Как легко расшифровать TLS-трафик от браузера в Wireshark

[mark_ablov]

Эх, а я думал какая-то новая интересная атака на TLS.
Логгирование сессионных ключей вроде уже давно не новость.
Год или даже старше.

[ValdikSS]

Да, совсем не новость, но многие продолжают использовать MITM-Proxy или sslstrip, т.к. просто не знают другого способа.

[kay]

А со стороны сервера это реально реализовать?

[ValdikSS]

Сохранение сессионных ключей в веб-серверах, насколько я знаю, нигде не реализовано. Вам будет проще включить debug-режим в веб-сервере, или просто полное логирование запросов и ответов.

[Homakov]

В браузере вроде в вебинспекторе все запросы видно. Мне вот интересно как расшифровать iTunes запросы, и имулировать их потом. В какую сторону копать?

[ValdikSS]

А в iTunes HTTPS, или не-HTTP данные передаются поверх TLS? Если второе, то с этим довольно проблематично. Я не встречал удобных программ, которые позволяют подменять данные. Обычно, я для этого пишу какие-нибудь скрипты или вроде того, а перехватываю mitmproxy, предварительно пропатчив программу, если там pinning или какая-то другая проверка.

[trusted]

Спасибо за статью.
Наверное, описанное в каких то случаях действительно может оказаться полезным.
Хотя с другой стороны можно без всяких Wireshark воспользоваться какой либо HTTP прокси программой, например Fiddler.
Смотреть дешифрованные HTTPS данные уже на прикладном уровне, будет даже чуть проще чем через Wireshark.

[vadims06]

Спасибо за статью,
поясните, пожалуйста, Вы указываете пользоваться Wireshark-ом версии 1.6, а на скриншотах у вас установлена самая последняя версия 1.12, т.е. как я понял, что это работает не только на версии до 1.6?..

[ValdikSS]

Это работает на версиях, не старше (выпущенных после) 1.6. 1.12 новее 1.6.

[grossws]

При прочтении «не старше» тоже понял <= 1.6, посмотрел на at least в оригинале и удивился.

[ValdikSS]

Почему удивились? Я неправильно использовал конструкцию «не старше»?

[grossws]

Оно может означать «по возрасту» (тогда «не старше» означает новее) и «по версии» («не старше» означает <=, часто указывают foo версии x.y или старше), что даёт разную сортировку. Проще, конечно, писать 1.6+.

[ValdikSS]

А-а, точно. Действительно, я и не задумывался о втором значении. Сейчас изменю.

[Ml1ght]

Как можно это сделать с мобильными приложениями (android например)?

[k3NGuru]

Root — девайс и Intercepter-NG

[ValdikSS]

Поднять wifi на компьютере и использовать mitmproxy, например.

[Ml1ght]

Если это не HTTP протокол?

[ValdikSS]

Попробуйте stunnel.

[PavelMSTU]

Из-за этого, мне приходилось прибегать к сомнительным ухищрениям с расшифровкой трафика через man-in-the-middle

Коллеги, Wireshark позволяет загружать сторонние Lua скрипты.
Помню на позапрошлой работе требовалось это сделать, пишется все достаточно просто,
даже если ни разу не работали с Lua.
Один раз настроить и profit

[Mnemonik]

Есть ли логирование сессионных ключей в таком же совместимом с wireshark виде у java?
Есть куча софта используемого для мониторинга сети и приложений, и когда его приходится дебажить если сессия завернута в TLS это становится просто кошмаром посмотреть что он там опрашивал.

[frutonyanya]

На Mac OS, что бы не испытывать мучений c запуском всего и вся из одной консоли, можно дать команду:

launchctl setenv SSLKEYLOGFILE /path/to/writable-file

и переменная будет задана для всей системы а не только для одного tty.
А после использования удалить, ибо безопастность!

launchctl unsetenv SSLKEYLOGFILE