Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Még mindig nem törték meg az SSL-t...

2009.02.19. 16:58 | buherator | 17 komment

Nincs sok időm írni, de annyit gyorsan elmondok, hogy ez a cikk az ITCafé-n (amit feltehetően az Index is át fog venni néhány órán belül) teljes egészében hülyeség, félrevezetés és hazugság!

Moxie Marlinspike kidolgozott néhány valóban figyelemreméltó trükköt az SSL-lel hitelesített weboldalak használók megtévesztésére, de az SSL maga ugyanolyan erős mint eddig, és a böngészőknek sincsen komoly baja.

"A hacker közel százoldalas, sajátosan megírt publikációban ismerteti az eljárás részleteit." - erre a mondatra gondolom azért volt szükség, nehogy túl sokan utánamenjenek a forrásnak (manapság kevesen hajlandóak 100 oldalnyi műszaki szöveget elolvasni), csak ugye a pdf-ben egy 100 tagú diasorozat látható, összesen max 1 oldal szöveggel, és sok screenshottal.

Szégyen ilyen szart közzé tenni - remélem olvassák az illetékesek.

A valódi részletekkel később jelentkezem!

Frissítés:

"Sírni tudnéék..."

Címkék: ssl hülyeség itcafe

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.02.19. 18:11:57

Nem rossz, de nagyon korulmenyes. MITM helyzetben:
- siman lehamisitanam a certet: jozsibacsi ugy sem figyel
- malwaret injektalnek: bongeszo sebezhetoseg, java plugin, xss, etc...
- valami mas modon kompromittalnam a gep forgalmat (DHCP-, DNS-redirect, stb...)
- kompromittalnam a gepet: regi windows, stb... Utana mar keyloggerrel lehet lopni az accountokat, meg amit akarsz.

Erdekes lehetne meg mitm-elni az updates.microsoft.com-ot, vagy a debian mirrort. Esetleg onthefly beleirni a letoltott exekbe vmi finomat. stbstbstb... :)

MITM helyzetben milliomegegy lehetoseg van, nem kell itt lakatot rajzolgatni ;)

synapse

csabika25 2009.02.19. 20:29:24

Olvasták. Most már én is. Le is szúrtam az egész társaságot, hogy nem kérdeztek meg...

r@ek (törölt) 2009.02.19. 20:31:08

"Utana mar keyloggerrel lehet lopni az accountokat, meg amit akarsz."


A virusirtot persze elobb leallitod.. ;-)

r@ek (törölt) 2009.02.19. 20:32:10

"Esetleg onthefly beleirni a letoltott exekbe vmi finomat. stbstbstb... :)"


Ha ezt megcsinalod megeszem a kalapomat...

EQ · http://rycon.hu 2009.02.19. 20:46:30

OEP átírása, majd az eredeti OEP-ra ugratás, fiveee mit szólsz?

Hunger 2009.02.19. 22:02:56

@synapse: "siman lehamisitanam a certet: jozsibacsi ugy sem figyel"

De az azért feltűnhet neki, ha az arcába csak egy figyelmeztetés, hogy nem hiteles kiadó által van hitelesítve... ;)

"valami mas modon kompromittalnam a gep forgalmat (DHCP-, DNS-redirect, stb...)"

Úgy sem stimmelne a cert. :P

"Erdekes lehetne meg mitm-elni az updates.microsoft.com-ot"

Az automatikus updatet nem tudod, hisz ott nincs user, akit át tudsz verni. Egyébként meg a letöltött frissítések is digitálisan alá vannak írva a Microsoft által és ha nem hitelesek, akkor nem kerülnek telepítésre.

synapse · http://www.synsecblog.com 2009.02.19. 22:44:54

fiveeeee:

"A virusirtot persze elobb leallitod.. ;-)"

Nem, irnek sajat keyloggert amire nem tud mintat illeszteni. Ugyan win programozasban nem vagyok otthon, de nem hinnem hogy nehez lenne atverni a pattern matchinget.

"Ha ezt megcsinalod megeszem a kalapomat... "

Egy code cave-be berakod a kodod, beallitod entrypointnak, majd visszaugratsz az eredetire. Persze megakadalyozod hogy a program mashonnan rafusson. md5sum nem fog stimmelni, de azt nemtudod azelott mielott letoltened. Ha sajat magan csinal md5sumot az mar trukkosebb, de nem megoldhatatlan.


Hunger:

Igen, ujabb bongeszoknel valoban igy megy. De a thunderbird mondjuk csak egy kis ablakot dob fel, hogy selfsigned. Azon siman atkattint -> levelezes -> acc. :)

DHCP-vel valoban nem nyulod le a https-es forgalmat, de lenyulsz minden mast ha megadsz sajat ns-t. Esetleg ha olyan helyen vagy az offline gepeket felbootolod es adsz nekik dhcp-t. Remenykedsz persze hogy a tftp-boot legyen az elso helyen XD

Hat az updates.microsoft.com-rol fogalmam sincs, hogy mivel hitelesit. Viszont elkepzelhetonek tartom, hogy az eljarasaban lehetne hibat talalni. Ez mondjuk tenyleg egy elvadult otlet...


