Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Очень красивая атака

Для того, чтобы данные не утекали, в корпорациях внедряют всяко-разные системы. Сейчас на коне протокол TLS, поэтому часто эти системы работают в режиме атаки MITM и расшифровывают трафик. А в ипостаси firewall-а ещё и не пускают в странные места.

В протоколе TLS довольно давно сделали способ сказать, какой из хостов на одном IP-адресе нас интересует. Это называется SNI, передаётся открытым текстом. И поэтому троян идёт на управляющий домен, firewall глядит в SNI, блокирует, все довольны.

Делай раз: троян начинает слать в SNI левое имя. Командный центр умеет его преобразовывать в настоящее и шлёт сертификат.

Делай два: firewall начинает блокировать соединение при несовпадении имени в сертификате и в SNI. Но пакет до контрольного центра всё равно дойдёт.

Делай три: в SNI можно передать какую-то информацию. А так как firewall выдаст запрет, содержащий часть данных из сертификата, то таким образом можно управлять трояном снаружи.

Подробное описание атаки SNIcat This entry was originally posted at https://beldmit.dreamwidth.org/922055.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное, программирование, ссылки
Subscribe

  • «Библия ядоносного дерева»

    Дочитал Барбару Кингсолвер, «Библию ядоносного дерева». Читаю сейчас сравнительно мелкими порциями, и случайно попал в точку перегиба. Дальше…

  • ЦИАМ: мемуар

    Тут в ФБ Тим Жабко поинтересовался, что я делал в ЦИАМ и на какой площадке. После дефолта, закрытия игрового проекта и моего бегства в Екатеринбург…

  • День царя Соломона

    Ровно половину моей жизни назад был 1998 год. Личная жизнь у меня накрылась, и попытка уехать в Екатеринбург сразу после дефолта к возобновлению не…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments