Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Атака срещу SSL криптиране

March 16th, 2009 от singu

Rusty padlockПривет, отдавна не сме се чували… за което се чувствам виновен, разбира се. Искрено се извинявам на хората, на които съм липсвал. След като преглътнахме това, ще се опитам да наваксам с нещата, които се случиха, докато си губих времето с други неща.

Една от основните новини е, че на BlackHat 20091 беше обявен нов клас атаки срещу SSL криптирана комуникация.

Кратко лирическо отклонение: SSL е метод на криптиране на HTTP, известен още и като HTTPS – точно това нещо, което ползвате, когато се свързвате към онлайн банкирането си, Gmail или някоя друга подобна услуга. SSL сме дъвкали и друг път и не помня дали съм писал повечко, но в общия случай – HTTP сървърът си има сертификат, с помоща на който удостоверява, че този сървър е точно същия, за когото се представя. Този сертификат беше цел на атаката от декември. Това е нещото, което ме спира да нароча моя машина за www.paypal.com и да почна да събирам пари за пенсионирането си. С помощта на въпросния сертификат и малко тъмна магия… добре де, алгоритми с публичен ключ се генерира ключ, с който се криптира сесията между въпросния сървър и браузера. По този начин, дори и някой да подслушва комуникацията, няма начин да разбере какво има вътре. /Лирично отклонение.

Цялата магия се основава на начина, по който стигаме до https – в 99% от случаите щракаме линк вътре в стандартна страница, или казано по друг начин – биваме пренасочени от HTTP към HTTPS. Представената атака, наречена ssl-strip ( заедно с инструмента със същото име ) всъщност се целят именно в този преход. Инструмента може да прихване и подмени връзките към https страници с връзки към фалшив сайт, или дори към същия сайт, но без криптиране, дори с още малко фокуси успява да покаже любимото на всички катинарче. Много интересна дискусия след презентацията можете да проследите и от видеото -> тук

Атаката е изключително опасна и може да заблуди дори и опитни потребители. Колко от вас си проверяват сертификата на сайта всеки път, когато го отворят ?

_________
  1. за който не знае – това е една от основните хакерски конференции [обратно ↩]

Подобни статии:

  1. Нов проект на EFF следи за лоши SSL сертификати
  2. Нова атака срещу банкомати
  3. Нова атака срещу AES
  4. Атака срещу мобилни телефони спира получаването на SMS-и
  5. Нова атака срещу AES

Изпрати по email Изпрати по email |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.