MITM-атака (Man in the Middle) - Государство в роли хакера.

Все, кроме игорного бизнеса и политики. Флирт, приколы из жизни, забавные истории, юмор и т.д.

MITM-атака (Man in the Middle) - Государство в роли хакера.

Непрочитанное сообщение Admin » 21 июл 2017, 09:23

Закон о запрете средств обхода блокировок предусматривает блокировку анонимайзеров и VPN, которые не ограничивают доступ к страницам из реестра запрещенных сайтов Роскомнадзора. Выявлять такие анонимайзеры будут ФСБ и МВД. Закон вступит в силу с 1 ноября 2017 года.

Ранее, собщалось, что для выявления трафика VPN, TOR провайдеры будут обязаны установить оборудование DPI (Deep Packet Inspection), которое может принимать решение не только по содержимому пакетов, но и по косвенным признакам, присущим каким-то определённым сетевым программам и протоколам.

А для дешифровки шифрованного трафика, государство узаконит для себя хакерский метод "Человек посредине (MITM)", обязав пользователей устанвить у себя сертификат от государственного УЦ.


Принцип атаки

Атака обычно начинается с прослушивания канала связи и заканчивается тем, что криптоаналитик пытается подменить перехваченное сообщение, извлечь из него полезную информацию, перенаправить его на какой-нибудь внешний ресурс.
Предположим, объект A планирует передать объекту B некую информацию. Объект C обладает знаниями о структуре и свойствах используемого метода передачи данных, а также о факте планируемой передачи собственно информации, которую С планирует перехватить. Для совершения атаки С «представляется» объекту А как В, а объекту В — как А. Объект А, ошибочно полагая, что он направляет информацию В, посылает её объекту С. Объект С, получив информацию, и совершив с ней некоторые действия (например, скопировав или модифицировав в своих целях) пересылает данные собственно получателю — В; объект В, в свою очередь, считает, что информация была получена им напрямую от А.
Государство - преступник

Как пояснил источник в администрации президента РФ, просто хранить эксабайты шифрованного интернет-трафика во исполнение "закона Яровой" не имеет смысла, поэтому ФСБ выступает за то, что расшифровывать весь трафик в режиме реального времени и анализировать его по ключевым параметрам, например, по слову "бомба".

Предполагается, что дешифровка будет осуществляться при помощи установки на сетях операторов оборудования, способного выполнять MITM-атаку (Man in the Middle).

"Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта - пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно - с сервером, к которому обращался пользователь. Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ), Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ добавлен в доверенные корневые центры сертификации на компьютере пользователя".
Обнаружение MITM-атаки

Для обнаружения атаки «человек посередине» необходимо проанализировать сетевой трафик. К примеру, для детектирования атаки по SSL следует обратить внимание на следующие параметры:
IP-адрес сервера
DNS-сервер
X.509-сертификат сервера * Подписан ли сертификат самостоятельно?
Подписан ли сертификат центром сертификации? (стоит отметить, что вданном случае факт подписи государственного УЦ и является фактом доказательства MITM-атаки
Был ли сертификат аннулирован?
Менялся ли сертификат недавно?
Получали ли другие клиенты в интернете такой же сертификат?

Криминалистика (если злоумышленник - не государство)
Поскольку злоумышленник отправляет поддельные пакеты ARP, нельзя увидеть его IP-адрес. Вместо этого нужно обращать внимание на MAC-адрес, который является специфическим для каждого устройства в сети. Если вы знаете MAC-адрес вашего маршрутизатора, вы можете сравнить его с МАС-адресом шлюза по умолчанию, чтобы выяснить, действительно ли это ваш маршрутизатор или злоумышленник.

Например, на ОС Windows вы можете воспользоваться командой ipconfig в командной строке (CMD), чтобы увидеть IP-адрес вашего шлюза по умолчанию (последняя строка).

Затем используйте команду arp –a для того, чтобы узнать MAC-адрес этого шлюза. Но есть и другой способ заметить атаку — если вы отслеживали сетевую активность в то время, когда она началась, и наблюдали за пакетами ARP. Например, можно использовать Wireshark для этих целей, эта программа будет уведомлять, если MAC-адрес шлюза по умолчанию изменился.
Примечание: если атакующий будет правильно подменять MAC-адреса, отследить его станет большой проблемой.
Защита

Когда мы говорим об атаках класса MitM, мы подразумеваем, что враг контролирует канал связи и может вносить изменения в передаваемые данные.
Мне известен один класс защиты от атак класса MitM - использование другого канала для начальной передачи ключа или для проверки ключа, переданного по каналу, контролируемому врагом.
Пример. Вы сгенерировали ключ PGP и отправили его открытую часть другу по email. Но ни один из вас не уверен, что содержимое email не было изменено по дороге (MitM). Вы звоните другу (использование дополнительного канала связи) и просите продиктовать значение отпечатка ключа. Если оно верно, ключ не был изменён.
По данному принципу, к примеру учеными MIT предложен новый метод (точнее, протокол) позволяет противодействовать MitM-атакам, происходящим в момент установления безопасного соединения. При обмене уникальными криптографическими ключами третье устройство передаёт свой ключ,подавляя чужой сигнал, и "вводит в заблуждение" одно или оба устройства, которые принимают его друг за друга. Проблема довольно распространёна, так как многие
пользователи не защищают свои локальные беспроводные сети паролями (или
устанавливают легко подбираемые пароли).
В предлагаемой исследователями из MIT схеме беспроводное устройство после
трансляции уникального ключа передаёт ещё один сигнал, значение которого можно
вывести из значения первого. При этом второй сигнал закодирован по принципу
азбуки Морзе: его смысл заключён в продолжительности периодов активности и
молчания. Если рядом находится устройство, с которого осуществляется MitM-атака,
его передача накладывается на прерывистый сигнал; последовательность искажается,
связь не устанавливается, а пользователь узнаёт, что рядом притаился паразит.
Вывод

SSL — протокол, заставляющий злоумышленника проделать огромную работу для совершения атаки. Но он не защитит вас от атак, спонсируемых государством или от квалифицированных хакерских организаций.
Задача пользователя заключается в том, чтобы защитить свой браузер и компьютер, чтобы предотвратить вставку поддельного сертификата (очень распространенная техника). Также стоит обратить внимание на список доверенных сертификатов и удалить те, кому вы не доверяете.
В случае с взломом от государства, для корректной работы и защиты своих данных и переписки важно удалить сертификаты, выданные государственным УЦ, так как именно они и являются тем самым "человеком посредине", который сует свой горбатый нос в чужие дела.

Как послать государствоо нахер

Таким образом для борьбы с данным методом MITM атак достаточно самому управлять доверенными корневыми сертификатами и удалить скомпрометированные.

Для полного доступа в хранилищу сертификатов Windows используем доступ через оснастку управления.

Для этого либо в Командной строке, либо в окне Выполнить (вызывается комбинацией клавиш Windows +R) вводим название оснастки — certmgr.msc

Оснастка позволяет получить полный доступ к хранилищу сертификатов Windows, как к сертификатам пользователя, так и корневым центрам сертификации. Находим скомпрометированные сертификаты от УЦ и удаляем их к чертям собачьим

Как это сделать в разных операционных системах легко найти в #Google.

Удаление Доверенного Корневого Центра Сертификации сделает все сертификаты, выпущенные этим Центром Сертификации, недействительными

Так как Microsoft сотрудничает с большевистским режимом и автоматически обновляет списки сертификатов после обновлений, перед удалением сертификата, необходимо отключить компонент обновления корневых сертификатов.
Для этого на панели управления дважды щелкните значок "Установка и удаление программ".
Щелкните "Добавление и удаление компонентов Windows".
Прокрутите список вниз до компонента "Обновление корневых сертификатов", щелкните компонент, чтобы удалить флажок, а затем продолжить работу мастера компонентов #Windows.


Администрация форума TechClub
https://forum.igclubs.org
E-Mail: [email protected]
Аватар пользователя
Admin
Администратор
 
Сообщений: 526
Зарегистрирован: 28 янв 2012, 12:20
Пункты репутации: 0

Вернуться в О ЖИЗНИ

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

cron


"Зрители видят больше, нежели игрок."

Бальтасар Грасиан-и-Моралес


Яндекс.Метрика

ANDROID APP Forum TechClub
игорное оборудование
продажа игорного оборудования
coolair
кулаир
Консоли для казино
Консоли для интернет клубов
процент селектор
процент селектор для гаминатора
процент селектор для новоматика
онлайн система для интернет клубов
coolfire 1
кулфаер
АППАРАТЫ В МИНИ КОРПУСАХ
Game Casino Avtomat
Мини аппарат
bdm-programmator
bdm-программатор
cool air
coolair hotspot platinum
комплектующие к игровым автоматам
комплектующие для игровых автоматов
кнопки для интернет казино
консоль для интернет казино
VKP-80
купюрники
кнопки для игровых автоматов
кнопки для игровых аппаратов
замки для игровых автоматов
замки для игровых аппаратов
оффлине система для интернет клубов
оффлайн системы для казино
coolfire
coolfire1
coolfire2
SPRT SP-POS58IV USB
Gaming Box
coolair hotspot
платы игрософт купить
оборудование для игрового клуба
аппарат игровой
столы для интернет клубов
bdm программатор
bdm programmator

«TECHCLUB» не занимается организацией и проведением азартных игр. Вся информация носит ознакомительный характер. 18+