Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Очень красивая атака

Для того, чтобы данные не утекали, в корпорациях внедряют всяко-разные системы. Сейчас на коне протокол TLS, поэтому часто эти системы работают в режиме атаки MITM и расшифровывают трафик. А в ипостаси firewall-а ещё и не пускают в странные места.

В протоколе TLS довольно давно сделали способ сказать, какой из хостов на одном IP-адресе нас интересует. Это называется SNI, передаётся открытым текстом. И поэтому троян идёт на управляющий домен, firewall глядит в SNI, блокирует, все довольны.

Делай раз: троян начинает слать в SNI левое имя. Командный центр умеет его преобразовывать в настоящее и шлёт сертификат.

Делай два: firewall начинает блокировать соединение при несовпадении имени в сертификате и в SNI. Но пакет до контрольного центра всё равно дойдёт.

Делай три: в SNI можно передать какую-то информацию. А так как firewall выдаст запрет, содержащий часть данных из сертификата, то таким образом можно управлять трояном снаружи.

Подробное описание атаки SNIcat This entry was originally posted at https://beldmit.dreamwidth.org/922055.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное, программирование, ссылки
Subscribe

  • И ещё про эмодзи

    Ко вчерашнему посту alexott принёс интересную ссылку с описанием того, что там под капотом. Очень интересно, и какое счастье, что это (пока?)…

  • Невероятные приключения эмотиконов

    Нажал на кнопку перевода рекламы в фейсбуке. Обратите внимание на переводы смайликов. С компа, кстати, котики получились одинаковые. Если…

  • FizzBuzz revisited

    Как выжать максимум производительности из FizzBuzz на C Любопытно, хотя я бы остановился гораздо раньше, потому что я считаю, что maintainability в…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments