The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от opennews (??) on 11-Янв-13, 15:33 
Один из индийских экспертов по безопасности заинтересовался (http://www.theregister.co.uk/2013/01/11/nokia_decrypts_says_.../) фактом перенаправления трафика на транзитных сервер при попытке обращения к сайтом со штатного браузера (Nokia Browser 2.2.0.0.31)) мобильных телефонов Asha (Series 40) от компании Nokia. В итоге было выявлено (http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/), что компания осуществляет транзитную дешифровку HTTPS-трафика на своём прокси сервере.


Метод основан на подмене IP-адреса DNS-сервером Nokia, из-за чего  запроса клиента перенаправлялся на прокси-сервер комапании, от имени которого с SSL-сертификатом Nokia возвращается ответ, в котором транслировалось содержимое HTTPS-сеанса, установленного с запрошенным клиентом сайтом (в эксперименте фигурировали запросы к https://www.google.com). Никаких предупреждений о нарушении безопасности у клиента не выводилось, так как в на телефон был добавлен SSL-сертификат, доверяющий данным с домена cloud1.browser.ovi.com, который фигурировал в сеансах с прокси.

Компания Nokia заверила, что указанная техника используется исключительно для ускорения доступа к сайтам, никакие данные не оседают и не анализируются на серверах компании. Кроме того, в выпущенном сегодня обновлении мобильного браузера Nokia акселерация HTTPS-трафика прекращена и прокси Nokia теперь не вклинивается в подобный трафик.


URL: http://www.theregister.co.uk/2013/01/11/nokia_decrypts_says_.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=35810

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +31 +/
Сообщение от Аноним (??) on 11-Янв-13, 15:33 
Откровенный обман, как и вся политика Ноклы и ее продукция.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +26 +/
Сообщение от wS on 11-Янв-13, 15:44 
Нокия! не путай с прекрасной фирмой Нокла
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +23 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:05 
За что вы так не любите NOKLA? Фирме NOKIA скоро придется их подделывать, потому что они себе таких обсираков не позволяют :)

P.S. да, сразу видно - подружились с MS -> началось западлостроение во все поля.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

89. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Aleks Revo email(ok) on 13-Янв-13, 17:07 
> P.S. да, сразу видно - подружились с MS -> началось западлостроение во все поля.

Возможно Вы путаете причину и следствие. Достойная компания не подружилась бы с МС ))))

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

72. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Аноним (??) on 12-Янв-13, 00:02 
Даже обидно, раньше хорошие телефоны делали, n900, например.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

73. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Аноним (??) on 12-Янв-13, 03:03 
Ну так пришел троян из редмонда - элоп.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

91. "Компанию Nokia уличили в транзитной дешифровке..."  +1 +/
Сообщение от arisu (ok) on 14-Янв-13, 00:39 
> Даже обидно, раньше хорошие телефоны делали, n900, например.

всё верно —  за вычетом того, что N900 не телефон. это tablet с кое-как привинченой функцией звонилки.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

2. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +6 +/
Сообщение от Nokia RIP on 11-Янв-13, 15:37 
Интересно, кому Элоп сливает инфу о владельцах девайсов Nokia?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +4 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:06 
> Интересно, кому Элоп сливает инфу о владельцах девайсов Nokia?

Для майкрософта не впервой фишингом заниматься. Они вон в ынтырнет эксплорерах шлют посещаемые урлы на свои сервера. "Для защиты от фишинга", угу...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

63. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  –1 +/
Сообщение от анонимус (??) on 11-Янв-13, 22:00 
>>Они вон в ынтырнет эксплорерах шлют посещаемые урлы на свои сервера. "Для защиты от фишинга", угу...

FF и Opera шлют на Google Analytics

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

68. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +3 +/
Сообщение от Аноним (??) on 11-Янв-13, 22:29 
> FF и Opera шлют на Google Analytics

Файрфокс сам по себе на Google Analytics вообще ничего не шлет. В чем можно убедиться тупо взяв сниффер и посмотрев что и куда летает. На гугл аналитикс может слать лишь конкретный сайт, если он впендюрил себе этот аналитикс на страницу. Тогда вообще все браузеры пойдут на этот аналитикс, поскольку так попросила страничка на которую вы зашли, заявив что это потребно для ее отображения. И даже так оно лечится адблокплюсом, 1 вилдкардом буквально :)

Защита от фишинга в лисе сделана умнее - они не шлют урлы на проверку. Они держат локальную базу проблемных урлов по типу того как антивирусы хранят базы вирусных сигнатур. Гугл из этого знает лишь то что некто, один из 100500 миллионов тоже пользуется их услугой защиты от фишинга. А куда именно вы ходили - гугл не знает. Это не больно какие ценные сведения. Заодно при такой схеме нет тормозов от отсылки урлы на побочный сервер - локальная проверка проходит куда быстрее чем проверка на каком-то там ремотном серваке.

Разница - как между кем-то кто поднял через полчаса потерянные вами 10 копеек vs нагло обчистил ваши карманы невзирая на бурный протест.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

38. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от YetAnotherOnanym (ok) on 11-Янв-13, 17:56 
Тем же, кому Опера сливает инфу об использующих турбо-режим.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

41. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +2 +/
Сообщение от Аноним (??) on 11-Янв-13, 18:16 
В опере же отключается. А тут нет. В том и разница
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +4 +/
Сообщение от Аноним (??) on 11-Янв-13, 19:17 
> Тем же, кому Опера сливает инфу об использующих турбо-режим.

http://www.opera.com/browser/turbo/

Надежная защита конфиденциальности

Даже при использовании функции Opera Turbo серверы Opera не участвуют в установке безопасных соединений. Это означает, что при работе с банковским приложением или при пересылке конфиденциальных данных вы взаимодействуете напрямую с веб-сайтом.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

3. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +6 +/
Сообщение от Аноним (??) on 11-Янв-13, 15:38 
А еще телефонные звонки прослушиваются, записываются и анализируются американской системой "эшелон".
ку!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:03 
> А еще телефонные звонки прослушиваются, записываются и анализируются американской системой
> "эшелон".
> ку!

Раньше их провайдеры сливают СОРМу. Прикинь - без предупреждения! И, кстати, прокси не имеют в протоколе фенечки, позволяющей уведомить юзверя, что его бдят! Особенно транспарентные, приколись!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +6 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:08 
> Особенно транспарентные, приколись!

А приколись, есть такая штука - секурные туннели. Вот бдит прокся, бдит, а там какой-то хлам летает. Ну и чего? Или уж камон и предъвляйте обвиения, если уверены что есть что предъявить, или уж GTFO из частной жизни, ибо нефиг.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

32. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  –3 +/
Сообщение от Андрей (??) on 11-Янв-13, 17:08 
расскажите, как в анальном аппарате прикрутить туннель?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

40. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от rshadow (ok) on 11-Янв-13, 18:10 
Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

42. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 18:39 
> Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...

А если голубя прикормили "большой брат" и ко, и он по дороге еще и к ним залетит?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +5 +/
Сообщение от XoRe (ok) on 11-Янв-13, 18:53 
>> Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...
> А если голубя прикормили "большой брат" и ко, и он по дороге
> еще и к ним залетит?

Новая атака голубь-in-the-middle :)
Реквестую proof-of-concept!

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 19:50 
> расскажите, как в анальном аппарате прикрутить туннель?

Вот конкретно в этом фуфле от нокии - вероятно путем приколачивания аппарата на стенку и покупкой нормального смарта.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

57. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от прохожий on 11-Янв-13, 21:12 
>нормального смарта

Список - в студию, пожалуйста!

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

64. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +3 +/
Сообщение от Аноним (??) on 11-Янв-13, 22:10 
> Список - в студию, пожалуйста!

Как ни странно, N900 от нокии, например (благо выпущен до того как они скурвились). Или что-нибудь на ведроиде из списка поддерживаемых цианоген-модом, например (вот так - потому что мало ли что там западлостроители-производители напихали в свои блобы без сорсов).

А потом пикрутить хоть тот же openvpn до своего хоста где-нить в забугорье. Получится весьма неудобная для любителей вуайеризма схемка. Ну видят они что была какая-то коннекция. А чего ради как оно какой смысл - кто ж его знает то? Ну и потом не видно соответственно во что развернулся секурный туннель. Другое дело что если вы будете логиниться на сервера - они тоже ведут логи.

В таком варианте это не то чтобы полная анонимность, скорее защита канала от всех желающих внего вклиниться: что от вынюхивающих сормовщиков, что от хакерья вытаскивающего пароли на открытых точках доступа, что от зело борзых админов с упомянутыми железками вклинивающимися в такой траффик, что от опсосов желающих тарифицировать что-то по конским "премиум" ценам, что кого там еще. Ну, оно или уж работает от всех вообще, или уж декоративная-показушная хрень. По другому в криптографии не бывает.

Если надо именно анонимность - есть штуки типа TOR, например. Имеют смысл в паре с privoxy, дабы ваш браузер не очень мусорил. Да, privacy в интернете не совсем просто. Но можно, если понимаете как работают протоколы и что именно вас идентифицирует. Но знание о стеке протоколов который применяется повсеместно вообще достаточно полезная штука, имхо.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

67. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от prokoudine email(ok) on 11-Янв-13, 22:19 
> А приколись, есть такая штука - секурные туннели. Вот бдит прокся, бдит, а там какой-то хлам летает. Ну и чего? Или уж камон и предъвляйте обвиения, если уверены что есть что предъявить, или уж GTFO из частной жизни, ибо нефиг.

Термин "ректальный криптоанализ" появился не просто так.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

69. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Аноним (??) on 11-Янв-13, 22:31 
> Термин "ректальный криптоанализ" появился не просто так.

Ну как бы у него есть важный бонус: его довольно сложно произвести втихаря и оно доступно не всем и только по очень некоторым поводам.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

71. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Аноним (??) on 11-Янв-13, 23:40 
желаю тебе его
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

4. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +2 +/
Сообщение от Аноним (??) on 11-Янв-13, 15:39 
>Один из индийских экспертов по безопасности

Если вспомнить, кто нынче составляет основной контингент разрабов и манагеров M$, то вроде как все понятно.
Хотя, с другой стороны, ну купили вы контору вместе с потрохами, зарывать в дерьмо то ее зачем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +7 +/
Сообщение от Аноним (??) on 11-Янв-13, 15:54 
потому-что МС - компания-паразит, доказано всеми её "партнёрами"
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +10 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:09 
> зарывать в дерьмо то ее зачем?

Как-то так получается что после партнерства мухи с пауком, в паутине неизбежно остаются высушенные трупики.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +3 +/
Сообщение от wS on 11-Янв-13, 15:43 
айЯболко делало тоже самое! не?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –5 +/
Сообщение от Crazy Alex (ok) on 11-Янв-13, 15:46 
много кто такое делает. Но обычно всё же предупреждают
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +2 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:02 
Не обязаны, прикинь! И ОпСоСы не предупреждают 72м шрифтом в контрактах, что ВЕСЬ твой трафик сливают СОРМу! (иначе лицензию не дадут на услуги публичной связи - ни-ко-му)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +5 +/
Сообщение от hizel (ok) on 11-Янв-13, 16:05 
Зеркалят трафик и не дешифруют. Пусть СОРМ копается, чо.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –2 +/
Сообщение от Xasd (ok) on 11-Янв-13, 16:16 
> И ОпСоСы не предупреждают 72м шрифтом в контрактах, что ВЕСЬ твой трафик сливают СОРМу

что-то я пока ещё НЕ замечал чтобы при подключении к httpS-сайту [через ОпСоСа] -- Firefox показывал бы мне TLS/SSL-сертификат с модифицированным значением Fingerprint :-)

так-что утверждение о том что они сливают трафик -- это как-то спорно... больше похоже на то что они сливают мусор :-D :-D

[как обычно всё делается для галочки, в нашей рашке]..

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +3 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:17 
> ВЕСЬ твой трафик сливают СОРМу!

Пусть сливают SSL сессии, мне не жалко. А что они с ней делать будут? В общем случае активный сниффинг (MITM) SSL может детектировать а пассивный - не позволит расшифровать сессию.

Сама по себе основа SSL в общем то не настолько уж и плоха. Плоха затея вокруг оного с кучей "доверяемых по дефолту" ауторитей в браузерах. При том что каждая ауторити может выписать сертификат на все. Вплоть до того что Вася Пупкин - это гугл, мамой клянусь!  

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

58. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +1 +/
Сообщение от Ytch (ok) on 11-Янв-13, 21:41 
> Вплоть до того что Вася Пупкин - это гугл, мамой клянусь!  

Только браузер ругнется все равно (хоть и не строго) если vasyapupkin-supersite.com дает  сертификат хоть и вроде валидный, но выписаный на google.com. А их встроенный браузер, безо всяких предупреждений жрет сертификат от одного сайта, хотя он и выписан на другой. Цитата:

One more thing that should be noticed here is that the DNS request was send for “cloud13.browser.ovi.com” where as certificate (middle one) says it was issued to “cloud1.browser.ovi.com”, and still there was no security warning thrown on the phone.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

62. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 21:53 
> Только браузер ругнется все равно (хоть и не строго) если vasyapupkin-supersite.com дает
>  сертификат хоть и вроде валидный, но выписаный на google.com.

Вы не поняли.

1) Вы заходите на google.com. Гуглком отдал один серт...Васе Пупкину! Который вклинился посередине. Вася его радостно получил со своей стороны. И установил секурное соединение с гуглем. Но вам этот серт ясен фиг не отдал совсем.

2) Вася присылает вам другой сертификат. Васин. Где тем не менее, какая-то ауторити (скорее всего другая) из списка доверяемых ауторитей браузера просто мамой клянется что вот именно этот вот Вася и его хост - google.com и все тут.

3) Поскольку Вася прислал вполне валидный на вид сертификат "якобы гуглокома" - для вас все выглядит как будто бы вы просто зашли на гуглоком.

Тем не менее, посередине линка сидит Вася. Он получает данные по SSL от вас, расшифровывает их, делает с ними все что сочтет нужным, перешифровавывает и закидывает гуглю (если посчитает нужным). В обратную сторону аналогично.

Тем не менее, подобная схема в принципе детектабельна.
1) Айпишник будет не из числа обычно принадлежащих данной конторе.
2) Сертификат, ясен хрен, другой. Если вы ранее юзали этот сервис и у вас есть старый серт, можно сравнить сертификат и если он существенно изменился с того момента - это уже должно вызывать вопросы. В принципе, может быть сертификат и просто перевыпущен. А может быть там наглый MITM орудует. Вариантов два.

Собственно основная проблема SSL в том виде как это сделано в браузере - в том что он никак не отслеживает такие фокусы с выпиской некоей ауторити сертификата который уже был выписан на тот же объект другой ауторити. Что позволяет постороннему закосить под этот объект, если одна из ауторитей облажается или обнаглеет.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

78. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –2 +/
Сообщение от nyt email on 12-Янв-13, 12:12 
Ты упорот. MITM для SSL работает по другому и для этого нужно много условий.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

86. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от anonymous (??) on 12-Янв-13, 13:25 
> Ты упорот. MITM для SSL работает по другому и для этого нужно
> много условий.

Опишите тогда более точную схему, пожалуйста.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

96. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Andrew Kolchoogin on 14-Янв-13, 15:04 
Да вот как раз-таки нет: MITM для SSL работает именно так, как описал товаристч. И проблему он правильно обозначил: всё, что для браузеров Builtin Security Token, является абсолютно доверенным.
Поэтому если скомпрометировать закрытый ключ корневой CA, тогда можно выписывать себе сертификаты (валидные!) от любого HTTPS-сервера, посещаемого пользователем, буквально-таки на лету.
И такие случаи, как ни странно, бывали: посмотрите в FireFox'е список ревокнутых сертификатов корневых CA, вы таки очень удивитесь.
Это фундаментальный design flaw всей модели доверия SSL: есть мнение, что правильней был бы регулируемый кворум (например, сертификат должен быть подписан тремя разными корневыми CA -- или любым другим числом, в зависимости от параноидальности пользователя), но это всё теория.
Пока же для того, чтобы стать Builtin Security Token'ом в браузере, надо просто пройти сертификацию на соответствие тем-то и тем-то требованиям -- но человеческий фактор в них учесть довольно сложно.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

79. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Ytch (ok) on 12-Янв-13, 12:33 
Да понял я это, понял. Они говорят о том, что кроме этого (плюс к этому, дополнительно), не выводится никаких предупреждений даже если сертификат выдан на другое имя.  Идешь на один сайт, тебе суют сертификат от другого и никаких предупреждений. В этом случае ауторити клянется, что это vasyapupkin-supersite.com (и так оно и есть!), хотя вы изначально шли-то на google.com, но браузер решил не беспокоить вас по столь незначительному поводу.
Тут даже не нужны шаманства с ауторити и встраиванием сомнительных сертификатов. Может быть, конечно, такой трюк работает только на их собственные сайты, но какая уже разница (если есть в одном случае - будет и в других).
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

28. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Crazy Alex (ok) on 11-Янв-13, 16:50 
Опсосы - они по дефолту внешние и недоверенные, SSL - в том числе для защиты от них. А если не знаешь, что от своего устройства ждать - то на кой оно такое нужно.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

50. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +4 +/
Сообщение от Аноним (??) on 11-Янв-13, 19:54 
> своего устройства ждать - то на кой оно такое нужно.

Некотрые не учат историю. И поэтому не знают чем закончилась любовь к стремным девайсам у жителей города Троя.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

80. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 12-Янв-13, 12:46 
>> своего устройства ждать - то на кой оно такое нужно.
> Некотрые не учат историю. И поэтому не знают чем закончилась любовь к
> стремным девайсам у жителей города Троя.

(наивно) А в этом лучшем из миров, в области публичной связи, есть нестремные девайсы? Вообще - в природе существуют? Огласите весь список, пжалста!

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

92. "Компанию Nokia уличили в дешифровке HTTPS-трафика с..."  +/
Сообщение от arisu (ok) on 14-Янв-13, 00:46 
> (наивно) А в этом лучшем из миров, в области публичной связи, есть
> нестремные девайсы?

ham radio.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

11. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –3 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:01 
Они открыли SSL-bump! На прокси-серверах! :))))))))))))))))))))))))))

Они убили Кенни! (С) :))))))))))

А это ничо, что до Ноклы весь траф снимается с коммутаторов СОРМом? Вас это не смущает, джентльмены?

"Как американский гражданин я требую, чтобы за мной следило ЦРУ - и больше никто!" (С) :)))))))))))))))

Скажите, открытие века сделали.....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +3 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:14 
> А это ничо, что до Ноклы весь траф снимается с коммутаторов СОРМом?

Ну, слили вы себе SSL сессию. И чего? Пассивный сниффинг SSL неэффективен. А активный MITMинг - по задумке детектабелен. В конкретно той реализации что в веб браузерах тем не менее проблема в том что изменения сертификата никто не отслеживает и кто угодно из обладателей сертификата из списка доверяемых ауторитей может выпустить кому угодно сертификат на что угодно без какого либо палива.

Ясен хрен что нокия которая производит свои телефоны уж наверное может сунуть свой сертификат в свой браузер. Только вот какое оно trusted authority после таких выходок, ась?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +3 +/
Сообщение от Мимо проходил on 11-Янв-13, 16:20 
> А это ничо, что до Ноклы весь траф снимается с коммутаторов СОРМом?
> Вас это не смущает, джентльмены?

Во-первых, сорм запоминает время, адреса, количество пакетов, мегобайты. С какого перепуга это должно смущать кого-то?
Во-вторых, обычный прокси прозрачно пропускает через себя ссл, а в этом случае, прокся в полной мере реализует атаку MITM.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +3 +/
Сообщение от Аноним (??) on 11-Янв-13, 16:28 
> прокся в полной мере реализует атаку MITM.

При том для ее реализации в браузере должен быть заранее подпихан скомпрометированный доверяемый сертификат. Нокия тупо воткнула бэкдор. Пи...ц.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

45. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от XoRe (ok) on 11-Янв-13, 19:07 
> Во-вторых, обычный прокси прозрачно пропускает через себя ссл

Обычный - да.
А с опцией ssl_bump - нет.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

48. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +1 +/
Сообщение от Аноним (??) on 11-Янв-13, 19:23 
>> Во-вторых, обычный прокси прозрачно пропускает через себя ссл
> Обычный - да.
> А с опцией ssl_bump - нет.

Если о ssl_bump не предупреждается в лицензии то она незаконна, поскольку занимается мошеннической подменой сертификата безопасности чужого сайта.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

81. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 12-Янв-13, 12:47 
>>> Во-вторых, обычный прокси прозрачно пропускает через себя ссл
>> Обычный - да.
>> А с опцией ssl_bump - нет.
> Если о ssl_bump не предупреждается в лицензии то она незаконна, поскольку занимается
> мошеннической подменой сертификата безопасности чужого сайта.

Расскажи это Амосу Джеффрису. Угу? И - да, ссылку на нарушенный закон, пжалста - в студию. Хоть по какому законодательству хоть какой Гурундувайю.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

87. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от ЕЕ on 12-Янв-13, 23:19 
Ну и чаво толку этому СОРМУ с зашифрованного траффика?
Замахали уже с этим СОРМом
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

26. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Anonim (??) on 11-Янв-13, 16:38 
Я 1 думал,что транзитный сервер не может расшифровать https трафик? Так и любой прокси может данные спереть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +2 +/
Сообщение от Ordu email(ok) on 11-Янв-13, 16:50 
Нет, не любой. Только тот, который сможет убедить браузер в том, что сертификат, который прокси суёт браузеру, является подлинным сертификатом сайта на который нацелился браузер. Это не так просто сделать. Просто в случае нокии, прокси и браузер дело рук одних и тех же разработчиков, естественно, что браузер верит проксе беспрекословно.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

85. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Anonim (??) on 12-Янв-13, 13:12 
Сертификат привязывается к домену и возможно сгененерировать 2 и более сертификатов на 1 домен, которые будут корректно восприняты клиентом?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +1 +/
Сообщение от Crazy Alex (ok) on 11-Янв-13, 16:53 
Не может. Но здесь вендор заботливо оставил в устройстве для себя дыру, сунув свой сертификат в корневые. В результате трафик мирно расшифровывался не серверре Нокии, зашифровываля уже её сертификатом и шел к пользователю. А тот не замечал ничего, потому что трафик зашифрован доверяемым ключом.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 17:44 
В одной известной компании софт с погонялом TMG имеет фичу ssl inspection из коробки. Интересно чем проксировали нокивцы трафик.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

51. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 19:57 
> В одной известной компании софт с погонялом TMG имеет фичу ssl inspection

А кем фэйк-серт выдан? Это как раз теми турками или это кто-то другой отличился? Ну, собственно, ауторитя подписавшая серт то всяко указана, куда ж она денется?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

70. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –1 +/
Сообщение от ООО_171Майкрософт_Рус187 on 11-Янв-13, 22:43 
>> В одной известной компании софт с погонялом TMG имеет фичу ssl inspection
> А кем фэйк-серт выдан? Это как раз теми турками или это кто-то
> другой отличился? Ну, собственно, ауторитя подписавшая серт то всяко указана, куда
> ж она денется?

больше никогда не старайся показатся умнее, чем ты есть :)
Церт у нас выпускает, прикин, админ в CA enterprise  ну gpo  по юзерам - куда же они
денутся из AD .

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

74. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 12-Янв-13, 03:09 
> Церт у нас выпускает, прикин, админ в CA enterprise  

Ыгыгы, понятно все с вами. Моему файрфоксу к счастью подобные инициативы сильно перпендикулярны. Короче лохоразвод для тупых хомячков, которые не в курсе что винда может некисло поднрср@ть :)

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

88. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от mr_gfd on 13-Янв-13, 02:40 
>> Церт у нас выпускает, прикин, админ в CA enterprise
> Ыгыгы, понятно все с вами. Моему файрфоксу к счастью подобные инициативы сильно
> перпендикулярны. Короче лохоразвод для тупых хомячков, которые не в курсе что
> винда может некисло поднрср@ть :)

Хомячки - они дома. А энтерпрайз админ - админит энтерпрайз, как это не банально звучит.

BTW: FirefoxADM + GPO и лисе протолкнут, что нужно на доменную тачку.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

82. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –1 +/
Сообщение от Аноним (??) on 12-Янв-13, 12:47 
> Я 1 думал,что транзитный сервер не может расшифровать https трафик? Так и
> любой прокси может данные спереть?

Индюк тоже думал. Гуглить SSL_BUMP До просветления.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

93. "Компанию Nokia уличили в дешифровке HTTPS-трафика с..."  +/
Сообщение от arisu (ok) on 14-Янв-13, 00:50 
> Гуглить SSL_BUMP До просветления.

и что? браузер заорёт.

натурально, идиотов, у которых в браузере есть «безусловно довереные authority» не считаем: им что угодно протолкнуть можно, они слопают.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

31. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от serg1224 (ok) on 11-Янв-13, 17:06 
>...запроса клиента
> перенаправлялся на прокси-сервер комапании, от имени которого с SSL-сертификатом Nokia
> возвращается ответ, в котором транслировалось содержимое HTTPS-сеанса, установленного

Nokia открыла для себя Opera Mini?! :-)
Правда похоже забыла пользователей об этом предупредить.

А вообще, где ещё наивные остались? Какая приватность в сети?! Вы что?! Забудьте о ней или о сетевых девайсах.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 17:24 
При соблюдении совсем несложных правил анонимность есть. Ни разу не заливал своё фото в сеть? Молодец, +1 к анонимности.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +3 +/
Сообщение от anonymous (??) on 11-Янв-13, 18:01 
Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +3 +/
Сообщение от Аноним (??) on 11-Янв-13, 18:49 
> Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные
> базы утекут.

<sarcasm>
Т.е. по принципу: опереди знакомых/родственников - залей свои фото сам (все равно ведь зальют).
Тогда уж можно и так: опереди смерть - убей себя сейчас (все равно ведь умрешь, все умрут)
</sarcasm>

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

53. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 20:00 
> Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.

Правда они никак не коррелируют с вон тем сферическим анонимом в вакууме. А родственникам не лишне бы объяснить какие данные являются конфиденциальными по закону. Лучше всего просто показать из самых лучших побуждений соответствующий закон, дабы потом не возникало непониманий и трений. А то вот так заливаешь, заливаешь, а потом бац и судебный иск на ровном месте. Казалось бы - за что?!

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

83. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +/
Сообщение от Аноним (??) on 12-Янв-13, 12:49 
>> Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.
> Правда они никак не коррелируют с вон тем сферическим анонимом в вакууме.

И ты ошибаешься. Немцы намедни разработали программу, эффективно вычисляющую дыры в социалках. Ты не поверишь, анон - то, что отсутствует, но явно должно быть - видно точно так же, как и присутствующее. Аналитиками сей факт был известен еще до рождения Винта Сёрфа.

