Comments 46
спасибо, до этого использовал VPN соединение. Теперь на андроиде перейду на приложение DroidSheepGuard.
Лучше используйте VPN. DroidSheepGuard не может восстанавливать ARP-таблицу. Зато может постоянно отключать от Wi-Fi сети при назойливых атаках злоумышленника, что только негатива прибавит при работе с сетью.
заметил еще один минус. DroidSheepGuard подъедает немного батарею. Наверное лучше vpn, даже с этой точки зрения.
Думается мне, что VPN с его шифрованием подъедает батарею не меньше ;) Криптография — ресурсозатратная операция как минимум для процессора.
А как же Wifi Protector? Очень хотелось бы и его увидеть рядом в тесте.
И правда. Упущение.
Но он денежек стоит. Может, и его протестирую как найду вариант купить его анонимно (не люблю я своей кредиткой расплачиваться). Либо можете сами провести его тест. Всё что нужно для тестов у меня описано. Включайте в одну сеть Ваше андроид-устройство и комп с виндой, на которой запустите ARPBuilder и далее по статье
Но он денежек стоит. Может, и его протестирую как найду вариант купить его анонимно (не люблю я своей кредиткой расплачиваться). Либо можете сами провести его тест. Всё что нужно для тестов у меня описано. Включайте в одну сеть Ваше андроид-устройство и комп с виндой, на которой запустите ARPBuilder и далее по статье
При попытке скачать по ссылке из шапки выдаёт ошибку 404. Версию 1.4.0 в одном из постов также не могу скачать по той же причине
Пользуюсь им, несколько раз он ловил «умников», доволен.
Проверка — раз в минуту может быть не достаточной. Минуты вполне достаточно что бы умудрится разбазарить свою сессию.
Ай да snort на android :D
Ай да snort на android :D
в общем-то да. Хотя многое зависит и от скорости передачи данных в сети. Если устройств много и сигнал плоховатый, то 1 мин может быть и недостаточно. Но я согласен, что проверку стоило бы делать чаще
А при чём здесь ARP таблицы, если сигнал wifi всё равно броадкастится и его можно перехватывать с правильным драйвером/прошивкой wifi адаптера?
А у Вас был опыт сделать это на андроиде? Установка aircrack-ng под Android нетривиальна. Посему такой способ в массы не пошёл и самый лёгкий способ перехвата для андроид-устройств на текущий момент — использовать Droidseep.
В открытых сетях и сетях с WEP шифрованием броадкаст дейстивтельно можно слушать, но WPA/WPA2 устанавливает для каждого пользователя разные ключи шифрования, поэтому в сеанс связи вмешаться проблематично. Есть атаки на WPA, позволяющие слушать ответы от точки, если мне не изменяет память, но ARP в любом случае работает безотказно.
Просто перехват трафика ничего не даст, так как авторизация идет как правило внутри HTTPS. Необходимо направить трафик через свое устройство, чтобы получить возможность на лету, прозрачно для клиента расшифровывать трафик и зашифровывать его обратно. Для этого и нужен arp spoofing. Подробнее про MITM-атаки
авторизация идет как правило внутри HTTPS
Это с чего Вы взяли? У меня на Droidsheep много перехваченных сессий фейсбука, контакта и yahoo mail где использовался обычный http. Все кукисы целые
Разницу между авторизацией и сессией знаете? На всякий случай — если иметь доступ к моменту авторизации, то можно узнать логин/пароль, а сессия даёт только «единоразовый вход».
VK при логинации точно куда-то по https ломится, глубже я не ковырялся, но шанс, что там есть защита авторизации, есть. FB и yahoo mail меня не интересовали.
VK при логинации точно куда-то по https ломится, глубже я не ковырялся, но шанс, что там есть защита авторизации, есть. FB и yahoo mail меня не интересовали.
Согласен. Если используется обычный http, это возможно. Наверное, мое сообщение следует понимать в том ключе, что направив трафик через себя можно перехватывать данные защищенных сессий. Которые используются в том же Facebook, Google, Yahoo.
«прозрачно для клиента расшифровывать трафик и зашифровывать его обратно»
Ого, хорошо задвинули… Научите расшифровывать и зашифровывать без ключа.
Лучшее, что можно сделать MITM в HTTPS — это перевести сайт на http: Войны в песочнице — Часть 2. Обход HTTPS
Ого, хорошо задвинули… Научите расшифровывать и зашифровывать без ключа.
Лучшее, что можно сделать MITM в HTTPS — это перевести сайт на http: Войны в песочнице — Часть 2. Обход HTTPS
Я так понимаю, речь шла о подмене сертификата HTTPS таким образом, что атакующий имеет 2 ключа шифрования:
1. Ключ между им и жертвой
2. Ключ между им и истинным сервером с https
1. Ключ между им и жертвой
2. Ключ между им и истинным сервером с https
Статью напишите про возможность подмены сертификата — я обязательно прочту.
Вы знаете, что все сертификаты проверяются через корневые сертификаты? Вы сможете получить доверенный сертификат на facebook.com? Если нет, то пользователь получит красное окно с предупреждением и тут уже вопрос глупости пользователей, а не техничекой реализации — если он нажмёт «продолжить», то он сам себе злой буратино. Куда проще перекинуть клиента на http дабы не пугать всякими предупреждениями.
Вы знаете, что все сертификаты проверяются через корневые сертификаты? Вы сможете получить доверенный сертификат на facebook.com? Если нет, то пользователь получит красное окно с предупреждением и тут уже вопрос глупости пользователей, а не техничекой реализации — если он нажмёт «продолжить», то он сам себе злой буратино. Куда проще перекинуть клиента на http дабы не пугать всякими предупреждениями.
пользователь буратино уже потому, что юзает общественный Wi-Fi для захода на свой аккаунт.
в браузере под десктоп предупреждение о использовании не доверенного сертификата будет. что будет в браузерах под андроид — надо глядеть. и ещё большой вопрос что будет если пользователь использует специальное приложение для работы с соц сетью. будет ли выдаваться предупреждение о наличии «левого» сертификата или нет.
в браузере под десктоп предупреждение о использовании не доверенного сертификата будет. что будет в браузерах под андроид — надо глядеть. и ещё большой вопрос что будет если пользователь использует специальное приложение для работы с соц сетью. будет ли выдаваться предупреждение о наличии «левого» сертификата или нет.
Куда проще перекинуть клиента на http дабы не пугать всякими предупреждениями.Можете ссылкой поделиться на реализацию данного метода
«Можете ссылкой поделиться на реализацию данного метода»
Два комментария назад я именно туда и дал ссылку…
«пользователь буратино уже потому, что юзает общественный Wi-Fi для захода на свой аккаунт.»
Да ну? Без своих аккаунтов (почта, соц. сети, сервисы) в интернете можно только искать и читать баш. :)
«что будет в браузерах под андроид — надо глядеть.»
Глядел — выплывает сообщение (popup) со стандартными действиями «Я — ССЗБ» / «Не-не-не».
С приложениями не знаю что будет.
Два комментария назад я именно туда и дал ссылку…
«пользователь буратино уже потому, что юзает общественный Wi-Fi для захода на свой аккаунт.»
Да ну? Без своих аккаунтов (почта, соц. сети, сервисы) в интернете можно только искать и читать баш. :)
«что будет в браузерах под андроид — надо глядеть.»
Глядел — выплывает сообщение (popup) со стандартными действиями «Я — ССЗБ» / «Не-не-не».
С приложениями не знаю что будет.
Я свободно пользуюсь скайпом в открытой сети.
Насчёт подмены http на https — это будет работать в самый первый заход пользователя. Если https-соединение уже установлено, то метод нам не поможет. Разве что разрывать сессию.
Насчёт подмены http на https — это будет работать в самый первый заход пользователя. Если https-соединение уже установлено, то метод нам не поможет. Разве что разрывать сессию.
«Если https-соединение уже установлено, то метод нам не поможет.»
Во-первых, звучит так, будто пользователь увидит сообщение «Вас отключили от сервера», HTTP — stateless протокол, так что ничего страшного в обрыве связи нет. Во-вторых, у вас есть решение, которое сможет не нарушая HTTPS получить содержимое?
Во-первых, звучит так, будто пользователь увидит сообщение «Вас отключили от сервера», HTTP — stateless протокол, так что ничего страшного в обрыве связи нет. Во-вторых, у вас есть решение, которое сможет не нарушая HTTPS получить содержимое?
смотря как собираетесь прерывать связь по HTTPS. Скорее всего, пользователь увидит что-то вроде: «сервер не отвечает». Попытка обновить страницу в браузере даст тот же эффект (тут перехода на HTTP не произойдёт). Если пользователь перезапустит браузер, то да, эффект будет.
К слову, у меня в браузере при наборе адреса до корпоративной почты браузер автодополняет всю строку вместе с https.
К слову, у меня в браузере при наборе адреса до корпоративной почты браузер автодополняет всю строку вместе с https.
Скайп шифрует соединения, нет?
Даже если забыть про это, кроме ARP есть ещё более точечный ICMP Redirect.
Как на счёт подмены DHCP? Можно ведь клиентов подключать сразу на свой шлюз и не напрягаться с ARP. :)
VPN/ssh-tunnel рулит…
VPN/ssh-tunnel рулит…
Sign up to leave a comment.
Сравнительный тест программ, предотвращающих атаку на ARP-таблицу