-Фев-09, 16:07
и как жить будем если опубликуют?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от alikd on 20-Фев-09, 16:13
	>и как жить будем если опубликуют? Жить будем лучше. Станем более внимательнее, избавимся от некоторых иллюзий. А может даже и браузеры станут лучше. )
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от Аноним (??) on 20-Фев-09, 17:26
>на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные Тор - и есть главная уязвимость, прямая угроза man in the middle. Умникам осталось лишь раструбить на какой-нибудь конференции. Уже далеко не первый случай и, наверное, не последний. Боянистов нынче много развелось.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от User294 (??) on 20-Фев-09, 20:38
	>Тор - и есть главная уязвимость, прямая угроза man in the middle. Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	24. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от gest on 21-Фев-09, 04:35
	Дак вобще-то SSL защищен от атаки "человек на проводе." Так что никакой роутер вам не поможет в прослушивании SSL сессии. А тут я так понимаю шифрование просто обошли, отправляя данные пользователя на исходный сайт просто по HTTP и возвращая результат обратно пользователю.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	28. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от bunny on 23-Фев-09, 12:58
	Та ну не знаю, как оно там защищено - внутри одного хаба нормально все было видно просто с использованием, напрмер, ethercap. Именно по "чел посередине". Сначала косыми ARP стал между клиентом и сервером - а дальше все данные видел. Основное условие - успеть стать посредине в момент хэндшейка. Если не успел - то да.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	26. "Техника успешного внедрения в SSL соединение"		+/–
	Сообщение от Аноним (??) on 21-Фев-09, 14:02
	>>>Тор - и есть главная уязвимость, прямая угроза man in the middle. > >>Более того - любой роутер и прочая байда по пути - тоже >>прямая угроза MITM-а.Прикиньте, да?! >Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?! Ты априори доверяешь своему провайдеру (если не рассматривать всякие нужные криптографические штучки, вроде предварительного распределения ключей и т.п.). Что ж, легче доверять провайдеру, которому это нафиг не нужно, чем каждому красноглазому хацкеру из тора.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от Timka (??) on 20-Фев-09, 18:03
"разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт" Что-то мне подсказывает, что 16 из 16 номеров этих кредитных карт уже "были украдены до нас" :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от аноним on 21-Фев-09, 03:07
а ктото сомневалсо что это не возможно? это был вопрос времени =)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от FireWolf on 21-Фев-09, 08:42
Может я что-то и не допонял из новости, но по-моему самое простое это проксировать https на http и заменять адрес в отдаваемой странице с https на http... (ну и запонминать так же как NAT/PAT) Чтож в этом удивительного - не изобрели ничего, просто показали что очень много людей готовы предоставить свои данные всем кто этого захочет...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от XoRe (ok) on 24-Фев-09, 16:00
Если кто не понял, то атака типа: БЫЛО: юзер - https - сайт СТАЛО: юзер - http - прокси - https - сайт Я бы сказал, что это скорее из социальной инженерии. И внедрение не в SSL соединение, а в моск юзера =) Само SSL соединение работает безупречно. Просто оно работает между сайтом и прокси. А юзеры (особенно те, которые на IE) не видят, что у них в адресе http вместо https. В FireFox, если зайти на https://addons.mozilla.org/ru/firefox/, то сразу видно, что https - пол адресной строки забирает уведомление о https =) Так что это атака на внимательность пользователей, а не на SSL. P.S. И нехрен светить номера кредиток, лазая через Tor. Это все равно что передавать свои данные просто по http.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Техника успешного внедрения в SSL соединение"		+/–
Сообщение от Аноним (??) on 26-Янв-10, 23:41
Идея проста до безобразия, но бьет очень точно. Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :) Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема