... А вы так не делаете

Шнайер приводит приводит пример man in the middle attack, на которую нарвался один из юзеров сети Tor. Ну что tor - это такое собрание хакеров, которые коллекционируют пароли pop3 тех, кто пользуется этой сетью, чтобы скрыть куда и когда он ходит за почтой, это давно известно.

Но меня совершенно убило то, каким образом хакеру удалась MiTM атака против HTTPS:

Вот какой сертификат выдавался https-сервером экспериментатора:

 Version: V3
  Subject: CN=localhost, O=Apache Friends, L=Berlin, ST=Berlin, C=DE
  Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4

  Key:  Sun RSA public key, 1024 bits
  public exponent: 65537
  Validity: [From: Fri Oct 01 09:10:30 UTC 2004,
               To: Thu Sep 30 09:10:30 UTC 2010]
  Issuer: CN=localhost, O=Apache Friends, L=Berlin, ST=Berlin, C=DE
  SerialNumber: [    00]

А вот что подсунул ему хакер:

  Version: V3
  Subject: CN=localhost, O=Apache Friends
  Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4

  Key:  Sun RSA public key, 1024 bits
  public exponent: 65537
  Validity: [From: Fri Oct 01 09:10:30 UTC 2004,
               To: Thu Sep 30 09:10:30 UTC 2010]
  Issuer: CN=localhost, O=Apache Friends
  SerialNumber: [    4742a275]

Ну, во-первых, сертификат выписан явно не на тот hostname, на который ходили. Ибо я с трудом представляю себе как можно через tor попасть на localhost, и, главное, зачем.

Во-вторых - сертификат самоподписанный, похоже что из умолчательной инсталляции апача (причем произведенной три года назад). Ну такой сертификат грех не подделать. Странно только, что хакер не поленившись подделать validity period, поленился полностью скопировать Distinguished name.

Что я могу сказать - не пользуйтесь самоподписанными сертификатами ни для чего кроме CA.
Вероятность того, что хакер сумеет перехватить
1. Сертификат CA
2. Написанный на web-страничке, скачанной вашим браузером еще до скачивания сертификата fingerprint оного
3. SSL-сессию, где используется сертификат, подписанный этим CA
существенно ниже, чем что удастся перехватить только SSL-сессию. Ну и еще один и тот же сертификат CA вы будете использовать не только для HTTPS. Хакеру придется перехватывать все ваши HTTPS-сессии, иначе как только
он одну пропустит, у вас вылезет окошко о том, что сертификат некорректен, и вы начнете разбираться.

Ну а тут по самому сертификату было очевидно, что юзеры данноо https-сервера жмут OK в окошке с предупреждениями о некорректностях сертификата не глядя. Грех не ломануть.

... А вы так не делаете

Шнайер приводит приводит пример man in the middle attack, на которую нарвался один из юзеров сети Tor. Ну что tor - это такое собрание хакеров, которые коллекционируют пароли pop3 тех, кто пользуется этой сетью, чтобы скрыть куда и когда он ходит за почтой, это давно известно.

Но меня совершенно убило то, каким образом хакеру удалась MiTM атака против HTTPS:

Вот какой сертификат выдавался https-сервером экспериментатора:

 Version: V3
  Subject: CN=localhost, O=Apache Friends, L=Berlin, ST=Berlin, C=DE
  Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4

  Key:  Sun RSA public key, 1024 bits
  public exponent: 65537
  Validity: [From: Fri Oct 01 09:10:30 UTC 2004,
               To: Thu Sep 30 09:10:30 UTC 2010]
  Issuer: CN=localhost, O=Apache Friends, L=Berlin, ST=Berlin, C=DE
  SerialNumber: [    00]

А вот что подсунул ему хакер:

  Version: V3
  Subject: CN=localhost, O=Apache Friends
  Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4

  Key:  Sun RSA public key, 1024 bits
  public exponent: 65537
  Validity: [From: Fri Oct 01 09:10:30 UTC 2004,
               To: Thu Sep 30 09:10:30 UTC 2010]
  Issuer: CN=localhost, O=Apache Friends
  SerialNumber: [    4742a275]

Ну, во-первых, сертификат выписан явно не на тот hostname, на который ходили. Ибо я с трудом представляю себе как можно через tor попасть на localhost, и, главное, зачем.

Во-вторых - сертификат самоподписанный, похоже что из умолчательной инсталляции апача (причем произведенной три года назад). Ну такой сертификат грех не подделать. Странно только, что хакер не поленившись подделать validity period, поленился полностью скопировать Distinguished name.

Что я могу сказать - не пользуйтесь самоподписанными сертификатами ни для чего кроме CA.
Вероятность того, что хакер сумеет перехватить
1. Сертификат CA
2. Написанный на web-страничке, скачанной вашим браузером еще до скачивания сертификата fingerprint оного
3. SSL-сессию, где используется сертификат, подписанный этим CA
существенно ниже, чем что удастся перехватить только SSL-сессию. Ну и еще один и тот же сертификат CA вы будете использовать не только для HTTPS. Хакеру придется перехватывать все ваши HTTPS-сессии, иначе как только
он одну пропустит, у вас вылезет окошко о том, что сертификат некорректен, и вы начнете разбираться.

Ну а тут по самому сертификату было очевидно, что юзеры данноо https-сервера жмут OK в окошке с предупреждениями о некорректностях сертификата не глядя. Грех не ломануть.

А вы так не делайте - 2

Попалась на /. замечательная ссылка на то, что люди вытворяют со своими жесткими дисками и USB-флэшками:

1. Британский ученый (британские ученые уже притча во языцех в русском ЖЖ), раздраженный тем что его диск скрипит и пищит, просверлил в корпусе дырочку и залил туда машинного масла. Скрипеть перестало, работать тоже.

2. Тетка пропустила флешку через стиральную машину, и прибежала в сервис жаловаться что-де "данные смылись".

3. Какой-то авиалюбитель привязал камеру к парашюту и сбросил с самолета. Паращют не раскрылся. Но специалисты сумели собрать флэшку из обломков и вытащить видеозапись этого падения.

4. Таиландский фотограф обнаружил что из корпуса внешего диска вылезают муравьи. Он его разобрал и побрызгал какой-то отравой. Отравились, что характерно, не только муравьи, диск тоже.

Upd: спасибо p_govorun и mochalkina за идею сделать слова "Британские ученые" ссылкой на соответствующий поисковый запрос.

А вы так не делайте - 2

Попалась на /. замечательная ссылка на то, что люди вытворяют со своими жесткими дисками и USB-флэшками:

1. Британский ученый (британские ученые уже притча во языцех в русском ЖЖ), раздраженный тем что его диск скрипит и пищит, просверлил в корпусе дырочку и залил туда машинного масла. Скрипеть перестало, работать тоже.

2. Тетка пропустила флешку через стиральную машину, и прибежала в сервис жаловаться что-де "данные смылись".

3. Какой-то авиалюбитель привязал камеру к парашюту и сбросил с самолета. Паращют не раскрылся. Но специалисты сумели собрать флэшку из обломков и вытащить видеозапись этого падения.

4. Таиландский фотограф обнаружил что из корпуса внешего диска вылезают муравьи. Он его разобрал и побрызгал какой-то отравой. Отравились, что характерно, не только муравьи, диск тоже.

Upd: спасибо p_govorun и mochalkina за идею сделать слова "Британские ученые" ссылкой на соответствующий поисковый запрос.

А вы так не делайте - 3

ЗАмечательный пост в ru__rats про то, почему не стоит дарить на год Крысы живую крысу.

Нет, честное слово, почитаешь и поймешь, что
1. Кошку держать намного проще, чем крысу. Она по крайней мере не гадит где попало, и приучается не точить когти обо что не надо
2. Собаку держать проще, чем кошку. Она умеет проситься погулять на улицу (и за ней не надо выносить лоток) и вообще обучается ничего не грызть и не царапать.

Видимо, при дальнейшем увеличении размеров зверя (лошади там, слоны etc) начинается опять усложнение. Тут про слонов тоже я недавно где-то читал, что с ними в цирках и зоопарках очень плохо обращается. Так что из моих френдов я могу посоветовать завоодить слона разве что realwired. У него в Индии слона прекрасно можно держать под открытым небом, сдавать в аренду в качестве подъемного крана и участника торжественных процессий, давать пообщаться с сородичами.

А вы так не делайте - 3

ЗАмечательный пост в ru__rats про то, почему не стоит дарить на год Крысы живую крысу.

Нет, честное слово, почитаешь и поймешь, что
1. Кошку держать намного проще, чем крысу. Она по крайней мере не гадит где попало, и приучается не точить когти обо что не надо
2. Собаку держать проще, чем кошку. Она умеет проситься погулять на улицу (и за ней не надо выносить лоток) и вообще обучается ничего не грызть и не царапать.

Видимо, при дальнейшем увеличении размеров зверя (лошади там, слоны etc) начинается опять усложнение. Тут про слонов тоже я недавно где-то читал, что с ними в цирках и зоопарках очень плохо обращается. Так что из моих френдов я могу посоветовать завоодить слона разве что realwired. У него в Индии слона прекрасно можно держать под открытым небом, сдавать в аренду в качестве подъемного крана и участника торжественных процессий, давать пообщаться с сородичами.