arne22 Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 (endret) Jeg kjøpte nylig et eksemplar av dagens næringsliv (lørdag 11/2 ?) der det sto en omfattende artikkel over mange helsider om "masseovervåking" av Internett. Slik som jeg tolker innholdet i artikklen så kan man ved hjelp av spesielle routere klare å fange opp slike ting som passord og ellers innhold som normalt vil være data som er kryptert ved hjelp av SSL kryptering. Kan dette virkelig være riktig og er det virkelig dette Dagnes Næringsliv skriver, eller er det bare det at man mener å beskrive en "vanlig" innholdsfiltereing i en proxy/router/firewall. (Der innholdsfiltertreringen kun kan skje i forhold til den datamengden som ligger i klartekst.) Er det noen som har lest denne ertikkelen i Dagens Næringsliv og som har gjort seg noen refleksjoner om hvorvidt avisen faktisk skriver at "overvåkeren" kan lede ut i klartekst også data som har SSL kryptering ? Hvis og i så fall, så skulle vel dette også medføre at slike ting som pålogginger og overføringer fra nettbank og mye annet. Kan det være at vedkommende journalist har kommet til å legge litt tykt på, er det jeg som leser artilkkelen feil og som ikke forstår, eller er det slik at SLL kryptert trafikk virkelig leses ut i klartekst ?? Legger en link til en forklaring av hva https og ssl er for noe for den som ikke kjenner til dette fra før. Synes at problemstillingen må være ganske interessant. Endret 12. februar 2012 av arne22 Lenke til kommentar
Kakeshoma Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 Kryptert er kryptert, da kan man ikke se det før det er dekodet på andre siden. Lenke til kommentar
arne22 Skrevet 12. februar 2012 Forfatter Del Skrevet 12. februar 2012 (endret) Kryptert er kryptert ja, slik pleier det jo normalt å være. Dette medfører jo blant annet at alt innhold med ssl eller ssh kryptering (eller annet) vil spassere rett gjennom en "vanlig" brannmur med innholdfiltering. På denne måten blir for eksempel "virusvask" for ssl krypterte sider en umulighet ved at også "virus" vil være kryptert og "spaserer rett gjennom". Hvis man leser de påstandene eller de opplysningene som framgår av den aktuelle artikkene i Dagens Næringsliv så skulle man nesten tro at dette foutsetter dekryptering av forholdvis store datastrømmer. Her er jo ellers en oppskrift på "hvordan dekryptere ssl i laboppsett". I utgangspunktet så høres dette vel kanskje ut som litt "teknisk vanskelig" for ikke å si kanskje umulig for store datastrømmer og for kontinuerlig monitoring. (med mindre det skulle finnes noen helt nye måter og metoder. Noen som vet .. ? Endret 12. februar 2012 av arne22 Lenke til kommentar
Hole Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 Joda, skal vel gå ann med et "Man in the middle attack" det. Angriper har brutt WEP-krypteringen på Brukers WLAN. Angriper "forgifter" ARP-tabellen til Brukeren, noe som gjør at trafikken Brukeren skal sende til Internet. istedet vil gå til Angriper. Angriper får nå all trafikk til seg selv, og kan sende dette videre til Internett, og svaret fra Internett tilbake til Brukeren. Brukeren merker dermed ingenting. Brukeren går inn på Facebook med HTTPS. Brukeren tror nå at den har en sikker tilkobling mot Facebook, men i virkeligheten har han en sikker tilkobling mot Angriper. Angriper på sin side, har opprettet en sikker forbindelse til Facebook, og utgir seg for å vere Brukeren. Brukeren skriver inn brukernavn og passord, dette blir kryptert sendt til Angriper, som har nøkkelen til å dekryptere brukernavn/passord, og sender dette kryptert til Facebook. Nå har altså Angriper fått passordet til Brukeren, mens Brukeren ikke merker noe, og alt fungerer som det skal for han. Dette har ihvertfall vært mulig før, men om det er mulig fortsatt vet jeg ikke. 1 Lenke til kommentar
Kakeshoma Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 Og der er det WEP som er cracket og ikke en SSL-kryptert linje som er synlig. Lenke til kommentar
Matsemann Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 (endret) Slik som jeg tolker innholdet i artikklen så kan man ved hjelp av spesielle routere klare å fange opp slike ting som passord og ellers innhold som normalt vil være data som er kryptert ved hjelp av SSL kryptering. Jeg har ikke lest artikkelen, men jeg mistenker det kan være snakk om man in the middle attack? På en eller annen måte klarer en angriper å lure seg inn mellom deg og siden du skal koble deg opp mot. Ved å forfalske sertifikater kan vedkommende gjøre slik at du tror du er koblet opp med SSL mot en server, men egentlig er du koblet opp mot angriperen, som så leser alt og så logger på serveren for deg. Kryptert er kryptert, da kan man ikke se det før det er dekodet på andre siden. Du kan i det minste prøve å sette deg inn i problemstillingen før du uttaler deg. Endret: For sen.. Endret 12. februar 2012 av Matsemann Lenke til kommentar
arne22 Skrevet 12. februar 2012 Forfatter Del Skrevet 12. februar 2012 (endret) Jo, "man in the middle" det er jo en "klassikker" men den krever vel en "man in the middle" som er forholdvis "manuell" og det vil kreve en del ressurser og "håndarbeid" i det enkelte tilfelle for å få til dette. Det som jeg i alle fall ved et første øyekast synes å lese i Dagens Næringsliv, det er at nasjonale sikkehetsmyndigheter i diverse stater setter inn overvåknigsutstyr i det nasjonale internettets primærstruktur, slik at man ved dette kan dive politisk overvåkning og annen overvåkning. Her vil det jo være snakk om temmelig store datastrømmer. Slik som jeg leser artikkelen i Dagens Næringsliv så står det vel å lese at man henter ut data av datastrømmene som normalt vil være beskyttet av SSL kryptering. Egentlig så vil jeg jo tro at dette er feil, men man vet jo aldri ?? Et eksempel på bruken av SSL kryptering er så vidt jeg husker for eskempel TOR Network. Her kan man "normalt" gå forbi brannmurer for innholdsfiltering, hvis man da ikke har lykkes i å oppnå en eller annen for for automatisk dekryptering av datastrømmene. Endret 12. februar 2012 av arne22 Lenke til kommentar
ShadowMaster Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 (endret) Om man har tilgang på datastrømmen er det lite som er sikkert. Til og med kvantekryptering har blitt demonstrert brutt. Når det gjelder SSL så kan det være verdt å ta en titt på https://www.eff.org/deeplinks/2011/10/how-secure-https-today SSL er ingen "magic bullet" som gjør deg trygg. Den øker sikkerheten betraktelig ja, men man må framdeles ta i betraktning hvor traffikken går for å avgjøre hvor sikker man er. Jeg ville ikke stolt på SSL ifbm. noe som helst nettsted i Kina eller Iran, eller noe som helst om jeg befant meg i en av de førstnevnte landene. Verdt å tenke på i disse dager når store deler av all trafikk fra Norge til utland går via Sverige som aktivt overvåker internett trafikk? Et eksempel på bruken av SSL kryptering er så vidt jeg husker for eskempel TOR Network. Her kan man "normalt" gå forbi brannmurer for innholdsfiltering, hvis man da ikke har lykkes i å oppnå en eller annen for for automatisk dekryptering av datastrømmene. TOR benytter ikke SSL, men multilayer encryption. Det er dog verdt å merke seg at hvem som helst kan sette opp en tor server, og all data som går ut fra den torserveren så kan den som driver lese datastrømmen ukryptert i forhold til tor sin encryption. Man må dog framdeles bryte encryption som går utenfor tor. tor er hovedsakelig et anonymitets verktøy, ikke et verktøy for sikker overføring av data. Du har ingen kontroll over hvem som har tilgang til din datastrøm ved exit node. Se forøvrig http://en.wikipedia.org/wiki/Tor_(anonymity_network) for mer detaljer rundt tor om interessant. Endret 12. februar 2012 av ShadowMaster Lenke til kommentar
Kakeshoma Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 (endret) Noe lignende det her du leste om? http://owaspsweden.blogspot.com/2010/04/overvakning-trots-ssl.html Javel Matsemann, jeg tror fortsatt ikke man kan lese ut SSL-kryptert trafikk uten en aktiv form for sertifikatforfalskning eller via innbrudd i WLAN o.l... Men gjerne motbevis meg Endret 12. februar 2012 av Kakeshoma Lenke til kommentar
