Страница 8 из 9
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 01 янв 2020, 21:55
Stanislav
Vovchik писал(а):Афигеть. Меня бы за такое пристрелили бы. Ну нет, не те времена - впаяли бы пятерочку. Они там совсем что ли е..ись? Вы только что и описали атаку. У меня на стенке лозунг висит - 'No freeware, no shareware, only paid software' . А вы не пробовали им на это намекнуть? Можно написать жалобу Главному Аудитору, глядишь ппроизойдет мощный карьерный рост.
Вы никогда не работали в гаверменте? Я сисадмин - меня слушают (но далеко не всегда понимают) когда речь идет об инфраструктуре.
Если я говорю о чем-то другом - меня уже не слушают. Для секьюрити дел у нас есть тетко-секьюрити-манагер. Я о ней уже писал...
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 01 янв 2020, 22:14
Stanislav
Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 01 янв 2020, 22:53
Vovchik
Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования
Хе-хе - уже сделали
https://petsymposium.org/2017/papers/ho ... us-tls.pdf
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 01 янв 2020, 22:59
Vovchik
Vovchik писал(а):Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования
Хе-хе - уже сделали
https://petsymposium.org/2017/papers/ho ... us-tls.pdf
Но - этот трюк можно предотвратить при помощи самоподписанноно сертификата. Который импортировать в клиента. Тогда в описанной атаке жулик представит не тот сертификат, который использовался изначально.
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 01 янв 2020, 23:20
Vovchik
А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 09:10
Marmot
Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования
Похоже, ты просто не понимаешь как PKI работает...
Vovchik писал(а):А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
И Vovchik тоже
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 09:22
Vovchik
Marmot писал(а):Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования
Похоже, ты просто не понимаешь как PKI работает...
Vovchik писал(а):А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
И Vovchik тоже
Ну тогда просветите нас, о мудрейший.
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 11:37
Vovchik
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 11:59
Marmot
Ну это все применимо только для быстрых автоматических CA's типа Let's encrypt. Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет
Недопущение выпуска фейковых сертификатов, это основная обязанность CA. Уже сколько таких ушло из бизнеса, когда их руты убрали из всех браузеров.
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 12:14
Vovchik
Marmot писал(а):
Ну это все применимо только для быстрых автоматических CA's типа Let's encrypt. Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет
Что я и посоветовал. Но это еще если клиент настроен на ручной импорт сертификатов. В Хроме есть такая опция - импорт сертификатов вручную?
А что делать то простым смертным юзерам?
[quote="Marmot]
Недопущение выпуска фейковых сертификатов, это основная обязанность CA. Уже сколько таких ушло из бизнеса, когда их руты убрали из всех браузеров.[/quote]
Эх как было бы хорошо.... На практике - 4 СА спросили, 4 получили. Достаточно однго. И вперед, собирай явки/пароли от вашего онлайн банка, пока рбк и провайдеры не обнаружат что чего то течет не туда када следует
Извинений мы со Станиславом дождемся али как?
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 12:53
Vovchik
Уточняя вопрос про Хром - можно ли запретить в Хроме автоматический импорт правильно подписанных сертификатов чтобы сертификат можно было бы установить вручную и только вручную, что требует исполнения известных танцов с бубном?
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 14:37
Stanislav
Marmot писал(а):Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования
Похоже, ты просто не понимаешь как PKI работает...
А ПКИ здесь не при чем
Чистый бизнес.
Когда тебе нада выпустить сертификат, ты генеришь запрос и аплоадишь его в СА.
СА нужно валидировать домен, т.е. убедиться, что ты владеешь доменом на который ты хочешь выпустить сертификат.
Есть несколько опций:
- через ДНС - ты прописываешь в ДНС некую комбинацию символов предоставленную тебе СА - если СА удалось получить эту комбинацию при запросе к ДНС, СА считает, что ты владеешь доменом.
- через хтмл - ты прописываешь ту же комбинацию символов в файл и кладешь его в рут твоего вебсайта, если СА удалось получить эту комбинацию при запросе к сайту, СА считает, что ты владеешь доменом.
В случае фальсификации БГП, ты можешь ответить на запрос СА вместо реального сайта - вот и вся ПКИ
Далее СА выпускает сертификат. ФСЁ.
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 14:41
Stanislav
Vovchik писал(а):А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
Ничего не скажет.
Серт. ОК - это все, что он проверяет.
Если ручками пойти посмотреть сертификат, то тогда можно заметить: Ой! Мы же покупали серт в ДиджиСерт, а тут серт от Гоу-Папаша!
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 14:48
Stanislav
Marmot писал(а):
Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет
Пройдет, если клиент тупо заакцептит фейковый сертификат. Джава это, кстате, тоже умеет.
Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?
Добавлено: 02 янв 2020, 15:07
Vovchik
Stanislav писал(а):Marmot писал(а):
Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет
Пройдет, если клиент тупо заакцептит фейковый сертификат. Джава это, кстате, тоже умеет.
Я как то написал клиента для Веб ДавС под виндами. Ошибки при ссл соединеннии отлавливал и выкидывал опцию - стоп или вперед. Думал даже убрать опцию вперед но решил фиг с ними, пусть имеют опцию. Но ничего с сертификатом я не делал и ошибка вылетала в каждую сессию.
В конце концов юзеры зеленели от злости и были вынуждены импортировать сертификаты вручную. Зато секурные аудиторы оченно любили такое поведение, я им сказал что за условный ящик вискаря я могу вообще опцию вперед отрубить нах, но они ответили что это клево но юзеры их сожрут.