Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Очень красивая атака

Для того, чтобы данные не утекали, в корпорациях внедряют всяко-разные системы. Сейчас на коне протокол TLS, поэтому часто эти системы работают в режиме атаки MITM и расшифровывают трафик. А в ипостаси firewall-а ещё и не пускают в странные места.

В протоколе TLS довольно давно сделали способ сказать, какой из хостов на одном IP-адресе нас интересует. Это называется SNI, передаётся открытым текстом. И поэтому троян идёт на управляющий домен, firewall глядит в SNI, блокирует, все довольны.

Делай раз: троян начинает слать в SNI левое имя. Командный центр умеет его преобразовывать в настоящее и шлёт сертификат.

Делай два: firewall начинает блокировать соединение при несовпадении имени в сертификате и в SNI. Но пакет до контрольного центра всё равно дойдёт.

Делай три: в SNI можно передать какую-то информацию. А так как firewall выдаст запрет, содержащий часть данных из сертификата, то таким образом можно управлять трояном снаружи.

Подробное описание атаки SNIcat This entry was originally posted at https://beldmit.dreamwidth.org/922055.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное, программирование, ссылки
Subscribe

  • Мировоззренческое

    Я давно хочу нарисовать картинку. Один человек переходит пустую улицу на красный, другой ждёт зелёного. Первый про второго: Он что, думает, что будет…

  • К позавчерашнему падению фейсбука

    Довольно смелое утверждение от технарей, которое я слышал от нескольких разумных людей. Будь у фейсбука второй DNS, внешний по отношению к первому,…

  • «Тревожные люди» Бакмана

    Только упрямство и доверие к Нининому вкусу заставило меня продраться через первую половину «Тревожных людей» Бакмана. Ощущение, что книга написана…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments