Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Új hozzászólás Aktív témák

#8 dqdb nagyúr Cifu #7

Új Válasz 2019-06-13 21:00:40 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

dqdb

nagyúr

válasz Cifu #7 üzenetére

Nem, a direkt kliens-szerver TCP kapcsolat helyett eltéríti a TCP kapcsolat végét és két kapcsolat jött létre: egy kliens-vírusirtó és egy vírusirtó-szerver kapcsolatot. Ez HTTP esetében nem probléma, de HTTPS esetében az SSL/TLS kapcsolat megtörésével jár, te a kliensen már csak a vírusirtó dinamikusan generált tanúsítványát látod, nem az eredeti kapcsolatét, és esélyed nincsen arra, hogy kiderüljön, tényleg azzal kommunikálsz-e, mint szeretnéd.
És így jönnek képbe az elmúlt évek során kibukott olyan implementációs "apróságok", mint
1. a vírusirtó elfelejtett OCSP és/vagy CRL ellenőrzést végezni a túloldal tanúsítványán, és ez számodra sosem derült ki, mert az eredeti tanúsítvány rejtve maradt
2. a vírusirtó saját "CA"-ja, amiből kibocsátotta az oldalak számára tanúsítványokat, mindenkinél ugyanazt az RSA kulcsot használta
3. sokkal gyengébb algoritmusokat támogatott a vírusirtó, mint a böngésző támogatott volna, így hiába volt titkosított a kapcsolat a szerver felé, sokkal gyengébb változat épült volna fel, mint ha nem lett volna vírusirtó (valamint az új böngészőkben aktív adatátviteli feature-ök, mint SPDY, HTTP/2 vagy QUIC is később kerülnek be a vírusirtóba, ha egyáltalán bekerülnek)
Valamint bónuszként próbálj meg használni certificate pinninget.
Egy jó vírusirtó megoldja a hatékony védelmet SSL szűrés nélkül is, de az ebben a routerben szállított vírusirtó nyilván csak így tud működni.

[ Szerkesztve ]

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
#12 dqdb nagyúr Cifu #10

Új Válasz 2019-06-13 21:14:57 #12
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

dqdb

nagyúr

válasz Cifu #10 üzenetére

Plusz egy elem a feature listán, aminek a felhasználó örül, hogy ilyet is tud a szoftvere, mert nem tud a biztonsági és teljesítménybeli* mellékhatásokról.
* amikor legutoljára a Kaspersky topik környékén jártam, akkor az volt az egyik nagy fejlesztésük az SSL szűrésben, hogy már nem kellett 4c8t processzor a gigabites internet teljes sebességének kihasználásához, hanem elég volt "csak" 4c4t is, azonban 2c4t CPU-val még mindig 200-300 Mb/s környékére esett vissza az elérhető sebesség.

[ Szerkesztve ]

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
#18 dqdb nagyúr Gargouille #17

Új Válasz 2019-06-13 22:05:52 #18
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

dqdb

nagyúr

válasz Gargouille #17 üzenetére

Körülbelül 3 évvel ezelőtt ilyen relációban állt a bizalom és a valóság, azóta remélem, hogy rengeteget fejlődtek ezen a téren. Amúgy ez a tanulmány azután készült, hogy már előtte is többször kiborult a bili az SSL szűrések miatt, szóval a gyártók már addigra is tanulhattak volna azokból az esetekből.

[ Szerkesztve ]

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
#34 dqdb nagyúr LaySoft #33

Új Válasz 2019-06-14 14:47:01 #34
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

dqdb

nagyúr

válasz LaySoft #33 üzenetére

Helyes a gondolatmenetem?
Igen, helyes. A helyzetet súlyosbítja, hogy korábban akadt olyan gyártó, ami nem telepítéskor generált RSA kulcsot adott gépre, hanem mindenhol ugyanazt használta. Azaz te magadnál kinyerted a kulcsot, és a vírusirtó többi felhasználójánál vissza tudtál élni vele.
Pontosan az SSL lényegét vágja tarkón ez a technika, mert a NOD32 látja a plain adatforgalmat, akár bele is nyúlhat. Ki tudja mit csinál az adatokkal, ki(k)nek mi(ke)t küld el, stb.
Ez így van, és ez csak a kisebbik probléma. A nagyobbik a gyártól implementációs hibái és azok biztonságot továbbgyengítő mellékhatásai.
E.Kaufmann: Én tudom, hogy egy se, de pl a HUP-on pont ezt vágták a fejemhez egy hasonló vitában, hogy böngészőből csekkolható a turpisság
Fejlesztő vagyok, tele van a tanúsítványtáram gyengén védett teszt és fejlesztői CA-kkal, így a kényesebb oldalakon általában figyelem, hogy van-e EV tanúsítvány (ha nincsen, megnézem a láncot), netbankolásnál pedig minden belépéskor megnézem magát a láncot is (tudom, paranoia). Mivel a fontosabb oldalak szinte mindegyike bír EV tanúsítvánnyal, a böngészők pedig kódban fehérlistázzák azokat a CA-kat, amelyek ilyen tanúsítványokat bocsáthatnak ki (például Chromium és származékai), ezért a zöld lakat melletti zöld cégnév láttán gyorsan nyugtázható és megfelelő jele annak, hogy tényleg azzal a szerverrel beszélget a böngésződ, amelyikkel kell, és nincsen MITM folyamatban.

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
#36 dqdb nagyúr LaySoft #35

Új Válasz 2019-06-14 15:33:38 #36
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

dqdb

nagyúr

válasz LaySoft #35 üzenetére

ESET helyett szerencsésebb megnevezés lenne a SSL szűrést támogató vírusirtó, mert mindenki így csinálja.
Javítana a biztonságon, mert így a CA kulcsa nincsen nálad a kliensen, azonban a dinamikusan kiállított tanúsítványokban használt kulcs még mindig ott marad (szóval még így is megvalósítható az átverés.,ha sikerül kinyerni a kulcsot). Emellett valamennyit lassít a folyamaton, mert minden új site-hoz a gyártó szerveréhez kell fordulni aláírásra.
Az is javíthat valamennyit a biztonságon, ha a vírusirtót 1-2 óránként új RSA kulcsot generál, amit a dinamikusan kiállított tanúsítványokhoz használ, így megszerzett kulcs esetében a lehetséges átverés időablaka lényegesen lerövidül (a "CA" tanúsítványát sajnos nem tudja cserélgetni a fehérlistázás miatt, azon a te ötleted segíthet).

[ Szerkesztve ]

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek