Nincs sok időm írni, de annyit gyorsan elmondok, hogy ez a cikk az ITCafé-n (amit feltehetően az Index is át fog venni néhány órán belül) teljes egészében hülyeség, félrevezetés és hazugság!
Moxie Marlinspike kidolgozott néhány valóban figyelemreméltó trükköt az SSL-lel hitelesített weboldalak használók megtévesztésére, de az SSL maga ugyanolyan erős mint eddig, és a böngészőknek sincsen komoly baja.
"A hacker közel százoldalas, sajátosan megírt publikációban ismerteti az eljárás részleteit." - erre a mondatra gondolom azért volt szükség, nehogy túl sokan utánamenjenek a forrásnak (manapság kevesen hajlandóak 100 oldalnyi műszaki szöveget elolvasni), csak ugye a pdf-ben egy 100 tagú diasorozat látható, összesen max 1 oldal szöveggel, és sok screenshottal.
Szégyen ilyen szart közzé tenni - remélem olvassák az illetékesek.
A valódi részletekkel később jelentkezem!
Frissítés:
- Az Index is átvette.
- Az SG.hu-s cikk talán még rosszabb.
- A HWSW-n olvasható beszámoló még elmegy szódával.
"Sírni tudnéék..."
synapse · http://www.synsecblog.com 2009.02.19. 18:11:57
- siman lehamisitanam a certet: jozsibacsi ugy sem figyel
- malwaret injektalnek: bongeszo sebezhetoseg, java plugin, xss, etc...
- valami mas modon kompromittalnam a gep forgalmat (DHCP-, DNS-redirect, stb...)
- kompromittalnam a gepet: regi windows, stb... Utana mar keyloggerrel lehet lopni az accountokat, meg amit akarsz.
Erdekes lehetne meg mitm-elni az updates.microsoft.com-ot, vagy a debian mirrort. Esetleg onthefly beleirni a letoltott exekbe vmi finomat. stbstbstb... :)
MITM helyzetben milliomegegy lehetoseg van, nem kell itt lakatot rajzolgatni ;)
synapse
csabika25 2009.02.19. 20:29:24
r@ek (törölt) 2009.02.19. 20:31:08
A virusirtot persze elobb leallitod.. ;-)
r@ek (törölt) 2009.02.19. 20:32:10
Ha ezt megcsinalod megeszem a kalapomat...
r@ek (törölt) 2009.02.19. 20:35:24
www.hwsw.hu/hirek/38147/ssl_black_hat_biztonsag_moxie_marlinspike_sslstrip_titkositas_internet_web_bongeszo.html
EQ · http://rycon.hu 2009.02.19. 20:46:30
Hunger 2009.02.19. 22:02:56
De az azért feltűnhet neki, ha az arcába csak egy figyelmeztetés, hogy nem hiteles kiadó által van hitelesítve... ;)
"valami mas modon kompromittalnam a gep forgalmat (DHCP-, DNS-redirect, stb...)"
Úgy sem stimmelne a cert. :P
"Erdekes lehetne meg mitm-elni az updates.microsoft.com-ot"
Az automatikus updatet nem tudod, hisz ott nincs user, akit át tudsz verni. Egyébként meg a letöltött frissítések is digitálisan alá vannak írva a Microsoft által és ha nem hitelesek, akkor nem kerülnek telepítésre.
synapse · http://www.synsecblog.com 2009.02.19. 22:44:54
"A virusirtot persze elobb leallitod.. ;-)"
Nem, irnek sajat keyloggert amire nem tud mintat illeszteni. Ugyan win programozasban nem vagyok otthon, de nem hinnem hogy nehez lenne atverni a pattern matchinget.
"Ha ezt megcsinalod megeszem a kalapomat... "
Egy code cave-be berakod a kodod, beallitod entrypointnak, majd visszaugratsz az eredetire. Persze megakadalyozod hogy a program mashonnan rafusson. md5sum nem fog stimmelni, de azt nemtudod azelott mielott letoltened. Ha sajat magan csinal md5sumot az mar trukkosebb, de nem megoldhatatlan.
Hunger:
Igen, ujabb bongeszoknel valoban igy megy. De a thunderbird mondjuk csak egy kis ablakot dob fel, hogy selfsigned. Azon siman atkattint -> levelezes -> acc. :)
DHCP-vel valoban nem nyulod le a https-es forgalmat, de lenyulsz minden mast ha megadsz sajat ns-t. Esetleg ha olyan helyen vagy az offline gepeket felbootolod es adsz nekik dhcp-t. Remenykedsz persze hogy a tftp-boot legyen az elso helyen XD
Hat az updates.microsoft.com-rol fogalmam sincs, hogy mivel hitelesit. Viszont elkepzelhetonek tartom, hogy az eljarasaban lehetne hibat talalni. Ez mondjuk tenyleg egy elvadult otlet...
Arra celoztam amugy a posttal, hogy ha mar ottvagyok MITM-ben akkor nem rohanok neki fejjel a https-nek, hanem eredendoen konnyebb celpontokat fogok tamadni. Trusted oldalba beszurok egy java appletet amit perszehogy le fog ok-zni 95%nyi ember, es azzal mar lokalban tudok kodot futtatni...
Bocs, hogy ilyen ecceru vagyok :)
synapse
Fearless · http://kozepvonal.blog.hu 2009.02.19. 23:09:55
"Az SSL Stripper segítségével létrehozott egy helyettesítő https oldalt, és ezzel sikerült azt a látszatot keltenie, mintha a felhasználó továbbra is a biztonságos felületen tartózkodna."
Ennek a két résznek köze nincs egymáshoz.... de még logikailag sem... aki irta az itcafe.hu az legalább gondolkodhatott volna
Fearless · http://kozepvonal.blog.hu 2009.02.19. 23:14:56
winupdatet átverni már nem egyszerü feladat, nem elég csak az etc/hosts filet átirni :)
a többihez már hozzá sem merek szolni :)
r@ek (törölt) 2009.02.20. 00:40:32
Valami ilyesmi..Erre ra is nezek, mihez kezd egy hazi ganyolassal az antivirus :-)
"Egy code cave-be berakod a kodod, beallitod entrypointnak, majd visszaugratsz az eredetire. Persze megakadalyozod hogy a program mashonnan rafusson. md5sum nem fog stimmelni, de azt nemtudod azelott mielott letoltened. Ha sajat magan csinal md5sumot az mar trukkosebb, de nem megoldhatatlan."
WTF? Nem arrol volt szo, hogy a kabelen athalado csomagokba akarsz kodot injektalni? Ezt hogy oldod meg?
amodent 2009.02.20. 08:04:51
És miután a Netlock végre bekerült a böngészőkbe, elkezdték a MIcrosec-et használni...
Udi · http://blog.udi.hu 2009.02.20. 11:03:45
Kezdve a jól ismert igen, persze, tovább, megbízok benne.
Sajnos az emberek megszokták, hogy az amúgy valid oldalak is képesek rendszeresen elcseszni a saját certüket, és így sokan ellenőrzés nélkül kattintanak.
synapse · http://www.synsecblog.com 2009.02.20. 11:17:42
1) Egyszeru, puffereled / letoltod az .exe-t, atalakitod mikozben varatod a usert http-n. :) Kisebb 1-2 megas fileoknal nem feltuno.
2) Meg egyszerubb: hazilag barkacsolt .exe-t adsz neki ami contentlength hosszu (padding). Ez az 1hez kepest viszont invaziv es feltuno...
synapse
synapse · http://www.synsecblog.com 2009.02.20. 11:20:39
www.adobe.com/support/security/advisories/apsa09-01.html
:)
Zughekker Zita · http://zughekker.blog.hu 2009.02.20. 13:58:03
r@ek (törölt) 2009.02.20. 14:50:08
Rangon aluli.. :-)
Ennel jobb mar csak egy privi.hu deface lehetne..