Ошибки использования «безопасных» протоколов и их экс
TRANSCRIPT
PHDays 2014
Security myths
Vladimir ‘3APA3A’ Dubrovin
Ошибки использования «безопасных» протоколов(уязвимости в стандартах, головах и пресс-релизах)
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
Из небезопасном соединении защищает от
Случайной прослушки на доступе к часто используемому ресурсу?Случайной прослушки при регистрации на новом ресурсе?Прослушки работодателем?Прослушки крупным конкурентом?Прослушки правительственными агентствами?Прослушки трафика между почтовыми серверами?
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
Из небезопасном соединении защищает от
Случайной прослушки на доступе к часто используемому ресурсу?Случайной прослушки при регистрации на новом ресурсе? – не оченьПрослушки работодателем? - НЕТПрослушки крупным конкурентом? - НЕТПрослушки правительственными агентствами? – НЕТПрослушки трафика между почтовыми серверами? – НЕТ
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
MFSA2013-20 – Mis-issued TURKTRUST certificates
Сертификат использовался работодателем (транспортным агентством) для прослушки трафика работников, а так же в публичных точках доступа.
MFSA2013-117 – Mis-issued ANSSI/DCSSI certificate
Сертификат использовался правительственным агентством на аппаратных устройствах для прослушки трафика министерства казначейства Франции.
Не был учтен SSL certificate pinning в Chrome.
PHDays 2014
Security myths
Защищают от обнаружения источника (или точки назначения) трафикаПравительственным агентством (АНБ, ФСБ, и т.д.):
Proxy chaining?
VPN?
TOR?
PHDays 2014
Security myths
Защищают от обнаружения источника (или точки назначения) трафикаПравительственным агентством (АНБ, ФСБ, и т.д.):
Proxy chaining? - НЕТ
VPN? - НЕТ
TOR? – НЕТ
PHDays 2014
Security myths
Low-Cost Traffic Analysis of TorSteven J. Murdoch and George DanezisUniversity of Cambridge, Computer Laboratory- Статистический анализ
Traffic Analysis Attacks and Defenses in Low LatencyAnonymous CommunicationSambuddho Chakravarty- Статистический анализ
Recent Attacks On TorJuha SaloAalto UniversityРассматривает много атак - Статистический анализ
PHDays 2014
Security myths
Что если есть exit node и пассивный MitM между клиентом и entry node?К черту анализ, делаем covert channel.
Модуляция трафика:
• По размеру пакетов• По интервалу между ними
сохраняется при шифровании.
Модулированный трафик может быть добавлен в конец соединения,даже если в самом соединении данные не передавались.
В tor достаточно поймать один запрос на exit node.
PHDays 2014
Security myths
DKIM – (DomainKeys Identified Mail)
Подтверждает валидность данных (даты, получателя)?
Подтверждает валидность отправителя?
Подтверждает, что письмо не менялось с момента подписи?
Обеспечивает неотказуемость?
Может быть использован для защиты от спама?
PHDays 2014
Security myths
Что общего у двух писем?
PHDays 2014
Security myths
Что общего у двух писем?
PHDays 2014
Security myths
Что насчет остальных провайдеров?
PHDays 2014
Security myths
DKIM – как его вообще можно использовать?
Использовать, как часть другого стандарта.
DMARC: Domain-based Message Authentication, Reporting & Conformance
+ Определена роль DKIM, как механизма аутентификации + Домен из подписи должен совпадать с доменом из From: - Не установлен минимальный набор полей и требований к подписи - Требует (опять) изменения механизмов списков рассылки
Возможно раскрытие подписчиков списков рассылкиВозможно раскрытие перенаправлений почты, в том числе
деанонимизация
