Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Очень красивая атака

Для того, чтобы данные не утекали, в корпорациях внедряют всяко-разные системы. Сейчас на коне протокол TLS, поэтому часто эти системы работают в режиме атаки MITM и расшифровывают трафик. А в ипостаси firewall-а ещё и не пускают в странные места.

В протоколе TLS довольно давно сделали способ сказать, какой из хостов на одном IP-адресе нас интересует. Это называется SNI, передаётся открытым текстом. И поэтому троян идёт на управляющий домен, firewall глядит в SNI, блокирует, все довольны.

Делай раз: троян начинает слать в SNI левое имя. Командный центр умеет его преобразовывать в настоящее и шлёт сертификат.

Делай два: firewall начинает блокировать соединение при несовпадении имени в сертификате и в SNI. Но пакет до контрольного центра всё равно дойдёт.

Делай три: в SNI можно передать какую-то информацию. А так как firewall выдаст запрет, содержащий часть данных из сертификата, то таким образом можно управлять трояном снаружи.

Подробное описание атаки SNIcat This entry was originally posted at https://beldmit.dreamwidth.org/922055.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное, программирование, ссылки
Subscribe

  • Загонная охота: завершение

    Пофиксил сегодня баг, о котором писал здесь. Ошибка оказалась не в асемблере, как я думал, а в формировании байтиков. При пересчёте длины новая…

  • Это была славная охота

    Только что поучаствовал в загонной охоте на вот этот баг. Программисты оценят. This entry was originally posted at…

  • А давайте я уже итоги года положу сюда

    Главный результат — смена работы. Я переехал в Брно, начал работать в Red Hat, надеюсь пройти испытательный срок и здесь как-то закрепиться. На новой…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments