OT: Vysosání souborů z tcpdump/wireshark capture
Jindroush
kubecj na asw.cz
Neděle Červenec 29 23:47:43 CEST 2012
IMO resite neco uplne jineho - ja zpochybnuju to, ze je snadne udelat
MitM - tvrdim, ze to prakticky nelze. Vy mluvite o tom, ze lidi odmackaj
cokoli, aby se nekam dostali - ale to ja vim a nehodlam to zpochybnovat,
ale nedoklada to nic jako snadnost mitm utoku apod.
On 29.7.2012 21:55, Jaroslav Lukesh wrote:
> To je trochu špatný příklad, hodí se jen na velké firmy, kde se ten
> divoký certifikát natlačí v rámci vnitrofiremní politiky.
>
> Ale kolik lidí zkoumá certifikát od nedůvěryhodné CA u běžných stránek?
> A kolik těch co tomu vůbec nerozumí? Takhle divoký certifikát povolíte
> jednou a máte povoleno nafurt.
>
> Ještě dělají jedno řešení na firmy, kdy se místní CA dá do prohlížečů a
> pak squid generuje nedivoký certifikát pro každou doménu.
>
> Jistě, šťoura toto odhalí, ale kolik to bude i z těch co tomu rozumí,
> prostě jen odkliknou otravné okno?
>
> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz
>
>
>> Je stale stejne absurdni, cituji:
>>
>>> This will of course cause the client browser to display an error:
>>> [pic]
>>>
>>> In an enterprise environment you’ll probably want to generate the
>>> certificate using a CA that the clients already trust. For example,
>>> you could generate the certificate using microsoft’s CA and use
>>> certificate auto-enrolment to push the certificate out to all the
>>> clients in your domain.
>>
>>
>> Takze plati to, co jsem rikal - okamzite to provede kraval. Pokud tedy
>> chcete to mitm provozovat v ramci site proti vlastnim klientum, musite
>> jim nacpat vlastni root ca.
>>
>> Obejiti HTTPS/SSL jednoduse pres MitM neni mozne, a prave proto tyto
>> technologie existuji.
>>
>>
>> On 29.7.2012 0:12, Jaroslav Lukesh wrote:
>>> Jakkoli se vám může zdát některé moje tvrzení absurdní, já nekecám.
>>> Akorát si někdy nemůžu vzpomenout, kde jsem k tomu přišel. Naštěstí
>>> pro mně mi google na třetí pokus vyplivnul toto.
>>>
>>> http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/
>>>
>>>
>>>
>>>
>>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>>
>>>
>>> Nelze. Vzdy se jedna o retezec podepsanych certifikatu (chain),
>>> vychazejici z korenovych certifikatu (root cert). Browser (ssl
>>> knihovna) ma seznam trusted korenovych certifikatu. Na skutecny,
>>> nerozpoznatelny MITM byste musel mit a) faked cert pro organizaci X -
>>> vygeneruje kdokoli kdykoli b) podepsany korenovym certifikatem,
>>> kteremu veri zarizeni - nevygeneruje nikdo (s pravdepodobnosti
>>> blizici se 100%, ale ne 100% :) ) c) v pripade echt paranoidnich
>>> setupu, napr. pri pouzivani Chrome ani toto uz nepomuze, viz cert
>>> pinning.
>>>
>>>
>>> Takze moje tvrzeni - zarizeni, ktere se necha opit rohlikem ve forme
>>> faked mitm certu je debyl a zaslouzi si to. Zadne rozumne
>>> zarizeni/knihovna toto neumozni.
>>>
>>> On 28.7.2012 21:33, Jaroslav Lukesh wrote:
>>>> Ano, toto si většina té menšiny lidí mylně myslí. Jenže certifikát
>>>> lze nahradit jiným, tzv. divokým.
>>>>
>>>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>>>
>>>>
>>>> Jak nepozna? Okamzite prestanou sedet certifikaty a zarizeni, ktery
>>>> si je nehlida, je proste debyl ;)
>>>>
>>>> Klicova slova budou SSL MITM.
>>>>
>>>> On 28.7.2012 20:05, Jaroslav Lukesh wrote:
>>>>> i https lze obejít pomocí transparentní https proxy (přesný
>>>>> buzzword si nepamatuji), třeba takový squid to umí a většina
>>>>> klientů to ani nepozná.
>>>>>
>>>>>
>>>>> ----- Původní zpráva ----- Od: "Na" <navrhpcb na gmail.com>
>>>>>
>>>>>
>>>>> az se o vas dozvědí, tak přejdou na https :-)
>>>>>
>>>>> Jak si to zarizeni udela session cokies? V zarizeni je nejspise
>>>>> linux a nejde to rootnout a odchytit ten soubor primo v
>>>>> zarizeni?
>>>
>>> _______________________________________________ HW-list mailing list
>>> - sponsored by www.HW.cz Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>
>>
>>
>> --
>> Jindroush (kubecj na avast.com)
>> http://www.kostky.org - Pro fany stavebnic LEGO.
>> _______________________________________________
>> HW-list mailing list - sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
--
Jindroush (kubecj na avast.com)
http://www.kostky.org - Pro fany stavebnic LEGO.
Další informace o konferenci Hw-list