На конференции Black Hat была продемонстрирована (http://www.securityfocus.com/brief/910) успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров.
Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна - разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил проце...URL: http://www.securityfocus.com/brief/910
Новость: http://www.opennet.me/opennews/art.shtml?num=20390
поставь галку в ФФi am about to view an encrypted page that contains some unencrypted information
>номеров кредитный карт<Надеюсь у них не хватит мозгов опубликовать код...
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...А я очень надеюсь на это... чтобы код был опубликован...
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...читать надо новости
> Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.
>Надеюсь у них не хватит мозгов опубликовать код...Нет уж, в криптографии метод страуса не катит.Если проблема есть - ее нужно знать.И исправлять.И появление утилиты поспособствует этому.А иначе такие утилиты все-равно появятся но только сугубо у плохих парней.Которые будут втихаря тырить инфо и навариваться.По мне так уж лучше короткий по времени пиндец который сподвигнет всех на учет новых реалий чем длительный и тихий тыреж конфиденциальной инфы хаксорами при пофигизме админов.
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...Уже сто лет как. Типичная прокся для отладки кода. В веб-девелопменте используют когда утилита для тестирования не может подключится по https. Selenium так работает например.
>>Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты задалбывают и их отключают. Вот и результат?
>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты
>задалбывают и их отключают. Вот и результат?Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг, дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем их закидают обеспокоенные юзеры...
>>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты
>>задалбывают и их отключают. Вот и результат?
>
>Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты
>как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо
>сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг,
>дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем
>их закидают обеспокоенные юзеры...В принципе, правильно.
и как жить будем если опубликуют?
>и как жить будем если опубликуют?Жить будем лучше. Станем более внимательнее, избавимся от некоторых иллюзий. А может даже и браузеры станут лучше. )
>на одном из узлов сети Tor за 20 часов удалось перехватить секретные данныеТор - и есть главная уязвимость, прямая угроза man in the middle. Умникам осталось лишь раструбить на какой-нибудь конференции. Уже далеко не первый случай и, наверное, не последний. Боянистов нынче много развелось.
>Тор - и есть главная уязвимость, прямая угроза man in the middle.Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!
Дак вобще-то SSL защищен от атаки "человек на проводе." Так что никакой роутер вам не поможет в прослушивании SSL сессии.А тут я так понимаю шифрование просто обошли, отправляя данные пользователя на исходный сайт просто по HTTP и возвращая результат обратно пользователю.
Та ну не знаю, как оно там защищено - внутри одного хаба нормально все было видно просто с использованием, напрмер, ethercap. Именно по "чел посередине". Сначала косыми ARP стал между клиентом и сервером - а дальше все данные видел. Основное условие - успеть стать посредине в момент хэндшейка. Если не успел - то да.
>>>Тор - и есть главная уязвимость, прямая угроза man in the middle.
>
>>Более того - любой роутер и прочая байда по пути - тоже
>>прямая угроза MITM-а.Прикиньте, да?!
>Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!Ты априори доверяешь своему провайдеру (если не рассматривать всякие нужные криптографические штучки, вроде предварительного распределения ключей и т.п.). Что ж, легче доверять провайдеру, которому это нафиг не нужно, чем каждому красноглазому хацкеру из тора.
"разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт"Что-то мне подсказывает, что 16 из 16 номеров этих кредитных карт уже "были украдены до нас" :)
а ктото сомневалсо что это не возможно? это был вопрос времени =)
Может я что-то и не допонял из новости, но по-моему самое простое это проксировать https на http и заменять адрес в отдаваемой странице с https на http... (ну и запонминать так же как NAT/PAT)
Чтож в этом удивительного - не изобрели ничего, просто показали что очень много людей готовы предоставить свои данные всем кто этого захочет...
Если кто не понял, то атака типа:
БЫЛО: юзер - https - сайт
СТАЛО: юзер - http - прокси - https - сайтЯ бы сказал, что это скорее из социальной инженерии.
И внедрение не в SSL соединение, а в моск юзера =)
Само SSL соединение работает безупречно.
Просто оно работает между сайтом и прокси.
А юзеры (особенно те, которые на IE) не видят, что у них в адресе http вместо https.
В FireFox, если зайти на https://addons.mozilla.org/ru/firefox/, то сразу видно, что https - пол адресной строки забирает уведомление о https =)
Так что это атака на внимательность пользователей, а не на SSL.P.S.
И нехрен светить номера кредиток, лазая через Tor.
Это все равно что передавать свои данные просто по http.
Идея проста до безобразия, но бьет очень точно.
Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)
Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)