VASExperts Jul 20 2020 at 17:54

MITM на уровне провайдера: европейский вариант

2 min

5.7K

VAS Experts corporate blogInformation Security*Server Administration*Development of communication systems*

Comments 6

ximaera Jul 20 2020 at 18:13

t.me/eternalseptember/74

«Этому FinFisher’у около 10 лет, в 2017 году я делал про него презентацию. С тех пор в Интернете было развёрнуто повальное end-to-end-шифрование, строгость которого усугубляется с каждым годом. Примерно все обновления программного обеспечения давно уже передаются по HTTPS и/или подписаны GPG, у транзита нет доступа к инфраструктуре публичных ключей и, соответственно, к контенту — будь то на чтение или на запись.

Большое государственное агентство купило 5 лет назад лошадь, затем коняшка долго болела и сдохла, но её до сих пор пинают шпорами в бока, надеясь, что она побежит. Неожиданный нюанс состоит в том, что агентство — немецкое, но это небольшой нюанс».

ultrinfaern Jul 20 2020 at 19:00

У большинства сайтов нет certificate pining, поэтому подойдет LetsEncrypt сертификат на фейковом сайте. И только недавно озаботились шифрованием запросов dns, поэтому для dns mitm живее всех живых.
Поэтому подделать dns ответ (это mitm) и перенаправить на фейковый сайт с валидным сертификатом (это не mitm) спокйно можно даже сейчас.

janvarev Jul 20 2020 at 19:13

Не понял. Вроде LetsEncrypt проверяет при выдаче сертификата, что домен принадлежит тому, кто послал запрос. Файлом там или еще как-то. Как в таком раскладе получить фейковый сайт с валидным сертификатом? DNS-ответ вроде можно подделать для клиента, но не для LetsEncrypt-инфраструктуры.

ximaera Jul 20 2020 at 19:40

Это можно в принципе сделать, если вы можете сделать MITM между легитимным сайтом и всеми LE-речекерами сразу. Но речь здесь о другом.

ximaera Jul 20 2020 at 19:38

Certificate pinning как техника — где бы то ни было вне очень специфических корпоративных сред — больше не существует.

Подделать DNS-ответ для habr.com вы сможете (если клиент не использует DNS-over-TLS или DNS-over-HTTPS), но тот сервер, чей IP-адрес вы выдадите, валидного сертификата для habr.com не имеет. Всё, hard stop.

Gutt Jul 22 2020 at 20:46

Он не имеет валидного сертификата ровно до тех пор, пока целью не заинтересовались трёхбуквенные агентства. У меня нет вообще никаких сомнений, что почти все из них если и не влияют прямо на менеджмент хотя бы одного корневого или промежуточного CA, то уж точно имеют там завербованных людей, которые при большой необходимости выдадут сертификат. Конечно, всё это имеет смысл, если цель — фигура уровня Сноудена или другой очень вкусный политик.