https://opennet.me/openforum/vsluhforumID3/49702.html На конференции Black Hat была продемонстрирована (http://www.securityfocus.com/brief/910) успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров. <br><br><br>Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна - разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил проце...<br><br>URL: http://www.sec https://opennet.me/openforum/vsluhforumID3/49702.html#30 Tue, 26 Jan 2010 20:41:46 GMT Идея проста до безобразия, но бьет очень точно.<br>Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)<br>Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)<br> https://opennet.me/openforum/vsluhforumID3/49702.html#29 Tue, 24 Feb 2009 13:00:15 GMT Если кто не понял, то атака типа:<br>БЫЛО: юзер - https - сайт<br>СТАЛО: юзер - http - прокси - https - сайт<br><br>Я бы сказал, что это скорее из социальной инженерии.<br>И внедрение не в SSL соединение, а в моск юзера =)<br>Само SSL соединение работает безупречно.<br>Просто оно работает между сайтом и прокси.<br>А юзеры (особенно те, которые на IE) не видят, что у них в адресе http вместо https.<br>В FireFox, если зайти на https://addons.mozilla.org/ru/firefox/, то сразу видно, что https - пол адресной строки забирает уведомление о https =)<br>Так что это атака на внимательность пользователей, а не на SSL.<br><br>P.S.<br>И нехрен светить номера кредиток, лазая через Tor.<br>Это все равно что передавать свои данные просто по http.<br> https://opennet.me/openforum/vsluhforumID3/49702.html#28 Mon, 23 Feb 2009 09:58:38 GMT Та ну не знаю, как оно там защищено - внутри одного хаба нормально все было видно просто с использованием, напрмер, ethercap. Именно по "чел посередине". Сначала косыми ARP стал между клиентом и сервером - а дальше все данные видел. Основное условие - успеть стать посредине в момент хэндшейка. Если не успел - то да.<br> https://opennet.me/openforum/vsluhforumID3/49702.html#26 Sat, 21 Feb 2009 11:02:58 GMT &gt;&gt;&gt;Тор - и есть главная уязвимость, прямая угроза man in the middle.<br>&gt;<br>&gt;&gt;Более того - любой роутер и прочая байда по пути - тоже <br>&gt;&gt;прямая угроза MITM-а.Прикиньте, да?! <br>&gt;Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!<br><br>Ты априори доверяешь своему провайдеру (если не рассматривать всякие нужные криптографические штучки, вроде предварительного распределения ключей и т.п.). Что ж, легче доверять провайдеру, которому это нафиг не нужно, чем каждому красноглазому хацкеру из тора.<br> https://opennet.me/openforum/vsluhforumID3/49702.html#25 Sat, 21 Feb 2009 05:42:19 GMT Может я что-то и не допонял из новости, но по-моему самое простое это проксировать https на http и заменять адрес в отдаваемой странице с https на http... (ну и запонминать так же как NAT/PAT)<br>Чтож в этом удивительного - не изобрели ничего, просто показали что очень много людей готовы предоставить свои данные всем кто этого захочет...<br> https://opennet.me/openforum/vsluhforumID3/49702.html#24 Sat, 21 Feb 2009 01:35:44 GMT Дак вобще-то SSL защищен от атаки "человек на проводе." Так что никакой роутер вам не поможет в прослушивании SSL сессии.<br><br>А тут я так понимаю шифрование просто обошли, отправляя данные пользователя на исходный сайт просто по HTTP и возвращая результат обратно пользователю.<br> https://opennet.me/openforum/vsluhforumID3/49702.html#23 Sat, 21 Feb 2009 00:56:06 GMT &gt;&gt;номеров кредитный карт&lt;<br>&gt;<br>&gt;Надеюсь у них не хватит мозгов опубликовать код... <br><br>Уже сто лет как. Типичная прокся для отладки кода. В веб-девелопменте используют когда утилита для тестирования не может подключится по https. Selenium так работает например.<br> https://opennet.me/openforum/vsluhforumID3/49702.html#22 Sat, 21 Feb 2009 00:07:14 GMT а ктото сомневалсо что это не возможно? это был вопрос времени =)<br> https://opennet.me/openforum/vsluhforumID3/49702.html#21 Fri, 20 Feb 2009 20:06:11 GMT &gt;&gt;ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты <br>&gt;&gt;задалбывают и их отключают. Вот и результат? <br>&gt;<br>&gt;Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты <br>&gt;как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо <br>&gt;сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг, <br>&gt;дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем <br>&gt;их закидают обеспокоенные юзеры... <br><br>В принципе, правильно.<br>