OpenForum RSS: Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика... https://opennet.ru/openforum/vsluhforumID3/88189.html Один из индийских экспертов по безопасности заинтересовался (http://www.theregister.co.uk/2013/01/11/nokia_decrypts_says_it_doesnt_snoop/) фактом перенаправления трафика на транзитных сервер при попытке обращения к сайтом со штатного браузера (Nokia Browser 2.2.0.0.31)) мобильных телефонов Asha (Series 40) от компании Nokia. В итоге было выявлено (http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/), что компания осуществляет транзитную дешифровку HTTPS-трафика на своём прокси сервере. <br><br><br>Метод основан на подмене IP-адреса DNS-сервером Nokia, из-за чего запроса клиента перенаправлялся на прокси-сервер комапании, от имени которого с SSL-сертификатом Nokia возвращается ответ, в котором транслировалось содержимое HTTPS-сеанса, установленного с запрошенным клиентом сайтом (в эксперименте фигурировали запросы к https://www.google.com). Никаких предупреждений о нарушении безопасности у клиента не выводилось, так как в на телефон был добавлен SSL-сертификат, доверяющий данным с домена cloud1.browser.ovi.c Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны... (Andrew Kolchoogin) https://opennet.ru/openforum/vsluhforumID3/88189.html#96 Mon, 14 Jan 2013 11:04:33 GMT Да вот как раз-таки нет: MITM для SSL работает именно так, как описал товаристч. И проблему он правильно обозначил: всё, что для браузеров Builtin Security Token, является абсолютно доверенным.<br>Поэтому если скомпрометировать закрытый ключ корневой CA, тогда можно выписывать себе сертификаты (валидные!) от любого HTTPS-сервера, посещаемого пользователем, буквально-таки на лету.<br>И такие случаи, как ни странно, бывали: посмотрите в FireFox'е список ревокнутых сертификатов корневых CA, вы таки очень удивитесь.<br>Это фундаментальный design flaw всей модели доверия SSL: есть мнение, что правильней был бы регулируемый кворум (например, сертификат должен быть подписан тремя разными корневыми CA -- или любым другим числом, в зависимости от параноидальности пользователя), но это всё теория.<br>Пока же для того, чтобы стать Builtin Security Token'ом в браузере, надо просто пройти сертификацию на соответствие тем-то и тем-то требованиям -- но человеческий фактор в них учесть довольно сложно.<br> Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны... (Аноним) https://opennet.ru/openforum/vsluhforumID3/88189.html#95 Mon, 14 Jan 2013 06:27:04 GMT на gmail.com зайдите и на содержимое адресной строки посмотрите -цепочка вида https://accounts.gmail.com/blablabla=http://mail.google.com <br>зачему гуглу http если вы используете https <br> Компанию Nokia уличили в дешифровке HTTPS-трафика с... (arisu) https://opennet.ru/openforum/vsluhforumID3/88189.html#94 Sun, 13 Jan 2013 20:56:38 GMT а в данном случае не важно, доказан или нет. налицо mitm-атака с использованием бэкдоров. всё, дальше не надо &#171;доказывать, что был шпионаж&#187;: подобные действия в security считаются однозначно вредительскими.<br> Компанию Nokia уличили в дешифровке HTTPS-трафика с... (arisu) https://opennet.ru/openforum/vsluhforumID3/88189.html#93 Sun, 13 Jan 2013 20:50:33 GMT &gt; Гуглить SSL_BUMP До просветления.<br><br>и что? браузер заорёт.<br><br>натурально, идиотов, у которых в браузере есть &#171;безусловно довереные authority&#187; не считаем: им что угодно протолкнуть можно, они слопают.<br> Компанию Nokia уличили в дешифровке HTTPS-трафика с... (arisu) https://opennet.ru/openforum/vsluhforumID3/88189.html#92 Sun, 13 Jan 2013 20:46:47 GMT &gt; (наивно) А в этом лучшем из миров, в области публичной связи, есть <br>&gt; нестремные девайсы?<br><br>ham radio.<br> Компанию Nokia уличили в транзитной дешифровке... (arisu) https://opennet.ru/openforum/vsluhforumID3/88189.html#91 Sun, 13 Jan 2013 20:39:38 GMT &gt; Даже обидно, раньше хорошие телефоны делали, n900, например.<br><br>всё верно &#8212; за вычетом того, что N900 не телефон. это tablet с кое-как привинченой функцией звонилки.<br> Компанию Nokia уличили в дешифровке HTTPS-трафика с... (arisu) https://opennet.ru/openforum/vsluhforumID3/88189.html#90 Sun, 13 Jan 2013 20:38:49 GMT https &#8212; это надёжно и безопасно!<br> Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика... (Aleks Revo) https://opennet.ru/openforum/vsluhforumID3/88189.html#89 Sun, 13 Jan 2013 13:07:49 GMT &gt; P.S. да, сразу видно - подружились с MS -&gt; началось западлостроение во все поля.<br><br>Возможно Вы путаете причину и следствие. Достойная компания не подружилась бы с МС ))))<br> Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны... (mr_gfd) https://opennet.ru/openforum/vsluhforumID3/88189.html#88 Sat, 12 Jan 2013 22:40:14 GMT &gt;&gt; Церт у нас выпускает, прикин, админ в CA enterprise <br>&gt; Ыгыгы, понятно все с вами. Моему файрфоксу к счастью подобные инициативы сильно <br>&gt; перпендикулярны. Короче лохоразвод для тупых хомячков, которые не в курсе что <br>&gt; винда может некисло поднрср@ть :) <br><br>Хомячки - они дома. А энтерпрайз админ - админит энтерпрайз, как это не банально звучит. <br><br>BTW: FirefoxADM + GPO и лисе протолкнут, что нужно на доменную тачку.<br>