Skocz do zawartości
Zaloguj się, aby obserwować  
ambrozy

https a hasło "czystym" tekstem?

Polecane posty

Do tej pory byłem przekonany, że strony z którymi łączymy się przez https są całkowicie bezpieczne. Czy tak jest naprawdę? Czy może moje spostrzeżenia są wynikiem błędnej konfiguracji serwerów bądź samych aplikacji?

 

Mianowicie wykorzystując aplikację Cain & Abel zastosowałem technikę MAC address spoofing, następie łączyłem się przez https z klientami webmail na moim serwerze (później sprawdzałem inne serwery myśląc, że tylko mój jest na to podatny) i o dziwno nazwa użytkownika oraz hasło została bez problemu rozpoznana przez program. Aplikacje webmail takie jak atmail, roundcube oraz squirrelmail poległy, tzn. Cain&Abel pokazał jakie dane zostały wprowadzone przez użytkownika. Tylko logując się przez Afterlogic Webmail Lite nie byłem wstanie odczytać hasła.

 

Czy spotkaliście się z czymś takim? Co może być przyczyną takiego stanu rzeczy i jak to naprawić?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy te hasła były tylko Twoje, czy także obcych nieznanych Ci ludzi?

 

Program łamie hasła dostępu, co może być nielegalne jesli jest używane niezgodnie z prawem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy te hasła były tylko Twoje, czy także obcych nieznanych Ci ludzi?

Testowałem na własnej skórze, aczkolwiek nie jest problemem uzyskanie loginów oraz haseł innych osób będąc w tej samem sieci LAN.

 

Program łamie hasła dostępu, co może być nielegalne jesli jest używane niezgodnie z prawem.

Myślę, że warto jest znać narzędzia które służą innym nie niecnych celów, a nam administratorom dają możliwość przetestowania swoim sieci, serwerów, itp

 

Najważniejszym w tym wszystkim jest jednak pytanie dlaczego https puszcza te dane czystym tekstem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

(...) i jak to naprawić?

Ustawić na switch'u automatyczny shutdown portu jeśli komputer przedstawi się innym MAC'iem

aniżeli ten przypisany "na sztywno" do niego.

 

Jeżeli przełącznik nie posiada stosownej funkcjonalności, to należy zastawić dom i zgłosić się do Rufik'a

celem zakupu urządzenia o odpowiedniej funkcjonalności jedynej słusznej firmy na rynku

wraz z routerem brzegowym mogącym przewalić kilkaset Mbps.

( :) )

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

bellerofont: w ten sposób zabezpieczę tylko swoją sieć lokalną...a bardziej zależałoby mi na zabezpieczeniu serwera przed czymś takim...

 

nadal nikt nie odpowiedział na moje pytanie...dlaczego witryna z która połączenie jest szyfrowane umożliwia przechwycenie loginów oraz haseł ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

sslstrip?

Hint: Zablokuj połączenia nieszyfrowane z twoim webmailem (na serwerze wklej takie coś)

RewriteCond %{HTTP_HOST} ^www\.domenazmoimwebmailem\.com$
RewriteCond %{SERVER_PORT} ^80$
RewriteRule (.*) https://www.domenazmoimwebmailem.com/$1 [R=301,L]

i zobacz, czy nadal będzie takie łatwe uzyskanie hasła :)

 

PS: Zakładam, że robisz próby logowania z jakiś innych hostów, niż localhost z odpalonym C&A.

Bo jeśli na tym samym, to równie dobrze może jakiś keylogger zebrać ci hasło z klawiatury / textboxów przeglądarki :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

bellerofont: w ten sposób zabezpieczę tylko swoją sieć lokalną...a bardziej zależałoby mi na zabezpieczeniu serwera przed czymś takim...

Większość dostawców ma odpowiednie zabezpieczenia przed tym, aby któryś z serwerów nie zaczął udawać bramy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Do tej pory byłem przekonany, że strony z którymi łączymy się przez https są całkowicie bezpieczne. Czy tak jest naprawdę? Czy może moje spostrzeżenia są wynikiem błędnej konfiguracji serwerów bądź samych aplikacji?
Nawet jeżeli Cain&Abel podszył się pod maszynę docelową, to musiałeś dostać monit o złym certyfikacjie SSL. Jeżeli go zignorowałeś to był to Twój błąd.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do tej pory byłem przekonany, że strony z którymi łączymy się przez https są całkowicie bezpieczne. Czy tak jest naprawdę? Czy może moje spostrzeżenia są wynikiem błędnej konfiguracji serwerów bądź samych aplikacji?

 

Mianowicie wykorzystując aplikację Cain & Abel zastosowałem technikę MAC address spoofing, następie łączyłem się przez https z klientami webmail na moim serwerze (później sprawdzałem inne serwery myśląc, że tylko mój jest na to podatny) i o dziwno nazwa użytkownika oraz hasło została bez problemu rozpoznana przez program. Aplikacje webmail takie jak atmail, roundcube oraz squirrelmail poległy, tzn. Cain&Abel pokazał jakie dane zostały wprowadzone przez użytkownika. Tylko logując się przez Afterlogic Webmail Lite nie byłem wstanie odczytać hasła.

 

Czy spotkaliście się z czymś takim? Co może być przyczyną takiego stanu rzeczy i jak to naprawić?

 

zapoznaj się z modelem osi. Adresy mac czyli warstwa druga leży poniżej warstwy 4/5 (ssl). Kompromitacja bezpieczeństwa na niższym poziomie oznacza (w większości przypadków) że zabezpieczenia na wyższych nie mają znaczenia (stos). Warstwa druga to najbardziej niezabezpieczona warstwa w sieciach, mimo że sieci przełączalne już istnieją od końca lat 80. W warstwie drugiej jest szereg ataków możliwych do przeprowadzenia jak mac spoofing, arp overflow, manipulacja spanning tree, sztormy, łamanie vlanów - podwójne tagowanie, hoping itp itp. Centra certyfikacji są jak najbardziej za tym aby utwierdzać ludzi w przekonaniu ze wydany przez nich certyfikat (pieniądze) zapewnia totalne i absolutne bezpieczeństwo przed wszystkim ;)

ps. na innych nadal niższych poziomach modelu osi można by jeszcze naliczyć kilkadzesiąt (set?) wektorów ataków :)

Nie rozwiążesz większości problemów z zabezpieczeniem warstwy 2 wyższymi warstwami. Po prostu masz niedoświadczonego admina lana ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

vipserv glupoty piszesz;-).

 

Cain & Abel został użyty zapewne do ataku MITM (man-in-the-middle) i gdyby użytkownik miał świadomość jak należy zarządzać certyfikatami to hasła by nie wprowadził (to o czym wspomniał p).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

vipserv glupoty piszesz;-).

 

Cain & Abel został użyty zapewne do ataku MITM (man-in-the-middle) i gdyby użytkownik miał świadomość jak należy zarządzać certyfikatami to hasła by nie wprowadził (to o czym wspomniał p).

 

Zgadza się, przykro to pisać, ale nawet na tym forum spierałem się z "gieniuszami" - administratorami z firm hostingowych, uważającymi że certyfikat to nieważny dodatek do ssl-a, bo przecież jak jest ssl nawet bez certyfikatu to jest szyfrowanie.

 

zapoznaj się z modelem osi. Adresy mac czyli warstwa druga leży poniżej warstwy 4/5 (ssl). Kompromitacja bezpieczeństwa na niższym poziomie oznacza (w większości przypadków) że zabezpieczenia na wyższych nie mają znaczenia (stos). Warstwa druga to najbardziej niezabezpieczona warstwa w sieciach, mimo że sieci przełączalne już istnieją od końca lat 80. W warstwie drugiej jest szereg ataków możliwych do przeprowadzenia jak mac spoofing, arp overflow, manipulacja spanning tree, sztormy, łamanie vlanów - podwójne tagowanie, hoping itp itp. Centra certyfikacji są jak najbardziej za tym aby utwierdzać ludzi w przekonaniu ze wydany przez nich certyfikat (pieniądze) zapewnia totalne i absolutne bezpieczeństwo przed wszystkim ;)

Akurat przed tym co zostało opisane certyfikat zabezpiecza. Oczywiście pod warunkiem że użytkownik CHCE być zabezpieczany, a nie robi wszystko żeby to zabezpieczenie obejść.

ps. na innych nadal niższych poziomach modelu osi można by jeszcze naliczyć kilkadzesiąt (set?) wektorów ataków :)

Nie rozwiążesz większości problemów z zabezpieczeniem warstwy 2 wyższymi warstwami. Po prostu masz niedoświadczonego admina lana :)

Chyba sam nie za bardzo wiesz co piszesz.

 

Testowałem na własnej skórze, aczkolwiek nie jest problemem uzyskanie loginów oraz haseł innych osób będąc w tej samem sieci LAN.

 

 

Myślę, że warto jest znać narzędzia które służą innym nie niecnych celów, a nam administratorom dają możliwość przetestowania swoim sieci, serwerów, itp

 

Najważniejszym w tym wszystkim jest jednak pytanie dlaczego https puszcza te dane czystym tekstem.

 

A jak ma puszczać? https nic nie ma do kodowania haseł, to jest szyfrowanie POŁĄCZENIA. To co z jednej strony wchodzi, z drugiej musi dać się odczytać. Poczytaj na czym polega ten atak Man-in-the-middle.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po 1 dziękuję wszystkim za włączenie się do dyskusji

 

Po 2 w moim lanie jestem sam, więc nie widzę potrzeby jego zabezpieczania. Nawet gdyby była taka potrzeba to wiedziałbym jak to zrobić. Nie mniej dzięki za takie uwagi

 

Po 3 być może Cain & Abel podmienił certyfikat (muszę to sprawdzić) i dlatego był wstanie odczytać login i hasło, ale dlaczego w takim razie logując się przez AfterLogic Webmail Lite dane te nie zostały przechwycone?

 

Po 4 pokusił się ktoś z Was, aby zainstalować tą aplikację i samemu sprawdzić czy tylko teoryzujecie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po 3 być może Cain & Abel podmienił certyfikat (muszę to sprawdzić) i dlatego był wstanie odczytać login i hasło, ale dlaczego w takim razie logując się przez AfterLogic Webmail Lite dane te nie zostały przechwycone?

Afterlogic ma dosyć specyficzny przesył danych - buduje JavaScriptem po stronie klienta i później via POST przesyła taki dosyć specyficzny komunikat - który czystym POST nie jest, więc dosyć ciężko ogólnie z niego z automatu coś wydobyć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×