Често Задавани Въпроси

Демонстрация на SSLStrip –  с помощта на backtrack се вдига фалшив WiFi AP, върху който се пуска ettercap ( за дъмпене на паролите от трафика ) и sslstrip, който от своя страна блокира https протокол.

Замислете се следващият път, когато се закачате към отворено WiFi.

База данни от частните SSL ключове на множество инфраструктурни устройства¹, при които въпросният частен ключ е сложен във фърмуера и не може да бъде сменен беше публикувана преди няколко дни под името LittleBlackBox. Проблемът засяга доста производители (DD-WRT, Cisco, Linksys, D-Link, Netgear ), като ефективно позволява на атакуващ хакер да подслушва целият HTTPS криптиран трафик на такова устройство или да изпълни незабележима MITM атака. LittleBlackBox може да бъде свалена тук и съдържа множество частни и публични ключове. Също така може да се търси по производител или модел на устройство. Тъй като проекта приема допълвания от доброволци, несъмнено ще има бързо развитие – хвърляйте му по едно око от време на време.

1. embedded devices [обратно ↩]

Вчера на Toorcon12 в Сан Диего Eric Butler обяви своя плъгин за Firefox на име Firesheep. Плъгина е разработен с цел демонстрация на множеството несигурни практики на сайтовете. Работи като прехваща бисквитката ( cookie ) от http сесия на друг потребител на същият wireless.

Кратко лирично отклонение: как работи аутентификацията при повечето сайтове – дори и формата с потребителското име и парола да е криптирана или хеширана, то след аутентификация сайта записва бисквитка в браузъра и след това я чете, за да аутентификира потребителя. Това означава, че всеки потребител, който притежава тази бисквитка, ще бъде присъединен към аутентифицираната сесия ( понякога се проверява и за същият IP адрес, но не винаги ). Ако се използва публична wifi мрежа, то на практика бисквитките се предават в некриптиран вид и всеки може да ги копира.

Тази атака не е нова, но за първи път се появява в толкова удобен за ползване пакет – просто инсталирате плъгина, пускате да сканира и после щракате на снимката… Направо мокрият сън на тинейджърите и script kiddie-тата.

Ето и всички слайдове от презентацията.

“In God we trust, all others must submit X.509 Certificate”

Стара шега из ИТ средите, която обаче напоследък може да изиграе лоша шега – повечето потребители смятат HTTPS за сигурен протокол, който защитава от подслушване. Все повече потребители се научават да гледат за зеленото катинарче, чавка или какъвто графичен елемент в браузера показва, че сертификатът на сайта е валиден и е подписан от валидно ауторити от верига, на която браузърът или операционната система се доверяват. Откъдето може да възникне проблем – EFF обявиха на DefCon18 своят нов проект – SSL Observatory, който цели да изследва всъщност на колко ауторитита вашият компютър се доверява по подразбиране и доколко всъщност можем да се доверим на тях. Защото ако злоумишлена организация може да генерира валидни сертификати, от верига, на която се доверявате, то те спокойно могат да подслушват комуникацията ви, била тя и през SSL.

Намереното от проекта до момента е изключително интересно:

• наблюдавани са над 1.3 милиона валидни сертификата
• Mozilla се доверява по подразбиране на 124 ауторитита ( събрани в около 60 организации )
• Microsoft се доверява само на 19 в Windows 7, но това може да бъде “ъпгрейдвано” тихомълком
• Голям брой сертификати подписани от единични leaf-ове – например един сертификат от GoDaddy е подписал 300 224 сертификата ,един от Equifax – 244 185
• много от организациите споделят ключове – открити са над 80 уникални ключа, които се използват в различни сертификати на ауторитита
• над 6000 сертификати за localhost, частни IP адреси и т.н.
• root CA сертификати, които не се използват ( но браузера ви им се доверява )
• Интересни организации, които притежават CA сертификат – например Department of Homeland Security, Etisalat¹,  Dell, Ford, Google, Marks and Spencer и т.н.

ето цялата презентацията от DefCon, препоръчително четиво, ако темата ви е интересна. Също така е достъпна карта на 650+ организации, които могат да издават сертификати.

В скоро време се очаква проекта да публикува цялата събрана информация ( включително събраните сертификати ), както и да направи няколко допълнителни анализа.

Update 23.10.2010 ето и линк към видеото от презентацията на DefCon.

1. тези, които се опитаха да забранят Blackberry в Обединените Арабски Емирства [обратно ↩]

Представям ви тази прекрасна лекция от Defcon17 на тема “как да отвлечем сайт” с помоща на инструментите SSLstrip и SlowLoris. Единият от лекторите Sam Browne е всъщност преподавател в City College San Francisco и цялата лекция съпътства упражнение, за което има детайлни инструкции. Втория лектор е небезизвестния RSnake, създателя на SlowLoris.

Hijacking Web 2.0 Sites with SSLstrip and SlowLoris — Sam Bowne and RSnake at Defcon 17 from Sam Bowne on Vimeo.

Понеже често получавам въпроси от рода “как мога да хакна поща в еди-кой-си провайдер” – отговора е в това видео.

Powered by Zoundry Raven

Technorati : hacking, ssl, web 2.0, хак

Jeff Mozer е публикувал много добър поглед върху първите милисекунди от живота на една SSL връзка. Въоръжен с Wireshark и малко пипната версия на Firefox, Jeff анализира какво точно става, когато щракнете https връзка. Силно препоръчвам за четене, със сигурност ще научите нещо ново.