Arra celoztam amugy a posttal, hogy ha mar ottvagyok MITM-ben akkor nem rohanok neki fejjel a https-nek, hanem eredendoen konnyebb celpontokat fogok tamadni. Trusted oldalba beszurok egy java appletet amit perszehogy le fog ok-zni 95%nyi ember, es azzal mar lokalban tudok kodot futtatni...

Bocs, hogy ilyen ecceru vagyok :)

synapse

Fearless · http://kozepvonal.blog.hu 2009.02.19. 23:09:55

"rövid úton feltörte a PayPal, a Gmail, a Ticketmaster és a Facebook védelmi rendszerét, majd lementette 117 különböző e-mail fiók adatait, 16 egyedi hitelkártya számát, 7 PayPal bejelentkezési adatot és 300 egyéb, máshová nem sorolható biztonságos belépéssel kapcsolatos információt"

"Az SSL Stripper segítségével létrehozott egy helyettesítő https oldalt, és ezzel sikerült azt a látszatot keltenie, mintha a felhasználó továbbra is a biztonságos felületen tartózkodna."

Ennek a két résznek köze nincs egymáshoz.... de még logikailag sem... aki irta az itcafe.hu az legalább gondolkodhatott volna

Fearless · http://kozepvonal.blog.hu 2009.02.19. 23:14:56

Más... itthon egy ideig minden kormányzati oldal hibás tanusitvánnyal ment, ha más nem itt megtanulták az emberek, hogy a hibás tanusitvány is eredeti :)

winupdatet átverni már nem egyszerü feladat, nem elég csak az etc/hosts filet átirni :)

a többihez már hozzá sem merek szolni :)

r@ek (törölt) 2009.02.20. 00:40:32

"Nem, irnek sajat keyloggert amire nem tud mintat illeszteni. Ugyan win programozasban nem vagyok otthon, de nem hinnem hogy nehez lenne atverni a pattern matchinget."

Valami ilyesmi..Erre ra is nezek, mihez kezd egy hazi ganyolassal az antivirus :-)

"Egy code cave-be berakod a kodod, beallitod entrypointnak, majd visszaugratsz az eredetire. Persze megakadalyozod hogy a program mashonnan rafusson. md5sum nem fog stimmelni, de azt nemtudod azelott mielott letoltened. Ha sajat magan csinal md5sumot az mar trukkosebb, de nem megoldhatatlan."

WTF? Nem arrol volt szo, hogy a kabelen athalado csomagokba akarsz kodot injektalni? Ezt hogy oldod meg?

amodent 2009.02.20. 08:04:51

> Más... itthon egy ideig minden kormányzati oldal hibás tanusitvánnyal ment,

És miután a Netlock végre bekerült a böngészőkbe, elkezdték a MIcrosec-et használni...

Udi · http://blog.udi.hu 2009.02.20. 11:03:45

Nem is kell megtörni az a csúnya ssl-t. Költséghatékonyabb, egyszerűbb az embereket hackelni.

Kezdve a jól ismert igen, persze, tovább, megbízok benne.

Sajnos az emberek megszokták, hogy az amúgy valid oldalak is képesek rendszeresen elcseszni a saját certüket, és így sokan ellenőrzés nélkül kattintanak.

synapse · http://www.synsecblog.com 2009.02.20. 11:17:42

"WTF? Nem arrol volt szo, hogy a kabelen athalado csomagokba akarsz kodot injektalni? Ezt hogy oldod meg? "

1) Egyszeru, puffereled / letoltod az .exe-t, atalakitod mikozben varatod a usert http-n. :) Kisebb 1-2 megas fileoknal nem feltuno.

2) Meg egyszerubb: hazilag barkacsolt .exe-t adsz neki ami contentlength hosszu (padding). Ez az 1hez kepest viszont invaziv es feltuno...

synapse

Zughekker Zita · http://zughekker.blog.hu 2009.02.20. 13:58:03

Csak amolyan extra információként – az egy dolog, hogy az itcafe.hu főszerkesztője bölcsész végzettségű, azon belül is a hülyébbik fajtából, egyben összeesküvés szövő nagymester is. Amikor szóba hoztuk, hogy a nemszeretem.hu halálhírét pár sorban leközölhetnék, - ha már az indulása címlapsztori volt - meggyőződéssel írta, hogy az anonim halálba fingatós honlapot azért küldtük a túlvilágra, mert biztosan valamilyen ellentétünk támadt a nemszeretem.hu kiötlőjével és a szegedi bölcsészkar HÖK (!!) kis gecijei vagyunk. Részletek (bloghuról száműzött részletek) itt: nemszeretem.blogspot.com

r@ek (törölt) 2009.02.20. 14:50:08

@Zughekker Zita: Egyaltalan miert foglalkozol ilyen lapokkal, hogy nemszeretem.hu?

Rangon aluli.. :-)

Ennel jobb mar csak egy privi.hu deface lehetne..