The Middler: программа для взлома незащищённых аккаунтов Gmail

[nihi_l_ist]

Спасибо за статью… Незнал =(… Безопасность дороже всего.

[rapida]

так Defcon прошел только 2 недели назад, до этого The Middler не светился, вы не могли знать

[EvRiaL]

Поправьте ссылочку на программу The Middler

[fonzi]

Ко всем ссылкам с https:// тут с некоторых пор пририсовывается http://

[Shoohurt]

Прямо вижу, как хабрапользователи в едино порыве понеслись в настройки ящика ставить заветную галочку :)

[nAggOHOK]

Там RadioButton =) только что проверил.

[nps]

Вот и не в едином, в миниопере (четвертой) при этой функции вечно напоминает что браузер не так хорош, поэтому проще ссылку поменять на https.
Ведь одинаково же выходит?

[khim]

Почти наверняка подвержены. Другое дело что скрипт может потребоваться чуток подправить.

[Cancel]

Если сеть настроена криворукими админами (а такое бывает в небольших сетях), то доступ ко всему трафику на свиче/хабе может получить любой подключенный к этому свичу/хабу компьютер.

[Cancel]

Согласен, невнимательно читал. С GPRS такое действительно не прокатит.

[achurkin]

Знаешь, я работал в компании с такой сетью. Сам с помощью man in the middle перехватывал трафик любого человека моего VLan. А проблема была совсем не в криворукости админа — а в нежелании руководства выделять деньги на развитие сети.

[alprk]

Ошибаетесь на счет руби.

[Guria]

Это для него не шибко важно. Для него смысл тот же — это интерпретируемый язык (ну или программа на нём). А ещё он ошибается в том, что к интерпретируемоиу языкунельзя прикрутить снифалку трафика. Лишь бы было, что снифить. А вот в ГПРС сети это действительно проблематично, только если у оператора.

[nps]

Так оттуда же нельзя будет открывать ссылки в оперу… Или там лучший браузер?

[nps]

Тем более когда соотношение всяческих уведомлений к простым письмам где-то двадцать к одному, так что это перспектива на будущее, когда будет мобильник с полноценным стандартным браузером)

[up01]

/me оглянулся
Кажется за мной следят :)

[RJD2]

Я полез проверить, стоит галочка =)

[dmitskevich]

gmail notifier перестал работать

[dmitskevich]

*Note: If you've enabled the 'Always use https' setting in Gmail, you'll need to install a patch for the Notifier to work with this setting:
www.google.com/mail/help/downloads/notifier_https.zip

[caxep]

Спасибо вам, а то я уж было расстроился =)

[k_s]

используй GTalk

[spanasik]

используй силу, Люк :-)

[pento]

Используйте POP3+SSL

[aib]

А кроме него еще и мобильный gmail не работет. По крайней мере который для симбиана — не знаю насколько Java версия отличается.

[aib]

Лопухнулся — там надо в настройках приложения тоже включить https и перезагрузить апликуху.

[ice9]

Странно, у меня работает без проблем. Версия 0.6.3.8

[Fiery_Ice]

Как по мне — так не велика потеря: у gmail manager функционал повыше будет.

[Fiery_Ice]

Или имелась ввиду отдельная прога?

[luf]

Поправьте адрес на https://mail.google.com
Плюс можно вводить более короткий https://gmail.com

[IntenT]

а что, много злоумышленников имеют доступ к гейтвеям вашей сети, прова или оператора, с правами установки софта?

Что-то новость какая-то не впечатляющая. Или никто раньше не слышал про снифферы?

[luf]

Люди имеют обыкновение складывая 1 и 1 получать не 2, а 1+1.
А вот что действительно интересно — это патч для Gmail Notifier. Я его раньше не находил.

[IntenT]

Middler — патч к нотифаеру?? 0_о
может, вы каментом ошиблись? )))

[luf]

Нет :) Я не об этой поделке, я о habrahabr.ru/blogs/web_security/37792/#comment_888685

[oogl]

1. Доступ имеют админы прова, среди которых далеко не все порядочные люди с благими намерениями. Так же доступ легко получить подменив локльной сети на чердаке дома на свой сервак.
2. Одно дело гипотетический сниффер, другое дело готовый опенсурсный анализатор трафика, который показательно расправляется с защитой.

[Cosmonaut]

цитирую:
Дело в том, что SSL всегда используется в Gmail и других сервисах только во время аутентификации. Если вышеупомянутая опция (“Always use https”) не активирована, то после аутентификации SSL отключается

Не отключается, если изначально входить через HTTPS:

https://mail.google.com

Желающие могут проверить, вставив фиктивный прокси для протокола HTTP В настройках браузера.

Опция появилась раньше, сам лично наблюдал ее еще весной.

[luf]

На разных аккаунтах у гугла в разное время появляются новшества. Впервую очередь на англоязычных и старых(тут не уверен).

[Pure_BY]

Если вам нужно использовать защищённое соединение только изредка, то в этих редких случаях можете заходить в ящик с адреса mail.google.com, и тогда SSL работает в течение всей сессии, даже если опция не активирована.

Должно быть: «с адреса https:// … », подправьте пожалуйста.

