Wpis z mikrobloga

@Drail: no a jak to inaczej sobie wyborażasz ? czytałeś w ogóle o co chodzi w tym mitm ? @Drail: @d3c3ssi0: wy także nie macie pojęcia o co chodzi w mitm i ssl, mitm można zastosować w ataku ssl w jednym z 4 przypadków:

- prywatny klucz serwera został skradziony
- masz dostęp do root ca albo nim jesteś który może ci wystawić zaufany certyfikat
- klient nie weryfikuje w ogóle certyfikatów
- fake ca zostałPokaż całość

@Jurigag: to strasznie fajnie

@Drail: dobra czarnolisto leci bo kolejny wypokowy ekspert #!$%@? znający się xD nie wiem po co się wypowiadasz jak nic nie masz do powiedzenia

@Jurigag: a rób co chcesz, tez kiedyś nie wierzyłem

@Jurigag: ja bym się zabrał do tego od innej strony, po prostu próbowałbym podszyć się pod facebooka

@Drail: ale to nie jest kwestia wiary, napisałem ci 4 przypadki kiedy sobie można zastosować mitm w ataku na ssl, inynch opcji nie ma, sslstrip to inne rozwiązanie akurat

@kuskoman: no dobrze, ale w jaki sposób ? wchodzisz na facebook.com i co ? w jaki sposób ogarniesz certyfikat lub żeby była kłódka z bezpiecznym połączeniem w rogu ? poza sslstripem i tych 4 które wymieniłem nie ma

@Jurigag: albo mi się zdaje, albo 95% zwykłych szarych userów ma w poważaniu kłódkę ( ͡° ͜ʖ ͡°)

@kuskoman: no spoko, no to wtedy po prostu sslstrip i tyle xd

niestety nie masz pojęcia o czym mówisz.

@d3c3ssi0: sslstrip to inaczej https-downgrading, wchodząc na facebook.com masz po prostu http://facebook.com, cały ruch leci przez atakującego który robi po prostu za "proxy" które wysyła wszystko normalnie wszystko do serwera facebooka i zwraca ci odpowiedzi, zero ostrzeżeń o certyfikatach itp itd, HSTS jest zabezpieczeniem przed tym, o ile oczywiście ktoś wczesniej wszedł na facebook.com i nie ma zmodyfikowanego klienta przeglądarki(ale po #!$%@?Pokaż całość

@wdzwr: jak masz pod ręką komputer kwantowy, to luźno

@d3c3ssi0: w sumie powinienem tam był dopisać że nie jest typowym mitm

@Jurigag: Masz rację. To tylko jeden z sposobów. Znacznie łatwiej oszukać aplikację mobilną facebooka z której głównie się korzysta. Nawet sposób z negocjacją protokołu teoretycznie nieobsługiwanego ;) - tego jest naprawdę sporo. Mów co chcesz - to oczywiście twoje zdanie. Moim zdaniem podobnie jak BTS, routery wifi - maja do siebie to że urządzenia publiczne o łączności bezprzewodowej zawsze będą narażone na ataki - ponieważ są banalnym celem.

@d3c3ssi0: no wiadomo że bedą, no w sumie dużo łatwiej, ale skąd wiesz czy ta aplikacja mobilna facebooka nie ma na sztywno że ma się łączyć tylko i wyłącznie po https ? :D chyba że ktoś już sprawdzał/sprawdzałeś no to okej :D

@wdzwr a fb nie prowadzi rejestru logowań?

@wdzwr: logowanie dwuetapowe - na sms to najlepsze rozwiązanie ;). Raczej nie - to nie takie proste, możesz być spokojna. Raczej ci sie wydaje :D

@Jurigag: Owszem kilka razy próbowałem, nie chcę publicznie się wypowiadać ale cały atak dotyczy aplikacji przeznaczonych na konkretne rejony geograficzne. Jeżeli fikcyjnie przy połączeniu wskazujemy aplikacji kilka krajów magicznie odpuszcza wiele standardów. Ten błąd jest powiązany z projektem darmowego internetu od fb (internet.org)Pokaż całość

@wdzwr: kradną Twoja tozsamosc tak samo jak Ty, podszywajac sie za innych