> А родственникам не лишне бы объяснить какие данные являются конфиденциальными по
> закону. Лучше всего просто показать из самых лучших побуждений соответствующий закон,
> дабы потом не возникало непониманий и трений. А то вот так
> заливаешь, заливаешь, а потом бац и судебный иск на ровном месте.
> Казалось бы - за что?!

Ну, попробуй (С) Анакен Скайуокер.

Потом расскажешь, как успехи - на почве просвещения своего ближнего и дальнего окружения - в кибербезопасности.


Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

52. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +2 +/
Сообщение от Аноним (??) on 11-Янв-13, 19:58 
> Забудьте о ней или о сетевых девайсах.

Действительно, зачем мыть руки и заботиться о гигиене?! Все равно ведь рано или поздно умрешь!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

56. "Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."  +1 +/
Сообщение от Crazy Alex (ok) on 11-Янв-13, 21:01 
Ну так об идеальной защите, да ещё из коробки никто и не говорит. Но сделать стоимость доступа неподъёмной для большинства заинтересованных сторон не так уж сложно, если подобных Нокиевскому фокусов не допускать.

И, кстати, не путайте приватность в идентификации вероятного автора контента (часто даже без знания контента - те самые IP) и возможность просмотра самих данных. А уж MITM с возможностью подмены - это вообще отдельная песня.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

54. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +2 +/
Сообщение от Maresias (ok) on 11-Янв-13, 20:09 
Значит, Нокии — бойкот. Не покупать, не пользоваться.  Вот и все дела.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +2 +/
Сообщение от Аноним (??) on 11-Янв-13, 20:16 
> Значит, Нокии — бойкот. Не покупать, не пользоваться.  Вот и все дела.

Давно пора. Они в г@вно скатились.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

59. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +1 +/
Сообщение от Сергей (??) on 11-Янв-13, 21:43 
Блин, никому верить нельзя, кругом одни враги...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 11-Янв-13, 22:16 
>  Блин, никому верить нельзя, кругом одни враги...

Акулы бизнеса же. Дадите палец - отхватят всю руку по локоть.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

60. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +1 +/
Сообщение от robux (ok) on 11-Янв-13, 21:50 
А мама говорила:
- Не играй с Болмером!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от haku email(??) on 11-Янв-13, 21:50 
Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +1 +/
Сообщение от Аноним (??) on 11-Янв-13, 22:18 
> Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.

Борман шёл по коридору рейхсканцелярии и увидел возле одной из дверей Штирлица, подглядывающего в замочную скважину.

- "Что вы здесь делаете, Штирлиц?" - спросил Борман.
- "Трамвая жду", - ответил Штирлиц.

Борман пожал плечами и пошёл дальше. Когда через 5 минут он шёл назад, Штирлица не было. "Наверное, трамвай пришёл", - подумал Борман и пошёл дальше.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

84. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  –1 +/
Сообщение от Аноним (??) on 12-Янв-13, 12:50 
> Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.

Начнем с того, что факт - факт, а не домыслы упоротых анонов - именно шпионажа - тупо не доказан. Есть измышления аналистов с опеннета. Не более того.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

94. "Компанию Nokia уличили в дешифровке HTTPS-трафика с..."  +/
Сообщение от arisu (ok) on 14-Янв-13, 00:56 
а в данном случае не важно, доказан или нет. налицо mitm-атака с использованием бэкдоров. всё, дальше не надо «доказывать, что был шпионаж»: подобные действия в security считаются однозначно вредительскими.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

90. "Компанию Nokia уличили в дешифровке HTTPS-трафика с..."  +/
Сообщение от arisu (ok) on 14-Янв-13, 00:38 
https — это надёжно и безопасно!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

95. "Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."  +/
Сообщение от Аноним (??) on 14-Янв-13, 10:27 
на gmail.com зайдите и на содержимое адресной строки посмотрите -цепочка вида https://accounts.gmail.com/blablabla=http://mail.google.com
зачему гуглу http если вы используете https
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру