ФСБ пишет, что SSL не защищает

Цитата:

На самом деле, использование сервисов с протоколом SSL, например, Gmail, не защищает от перехвата идентификационной информации, - пояснил CNews источник в ФСБ. – Например, пароль может в некоторых случаях передаваться в открытом виде или сохраниться в кэше. Аналогичным образом нами был получен пароль от страницы Facebook свидетельницы Анастасии Курочкиной (...)

Из статьи отсюда http://www.cnews.ru/top/2013/07/11/fsb_raskryla_tayny_sledstviya_po…ota_535086

Ещё порадовало это:

Цитата:

У нас есть оперативно-техническое управление, которое может в ускоренном порядке, без санкции суда получить информацию от провайдера о каком-либо IP-адресе, - пояснил Михайлов. - После чего мы просим сохранить провайдера данную информацию и затем оформляем соответствующий запрос в официальном порядке

Ещё представитель ФСБ раскрыл КАК именно, они шпионят за подозреваемыми в нехороших делах юзерами. (в этой же статье)

Цитата:

Анализ трафика с помощью утилит Ufasoft Sniffer и WireShark позволил перехватить логин и пароль (...), после чего оперативники зашли туда и заподозрили (...)

SSL действительно настолько плох или это блеф рыльский?

http://ru.wikipedia.org/wiki/%D1%CE%D0%CC


про wireshark И SSL - хз, я думаю фишки свои есть.

уфасофт снифает мыльники очень хорошо, это известный факт.

перехватить можно если главная страница сайта с формой логина например сделана без SSL, соответственно пароль передается тоже без SSL и только после этого происходит редирект на защищенный сайт

u52 писал:

уфасофт снифает мыльники очень хорошо, это известный факт.

ну если на тот же gmail заходить по https и только потом вводить пароль (а оно только так и работает вроде там) - при всем желании ничего отснифить не получится )

помойму пизтят

тут слушал радио, так там какойто мега эксперт, утверждал что они и 64-битный ключ могут поломать

Уязвимость ссл не в технике, а в человеческом факторе. Есть так называемые доверенные центры сертификации. И их черт знает сколько и хуй пойми кто из них кто. Это уже на первом уровне!

Эти доверенные имеют своих дочерних доверенных. А дочерние - своих дочерних.

И вот эта вся сволота имеет право выдавать сертификаты, которые не будут ругаться в броузере.

Таким макаром, кто то из них может например выдать ФСБ сертификат на master-x.com. А дальше классика man-in-the-middle: заворачивают трафик на себя и снифают.

По этому, если ты параноик, выясняй фингерпринты оригинального сертификата и сверяй.

В браузере хром, говорят, на гугловские сервисы поддельные сертификаты не проканают, ибо хром бдит. Но я не проверял.

andreich писал:

помойму пизтят тут слушал радио, так там какойто мега эксперт, утверждал что они и 64-битный ключ могут поломать

Терморектальный криптоанализ может поломать.

все можно, Pentarh уже написал.

я сам лично тестил mitm+sslstrip, и ловишь gmail не смотря на ssl.

если доступ через прова к сети есть, то ловить можно много чего.

вы еще в незапароленных вифи сетках лазайте на ssl соединения, и не удивляйтесь если вдруг пароли утекут, ведь не факт, что в сети может работать чень типа ettercap-NG с mitmом.

да и помимо пассов куки тоже вещь полезная в перехвате.

del

Последний раз редактировалось: vendo (02/03/16 в 09:16), всего редактировалось 1 раз

vendo писал:

пора бы кому-нибудь написать фак по онлайн безопасности на мастере)) знающих видно не мало людей тут

и я бы почитал например, как можно завернуть весь трафик с компа на VDS по шифрованному туннелю?

есть VDS, общие черты знаю, а как сделать - хз ((

adovady писал:

и я бы почитал например, как можно завернуть весь трафик с компа на VDS по шифрованному туннелю? есть VDS, общие черты знаю, а как сделать - хз ((

http://putty.org.ru/articles/putty-ssh-tunnels.html

http://www.opennet.ru/opennews/art.shtml?num=36712

Цитата:

Разработчики Mozilla рассматривают вопрос блокирования нового корневого SSL-сертификата удостоверяющего центра телекоммуникационной компании TeliaSonera, одного из крупнейших поставщиков доступа к магистральным каналам связи на постсоветском пространстве. В процессе обсуждения заявки на добавление в список центров сертификации, которым доверяет Firefox, нового корневого сертификата TeliaSonera всплыли претензии, указывающие на то, что TeliaSonera продаёт технологии, позволяющие отслеживать приватные коммуникации граждан. Утверждается, что подобные технологии используются спецслужбами для анализа транзитного голосового и web-трафика в сетях TeliaSonera в таких странах, как Азербайджан, Казахстан, Грузия, Узбекистан и Таджикистан.

adovady писал:

весь трафик с компа на VDS по шифрованному туннелю?

легко, например Putty + FireFox

да посмотрите на то как они работают - все по учебникам из ссср там нету про компы ни слова. все остальная информация - это дизинформация в свою пользу, типо не используйте ssl и gmail(хотя cia их использует для получения от своих вербованных фсбшников данные через интернет кафе), впн вас не спасет, tor не безопасен итп... крипты взламываются ими на лету .
Спецы у них очень хорошо умеют работать с людьми в первую очередь

color писал:

http_putty_org_ru/articles/putty-ssh-tunnels.html

на сервер нужно что-то поставить, я так понимаю дайте ссылку на мануал плиз (сейчас копаю openVPN но не знаю то ли это)

на сервере ничего не нужно (если речь именно про ssh-туннель, а не про VPN)

я просто слегка не в теме )) вопрос в том, вот например я администрирую порно сайт там или что-нибудь крайне нехорошее, как мне в интернете лазить, чтоб не палиццо ssh-туннель он для этого или нет? или нужен именно VPN...

Последний раз редактировалось: adovady (18/08/13 в 17:41), всего редактировалось 2 раз(а)

ну в принципе если только сайты посещать - то достаточно и тоннеля.. у провайдера будет виден только коннект к серверу по ssh, весь трафик внутри будет не виден.

color писал:

ну в принципе если только сайты посещать - то достаточно и тоннеля..

раньше кстати читал про то, как с VDS связь по ssh-туннелю а на самом серваке VPN - тоесть там ещё и бутерброд из обоих способов )) собственно я так до сих пор и не понимаю как и что

если VPN ставить - то там и так внутри шифрование будет, в тоннеле нет смысла.

color писал:

то там и так внутри шифрование будет, в тоннеле нет смысла

на сколько помню, этот способ был для отчаянных параноиков-гиков, хотя не спорю, границ для извращения не существует ))

color: по вашей ссылке мне нужно настроить по пункту 3. Socks–proxy ? затем в каждом браузере настроить подключение/работу через этот порт как прокси?

Да

color: только как оказалось, у меня немного не стандартная ситуация к инету у меня подключается роутер, а я комп сестры подсасываем инет с самого роутера по локалке. Можно ли тут как то настроить ssh-туннель? в идеале если будет шифроваться только мой трафик с ноутбука, а её нет - она дом-2 круглосуточно смотрит, много трафика сожрёт (((

PS: по схеме в Chrome не заработало, хотя указал использовать прокси 127.0.0.1 - 1080 также в putty 4D1080, порт слушает, но в хроме страницы не открываются покачто ((