Temat: SSL - mity i fakty

Analizujac potencjalny atak na haslo (bez SSL) dochodzimy do

Doszlismy do takiego wniosku poniewaz:
- kazde biuro ma teraz switcha a nie huba, a ten kieruje pakiety tylko do adresu MAC docelowego (zapobiega wykryciu pakietu przez promiscuous sniffera)

Nie ma większego problemu aby będąc podpiętym do switcha sprawić aby zachowywał się on dokładnie tak jak hub.

Temat: SSL - mity i fakty

Sebastian Pienio:
Ponowie pytanie - jak przeprowadzic skuteczny REALNY atak na strone bez SSL?

Sposób A:
1. Wpinasz się do jakiegokolwiek switcha przez który lecą pakiety.
2. Pchasz śmieciowe pakiety ARP do sieci.
3. Cieszysz się bo switch już działa jak hub.
4. Załączasz swojego ulubionego sniffera.
5. Przeglądasz dane.

Sposób B:
1. Wpinasz się do tej samej podsieci co Twoja ofiara.
2. Pchasz w sieć pakiety ARP mówiące, że gateway to Ty.
3. Cieszysz się bo wszystkie pakiety na zewnątrz sieci idą najpierw do Ciebie.
4. Załączasz swojego ulubionego sniffera.
5. Przeglądasz dane.

Temat: SSL - mity i fakty

Wojciech Małota:
Sposób B:
1. Wpinasz się do tej samej podsieci co Twoja ofiara.
2. Pchasz w sieć pakiety ARP mówiące, że gateway to Ty.
3. Cieszysz się bo wszystkie pakiety na zewnątrz sieci idą najpierw do Ciebie.

Jezeli pchne ARP mapujacego MACa serwera na moj port to (o ile dobrze rozumiem dzialanie switcha) zmapuje on moj port jako docelowy dla tych pakietow (aktualizujac tablice MAC), ale nie zbroadcastuje go dalej do prawdziwego gatewaya. A to oznacza wtedy zablokowanie ruchu wychodzacego z sieci, podsluchiwanie pakietow nie bedzie mialo sensu, skoro user nie bedzie mogl wczytac strony. Mozna to potwierdzic na Netgearach, ktore mamy w biurze, wystarczy zmienic swojego MACa na MACa gatewaya, zbroadcastowac do switcha i nikt w sieci lokalnej nie ma netu... Czy to rozumowanie jest bledne czy mamy specyficzny sprzet?

Temat: SSL - mity i fakty

Sebastian Pienio:
No swietnie, tylko w czasach switchy i routerow z tablicami MAC podsluchanie pakietu to nie taka prosta sprawa. Nie wystarczy nawet byc w tej samej sieci, trzeba miec albo kontrole nad maszyna albo ktoryms routerem. A skoro masz router to dns-spoof'em go i po zabawie - niewazne czy masz ssl czy nie.

To gdzie to nasze "zwiekszone bezpieczenstwo" przez zastosowanie SSL? Chwyt marketingowy czy co?

ARP Spoofing i żadne rutery czy przełączniki sieciowe nie straszne. SSL chroni tylko przed podszyciem się pod konkretny serwer, ale jeżeli wykradniemy sam certyfikat i użyjemy DNS spoofing to w zasadzie mamy uwierzytelniony przekaz jako dana instytucja i to jest dość poważny błąd SSL.

Znasz jakąś metodę na odszukanie hasła zahashowanego z sesyjną solą? Chętnie poczytam o tym. Oczywiście metody która umożliwia odszukanie tego hasła w ciągu jednego dnia na dzisiejszym komputerze przy założeniu że sól jest dłuższa niż 16 bitów.

Polecam poczytać o kolizjach, bo widzę, że Pan nie wiem co to jest. Również polecam analizę samego algorytmu MD5, wyjaśni to Panu, że md5 nieważne z czym daje określony 128 bitowy ciąg znaków w hex, więc znalezienie kolizji nie stanowi problemu, bo teoretycznie co każde 128 bitów może wystąpić kolizja.

Temat: SSL - mity i fakty

Sebastian Pienio:

Wojciech Małota:
Sposób B:
1. Wpinasz się do tej samej podsieci co Twoja ofiara.
2. Pchasz w sieć pakiety ARP mówiące, że gateway to Ty.
3. Cieszysz się bo wszystkie pakiety na zewnątrz sieci idą najpierw do Ciebie.

Jezeli pchne ARP mapujacego MACa serwera na moj port to (o ile dobrze rozumiem dzialanie switcha) zmapuje on moj port jako docelowy dla tych pakietow (aktualizujac tablice MAC), ale nie zbroadcastuje go dalej do prawdziwego gatewaya. A to oznacza wtedy zablokowanie ruchu wychodzacego z sieci, podsluchiwanie pakietow nie bedzie mialo sensu, skoro user nie bedzie mogl wczytac strony.

A kto Ci broni forwardować te [pakiety dalej do Internetu?
Przez prawdziwego gatewaya może to być trudne bo przecież switch będzie okłamany ale przez inny interfejs sieciowy? Jak najbardziej możliwe.

Mozna to potwierdzic na Netgearach, ktore mamy w biurze, wystarczy zmienic swojego MACa na MACa gatewaya, zbroadcastowac do switcha i nikt w sieci lokalnej nie ma netu... Czy to rozumowanie jest bledne czy mamy specyficzny sprzet?

Twoje rozumowanie jest słuszne ale nie uwzględniłeś wszystkich faktów -> patrz wyżej.

Temat: SSL - mity i fakty

Dominik Ł.:
ARP Spoofing i żadne rutery czy przełączniki sieciowe nie straszne. SSL chroni tylko przed podszyciem się pod konkretny serwer, ale jeżeli wykradniemy sam certyfikat i użyjemy DNS spoofing to w zasadzie mamy uwierzytelniony przekaz jako dana instytucja i to jest dość poważny błąd SSL.

Niby wada. Ale jak strażnikowi więziennemu ukradniesz kartę dostępu to do więzienia też wejdziesz.
W całej zabawie z SSLem chodzi o to aby nie dało się wykraść certyfikatu z serwera.

Temat: SSL - mity i fakty

Wojciech Małota:

Dominik Ł.:
ARP Spoofing i żadne rutery czy przełączniki sieciowe nie straszne. SSL chroni tylko przed podszyciem się pod konkretny serwer, ale jeżeli wykradniemy sam certyfikat i użyjemy DNS spoofing to w zasadzie mamy uwierzytelniony przekaz jako dana instytucja i to jest dość poważny błąd SSL.

Niby wada. Ale jak strażnikowi więziennemu ukradniesz kartę dostępu to do więzienia też wejdziesz.
W całej zabawie z SSLem chodzi o to aby nie dało się wykraść certyfikatu z serwera.

Zgadzam się, nie mniej jednak kiedyś google.com miało z tym problem, dlatego zwróciłem na to uwagę. Nie mniej jednak SSL nie jest idealne, przez wykorzystanie algorytmów, które obecnie są niebezpieczne.

Temat: SSL - mity i fakty

Dominik Ł.:
ARP Spoofing i żadne rutery czy przełączniki sieciowe nie straszne.

Tak, tylko ten rodzaj ataku ma swoje powazne ograniczenia (patrz moja watpliwosc w poprzednim poscie i odpowiedz ponizej).

Polecam poczytać o kolizjach, bo widzę, że Pan nie wiem co to jest.

To chyba nie do mnie...

Wojciech Małota:
A kto Ci broni forwardować te [pakiety dalej do Internetu?
Przez prawdziwego gatewaya może to być trudne bo przecież switch będzie okłamany ale przez inny interfejs sieciowy? Jak najbardziej możliwe.

To mocne zalozenie, musimy miec dwa gatewaye i madrze je spoofowac, bo switch zresetuje mi tablice jak bede przelaczal ARPki..

Tak mysle, ze jak zalozymy, mozliwosc przechwycenia caly ruchu to po co wogole sie bawic w sniffing skoro mozna zastosowac znany trick przelaczajacy ruch https przez proxy na http, albo po prostu skutecznie zrobic dns-spoofing? Wtedy nawet stronka z ssl nie przezyje ataku...

Temat: SSL - mity i fakty

Sebastian Pienio:

Polecam poczytać o kolizjach, bo widzę, że Pan nie wiem co to jest.

To chyba nie do mnie...

Nie, niestety nie do Ciebie, no chyba, że bardzo się uprzesz.Dominik Ł. edytował(a) ten post dnia 12.05.09 o godzinie 21:07

Temat: SSL - mity i fakty

Dominik Ł.:

Znasz jakąś metodę na odszukanie hasła zahashowanego z sesyjną solą? Chętnie poczytam o tym. Oczywiście metody która umożliwia odszukanie tego hasła w ciągu jednego dnia na dzisiejszym komputerze przy założeniu że sól jest dłuższa niż 16 bitów.

Polecam poczytać o kolizjach, bo widzę, że Pan nie wiem co to jest. Również polecam analizę samego algorytmu MD5, wyjaśni to Panu, że md5 nieważne z czym daje określony 128 bitowy ciąg znaków w hex, więc znalezienie kolizji nie stanowi problemu, bo teoretycznie co każde 128 bitów może wystąpić kolizja.

To nie jest odpowiedź na zadane pytanie.

Temat: SSL - mity i fakty

Piotr Likus:
Znasz jakąś metodę na odszukanie hasła zahashowanego z sesyjną solą?

Tak znam, uprzedzę Twoje pytanie, nie nie powiem Ci jak, skoro jesteś z IT powinieneś wiedzieć.Dominik Ł. edytował(a) ten post dnia 12.05.09 o godzinie 21:56

Temat: SSL - mity i fakty

Sebastian Pienio:

Dominik Ł.:
ARP Spoofing i żadne rutery czy przełączniki sieciowe nie straszne.

Tak, tylko ten rodzaj ataku ma swoje powazne ograniczenia (patrz moja watpliwosc w poprzednim poscie i odpowiedz ponizej).

Polecam poczytać o kolizjach, bo widzę, że Pan nie wiem co to jest.

To chyba nie do mnie...

Wojciech Małota:
A kto Ci broni forwardować te [pakiety dalej do Internetu?
Przez prawdziwego gatewaya może to być trudne bo przecież switch będzie okłamany ale przez inny interfejs sieciowy? Jak najbardziej możliwe.

To mocne zalozenie, musimy miec dwa gatewaye i madrze je spoofowac, bo switch zresetuje mi tablice jak bede przelaczal ARPki..

jeżeli jesteś w tej samej podsieci,
twój komputer ma tylko robić za proxy pomiędzy pozostałymi komputerami w podsieci, a router'em, więc wystarczy mieć 1 komputer w podsieci.

do 'mądrych' zachowań jest pełno programów, w których wystarczy tylko włączyć jaki spoofing czy inna opcja cię interesuje + np zrzucanie haseł ze wszystkich połączeń do pliku, ataki mim, i inne

jeżeli inna podsieć, to inny gateway (gprs, wifi, blueconnect :) )

Tak mysle, ze jak zalozymy, mozliwosc przechwycenia caly ruchu to po co wogole sie bawic w sniffing skoro mozna zastosowac znany trick przelaczajacy ruch https przez proxy na http, albo po prostu skutecznie zrobic dns-spoofing? Wtedy nawet stronka z ssl nie przezyje ataku...Marek Wywiał edytował(a) ten post dnia 14.05.09 o godzinie 08:34

Temat: SSL - mity i fakty

Marek Wywiał:

Wojciech Małota:
A kto Ci broni forwardować te [pakiety dalej do Internetu?
Przez prawdziwego gatewaya może to być trudne bo przecież switch będzie okłamany ale przez inny interfejs sieciowy? Jak najbardziej możliwe.

To mocne zalozenie, musimy miec dwa gatewaye i madrze je spoofowac, bo switch zresetuje mi tablice jak bede przelaczal ARPki..

jeżeli jesteś w tej samej podsieci,
twój komputer ma tylko robić za proxy pomiędzy pozostałymi komputerami w podsieci, a router'em, więc wystarczy mieć 1 komputer w podsieci.

Proxy musi przekazac ruch dalej, a skoro "switch" jest oklamany to "moj" komputer wezmie za gatewaya, wiec "moje proxy" nie bedzie jak mialo wyjsc na swiat. Chyba, ze ma drugiego gatewaya, a to jak pisalem bardzo mocne zalozenie. Przeczytaj powyzsza dyskusje.

do 'mądrych' zachowań jest pełno programów, w których wystarczy tylko włączyć jaki spoofing czy inna opcja cię interesuje + np zrzucanie haseł ze wszystkich połączeń do pliku, ataki mim, i inne

jeżeli inna podsieć, to inny gateway (gprs, wifi, blueconnect :) )

Probowalem kilka i zaden nie dal sobie rady z prostym switchem. Masz jakis sprawdzony 'madry' program, ktory to potrafi?

Temat: SSL - mity i fakty

Ja jestem zwolennikiem umiarkowanych zabezpieczeń wiec co z tego, że jestesmy super bezpieczni jak trzeba sie tunelowac do firmy przez 4 firewalle i prawie nic nie dziala wewnątrz.
ale...
wszystko zależy od tego jak ważne rzeczy chcesz zabezpieczać i kto będzie z tego korzystał. Weź np. pod uwagę, że spora część ludzi korzysta z netu w przeróżnych miejscach. WiFi na rynku, bez zabezpieczen, sieci w hotelu, sieci osiedlowe, itp. Więc przejęcie danych i haseł w takich przypadkach bez ssl jest śmiesznie łatwe. Faktem jest, że podpisane przez siebie certyfikaty też są niebezpieczne, bo wiele użytkowników jest przyzwyczajona do potwierdzania certyfikatow nawet jak wyswietlany jest komunikat o mozliwy atak Man in the middle. W nowych przegladarkach jednak jest sporo ostrzeżeń, a przygotowanie takiego ataku wymaga wczesniejszego przygotowania i zaplanowania. Natomiast bez ssl ... sasiad z laptopem przy piwku obok w rynku dostaje wszystko w prezencie :)

Jesli nie uzywasz SSL musisz praktycznie założyć, że jest możliwość łatwego zdobycia hasła i przeczytania zawartości.
.. i teraz Twoja decyzja ... czy mozesz sobie na to pozwolic?

a moze wszyscy uzytkownicy sa swiadomi i nie korzystaja z netu w niepewnych miejscach?

Apropos postu Wojtka

W wiekszości firm których prowadze opieki serwisowe sa 2 wyjscia do internetu przez 2 różnych operatorów, niestety awarie są zbyt częste, wiec wewnatrz mozna bez problemu przekierowac ruch. ... zreszta tak sa ustawione .. jesli nie dziala jeden router automatycznie przelaczaja sie na drugi.

Nie dajmy sie zwarjowac z zabezpieczeniami ... ale jesli dane sa wazne ... to SSL jest nieunikniony + dobre porowadzenie nieświadomych użytkowników, żeby wiedzieli kiedy sie kończy ważność certyfikatów .. itp ...