OT: Vysosání souborů z tcpdump/wireshark capture

[Jindroush]

Pevny bod v nasem pripade je duvera v instalaci windows, ktera obsahuje 
code signing certs -> odtud pak prenasim duveru na podepsany instalak 
browseru -> a ten mi instaluje root certs pro https. Samozrejme, v 
pripade Diginotaru nebo mene vazne Comoda se ukazalo, ze i tato duvera 
je jiz narusena. Toto ma do jiste miry resit cert pinning, ktery mi 
zajistuje, ze pro cert organizace X se vzdy pouziva CA Y, takze i v 
pripade utoku na jinou CA Z, jsou pak takove certy pro X neplatne.

Ostatne, vsechno tohle uvazovani musime brat z pohledu utocnika, co 
ziskava a co ho to stoji. V kazdym pripade, pokud mam chranenou 
organizaci, tak podvrhnout vsude korenovy cert, aby to nehucelo, to je 
imo celkem dost narocnej ukol.

On 30.7.2012 8:26, RV wrote:
> Moc jsem to vlakno nesledoval, ale u techto technologii plati vyrok:
> Dejte mi pevny bod...
>
> Jde prave o to cemu jste ochotnej duverovat... certifikatu CA, ktery je
> soucasti stazeneho browseru? A ten jste si stahnul jak? Tady odtud
> http://www.mozilla.cz/stahnout/firefox/ ? ;-) Nebo ta stranka byla
> podhozena nekym tretim?
>
> Pokud jste dostatecne paranoidni tak jedina jistota je si pro ten
> certifikat nekam dojit.
>
> Radek Vicek
>
> Dne 29.7.2012 23:47, Jindroush napsal(a):
>> IMO resite neco uplne jineho - ja zpochybnuju to, ze je snadne udelat
>> MitM - tvrdim, ze to prakticky nelze. Vy mluvite o tom, ze lidi odmackaj
>> cokoli, aby se nekam dostali - ale to ja vim a nehodlam to zpochybnovat,
>> ale nedoklada to nic jako snadnost mitm utoku apod.
>>
>> On 29.7.2012 21:55, Jaroslav Lukesh wrote:
>>> To je trochu špatný příklad, hodí se jen na velké firmy, kde se ten
>>> divoký certifikát natlačí v rámci vnitrofiremní politiky.
>>>
>>> Ale kolik lidí zkoumá certifikát od nedůvěryhodné CA u běžných stránek?
>>> A kolik těch co tomu vůbec nerozumí? Takhle divoký certifikát povolíte
>>> jednou a máte povoleno nafurt.
>>>
>>> Ještě dělají jedno řešení na firmy, kdy se místní CA dá do prohlížečů a
>>> pak squid generuje nedivoký certifikát pro každou doménu.
>>>
>>> Jistě, šťoura toto odhalí, ale kolik to bude i z těch co tomu rozumí,
>>> prostě jen odkliknou otravné okno?
>>>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>


-- 
Jindroush (kubecj na avast.com)
http://www.kostky.org - Pro fany stavebnic LEGO.