Keresés
  • E.Kaufmann

    őstag

    Céges környezetben AD-ból lehet központilag megbízható tanúsítványokat telepíteni, otthon meg a Windows-ba és a Firefoxba te magad fogod hozzáadni kézzel. Esetleg csinálnak egy setup.exe-t ami megcsinálja neked, ha van rendszergizda jogod. De nem néztem utána a konkrét esetnek.

  • Ki mondta, hogy nem hallgat le? :DDD

    Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

  • E.Kaufmann

    őstag

    1. Lehallgatnak de lehet meg se kell csapolni hozzá az ssl forgalmat. Volt arról pletyka itt meg a HUP-on, hogy pl egy mobilszolgáltatónál külön szobája volt egy állami hivatalnoknak. Ki tudja, hogy a Facebook-nál nincs-e Smith ügynöknek kávéscsészéje.
    2. Észre fogod venni, ha egy router csapolja az SSL forgalmad, amennyiben rendszergazdai jogokkal nem módosítják úgy a végpontodat, hogy az hagyja. Ha meg egy támadónak van rendszergazdai joga, akkor az már régen rossz.
    3. Meg tudod nézni és csekkolni, hogy ki a kiállítója a tanúsítványnak:


    Bár elvileg olyan nevet lehetne oda írni, amit nem szégyelnek, de a hivatalos munkahelyi "megfigyelés" jelenléte csekkolható.

    [ Szerkesztve ]

  • Gargouille

    aktív tag

    Ezer éve használják ezt a technikát. Régebben sok helyen vállalati szinten is például az internet forgalom szűrése hasonló módon volt megoldva. Alapvetően nem az ördögtől való, már abban az értelemben, hogy más módszerrel nem tudod az átmenő titkosított adatfolyamot vizsgálni, csak úgy ha közé ékelődsz. A gond, hogy ez kétélű fegyver, mert ha a támadó ékelődik be középre (értsd.: feltöri a routeredet), akkor minden átmenő forgalmat lát(hat) és manipulál(hat) is.

    (#27) E.Kaufmann:

    Szerinted hány otthoni egységsugarú user fogja nézegetni a cert repo-t? Már ha egyáltalán tudja, hogy létezik ilyesmi és hol keresse a Windowsban... :D

    [ Szerkesztve ]

  • Gargouille

    aktív tag

    Elég jól látod a problémát, pontosan ez a gond ezzel a technológiával. És nem baj, hogy így leírtad, másnak is hasznos lehet. :)

  • dqdb

    addikt

    Helyes a gondolatmenetem?
    Igen, helyes. A helyzetet súlyosbítja, hogy korábban akadt olyan gyártó, ami nem telepítéskor generált RSA kulcsot adott gépre, hanem mindenhol ugyanazt használta. Azaz te magadnál kinyerted a kulcsot, és a vírusirtó többi felhasználójánál vissza tudtál élni vele.

    Pontosan az SSL lényegét vágja tarkón ez a technika, mert a NOD32 látja a plain adatforgalmat, akár bele is nyúlhat. Ki tudja mit csinál az adatokkal, ki(k)nek mi(ke)t küld el, stb.
    Ez így van, és ez csak a kisebbik probléma. A nagyobbik a gyártól implementációs hibái és azok biztonságot továbbgyengítő mellékhatásai.

    E.Kaufmann: Én tudom, hogy egy se, de pl a HUP-on pont ezt vágták a fejemhez egy hasonló vitában, hogy böngészőből csekkolható a turpisság :)
    Fejlesztő vagyok, tele van a tanúsítványtáram gyengén védett teszt és fejlesztői CA-kkal, így a kényesebb oldalakon általában figyelem, hogy van-e EV tanúsítvány (ha nincsen, megnézem a láncot), netbankolásnál pedig minden belépéskor megnézem magát a láncot is (tudom, paranoia). Mivel a fontosabb oldalak szinte mindegyike bír EV tanúsítvánnyal, a böngészők pedig kódban fehérlistázzák azokat a CA-kat, amelyek ilyen tanúsítványokat bocsáthatnak ki (például Chromium és származékai), ezért a zöld lakat melletti zöld cégnév láttán gyorsan nyugtázható és megfelelő jele annak, hogy tényleg azzal a szerverrel beszélget a böngésződ, amelyikkel kell, és nincsen MITM folyamatban.

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

  • dqdb

    addikt

    ESET helyett szerencsésebb megnevezés lenne a SSL szűrést támogató vírusirtó, mert mindenki így csinálja.

    Javítana a biztonságon, mert így a CA kulcsa nincsen nálad a kliensen, azonban a dinamikusan kiállított tanúsítványokban használt kulcs még mindig ott marad (szóval még így is megvalósítható az átverés.,ha sikerül kinyerni a kulcsot). Emellett valamennyit lassít a folyamaton, mert minden új site-hoz a gyártó szerveréhez kell fordulni aláírásra.

    Az is javíthat valamennyit a biztonságon, ha a vírusirtót 1-2 óránként új RSA kulcsot generál, amit a dinamikusan kiállított tanúsítványokhoz használ, így megszerzett kulcs esetében a lehetséges átverés időablaka lényegesen lerövidül (a "CA" tanúsítványát sajnos nem tudja cserélgetni a fehérlistázás miatt, azon a te ötleted segíthet).

    [ Szerkesztve ]

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek