Комментарии 45
И можно легко подтолкнуть жертву к скачиванию файла, здорово
Мда. Радость-то какая.
А что вас смущает? Весьма интересное решение. Мы же тут не моральную сторону обсуждаем, а техническую, не?
Вот как раз отношение к моральной стороне меня и смущает.
При чем тут мораль? Для некоторых это просто работа и инструмент 8)
Для кого, простите? Назовите хоть одну легальную деятельность, предусматривающую MitM атаки.
penetration tester к примеру.
И без подталкивания жертвы к скачиванию поддельного файла работа penetration tester невозможна, да?
Это реализация одного из векторов атаки. Скорее всего это будет PoC, дабы указать заказчику одну из брешей.
А, т.е. этот прекрасный софт нужен, чтобы показать заказчику, как в один клик можно подменить скачиваемый файл?
Так для этого можно и не реализовывать функцию реальной подмены файла, что, заказчик проверять что ли будет?
Так для этого можно и не реализовывать функцию реальной подмены файла, что, заказчик проверять что ли будет?
Некоторых интересуют только реальные случаи и способы взлома, моделирование поведения инсайдера, применимые к инфраструктуре заказчика.
Извраты разные бывают. К примеру делаем ARP между N рабочек и 1 HTTP proxy в корп. локалке. Ставим подмену загрузки exe, ждем время T, подучаем N-X шеллов. Типа сразу много. При условиях, что нет потери пакетов при спуфе ARP и мы в себе уверенны. Я бы конечно так не рекомендовал так делать, но если хочется «угореть» и/или испытать сценарий, почему нет?
Рейтинг этого коммента, видимо, нужно трактовать так: хабрасообщество действительно считает, что использование описанной в посте программы вообще и функции подталкивания жертвы к скачиванию файла в частности будет производиться в легальных целях в значительных объёмах.
Ну ок.
Ну ок.
Внезапно. Как это можно непалевно SSL-сертификаты подменять?
Я может чего-то не понимаю, но проверка сертификата в браузере реализована таким образом, что браузер последовательно проверяет подписи сертификатов, пока не дойдёт до подписи известной ему и зашитой прямо в код самого браузера компании.
Администратор может выдавать что угодно, сертификат всё равно будет недоверенным, либо защите этой — грош цена.
Администратор может выдавать что угодно, сертификат всё равно будет недоверенным, либо защите этой — грош цена.
Если что, вот две довольно подробных статьи, где доходчиво рассказывается о MitM-атаках и невозможности подменить сертификат на самоподписанный без соответствующей реакции браузера
habrahabr.ru/post/111714/
habrahabr.ru/post/77689/
habrahabr.ru/post/111714/
habrahabr.ru/post/77689/
Я не проявлял никакого уважения/неуважения ни к каким бывшим администраторам.
> Я еще раз хочу обратить Ваше внимание, что во многих предприятиях на компьютерах клиентов в качестве корневого (доверенного) сертификата устанавливается самоподписанный сертификат предприятия.
Ок, расскажите, как на современные браузеры можно установить левый доверенный корневой сертификат так, чтобы браузер не предупреждал об этом.
+ каким образом, даже при наличии такого сертификата, можно подписать им левый сертификат, не имея секретного ключа на руках.
> Я еще раз хочу обратить Ваше внимание, что во многих предприятиях на компьютерах клиентов в качестве корневого (доверенного) сертификата устанавливается самоподписанный сертификат предприятия.
Ок, расскажите, как на современные браузеры можно установить левый доверенный корневой сертификат так, чтобы браузер не предупреждал об этом.
+ каким образом, даже при наличии такого сертификата, можно подписать им левый сертификат, не имея секретного ключа на руках.
Нет, не понимаю. Поясните специально для меня, тупого, ещё раз.
Имеем: нормальный (не корпоративная сборка) браузер.
Каким образом можно «беспалевно» (т.е. без всяких индикаций о недоверенном соединении) подсунуть ему левый сертификат?
Имеем: нормальный (не корпоративная сборка) браузер.
Каким образом можно «беспалевно» (т.е. без всяких индикаций о недоверенном соединении) подсунуть ему левый сертификат?
FF имеет собственную базу сертификатов:
travisspencer.com/blog/2009/07/firefox-does-not-use-the-windo.html
я пользуюсь портабельной версией FF, а обычная версия, которой я не пользуюсь, установленая в Program Files, собирает всякие незванные Add-on-ы, Plug-in-ы и сертификаты (от Microsoft, Google и доменных админов), — пусть собирает, не жалко ))
travisspencer.com/blog/2009/07/firefox-does-not-use-the-windo.html
я пользуюсь портабельной версией FF, а обычная версия, которой я не пользуюсь, установленая в Program Files, собирает всякие незванные Add-on-ы, Plug-in-ы и сертификаты (от Microsoft, Google и доменных админов), — пусть собирает, не жалко ))
Предлагаю начать все же с того, что сертификаты хранятся не в браузере.
Чтобы небыло «индикации» о недоверенном соединении достаточно, чтобы у пользователя на компьютере был установлен корневой (и при необходимости промежуточные) сертификаты до того, которым подписан открываемый ресурс. (как вам уже отвечали выше)
Ко внешним центрам сертификации (Тафте и прочие) обращаются для получения сертификата которым можно будет подписать ресурс доступный извне, чтобы у сторонних пользователей (вне компании) так же небыло индикации «недоверенного соединения». У внешних пользователей нет в хранилище сертификаты вашего корпоративного CA, но зато у них есть предустановленные от «доверенных центров сертификации».
Повторюсь — Внутри компании, для ресурса который доступен только внутренним пользователям это не делается, поскольку можно обойтись сертификатом «своего» CA.
Чтобы небыло «индикации» о недоверенном соединении достаточно, чтобы у пользователя на компьютере был установлен корневой (и при необходимости промежуточные) сертификаты до того, которым подписан открываемый ресурс. (как вам уже отвечали выше)
Ко внешним центрам сертификации (Тафте и прочие) обращаются для получения сертификата которым можно будет подписать ресурс доступный извне, чтобы у сторонних пользователей (вне компании) так же небыло индикации «недоверенного соединения». У внешних пользователей нет в хранилище сертификаты вашего корпоративного CA, но зато у них есть предустановленные от «доверенных центров сертификации».
Повторюсь — Внутри компании, для ресурса который доступен только внутренним пользователям это не делается, поскольку можно обойтись сертификатом «своего» CA.
Предлагаю начать все же с того, что сертификаты хранятся не в браузереутверждение справедливо не для всех браузеров.
вот хороший мануал по установке сертификатов в клиентское ПО (в т.ч. в браузеры):
wiki.cacert.org/FAQ/BrowserClients?action=show&redirect=BrowserClients#Mozilla_Firefox
А про IPv6 заинтересовало, надо бы мне подробнее покопать про ipSEC. Он, разве, не должен обеспечивать защиту от mitm?
<irony>Как страшно жить!</irony>Мир спасёт SSL + персональные сертификаты.
При наличии указанного текста в GET запросе происходит подмена.
То есть страницы типа file.exe.html он подменяет или нет? А если mod_rewrite и отдача через скрипт и на GET запрос типа /download/file.exe выдаёт html с вводом капчи? Нужно добавить проверку ответа от оригинального сервера, запрос туда всё равно доходит и смотреть content-type что отдаёт.
Ох, прошу прощения, видео только посмотрел, там указан content-type.
если в шаблоне указано .exe или file.exe, то при запросе file.exe.html правило будет выполнено, независимо от того, что по этой ссылке отдает оригинальный сервер. в качестве хитрости, во избежание подмены таких запросов, в шаблоне можно указать пробел на конце — «file.exe ». т.е. сработает только в случае чистого запроса GET /file.exe HTTP/1.1
контент-тайп указывается для файла, который выдается при подмене.
контент-тайп указывается для файла, который выдается при подмене.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Подмена файлов в HTTP трафике