Új hozzászólás Aktív témák
-
E.Kaufmann
addikt
Céges környezetben AD-ból lehet központilag megbízható tanúsítványokat telepíteni, otthon meg a Windows-ba és a Firefoxba te magad fogod hozzáadni kézzel. Esetleg csinálnak egy setup.exe-t ami megcsinálja neked, ha van rendszergizda jogod. De nem néztem utána a konkrét esetnek.
Le az elipszilonos jével, éljen a "j" !!!
-
E.Kaufmann
addikt
1. Lehallgatnak de lehet meg se kell csapolni hozzá az ssl forgalmat. Volt arról pletyka itt meg a HUP-on, hogy pl egy mobilszolgáltatónál külön szobája volt egy állami hivatalnoknak. Ki tudja, hogy a Facebook-nál nincs-e Smith ügynöknek kávéscsészéje.
2. Észre fogod venni, ha egy router csapolja az SSL forgalmad, amennyiben rendszergazdai jogokkal nem módosítják úgy a végpontodat, hogy az hagyja. Ha meg egy támadónak van rendszergazdai joga, akkor az már régen rossz.
3. Meg tudod nézni és csekkolni, hogy ki a kiállítója a tanúsítványnak:
Bár elvileg olyan nevet lehetne oda írni, amit nem szégyelnek, de a hivatalos munkahelyi "megfigyelés" jelenléte csekkolható.[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
Gargouille
őstag
Ezer éve használják ezt a technikát. Régebben sok helyen vállalati szinten is például az internet forgalom szűrése hasonló módon volt megoldva. Alapvetően nem az ördögtől való, már abban az értelemben, hogy más módszerrel nem tudod az átmenő titkosított adatfolyamot vizsgálni, csak úgy ha közé ékelődsz. A gond, hogy ez kétélű fegyver, mert ha a támadó ékelődik be középre (értsd.: feltöri a routeredet), akkor minden átmenő forgalmat lát(hat) és manipulál(hat) is.
(#27) E.Kaufmann:
Szerinted hány otthoni egységsugarú user fogja nézegetni a cert repo-t? Már ha egyáltalán tudja, hogy létezik ilyesmi és hol keresse a Windowsban...
[ Szerkesztve ]
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
dqdb
nagyúr
Helyes a gondolatmenetem?
Igen, helyes. A helyzetet súlyosbítja, hogy korábban akadt olyan gyártó, ami nem telepítéskor generált RSA kulcsot adott gépre, hanem mindenhol ugyanazt használta. Azaz te magadnál kinyerted a kulcsot, és a vírusirtó többi felhasználójánál vissza tudtál élni vele.Pontosan az SSL lényegét vágja tarkón ez a technika, mert a NOD32 látja a plain adatforgalmat, akár bele is nyúlhat. Ki tudja mit csinál az adatokkal, ki(k)nek mi(ke)t küld el, stb.
Ez így van, és ez csak a kisebbik probléma. A nagyobbik a gyártól implementációs hibái és azok biztonságot továbbgyengítő mellékhatásai.E.Kaufmann: Én tudom, hogy egy se, de pl a HUP-on pont ezt vágták a fejemhez egy hasonló vitában, hogy böngészőből csekkolható a turpisság
Fejlesztő vagyok, tele van a tanúsítványtáram gyengén védett teszt és fejlesztői CA-kkal, így a kényesebb oldalakon általában figyelem, hogy van-e EV tanúsítvány (ha nincsen, megnézem a láncot), netbankolásnál pedig minden belépéskor megnézem magát a láncot is (tudom, paranoia). Mivel a fontosabb oldalak szinte mindegyike bír EV tanúsítvánnyal, a böngészők pedig kódban fehérlistázzák azokat a CA-kat, amelyek ilyen tanúsítványokat bocsáthatnak ki (például Chromium és származékai), ezért a zöld lakat melletti zöld cégnév láttán gyorsan nyugtázható és megfelelő jele annak, hogy tényleg azzal a szerverrel beszélget a böngésződ, amelyikkel kell, és nincsen MITM folyamatban.tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
dqdb
nagyúr
ESET helyett szerencsésebb megnevezés lenne a SSL szűrést támogató vírusirtó, mert mindenki így csinálja.
Javítana a biztonságon, mert így a CA kulcsa nincsen nálad a kliensen, azonban a dinamikusan kiállított tanúsítványokban használt kulcs még mindig ott marad (szóval még így is megvalósítható az átverés.,ha sikerül kinyerni a kulcsot). Emellett valamennyit lassít a folyamaton, mert minden új site-hoz a gyártó szerveréhez kell fordulni aláírásra.
Az is javíthat valamennyit a biztonságon, ha a vírusirtót 1-2 óránként új RSA kulcsot generál, amit a dinamikusan kiállított tanúsítványokhoz használ, így megszerzett kulcs esetében a lehetséges átverés időablaka lényegesen lerövidül (a "CA" tanúsítványát sajnos nem tudja cserélgetni a fehérlistázás miatt, azon a te ötleted segíthet).
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek