January 6th, 2011 от singu
Преди два месеца споменах за Firesheep – добавката за Firefox, кoято позволява “отвличането” на чужди HTTP сесии, особено такива, минаващи през некриптирана Wireless точка. Новината породи доста интерес ( особено когато се оказа, че може да се крадат Facebook сесии ) и предполагам доста хора са се заиграли. Разбира се, подобна атака не представлява особена новост, но за първи път HTTP session hijack-а е облечен в толкова лесен за ползване пакет.
И така – да видим как може да се защитим от script kiddies, които ползват подобни играчки:
- на първо място – ползвайте криптирана връзка, включително криптирайте и Wireless-а си. Ако държите да го раздавате на познати и приятели – сложете някаква смешна парола и им я дайте, или я напишете на видно място ( този метод се ползва от няколко кафета в София ). Ако ползвате и VPN до някакъв ваш/фирмен сървър и този VPN е настроен така, че целият трафик се рутира през него – още по-добре.
- ползвайте добавката за Firefox HTTPS Anywhere, дело на Electronic Frontier Foundation. Тази добавка превключва към изцяло SSL криптиран трафик към сайтовете, които го поддържат ( Google Search, Wikipedia, Twitter, Facebook, bit.ly, GMX, WordPress.com, The New York Times, The Washington Post, Paypal, EFF, Tor и др.)
- Използвайте добавката за Firefox Blacksheep, която е разработена от Zscaler и е предназначена да ви предупреди, ако някой в мрежата използва Firesheep. Също така тази добавка генерира фалшиви HTTP сесии, които подава на Firesheep, като по този начин засипва атакуващият с грешни данни ( също известно като snowblind атака ). За отбелязване е, че не можете да инсталирате в един и същ профил Firesheep и Blacksheep – използват обща кодова база. Ето как изглежда предупреждението:
А все пак, ако сте пропуснали да си инсталирате Firesheep, можете да го намерите тук.
August 17th, 2010 от singu
“In God we trust, all others must submit X.509 Certificate”
Стара шега из ИТ средите, която обаче напоследък може да изиграе лоша шега – повечето потребители смятат HTTPS за сигурен протокол, който защитава от подслушване. Все повече потребители се научават да гледат за зеленото катинарче, чавка или какъвто графичен елемент в браузера показва, че сертификатът на сайта е валиден и е подписан от валидно ауторити от верига, на която браузърът или операционната система се доверяват. Откъдето може да възникне проблем – EFF обявиха на DefCon18 своят нов проект – SSL Observatory, който цели да изследва всъщност на колко ауторитита вашият компютър се доверява по подразбиране и доколко всъщност можем да се доверим на тях. Защото ако злоумишлена организация може да генерира валидни сертификати, от верига, на която се доверявате, то те спокойно могат да подслушват комуникацията ви, била тя и през SSL.
Намереното от проекта до момента е изключително интересно:
- наблюдавани са над 1.3 милиона валидни сертификата
- Mozilla се доверява по подразбиране на 124 ауторитита ( събрани в около 60 организации )
- Microsoft се доверява само на 19 в Windows 7, но това може да бъде “ъпгрейдвано” тихомълком
- Голям брой сертификати подписани от единични leaf-ове – например един сертификат от GoDaddy е подписал 300 224 сертификата ,един от Equifax – 244 185
- много от организациите споделят ключове – открити са над 80 уникални ключа, които се използват в различни сертификати на ауторитита
- над 6000 сертификати за localhost, частни IP адреси и т.н.
- root CA сертификати, които не се използват ( но браузера ви им се доверява )
- Интересни организации, които притежават CA сертификат – например Department of Homeland Security, Etisalat, Dell, Ford, Google, Marks and Spencer и т.н.
ето цялата презентацията от DefCon, препоръчително четиво, ако темата ви е интересна. Също така е достъпна карта на 650+ организации, които могат да издават сертификати.
В скоро време се очаква проекта да публикува цялата събрана информация ( включително събраните сертификати ), както и да направи няколко допълнителни анализа.
Update 23.10.2010 ето и линк към видеото от презентацията на DefCon.
_________
June 15th, 2009 от singu
Jeff Mozer е публикувал много добър поглед върху първите милисекунди от живота на една SSL връзка. Въоръжен с Wireshark и малко пипната версия на Firefox, Jeff анализира какво точно става, когато щракнете https връзка. Силно препоръчвам за четене, със сигурност ще научите нещо ново.
August 25th, 2008 от singu
Съвсем доскоро Gmail имаше гадният навик да използва HTTPS само докато се логнете, след което сесията ставаше обикновен HTTP ( т.е. без допълнително криптиране ). Недостатъка на това е, че позволява прехващане на пощата, която четете и пишете от някой любопитко по пътя между вас и сървърите на Google. Решението бе да използвате нещо от рода на плъгина за Firefox – Customise Google, една от функциите на който е да “насили” сървърите на Google да използват HTTPS. За щастие обаче миналата седмица екипът на Gmail най-накрая пусна и настройка в самият Gmail да се ползва криптиране:
Силно е препоръчително да активирате тази опция ( по подразбиране не е активна ), защото на последният DefCon беше обявен инструмент за автоматизирано прехващане на сесиите към Gmail. Инструмента е разработен от Mike Perry и позволява с относително прост трик да се прехване Session ID на сесията към Gmail. Имайки този номер, инструмента може да се логне във пощата и да смени паролата, като по този начин ефективно присвоява пощенската кутия ( с всички последствия, произтичащи от това ). Инструмента ще бъде публично достъпен след две седмици, така че все още имате време да щракнете 2 пъти с мишката и да си пуснете HTTPS-a.
Technorati : Gmail, HTTPS, криптиране, сигурност
