ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ * SORTA * ПОЗВОЛЯЕТ ВАМ ПРОРЕЗАТЬ SSL-ШИФРОВАНИЕ, КАК НИКОМУ-БИЗНЕС-TECHCRUNCH - НОВОСТИ - 2019

Anonim

Разрушьте siren.gif! Один из этих типов исследований безопасности продемонстрировал на прошлой неделе, как он смог обойти аутентификацию SSL, позволяя ему собирать личную информацию - логин / пароли Gmail, номера кредитных карт и т. П. - с очень маленькими проблемами вообще. Это не недостаток самого SSL, а недостаток в том, как люди используют Интернет.

Исследователь Moxie Marlinspike (по крайней мере, он прошел) разработал приложение под названием SSLstrip, которое использует атаку простого человека в середине (MITM), чтобы заставить браузеры жертв пересылать все информационные пароли и тому подобное его компьютер, прежде чем идти, скажем, в Gmail. Скажем, вы вводите gmail.com в свой браузер, вместо того чтобы идти прямо на серверы Google, запрос направляется через компьютер, на котором установлен SSLstrip, который затем передает запрос на серверы Google; вы, пользователь, который изначально набрал gmail.com в ваш браузер, не подозревают, что ваша информация была перенаправлена ​​где-то еще, конечно.

Что касается самой изоляции SSL, взлома использует тот факт, что связь между HTTP-сервером и вашим компьютером вообще не защищена. Таким образом, вы вводите gmail.com в свой браузер, а затем вводите свое имя пользователя / пароль, затем запускается сервер SSL Google, но у хакера уже есть ваша информация. Таким образом, сам SSL никогда не был взломан, скорее, что ваш трафик был перехвачен даже до того, как SSL входит в изображение.

Быстрое решение для защиты от этого - перейти непосредственно к сайтам SSL, набрав //whatever.com в адресную строку.

Кажется, я вспоминаю, что Ettercap имеет аналогичную функцию, имея возможность читать SSL-зашифрованный трафик.