ShadowMaster Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 Nei, refererer til Sveriges FRA lovgivning http://en.wikipedia.org/wiki/FRA_law Lenke til kommentar
Kakeshoma Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 Sorry, var til OP Lenke til kommentar
ShadowMaster Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 (endret) Bruk av quotes er en fin ting om du ikke svarer på posten over deg Javel Matsemann, jeg tror fortsatt ikke man kan lese ut SSL-kryptert trafikk uten en aktiv form for sertifikatforfalskning eller via innbrudd i WLAN o.l... Men gjerne motbevis meg La oss skille mellom to ting her. Datastrømmen uavgengig av transportmetode, og transportmetode. Datastrømmen som er kryptert med SSL kan kompromitteres på mange måter. Stjålne sertifikater er kun en av de. Jeg anbefaler å ta en kjapp titt på sammendraget her http://www.schneier.com/blog/archives/2011/09/man-in-the-midd_4.html som gir deg en pekepinn på hvor skremmende enkelt det er (sammenlignet med hvor trygg folk tror SSL er) å bryte SSL/TLS om du utfører MITM angrep. Når det gjelder transportmetode, i ditt eksempel WLAN så må man i tilfellet med kryptert WLAN (WEP, WPA, WPA2) bryte krypterigen på den. Deretter står man ganske fritt til å utføre MITM. Det er skremmende enkelt å bryte krypteringen på de fleste WLAN, selv om WPA2 er benyttet grunnet svake passord. Om man benytter WPA2 i kombinasjon med et sterkt passord så kan man føle seg ganske så trygg enn så lenge, men erfaringsmessig så benytter folk svake passord på WLAN fordi de er enkle å huske samt å taste inn på telefoner og andre duppedingser. Endret 12. februar 2012 av ShadowMaster Lenke til kommentar
arne22 Skrevet 12. februar 2012 Forfatter Del Skrevet 12. februar 2012 (endret) Hva så med ? Man skulle i de minste tro at det var mindre volum på denne typen trafikk, slik at det kanskje settes inn mindre ressurser for eventuell dekryptering og slik ting. Hvordan er det med en standard linux server, har den SOCS server (hvis den har SSH server) eller må dette installares sepparat ? Eller så må vel content filtering for skumle regimer som for alle andre følge visse "datatekniske naturlover". Selv om utviklingen går framover så blir det vel forholdvis mye data å tygge for den store datastrømmene. Man kan selvfølgelig route "spesielt interessante datastrømmer" sine egne veier for "nærmere undersøkelser". (Og det gjør man vel kanskje også.) Endret 12. februar 2012 av arne22 Lenke til kommentar
ShadowMaster Skrevet 12. februar 2012 Del Skrevet 12. februar 2012 Angående SSH så benytter den seg av andre mekanismer enn SSL/TLS og har så vidt meg bekjent ikke noen kjent svakhet. SSH2 som er det mest vanlige benytter DSA for autentisering og kan benytte flere forskjellige krypterings algoritmer til krypteringen. Med SOCS så antar jeg at du refererer til SOCKS proxy? Jeg ville da heller ha tenkt mer i retning VPN i form av PPPTP eller kraftigere (men mer knotete å sette opp) alternativer. Husk dog at du kun vil kryptere data mellom deg og linux serveren. Fra serveren ut mot verden går ting igjen ukryptert eller over SSL/TLS så man må ha i bakhodet hvor det er man vil sikre trafikkstrømmen. VPN er fin for å sikre trafikk fra WLAN hvor man ikke har kontroll på sikkerheten f.eks. Angående content filtering osv så er det ganske skremmende hvor stor datakapasitet små bokser kan håndtere nå til dags. Husk at utviklingen av slike systemer foregår for å tilfredstille stormaktene slik som Kina og USA (tenk NSA) og hvor systemene blir fordelt rundt på de forskjellige ISPene, så mengden trafikk blir ikke så avskrekkende som man skulle tro på hver plass. Men det vil være naivt å tro at Sverige feks. ikke vil kunne inspisere all trafikk som passerer landets grenser (noe de har lov til jmf. FRA loven) om de ønsker. Personlig bekymrer jeg meg lite over dette da jeg er ganske forsiktig i utgangspunktet og vi ikke akkurat bor i ett land hvor faren er overhengende stor for at man blir satt under overvåkning med mindre man er kommunist, selv om også det begynner å ligge litt lengre bak i tid. Den største trusselen man møter i dagliglivet er trådløse nettverk, hvor VPN per dags dato strengt tatt er eneste sikre løsning for å beskytte seg. Selv her er hovedproblemet ofte at ting ikke en gang er beskyttet med SSL/TLS når man benytter smart telefoner o.l. Lenke til kommentar
arne22 Skrevet 12. februar 2012 Forfatter Del Skrevet 12. februar 2012 (endret) Jo jeg tenker selvfølgelig på Socs proxy. Er litt rusten på dette sikkerhetsmessige. Har rett og slett glemt det vekk. Mener at jeg før i tiden "routet" nettverkstrafikken fra lokal browser og via en ssh tunnel og ut via et eksternt "termineringspunkt" for SSH klienten. Det som jeg ikke helt klarer å huske det er om dette kan la seg gjøre bare ved hjelp av den SSH serveren som kjører ved termineringen eller om det også kreves "noe annet". Når det gjelder hva som er "naivt" å tro i forhold til Sverige sin evnentuelt rutinemessige inspeksjon av kryptert trafikk, så ville jeg vel i utgangspunktet mene at det er mer naivt å tro at det kan gjløres enn at det ikke kan gjøres. Var med på å teste ut et par content filtering firewalls for et par år siden, og det var i hvert fall ingen ting ved den testingen som tydet på at dette skulle være mulig. (men mye kan ha endret seg, og det er vel ikke sikkert at det vi testet heller var "top range".) Hva som er sikkert og hva som er usikkert vil vel kanskje avhenge litt av hvor man er i verden. Normalt og for de fleste formål så pleier det vel å gå ganske bra å komme seg ut med en SSH tunell. Den vil vel også fungere like bra på trådløs, skulle man tro. SSL over SSH går jo også bra. (Så vidt jeg kan huske.) Det skulle ellers vært interessant å se faktiske produktbeskrivelser og lenker til produsenter av utstyr som faktisk kan content filtering og eventuelt dekryptering for det trafikkvolumet som gjelder for Internett sine "hovedårer". Jeg sier ikke at slikt utstyr ikke finnes, men det skulle være interessant å se en teknisk beskrivelse av dette filteringsutstyret, prosessortype, filtreringsmåte, lagringenheter, osv. For meg så høres det å gjennomføre en effektiv content filtering og en fortløpende dekryptering av "backbones" ut som en "teknisk naivitet". Det kan være jeg tar feil og ett er nok sikkert og det er at grensene for hva som er teknisk mulig hele tiden flytter på seg. Jeg skulle ha stor interesse av å se noen linker til konkrete produketer som kan brukes i en slik sammenheng. Edit: Her er vel en link til noen av de produktene som Dagens Næringsliv sin artikkel refererer til. Har ikke studert noen av dem noe nærmere, men ville vel ikke tro at noen av dem er i nærheten av å kunne utrette det som artikkelen synes å antyde. Er ellers bare ute etter å lære lit og å få oppdatert meg. Det er som kjent når man tar feil at man får lært noe. EDIT: En hovedforskjell med hensyn til kapsitet vil nok ligge i hvorvidt filtreringen skjer på pakke/adressenivå eller på proxy/content nivå. Ennå mer ressurskrevende vil det være om det i tillegg dreier seg om proxy/content/decrypting. Hvis det dreier seg om denne typen produkt da vil man vel jobbe på pakke nivå og dette vil kunne gi en betydelig kapasitet. (Men ikke tilgang til krypterte data.) Hvi det der i mot dreier seg om denne typen produkt da vil den vel nødvendigvis måtte jobbe ut i fra et proxy prinsipp og være plassert i siste ledd ut mot sluttbruker his ISP. (Med andre ord som en usynlig proxy.) Her vil kapasiteten være vesentlig mindre. Hvis man kombinerer disse produkttypene så skulle dette gi kontroll på den ordinære nettrafikken mht "tillatte nettsteder" og man vil også kunne lese og overvåke innhold i ikke kryptert trafikk. Kryptert trafikk inklusive krypterte tuneller skulle normalt passere gjennom. Noen som mener at dette er feil ? Dokumentasjon og eksempel på produktbeskrivelser ? Endret 13. februar 2012 av arne22 Lenke til kommentar
arne22 Skrevet 13. februar 2012 Forfatter Del Skrevet 13. februar 2012 (endret) Hmm ... ProxySG with ProxyAV enables the highest performing inline threat analysis, including SSL,... Hvordan skulle man kunne "inspisere" noe som passerer gjennom SSL uten å "decrypte" .. men det skulle bli temmelig ressurskrevende og lite egnet for de store trafikkmengder ?? Ellers interessant lesning. Bortsett fra påstanden om å inspisere SSL trafikk, så ser vel det øvrige vel nokså tradisjonelt og "gammaldags" ut ?? Hva har nå viruskontroll med politisk overvåkning å gjøre .. jo kan man kontrollere datastrømmen for det ene for det ene ("malware") så kan man også kontrollere den for det annet. (politisk innhold) (For enkelte så kan vel dette være sånn omtrent det samme.) Det som ellers vil være en meget enkel og kostnadseffektiv måte å kontrollere hele webtrafikken til et land på, det er jo hvis man kontrollerer på et DNS nivå. Dette vil jo kreve nær null og nix, men det vil være forholdvis enkelt å gå utenom. (Og det er jo temmelig langt der i fra til å lese kryptert trafikk.) Edit: Fra web side til McAfee: Web Gateway integrates numerous protections, from web filtering and anti-malware to SSL scanning and content control, all with a simplified management footprint and a flexible policy engine. Link Hvordan kan man eventuelt, hvis dette er tilfellet, scanne SSL datastrømmer for virus, uten samtidig å kunne få fram for eksempel kunde/brukerdata fra nettbank ? Edit 2: Her har vi en beskrivelse av hvordan man hevder å være i stand til å gjennomføre en slags "automatisert man in the middle attach" ved hjelp av en dertil egnet proxy content firewall. Det som jeg ikke helt forstår i forklaringen, det er om dette forutsetter noen form for samarbeide fra den som "eier" ssl server sertifikatet, eller om man kan gå inn på en hvilken som helst ssl server klient forbindelse. Eller ved et litt mer konkret eksempel: Dersom ansatte hos for eksempel Telenor ønsker å gå inn og lese innholdet i banktransaksjoner til DNB sine kunder, vil de da behøve en tillatelse fra DNB, eller vil de kunne gjøre dette på eget initiativ ? (Forutsatt at de da har en proxy content firewall som eventuelt kan "lese" en ssl datastrøm.) Noen som har flere opplysninger eller som kjenner detaljer rundt dette ? Edit 3: Her ser det ut som om vi har de litt mer eksakte praktiske detaljer om hvordan dette gjøres. Det kan se ut som om det forutsetter en form for samarbeide, ikke fra den som sitter på server sertifikatet, men der i mot den som kontrollerer trafikken på LAN siden. Det skulle med andre ord være vanskelig å få til dette i regi av en ISP, (for eksempel Telenor eller andre) uten også et samarbeide på LAN siden. (I alle fall ut i fra denne beskrivelsen.) Hvis dette prinsippet forforståelse er riktig, da blir kanskje ikke innholdet i Dagens Næringsliv sin artikkel helt riktig, i og med at det ikke er snakk om dekryptering av virkårlige ssl datastrømmer, men der i mot om en slags "man in the middle phishing" satt opp av den lokale nettverksadministrator på LAN nivå. Mon ikke denne løsningen også vil være avhengig av klientmaskinens operativsystem, slik at de "falske" eller "lokale" ssl sertifikatene vil bli synlige ved for eksempel å kjøre i gang en Linux arbeidsstasjon, hvis det øvrige er Windows. Er ellers takknemlig for alle videre detaljer og opplysninger som kan bidra til sakens opplysning. Endret 13. februar 2012 av arne22 1 Lenke til kommentar
ShadowMaster Skrevet 13. februar 2012 Del Skrevet 13. februar 2012 Når det gjelder hva som er "naivt" å tro i forhold til Sverige sin evnentuelt rutinemessige inspeksjon av kryptert trafikk, så ville jeg vel i utgangspunktet mene at det er mer naivt å tro at det kan gjløres enn at det ikke kan gjøres. Jeg har liten tro på at det vil skje eller at det skjer, men om ønsket er det tviler jeg sterkt på at det vil utgjøre et stort problem. Iran var vel ett av landene som kjørte i gang fullskala overvåkning av all trafikk under urolighetene. Dog med det resultat at traffikken ble merkbart tregere. Var med på å teste ut et par content filtering firewalls for et par år siden, og det var i hvert fall ingen ting ved den testingen som tydet på at dette skulle være mulig. (men mye kan ha endret seg, og det er vel ikke sikkert at det vi testet heller var "top range".) Her snakker vi ikke om systemer du kan kjøpe privat eller som offentlig institusjon. Dette er hardware utviklet kun for Deep packet inspection, og for å håndtere enorme mengder med data. Vi snakker også om skalerbare systemer slik som Cisco tilbyr til private aktører som jeg lenker til lengre nede som kan skalere nesten i det uendelige mtp. trafikk mengden ved å slenge på flere enheter. Det skulle ellers vært interessant å se faktiske produktbeskrivelser og lenker til produsenter av utstyr som faktisk kan content filtering og eventuelt dekryptering for det trafikkvolumet som gjelder for Internett sine "hovedårer". Jeg sier ikke at slikt utstyr ikke finnes, men det skulle være interessant å se en teknisk beskrivelse av dette filteringsutstyret, prosessortype, filtreringsmåte, lagringenheter, osv. Jeg har ikke lett etter dette, men tror det vil være vanskelig å finne noe særlig informasjon om det. Noe data for et eldre system som Libya hadde klart å få tak i brukt via tredjepart mener jeg ble oppgitt i forbindelse med den saken, men husker ikke detaljene for dette. Dette er spesialiserte systemer utviklet for stater og de hemmelige tjenestene og er ikke markedsført mot mannen i gata. Til sammenligning gir et kjapt google søk for eksempel følgende treff: http://www.cisco.com/en/US/prod/collateral/ps7045/ps6129/ps6133/ps9591/ps9613/data_sheet_c78-492987.html (Cisco's kommersielle løsning, hver enhet takler opp til 30Gbps data, kan utvides lineært til å dekke behovet til det meste) http://www.radisys.com/News-and-Events/Events-and-Webinars/Fierce-Webinar-Deliver-Exceptional-DPI-Performance-Using-General-Purpose-Hardware.html (Generisk off the shelf hardware, opptil 320Gbps DPI) http://www.qosmos.com/news-events/netronome-expands-dpi-capabilities-through-partnership-qosmos (100Gbps) For meg så høres det å gjennomføre en effektiv content filtering og en fortløpende dekryptering av "backbones" ut som en "teknisk naivitet". Det kan være jeg tar feil og ett er nok sikkert og det er at grensene for hva som er teknisk mulig hele tiden flytter på seg. Det er viktig å skille mellom filtreringen og dekrypteringen. Men når det gjelder SSL så henviser jeg igjen til EFF rapporten nevnt tidligere. Husk at slike systemer kan omdirigere spesifikk trafikk av interesse, være det seg basert på destinasjon, kilde eller type trafikk, eller "lage en kopi" av strømmen for videre prosessering. Hmm ... ProxySG with ProxyAV enables the highest performing inline threat analysis, including SSL,... Hvordan skulle man kunne "inspisere" noe som passerer gjennom SSL uten å "decrypte" .. men det skulle bli temmelig ressurskrevende og lite egnet for de store trafikkmengder ?? Dette er i utgangspunktet et sikkerhetsprodukt for det kommersielle markedet, tilsynelatende rettet mot bedrifter, ment for å sikre trafikk inn (og potensielt ut) av bedriftsnettverket. HTTPS inspeksjon slik som det er beskrevet for dette produktet innebærer at bedriften, som eier av SSL sertifikatet selv setter opp boksen for å utføre MITM for sitt eget certifikat, for på den måten å få inspisert trafikken for angrep osv. Edit 3: Her ser det ut som om vi har de litt mer eksakte praktiske detaljer [--snip snip--] Henviser igjen til EFF rapporten som jeg lenket til tidligere som gir en del nyttig informasjon vedrørende det reelle trusselbildet mot SSL. Et par klarifiseringer og oppsummeringer før jeg gir meg. Jeg har ikke lest artikkelen, men av erfaring så er ikke journalister alltid de mest oppegående når det gjelder teknisk innsikt og forståelse. De er også ute etter å gjøre en story, ofte for å selge flere aviser/blader. En klype salt er alltid god å ha. For surfing fra PC'n din hjemmefra, ikke bekymre deg så mye, du bor ikke i Kina og du er mere utsatt for normale virus og trojanere. Sannsynligheten for at akkurat du blir utsatt for at din sikre trafikk blir avlyttet er vel like sannsynlig som å bli truffet av en komet på en spesifikk dag annethvert tiår. BEAST angrepet er en mye større trussel når man kan bli utsatt for MITM angrep (trådløsnett hovedsaklig, eller andre som sitter på samme nettverk som deg, eller kontrollerer nettverket hvor du sitter) Om man sikrer sitt eget trådløsnett med WPA2 OG et sterkt passord uten ord så har man lite å bekymre seg for. Om man har smarttelefon, laptop, nettbrett osv så er du utsatt om du sitter på offentlige trådløsnet, krypterte og ukrypterte. Krypterte nett hjelper lite om alle på cafeen, samt alle som noen sinne har besøkt den har fått passordet, som i tillegg ofte er svake passord som kan brytes kjapt uansett. Lenke til kommentar
arne22 Skrevet 14. februar 2012 Forfatter Del Skrevet 14. februar 2012 (endret) Takker for meget interessante opplysninger/synspunkter. Jeg har kikket gjennom de tekniske beskrivelsene som følger av de linkene som er over. Så vidt jeg kan se så beskrives det ikke noe annet eller "noe mer" enn "deep packet insspection" av ip pakker eller med andre ord inspesjon av det datainnholdet som ligger i kartekst eller som "string inspection" om man vil. Det nevnes rett nok noe om "application level" men dette betyr vel egentlig ikke noe annet, av det jeg kan se/forstå at man har "avanserte rutiner" for å identifisere pakketrafikken til "visse applikasjoner" slik at man for eksempel kan blokkere denne trafikken. Det er for disse "høyytelsesproduktene" snakk om noe annet enn "packet level filtering" og "packet content filtering" og ikke noe i retning av "application level filtering" eller med andre ord filtering (eller loggføring) av filer eller dokumenter. Det er heller ikke snakk om dekryptering. Av det som jeg kan se av aktuelle produktopplysninger så er det ingen ting der som ligner på en beskrivelse av at man kan dekryptere store datastrømmer med SSL kryptering. Når man kommer "ned på et lokalt nivå" så blir jo situasjonen en annen. Da kan man juse litt med lokale utgaver av SSL sertifikater og slike ting. En ting som jeg selv glemte vekk i diskusjonen over det er jo det som går på DNS poisoning. HVis man er landets myndighet, eller en lokal nettverksadministrator, og ønsker å lure brukerkontoer og passord fra enkeltpersoner så er kanskje ikke det så veldig vanskelig å få til. I praksis så vil det jo bare være å lede brukeren til en falsk kopi av en eller annen påloggingsside, be om brukernavn og passord, og så melde om teknisk feil. Av det som jeg kan se så er det lite som tyder på at svenskene leser av nettbank transasjonene i Norge, eller noe annet, ved å dekrypte den SSL baserte nettrafikken. Edit: Lurte litt på, i ettertid om jeg missforstår eller missbruker begrepet "Deep packet inspection" og om deep packet inspection egentlig skulle romme noe mer enn "String matching". Så vidt jeg kan se ut av denne artikkelen, så er dette faktisk det samme eller noelunde nær identiske begrep. (??) Også en interessant artikkel om "Deep packet inspection" av store datamenngder her. Med andre ord: Ved "Deep packet inspection" så kan man ikke "se" eller loggføre krypterte data, hverken SSL eller noe annet. Edit: I begrepet "Deep packet inspection" så ligger det at man er i stand til å identifisere typiske trafikkmønstre. For datastrømmer som går i klatekst for eksempel http eller webtrafikk så vil dette være forholdsvis enkelt, spesielt i siste ende ut mot sluttbruker. (Der det kan sitte en proxy.) Også for kryptert trafikk, for eksempel SSL så skulle det være mulig å identifisere typiske trafikkmønstre, slik at man i teorien kan identifisere og stenge en kryptert tunnel gjennom for eksempel tcp 443. Dette vil ikke si det samme som at man kan lese innholdet. Enig ? Uenig ? Endret 15. februar 2012 av arne22 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå