Комментарии 29
Что за USB карта подключена к Nexus'у?
Вот эта
Эмм. А ценность то данного метода в чем? Ну да… можно создать точку доступа со схожими параметрами. Ну да… проникнуть в сеть… ой… упс… так ведь вафля в норм фирмах ведет только в инет и не пересекается с рабочей сетью. Вероятность того что в сети уже зарегин данный логин… или данный логин ведет не типичную сетевую активность в данный промежуток времени… повышает вероятность наказания ваших почек. Даже если вы проникли в сеть… упс… а корпоративные ресурсы доступны только через впн или так же как смотрят в интернет (то есть с массой всяких хахаряш по безопасности). Причем тут есть проблемка. Логин может изволить меняться раз в сутки по определенному ключу известному пользователю или содержать двухфакторную аутентификацию. Плюс в корпоративных сетях стоит оборудование для мониторинга других сетей с очень подробным логированием где и как появилась новая вафля. Сплошные минусы для ваших почек. Вы так не думаете? =)
Вы описываете сферическую образцовую СБ в вакууме. Наверное, в банковском секторе работаете?
Коллега явно не слышал про en.wikipedia.org/wiki/Bring_your_own_device
Почему «вафля в норм фирмах ведет только в инет и не пересекается с рабочей сеть»? Кто вам такое сказал?
Хотите сказать что коммерческий директор на своем ноутбуке для получения интернета цепляется к одной сети а потом для получения доступа к внутренним ресурсам подключается к другой или поднимает ВПН? Скорее всего из внутренней сети доступен интернет и внутренние ресурсы (шара, сервера 1С и прочие необходимые вещи). Вектор защиты обычно настраивается на отлов атак извне (из интернета в внутреннюю сеть). Я имею в виду большинство организаций а не редкие секретные или банковские организации.
Устройства на основе Windows Phone вообще не проверяют сертификат.
Это не правда. При подключении к сети есть опция проверки сертификата сервера:
— нет
— всегда спрашивать
— центр сертификации
Как раз вчера настраивал WPA2 Enterprise и дома, и на работе.
В связи с вышесказанным, пользователи Windows Phone (при правильной настройке подключения) защищены так же хорошо как и все остальные. Как вы сами сказали, при наличии проверки сертификата сервера, ваш метод атаки не даст результата.
А если сертификат не проверяется, то сами себе злобные буратины. Таких не жалко.
А если сертификат не проверяется, то сами себе злобные буратины. Таких не жалко.
Вы правы, вкралась небольшая неточность, обновили топик.
Тогда уже и здесь надо подправить:
Из цитаты следует что среди мобильных ОС iOS лучше всех (в плане безопасности). Но ведь это не так.
Windows Phone как минимум равен. А с учетом того, что и на Android можно проверять сертификаты, то тут все равны.
Настольные ОС (Windows, MacOS, Linux), а также пользователи iOS защищены лучше всего.
Из цитаты следует что среди мобильных ОС iOS лучше всех (в плане безопасности). Но ведь это не так.
Windows Phone как минимум равен. А с учетом того, что и на Android можно проверять сертификаты, то тут все равны.
Не соглашусь.
iOS по умолчанию проверяет и не может не проверять сертификат, в отличии от Android и Windows Phone.
Редкие пользователи устанавливают сертификат и настраивают wifi-подключение в Android. А доступность опции отключения проверки сертификата сервера в Windows Phone тоже не повышает безопасность.
Но, конечно, если всё грамотно настроить то они будут равны;)
iOS по умолчанию проверяет и не может не проверять сертификат, в отличии от Android и Windows Phone.
Редкие пользователи устанавливают сертификат и настраивают wifi-подключение в Android. А доступность опции отключения проверки сертификата сервера в Windows Phone тоже не повышает безопасность.
Но, конечно, если всё грамотно настроить то они будут равны;)
Но, конечно, если всё грамотно настроить то они будут равны;)
Вот этой фразы я хотел добиться.
Понятно, что пользователи могут наплевательски относиться к безопасности. Они просто не понимают что это безопасность не для них лично, а для компании. Поэтому настройка должна производиться под контролем администратора. Поэтому правильная/неправильная настройка зависит от того, насколько эту проблему понимает сам администратор.
Простите за возможно нубский вопрос, но я правильно понимаю, что хеши всё равно брутить (как и на обычном wpa/wpa2 после получения хендшейка), пусть и в спокойной обстановке на системе помощнее? Т.е достаточно сложный логин/пароль значительно усложнит взлом? Или скорость перебора паролей ныне на столько высока, что это дело пары дней/недели?
А если идет авторизация не по логину/паролю, а по выданному персональному сертификату + рутовый, то это более безопасно с т.з. взлома?
Да.
Для безопасной авторизации надо:
1. клиенту убедиться что он разговаривает с правильным сервером
2. серверу убедиться что он разговаривает с правильным клиентом
Проверить подлинность той или иной стороны можно с помощью сертификата.
В статье описывается вариант, когда пункт 1 отсутствует. Т.е. клиент не проверяет сертификат сервера. В результате отдает секретную информацию (хеши) кому попало. А этот кто попало потом подбирает пароль с таким же хешем и тем самым компрометирует учетную запись.
Для безопасной авторизации надо:
1. клиенту убедиться что он разговаривает с правильным сервером
2. серверу убедиться что он разговаривает с правильным клиентом
Проверить подлинность той или иной стороны можно с помощью сертификата.
В статье описывается вариант, когда пункт 1 отсутствует. Т.е. клиент не проверяет сертификат сервера. В результате отдает секретную информацию (хеши) кому попало. А этот кто попало потом подбирает пароль с таким же хешем и тем самым компрометирует учетную запись.
Конечно, аутентификация по сертификатам является одним из самых надёжных способов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как взламывают корпоративный Wi-Fi: новые возможности