10
  • redgreen
    #10
    Nem az SSL kulcs lenyúlásáról/meghamisításáról volt szó (bár ez utóbbi lehetséges, csak trükkösebben, mint gondolnád). Csak arról, hogy Te=Gmail helyett Te-Hacker=Gmail lesz a felállás (ahol az '=' : titkos csatorna, '-' : védtelen csatorna). Szóval ha nem ügyelsz arra, hogy mindig https-en lépsz be akkor gyakorlatilag magadtól adod a hacker kezébe kódolatlanul a loginodat.
  • gettoharcos2
    #9
    Annyit azért hozzátennék, hogy lehet TOR-t is használni, sőt én javasolom, mert a gmail-hoz pl. a magyar cionista zsarnok kormánynak szerintem egyenesben belelátási joga van és kész. Viszont ha kamu IPről kamu(pista) néven nyitsz egy account-ot, és mindig a TOR-on keresztül lépsz be, nem nagyon írsz magardól liturgiát a leveleidben (és főleg ha mindezt azok is betartják akikkel levelezel) akkor SOHA az életben senki nem fogja rajtad kívül tudni, hogy kinek mit, minek kit írsz stb..

    A TOR-ral sem lehet kijátszani az SSL handshake-t , mivel maga a handshake (oldalanként változó, de minimun) 1024 bites asszimetrikus előazonosító publikus kulcsot küld digitálisan aláírva (némely server még többet 2048-4096 bites kulcsot) ... amit _nagyságrendekkel_ lehetetlenebb törni, mint a 128-256 bites szimmetrikus session kulcsokat (!) effektíve NEM HISZEM EL, hogy valaha bárki is SSL premaster key-t fog hamisítani úgy cirka Krisztus után 50ezerig...
    de HOAXolni, blöffölni és ijesztgeni a hozzá nem értőket azt azért lehet... sőt nem is lepődünk már meg, mert ez a szokás így "felsőbb körökből"...
  • redgreen
    #8
    Ez a cikk is bizonyítja, hogy MTI-től egy az egyben nem szabad technikai írást átvenni. Az SSL-el titkosított adatforgalom nem törhető fel a mai gépekkel, PONT.
    Azt viszont meg lehet csinálni, hogy feltörnek/megszereznek egy olyan gépet, amin átmegy a Te adatforgalmad (MITM - man in the middle), és elhitetik veled, hogy titkosított csatornán forgalmazol, pedig közben szépen lenyúlják a password-öd. Tipikus ilyen veszélyforrások az elgépelt webcímek, warez oldalakon talált linkek, a DNS poisoning, a névtelen proxyk és a TOR hálózat (amit a hacker is használt). Ez utóbbi egyébként a legegyszerűbb, hiszen így nem is kell gépet törögetni, csak felrakod a szkriptet a saját gépedre, és várod, hogy öledbe hulljanak a jelszavak. És bármilyen hihetetlen egyeseknek, de gmailes jelszavak is ugyanúgy megszerezhetők ezzel a módszerrel, mint az összes többi (a Google amúgy sem a felhasználói adatok védelméről lett híres/hírhedt, sőt...). Bár az MTI hír itt is pontatlan, 117 email accountról és nem gmail címről van szó. De Moxie anyagában pontosabban szerepel: 114 yahoo, 50 gmail, 9 paypal, 9 linkedin és 3 facebook account 24 óra alatt.

    Pár tanács a "parázósoknak": Mentsd el könyvjelzőnek az érzékeny weboldalaid https-t is tartalmazó URL-jét és csak ezeken lépj be. A hosts fájlodba rakd be ezeknek az oldalaknak az aktuális IP címét (DNS fertőzés ellen). Ezen oldalak meglátogatására soha ne használj anonim proxyt vagy TOR-t. Kapcsold be a böngésződben azt az opciót, hogy titkosítatlan jelszóküldésnél figyelmeztessen.
    Sajnos a tanácsok közül az első nem mindig járható, gondolok itt például a paypal-es checkoutokra, ebben az esetben nem marad más, mint a tanúsítvány kiadójának manuális ellenőrzése minden alkalommal.
  • god25
    #7
    Köszi! Pontosan ezért jó a fórum. THX :)
  • gettoharcos2
    #6
    [b]feltörésről szó sincs. amaz ugyanis, a tudomány mai állása szerint, még a távoljövőben is több, mint lehetetlen volna. amiről itt szó van az egy régi módszer tökéletesítése, abban az esetben, ha a https oldal üzemeltetője figyelmetlen volt és rosszul konfigurálta az SSL protokolt.
    Ebben az esetben a támadónak lehetősége nyílik a server által kiállított ideiglenes aláírás meghamisítására és a klienssel elhitetni, mintha ő volna az eredeti server.. a továbbiakban bonyolított adatforgalomból pedig kiderítheti a kliens egyéb személyes adatait, és/vagy a bejelentkezéshez szükséges jelszavát.

    Kifogástalanuls beállított https oldalaknál ez a módszer nem használható, továbbá azt is hozzá kell tenni, hogy e módszer alkalmazása rendkívül bonyolult és szinte soha nem jön össze célzott támadásoknál (személyre szabott támadásnál)
    csak véletlenszerűen , sokadik próbálkozás után.

    A cikknek enyhén fogalmazva is HOAX szaga van és egy kicsit túl akarják ezzel spirázni, paráztatni a jónépet, továbbá nem hiszem, sőt egyenesen kizártnak tartom, hogy GMAIL-os postafiókokat ezzel a módszerrel megtörtek volna, bár a többi felsorolt oldalról még -talán- elhiszem, hogy (véletlenül vagy akár szándékosan könnyen törhetővé konfigurálták)
  • Komolytalan
    #5
    Jó, akkor mondok egy még nagyobb csodát. Egy keyloggerrel meg még az a titkosítás is "feltörhető" (vagyis megkerülhető), amit még ki se találtak. Mekkora dráma.
    Tisztán kell tartani a gépeket, meg mindenhez authentikációs tokent használni, vagy SMS-ben kapott egyszer használatos jelszót.
  • Narxis
    #4
    Ami késik nem múlik.
  • BB7
    #3
    Magyarországon, nem hiszem, hogy akkora lenne a veszély! A Gmail-em nem tartalmaz oly fontos, illetve titkos információkat, a PayPal-em meg bannolták!
  • bakagaijin
    #2
    Pontosan, elkezdtem olvasni és valahogy nem klappolt. A hwsw-n még normálisan szerepel.
  • Spectrum
    #1
    "feltörhető az SSL-védelem ..... az SSL encryptiont megkerülve"

    Na most melyik? Segítek: nem törték fel, megkerülték. Tipikus bulvárhír, ami szépen bejárja a világot és értelmetlen félelmeket kelt. Olyan, mint a wpa feltörés videokártyával: lehet, de nem emberi idővel mérve.