Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Все, что вы хотели знать о программизме, но боялись спросить.
Ответить
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Vovchik писал(а):Афигеть. Меня бы за такое пристрелили бы. Ну нет, не те времена - впаяли бы пятерочку. Они там совсем что ли е..ись? Вы только что и описали атаку. У меня на стенке лозунг висит - 'No freeware, no shareware, only paid software' . А вы не пробовали им на это намекнуть? Можно написать жалобу Главному Аудитору, глядишь ппроизойдет мощный карьерный рост.
Вы никогда не работали в гаверменте? Я сисадмин - меня слушают (но далеко не всегда понимают) когда речь идет об инфраструктуре.
Если я говорю о чем-то другом - меня уже не слушают. Для секьюрити дел у нас есть тетко-секьюрити-манагер. Я о ней уже писал...
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования ;-)
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования ;-)
Хе-хе - уже сделали
https://petsymposium.org/2017/papers/ho ... us-tls.pdf
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Vovchik писал(а):
Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования ;-)
Хе-хе - уже сделали
https://petsymposium.org/2017/papers/ho ... us-tls.pdf
Но - этот трюк можно предотвратить при помощи самоподписанноно сертификата. Который импортировать в клиента. Тогда в описанной атаке жулик представит не тот сертификат, который использовался изначально.
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
Аватара пользователя
Marmot
Графоман
Сообщения: 38302
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Marmot »

Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования ;-)
Похоже, ты просто не понимаешь как PKI работает...
Vovchik писал(а):А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
И Vovchik тоже :)
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Marmot писал(а):
Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования ;-)
Похоже, ты просто не понимаешь как PKI работает...
Vovchik писал(а):А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
И Vovchik тоже :)
Ну тогда просветите нас, о мудрейший.
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

вот чуваки из Принстона провели экскремент.

https://www.princeton.edu/~pmittal/publ ... enix18.pdf
Аватара пользователя
Marmot
Графоман
Сообщения: 38302
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Marmot »

Vovchik писал(а):вот чуваки из Принстона провели экскремент.

https://www.princeton.edu/~pmittal/publ ... enix18.pdf
Ну это все применимо только для быстрых автоматических CA's типа Let's encrypt. Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет :)
Недопущение выпуска фейковых сертификатов, это основная обязанность CA. Уже сколько таких ушло из бизнеса, когда их руты убрали из всех браузеров.
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Marmot писал(а):
Vovchik писал(а):вот чуваки из Принстона провели экскремент.

https://www.princeton.edu/~pmittal/publ ... enix18.pdf
Ну это все применимо только для быстрых автоматических CA's типа Let's encrypt. Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет :)
Что я и посоветовал. Но это еще если клиент настроен на ручной импорт сертификатов. В Хроме есть такая опция - импорт сертификатов вручную?
А что делать то простым смертным юзерам?

[quote="Marmot]
Недопущение выпуска фейковых сертификатов, это основная обязанность CA. Уже сколько таких ушло из бизнеса, когда их руты убрали из всех браузеров.[/quote]

Эх как было бы хорошо.... На практике - 4 СА спросили, 4 получили. Достаточно однго. И вперед, собирай явки/пароли от вашего онлайн банка, пока рбк и провайдеры не обнаружат что чего то течет не туда када следует

Извинений мы со Станиславом дождемся али как?
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Уточняя вопрос про Хром - можно ли запретить в Хроме автоматический импорт правильно подписанных сертификатов чтобы сертификат можно было бы установить вручную и только вручную, что требует исполнения известных танцов с бубном?
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Marmot писал(а):
Stanislav писал(а):Я тут прикинул - в случае фальсификации БГП я могу и комм. серт. выпустить - надо только указать "домен валидейшн онли" и выбрать опцию валидации по хтмл, а не через ДНС. т.е. нет спасения от раутинга при помощи шифрования ;-)
Похоже, ты просто не понимаешь как PKI работает...
А ПКИ здесь не при чем :D
Чистый бизнес.
Когда тебе нада выпустить сертификат, ты генеришь запрос и аплоадишь его в СА.
СА нужно валидировать домен, т.е. убедиться, что ты владеешь доменом на который ты хочешь выпустить сертификат.
Есть несколько опций:
- через ДНС - ты прописываешь в ДНС некую комбинацию символов предоставленную тебе СА - если СА удалось получить эту комбинацию при запросе к ДНС, СА считает, что ты владеешь доменом.
- через хтмл - ты прописываешь ту же комбинацию символов в файл и кладешь его в рут твоего вебсайта, если СА удалось получить эту комбинацию при запросе к сайту, СА считает, что ты владеешь доменом.
В случае фальсификации БГП, ты можешь ответить на запрос СА вместо реального сайта - вот и вся ПКИ :D
Далее СА выпускает сертификат. ФСЁ.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Vovchik писал(а):А вообще интересно - Прикинуться rbc.com. Можно ли получить быстро коммерческий сертификат на rbc.com? И что скажет Гугле хром ежели вас заворачивают на фальшивый сайт а вы на правильный ходили до того? Новый сертификат отличается от старого , ну будет ли это поймано?
Ничего не скажет. :D Серт. ОК - это все, что он проверяет. :s3:
Если ручками пойти посмотреть сертификат, то тогда можно заметить: Ой! Мы же покупали серт в ДиджиСерт, а тут серт от Гоу-Папаша!
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Marmot писал(а): Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет :)
Пройдет, если клиент тупо заакцептит фейковый сертификат. Джава это, кстате, тоже умеет. :D
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Stanislav писал(а):
Marmot писал(а): Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет :)
Пройдет, если клиент тупо заакцептит фейковый сертификат. Джава это, кстате, тоже умеет. :D
Я как то написал клиента для Веб ДавС под виндами. Ошибки при ссл соединеннии отлавливал и выкидывал опцию - стоп или вперед. Думал даже убрать опцию вперед но решил фиг с ними, пусть имеют опцию. Но ничего с сертификатом я не делал и ошибка вылетала в каждую сессию. :) В конце концов юзеры зеленели от злости и были вынуждены импортировать сертификаты вручную. Зато секурные аудиторы оченно любили такое поведение, я им сказал что за условный ящик вискаря я могу вообще опцию вперед отрубить нах, но они ответили что это клево но юзеры их сожрут.
Ответить