Email or username:

Password:

Forgot your password?
kurator88's posts Post Back to profile
Top-level
Max

@kurator88
VPN может мониторить активность - да, поверю.

А вот как VPN (или другое приложение) может трафик расшифровать того же HTTPS у стороннего приложения? Оно шифруется до поступления в сетевые интерфейсы.

27 March at 9:29 | Wall-to-wall | Open on lor.sh
14 comments
kurator88
🅴🆁🆄🅰 🇷🇺
@kurator88 что VPN-приложения лезли в хранилище и подменяли SSL-сертификат, используемый снапчатом для установления TLS-соединений?
или в снапчате настолько гопники, что не проверяли отпечаток ключа?
27 March at 10:30 | Open on hub.hubzilla.de
Max

@kurator88

MitM дает перехват трафика и подделку ответов сервера.

Но HTTPS для защиты от подобного и был придуман в свое время.

Свой корневой сертификат дает возможность для реализации такой атаки, не спорю.
Но вот в то, что там подсовывался такой сертификат - как-то сомневаюсь (это давно известная уязвимость HTTPS).

Тем более некоторые приложения сверяют сертификаты, полученные с сервера - делая MitM невозможным даже с фиктивными корневыми сертификатами. Правда не могу утверждать, что атакованные приложения были так защищены.

P.S. После прочтения статьи у меня осталось впечатление, что они больше планировали и искали возможность для такой атаки, а не реально ей занимались (массово).

@kurator88

MitM дает перехват трафика и подделку ответов сервера.

Но HTTPS для защиты от подобного и был придуман в свое время.

Свой корневой сертификат дает возможность для реализации такой атаки, не спорю.
Но вот в то, что там подсовывался такой сертификат - как-то сомневаюсь (это давно известная уязвимость HTTPS).

27 March at 14:59 | Open on lor.sh
Umnik

@max
Установкой своих сертификатов, когда в приложении нет запрета на использование юзерских сертификатов
@kurator88

27 March at 13:11 | Open on lor.sh
Alexey Skobkin

@umnik @max @kurator88
Какие разрешения нужны на установку кастомных сертификатов в систему?

27 March at 13:20 | Open on lor.sh
Ostap Bender

@skobkin @umnik @max @kurator88 плохой вопрос.
Правильный вопрос: какие разрешения нужны были на устрановку кастомных сертификатов в систему в 2016 году?

27 March at 13:45 | Open on lor.sh
Umnik

@skobkin явное подтверждение пользователя. Будет вопрос ОС и пользователь должен согласиться или отвергнуть @max @kurator88

27 March at 13:45 | Open on lor.sh
Alexey Skobkin

@umnik @max @kurator88
Учитывая, что это публичный сервис - такое отличие от других VPN-сервисов должны были бы достаточно быстро заметить те, кто имеет некоторую степень грамотности в теме.

Я вангую, что если начать знакомиться с документами - окажется, что VPN собирал только метаданные.

Слишком уж палевную хуйню заявляют в статье.

Я имею в виду, что скорее всего такое бы вскрылось не на суде, а сильно раньше.

27 March at 13:48 | Open on lor.sh
kurator88

@skobkin @umnik @max в источнике есть ссылка на документ с коротким описанием инцидента
27 March at 13:55 | Open on soc.kurator.tech
Alexey Skobkin

@kurator88 @umnik @max
Занятно.

Учитывая, что SSL bumping обычно подразумевает как раз установку сертификата на клиент.
И тут говорится о "server-side bumping", то есть расшифровка трафика происходила на серверах VPN провайдера.

Если это так, то прямо ололо. Не знаю законов США, но подозреваю, что там это тоже вполне может быть уголовкой.

Интересно теперь куда эта история разовьётся.

Жду каких-нибудь лулзов вроде того, что в EULA VPN-сервиса было указано, что компания оставляет за собой право разбора трафика для анализа 🤣

@kurator88 @umnik @max
Занятно.

Учитывая, что SSL bumping обычно подразумевает как раз установку сертификата на клиент.
И тут говорится о "server-side bumping", то есть расшифровка трафика происходила на серверах VPN провайдера.

Если это так, то прямо ололо. Не знаю законов США, но подозреваю, что там это тоже вполне может быть уголовкой.

27 March at 14:03 | Open on lor.sh
Max

@skobkin
Может в ответе сервера понижали версию HTTPS (и передавали не самые защищенные алгоритмы как поддерживаемые сервером), за счет чего трафик и легко поддавался расшифровке?
@kurator88 @umnik

27 March at 14:50 | Open on lor.sh
🅴🆁🆄🅰 🇷🇺
@Max какой из них? RC2, IDEA, Triple DES?
они все достаточно стойкие были, чтобы вскрывать в лоб ради массовой слежки.

для взлома таких алгоритмов должна быть утечка бит секретного ключа из ядра ОС по side channel. или надо инжектироваться в процесс того приложения, которое snapchat, чтобы получить доступ к ключу.
27 March at 15:09 | Open on hub.hubzilla.de
Шуро
@skobkin @umnik @kurator88 @max Там перехват был на конкретные технические домены для аналитики. Я бы скорее предположил, что сами приложения слали туда данные без проверки сертификата вообще, как это порой в таких случаях бывает.
27 March at 15:31 | Open on friends.deko.cloud
Go Up