[Pure_BY]

Кстати, ещё одна ошибка, но маловажная: правильно «в течении» ;-)

[mberkut]

Товарищ, вы заблуждаетесь. Как раз таки тут «в течение», ибо имеется ввиду промежуток времени, «в течении» будет употребляться, когда течение выступает в роли существительного, например, в течении реки, а здесь «в течение» производный предлог.
Маловажно, но все же :)

[Pure_BY]

> SSL работает в течение всей сессии
Какой это по вашему падеж?

[mberkut]

Да это производный предлог, поймите же, устойчивое сочетание, нет тут падежа, предлог это, предлог :)
Погуглите, а то тут объяснять оффтоп какой-то.

[Pure_BY]

Вы, оказывается, правы! А я всю жизнь думал, что слово «течение» склоняется в соответствии с падежами, в том числе и в данном контексте.

Что ж, чему-то научился сегодня.
Мои извинения за твердолобство.

[preprocessor]

это два разных слова, имейте ввиду.

[elfiki]

Как раз-таки «в течение времени», но «в течении реки»…

[naething]

Пруфлинк: gramota.ru/spravka/rules/? rub=gl&text=19_12 (параграф 47).

[Pure_BY]

В линке у вас пробел — не грузится. Без пробела — тоже. Но я уже и так понял, что был не прав. Точнее, понял я это ещё не до конца, но я узнал, что был не прав.
Сейчас вот стараюсь и понять.

[naething]

Извините, это парсер порезал зачем-то. Вставлял ссылку прямо из адресной строки.

[kolyan2008]

да нет, таки вы ошибаетесь, хоть это и маловажно :)
правильно как раз «в течениЕ»

[Fanta]

а в Google API еще нету такой фичи :(

[zloydadka]

Да и не только такое можено написать на ruby, воспользовавшись гемом Mechanize

вот как можно из самой программы(самое прсото что можно сделать, после тупого выдирания контента) зайти на сайт и заполнить формочку:
form = page.forms.first # берем первую попавшуюся форму и все инпуты доступны нам сразу же через хеш

form['name'] = 'Zloydadka'

form.submit # отправляем )))

[maksymgrytsenko]

Да. Даже Гугл, оказывается, не идеален. безопасность прежде всего!
Спасибо автору!

[Morro]

Спасибо автору. Пошол включать “Always use https”!

[URANUS]

А есть способ включить в апсах такую же фишку?
Например хитровыдуманной ссылкой?

[mkaz]

Если хитровыдуманная и существует, о ее наличии честному люду ничего не известно.

[thecoder]

Как хорошо, что с самого начала, практически несколько лет назад, закинул на панель закладок адрес https://

Сессии вообще слабое место практически любого сайта.
Например в сапе долгое время действовал uid сессии даже после смены пароля(!)

[mgarkunov]

Для Firefox есть хорошее расширение CustomizeGoogle, которое позволяет переключить большинстве сервисов на https, где это возможно.
А так, получается дырка на других сервисах, с помощью которой можно вскрыть любой Gmail ящик :)

[Guria]

Кстати не всегда будучи залогиненым на одном изсервисов гугла без авторизации пускает на другой. Иногда он дополнительно спашивает пароль, напрример это касается истории запросов.

[gooffy]

123

[gooffy]

234

[Holy_Cheater]

тест отрицательный

[vilgeforce]

Фигня какая-то… Вот сижу я в гугле по незащищенному каналу. Как мой сосед, Вася Пупкин при помощи этой проги мою почту будет читать?

Давайте тогда уж вспомним про ARP-спуфинг, который и защищенные соединения позволит перехватывать…

[maserg]

вот и я подумал… ребята написали снифер на руби и куков насниферили? о да, это большой прорыв…

что дальше? они начнуть сниферать pop3 и smtp?

[vilgeforce]

Ну да. Если в 8 (вроде в восемь) кило умудряются упихать прогу, которая снифает весь траффик с машины и еще выделяет из него почтовые адреса и пароли, то эта «прграмма» — фигня какая-то :-)

[Requilence]

«вмешательство в процесс апдейта программного обеспечения на ПК и iPhone»
Интересно… а поподробнее можно?

[agathis]

Файрфоксный плагин CustomizeGoogle имел галочку «принудительно использовать https» уже фиг знает когда. И параноики типа меня пользовались :)
А на публичных хотспотах и вовсе лучше весь свой трафик шифровать. Это, к примеру очень просто, если есть ssh-логин куда-нибудь.

[rl0]

В слайдах к презентации стоит урл https://intelguardians.com/TheMiddler,
но https там не работает, а по http пишет 404
Видимо еще не выложили

[Fiery_Ice]

Найдено за минуту гугляния ;-)
www.defcon.org
blogs.zdnet.com/security/? p=1735
www.intelguardians.com/themiddler.html

[semyonchetvertnyh]

Как страшно жить. Но, покорнейше благодарю, поставил галочку.

[SeregaOdUa]

а как с google apps for domains?

[voldemar]

как я понял, эта фишка предусмотрена только для Premier Edition

[pudovkin]

нет галочки для google hosted сайтов. видать счиают, для бизнеса это не так критично

[pudovkin]

нет галочки для google hosted сайтов. видать счиают, для бизнеса это не так критично