sslStrip и защо ssl, tls i tor не са достатъчно сигурни

На скоро проведената конференция Blackhat още веднъж беше доказано, че ssl и tls не са достатъчно сигурни протоколи. Още по-лошото е, че атаката е направена чрез Tor мрежата, която се смята от някои хора за доста сигурна! От друга страна има и добра новина, че пролуката не е в самият алгоритъм на криптиране, а по - скоро на други протоколи и наивността и незнанието на потребителите.

sslSniff

Всъщност авторът на програмата и демонстрацията проучва несигурността на ssl години наред, но прави първата си демонстрация през 2002 с програмата sslSniff. Програмата представлява прокси на HHTPS и подменя сертификата на сървъра със собствен. За добре настроени и нови браузъри естествено тази атака не работи.

sslStrip

Тази програма също работи като прокси, но почти всички прилики със sslSniff са до тук. Вместо да променя сертификата тя слуша за адреси от тип https://.../login.php. Това е страницата която потрребителят иска да достъпи от сървъра. Какво прави sslStrip? - Заменя оригиналната страница със собствена, изглеждаща по същия начин, но с адрес от тип http://.../login.php. Забелязахте ли разликата? Прави впечатление на пръв поглед нещо съвсем елементарно - заменя https протокола с http или иначе казано сменя криптираният протокол с некриптиран и така данните се предават в чист текстов вид.

За демонстрация на атака е нужно да се реализа MITM (man in the middle). Всеки който някога се сблъсквал с мрежи може да се сети къде ще е най-лесно да се реализира MITM. Няма да давам допълнителни идеи на разни script kidies само ще кажа, че на презентацията е използвана Tor мрежа.

Резултат от атаката.
За 24 часа са били прихванати:
  • 114 акаунта за yahoo
  • 50 за gmail
  • 42 за ticketmaster
  • 14 за rapidshare
  • 13 за hotmail
  • 9 за paypal
  • 9 за linkedin
  • 3 за facebook
Общо:
  • 117 e-mail акаунта
  • 16 кредитни карти
  • над 300 други акаунти
  • нито един един от атакуваните потребители не се е усетил, че страницата е подменена! На абсолютно всички са откраднати въведените данни!
Когато започнах да пиша мислих да сложа връзки към програмата и презентацията, но на този етап ще се въздържа поради сериозността на проблема. Всеки с елеменетарна компютърна грамотност и малко желание ще ги намери.

Изводи

  • Винаги използвайте последните стабилни версии на програми.
  • По възможност използвайте криптирани протоколи за комуникация.
  • По възможност използвайте асиметрично кодиране пред симетрично.
  • Внимавайте когато пишете адреса в браузърите си.
  • Не се доверявайте на никой.
  • Използвайте софтуер с отворен код.
  • Не се доверявайте на анонимизиращи мрежи и софтуер защото могат да бъдат подслушвани.

GNU Bash 4.0

Новата верия 4 на Bourne Again SHell (BASH) е факт. Тук можете да видите промените. Най - важната от тях е поддръжка на ко-процеси или иначе казано фонови процеси, на които могат да се подават входни данни и да се четат изходните.