LINUX.ORG.RU

MITM для HTTPS

 , , ,


1

7

Возможно ли выполнить MITM для HTTPS так, чтобы «жертва» не догадалась?

Провайдер проксирует все HTTP соединения. Раньше прокси оставлял неаккуратные заголовки в пакетах (какой-то неизвесный кэширующий прокси). Потом заголовки убрали, но если подключаться к ya.ru, а в заголовках написать Host: google.com, то скачается google.com — явно прозрачный прокси. Ну и вэб-сокеты ломаются.

Вчера не работали почти все HTTPS соединения. Работал только гугл. DNSCrypt на 443 порт подключался без проблем. Явно пытались вмешаться в HTTPS-трафик.

Отпечатки сертификатов правильные, CA тоже правильный. Реально ли «вклиниться» в HTTPS не вызывая подозрений? В каких случаях браузер не будет бить тревогу?

Ну и вообще: что делать?

Ну и вообще: что делать?

VPN через IPSec // thread

gh0stwizard ★★★★★ ()

Да, подсунув жертве свой удостоверяющий центр в доверенные и сгенерив свой сертификат для гугла, а потом подписав его своим УЦ

Ну и посмотри список CA в своем браузере, ты всем CA доверяешь?

trofk ★★★ ()
Последнее исправление: trofk (всего исправлений: 1)

Ну и вообще: что делать?

i2p

ну и тюнить браузер/почтовый клиент, чтобы он о тебе не стучал

trofk ★★★ ()
Ответ на: комментарий от trofk

Да, подсунув жертве свой удостоверяющий центр в доверенные и сгенерив свой сертификат для гугла, а потом подписав его своим УЦ

А какие есть методы «подсовывания»? Сам я левых сертификатов не ставил, комп на NAT'ом и с файрволом.

Ну и посмотри список CA в своем браузере, ты всем CA доверяешь?

Доверяю только своему CA для самоподписанных сертификатов, про остальные CA мне ничего не известно.

Black_Roland ★★★★ ()
Ответ на: комментарий от gh0stwizard

Даже на свой сервак? Через ipsec?

Если свой сервак на VPS, то это все равно не то. Тем более еще и забанить могут. Сейчас ProstoVPN прикупил, потом может на VPS'ке настрою, но хотелось бы нормальной скорости сети, VPN через Канаду не сильно комфортно.

Про ipsec не вкурсе, чем оно лучше/хуже OpenVPN? Может я чего-то не понимаю?

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 2)
Ответ на: комментарий от Black_Roland

Сам я левых сертификатов не ставил, комп на NAT'ом и с файрволом.

Тогда маловероятно.

trofk ★★★ ()

Нереально, не имея private key от сертификата. Исключение - если браузер не совсем «тот» за кого себя выдаёт (то есть он не делает запрос в CA, или делает но не туда, куда нужно).

Еще один способ хотя и старый, но иногда работает - это 'заворачивание' https на http (по сути - редирект на http, схема зависит от наличия http версии ресурса и фантазии в сумме с желанием). Возможно, некоторые браузеры уже умеют предупреждать об этом.

invokercd ★★★★ ()

Ну вроде успокоили, спасибо. Буду бдить.

Black_Roland ★★★★ ()
Ответ на: комментарий от Black_Roland

Ну вроде успокоили, спасибо.

Рано.

про остальные CA мне ничего не известно.

Ну вот собственно при утечке корневых сертификатов злоумышленник может подписать свой и браузер распознает как валидный.

Дальше можно пофантазировать кому могут быть доступны КС об утечке которых не сообщалось.

Umberto ★☆ ()
Ответ на: комментарий от Umberto

Точно не знаю, но кажется провайдер это делает не для слежки, а для кэширования и урезания скорости. Даже сайты банятся по IP, а не по URL, хотя стоит прокси.

Но вообще просто СА надо проверять периодически.

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 1)
Ответ на: комментарий от Umberto

Ну вот собственно при утечке корневых сертификатов злоумышленник может подписать свой и браузер распознает как валидный.

Он же отпечатки сверял.

Reinar ()
Ответ на: комментарий от Black_Roland

Есть DigitalOcean, у которого можно взять VPS в Европе за $5 в месяц.

feanor ★★★ ()
Последнее исправление: feanor (всего исправлений: 1)

Вы всем СА не глядя доверяете? Ну тогда лечиться надо

thespiritofbirdie ()
Ответ на: комментарий от feanor

Есть DigitalOcean, у которого можно взять VPS в Европе за $5 в месяц.

Уже есть. Не хочу использовать под VPS, дабы меня за это не забанили. Да и трафик может кончится.

Black_Roland ★★★★ ()
Ответ на: комментарий от Black_Roland

Если свой сервак на VPS, то это все равно не то. Тем более еще и забанить могут
Не хочу использовать под VPS, дабы меня за это не забанили.

Черт, люди на этих впсах порнуху хостят, торренты раздают, открытые прокси ставят и тем более как VPN используют. Ты слишком много боишься.

entefeed ☆☆☆ ()

Ого, а что за провайдер? Можно сделать дамп трафика?

ivlad ★★★★★ ()
Ответ на: комментарий от Black_Roland

Если твоя VPS не начнет спамить из-за того, что боты подобрали словарный пароль или использовали любую иную уязвимость для захвата контроля над сервером, то никто не будет к тебе приставать. Абузы они форвардят хозяину VPS, если не будешь их игнорить то всё ок.

Ради траффика можно и на $10 тариф перейти где 2 Тб. Не говоря о том, что в случае превышения стоимость траффика всего 2 цента за гигабайт.

feanor ★★★ ()
Ответ на: комментарий от Black_Roland

Во-первых, это только половина трафика - запросы к passport.yandex.ru, ответов нет, во-вторых, немного сложно декодировать ServerHello из текстового дампа.

Пришли, пожалуйста, бинарный дамп только просто «host passport.yandex.ru and tcp port 443» на ivlad@yandex-team.ru. Спасибо.

ivlad ★★★★★ ()
Ответ на: комментарий от Black_Roland

насколько я помню, ДО до сих пор не научился считать трафик, и по этому любые превышения пока бесплатны. и ну не знаю, меня не отключают, там только за явную нелегальщину банят так то

wwwsevolod ()
Ответ на: комментарий от Black_Roland

Безопасность VPN основан на IPsec вообще-то.

IPsec ты всё равно используешь в VPN, так что не парься. А по поводу а различий (VPN и IPsec) - такие же как между нефтью и бензином.

oskar0609 ()
Ответ на: Безопасность VPN основан на IPsec вообще-то. от oskar0609

а сейчас у многих РУ провайдеров подменяют гугловский сертификат?

заметил, что через локалку приходит самоподписанный, а через туннель с полной цепочкой сертификации, очевидно MITM в локалке

SSH2, наверно, MITM-му не поддается при использовании ключевой пары?

sanyock ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.