Breaking Your Browser's 'Padlock'
В среду, на BlackHat, независимый исследователь, который выступил под ником Moxie Marlinspike заявил, что он будет выпускать программные средства для выполнения "man-in-the-middle" нападений на, казалось бы, безопасные веб-сайты, в том числе банковские сайты, e-mail или сайты электронной коммерции.
Это бесплатная программа, которую Marlinspike называет "SSLstrip" и будет выкладывать на своем веб-сайте, позволит взломщикам "обойти" SSL шифрование. "Евы" будут иметь доступ к паролям и другим конфиденциальным данным.
SSLstrip "сидит" в локальной сети и перехватывает трафик. Когда он обнаруживает зашифрованный HTTPS на сайте, она автоматически заменяет на не зашифрованный HTTP. Этот трюк коммутации вне "полосы шифрования" (т.е. в локалке), который позволяет третьему лицу кражу или изменение данных.
Для того чтобы лучше олицетворять меры безопасности, некоторые пользователи стали ожидать значок висячего замка, который появляется рядом с URL, предлагая пользователям ложное ощущение, что они могут безопасно ввод защищенной информации.
Результаты этого нападения более чем теоретически. Marlinspike тестировав ПО на сервере использовал Tor (для анонимного просмотра сети), по его собственным словам, удалось захватить паролей до 117 учетных записей электронной почты, 16 номеров кредитных карт, семь Paypal логин и около 300 других регистрационных данных якобы безопасных сайтов, начиная от Gmail до Ticketmaster для Facebook.
Специалисты по безопасности таких компаний, как Verisign, которая помогла создать SSL, давно предупреждали пользователей искать признаки того, что сайт в зашифрованном виде, как, например, разный цвет появляется в URL-баре или замкок отображаемый в нижнем правом углу браузера. Но поскольку многие браузеры используют различные признаки, чтобы показать пользователям, что страницы в зашифрованном виде, а некоторые сайты предлагают неофициальные знаки безопасности, как и замок символики или письменные заверения в том, что сайт является "безопасным", говорит Marlinspike эти сигналы, потеряли свой смысл.
Единственным признаком мошенничества было бы фейковые доменные имена, например "ijjk.cn", который появляется в конце - как правило, слишком далеко, чтобы появляться в URL-адрес баре.
Скачать sslstrip 0.2
p.s. Скрипт на питоне
В среду, на BlackHat, независимый исследователь, который выступил под ником Moxie Marlinspike заявил, что он будет выпускать программные средства для выполнения "man-in-the-middle" нападений на, казалось бы, безопасные веб-сайты, в том числе банковские сайты, e-mail или сайты электронной коммерции.
Это бесплатная программа, которую Marlinspike называет "SSLstrip" и будет выкладывать на своем веб-сайте, позволит взломщикам "обойти" SSL шифрование. "Евы" будут иметь доступ к паролям и другим конфиденциальным данным.
SSLstrip "сидит" в локальной сети и перехватывает трафик. Когда он обнаруживает зашифрованный HTTPS на сайте, она автоматически заменяет на не зашифрованный HTTP. Этот трюк коммутации вне "полосы шифрования" (т.е. в локалке), который позволяет третьему лицу кражу или изменение данных.
Для того чтобы лучше олицетворять меры безопасности, некоторые пользователи стали ожидать значок висячего замка, который появляется рядом с URL, предлагая пользователям ложное ощущение, что они могут безопасно ввод защищенной информации.
Результаты этого нападения более чем теоретически. Marlinspike тестировав ПО на сервере использовал Tor (для анонимного просмотра сети), по его собственным словам, удалось захватить паролей до 117 учетных записей электронной почты, 16 номеров кредитных карт, семь Paypal логин и около 300 других регистрационных данных якобы безопасных сайтов, начиная от Gmail до Ticketmaster для Facebook.
Специалисты по безопасности таких компаний, как Verisign, которая помогла создать SSL, давно предупреждали пользователей искать признаки того, что сайт в зашифрованном виде, как, например, разный цвет появляется в URL-баре или замкок отображаемый в нижнем правом углу браузера. Но поскольку многие браузеры используют различные признаки, чтобы показать пользователям, что страницы в зашифрованном виде, а некоторые сайты предлагают неофициальные знаки безопасности, как и замок символики или письменные заверения в том, что сайт является "безопасным", говорит Marlinspike эти сигналы, потеряли свой смысл.
Единственным признаком мошенничества было бы фейковые доменные имена, например "ijjk.cn", который появляется в конце - как правило, слишком далеко, чтобы появляться в URL-адрес баре.
Скачать sslstrip 0.2
p.s. Скрипт на питоне
