Black Hat: feltörhető az SSL-védelem
Jelentkezz be a hozzászóláshoz.
#10
Nem az SSL kulcs lenyúlásáról/meghamisításáról volt szó (bár ez utóbbi lehetséges, csak trükkösebben, mint gondolnád). Csak arról, hogy Te=Gmail helyett Te-Hacker=Gmail lesz a felállás (ahol az '=' : titkos csatorna, '-' : védtelen csatorna). Szóval ha nem ügyelsz arra, hogy mindig https-en lépsz be akkor gyakorlatilag magadtól adod a hacker kezébe kódolatlanul a loginodat.
Muszáj ugyanazt szajkóznom mindig, az ujjam is elkopik már, minek tanul az olyan nyelvet, aki a sajátjához is szamár?
Annyit azért hozzátennék, hogy lehet TOR-t is használni, sõt én javasolom, mert a gmail-hoz pl. a magyar cionista zsarnok kormánynak szerintem egyenesben belelátási joga van és kész. Viszont ha kamu IPrõl kamu(pista) néven nyitsz egy account-ot, és mindig a TOR-on keresztül lépsz be, nem nagyon írsz magardól liturgiát a leveleidben (és fõleg ha mindezt azok is betartják akikkel levelezel) akkor SOHA az életben senki nem fogja rajtad kívül tudni, hogy kinek mit, minek kit írsz stb..
A TOR-ral sem lehet kijátszani az SSL handshake-t , mivel maga a handshake (oldalanként változó, de minimun) 1024 bites asszimetrikus elõazonosító publikus kulcsot küld digitálisan aláírva (némely server még többet 2048-4096 bites kulcsot) ... amit _nagyságrendekkel_ lehetetlenebb törni, mint a 128-256 bites szimmetrikus session kulcsokat (!) effektíve NEM HISZEM EL, hogy valaha bárki is SSL premaster key-t fog hamisítani úgy cirka Krisztus után 50ezerig... <#eplus2>
de HOAXolni, blöffölni és ijesztgeni a hozzá nem értõket azt azért lehet... sõt nem is lepõdünk már meg, mert ez a szokás így "felsõbb körökbõl"...
A TOR-ral sem lehet kijátszani az SSL handshake-t , mivel maga a handshake (oldalanként változó, de minimun) 1024 bites asszimetrikus elõazonosító publikus kulcsot küld digitálisan aláírva (némely server még többet 2048-4096 bites kulcsot) ... amit _nagyságrendekkel_ lehetetlenebb törni, mint a 128-256 bites szimmetrikus session kulcsokat (!) effektíve NEM HISZEM EL, hogy valaha bárki is SSL premaster key-t fog hamisítani úgy cirka Krisztus után 50ezerig... <#eplus2>
de HOAXolni, blöffölni és ijesztgeni a hozzá nem értõket azt azért lehet... sõt nem is lepõdünk már meg, mert ez a szokás így "felsõbb körökbõl"...
A MUNKA SZABADDÁ TESZ
#8
Ez a cikk is bizonyítja, hogy MTI-tõl egy az egyben nem szabad technikai írást átvenni. Az SSL-el titkosított adatforgalom nem törhetõ fel a mai gépekkel, PONT.
Azt viszont meg lehet csinálni, hogy feltörnek/megszereznek egy olyan gépet, amin átmegy a Te adatforgalmad (MITM - man in the middle), és elhitetik veled, hogy titkosított csatornán forgalmazol, pedig közben szépen lenyúlják a password-öd. Tipikus ilyen veszélyforrások az elgépelt webcímek, warez oldalakon talált linkek, a DNS poisoning, a névtelen proxyk és a TOR hálózat (amit a hacker is használt). Ez utóbbi egyébként a legegyszerûbb, hiszen így nem is kell gépet törögetni, csak felrakod a szkriptet a saját gépedre, és várod, hogy öledbe hulljanak a jelszavak. És bármilyen hihetetlen egyeseknek, de gmailes jelszavak is ugyanúgy megszerezhetõk ezzel a módszerrel, mint az összes többi (a Google amúgy sem a felhasználói adatok védelmérõl lett híres/hírhedt, sõt...). Bár az MTI hír itt is pontatlan, 117 email accountról és nem gmail címrõl van szó. De Moxie anyagában pontosabban szerepel: 114 yahoo, 50 gmail, 9 paypal, 9 linkedin és 3 facebook account 24 óra alatt.
Pár tanács a "parázósoknak": Mentsd el könyvjelzõnek az érzékeny weboldalaid https-t is tartalmazó URL-jét és csak ezeken lépj be. A hosts fájlodba rakd be ezeknek az oldalaknak az aktuális IP címét (DNS fertõzés ellen). Ezen oldalak meglátogatására soha ne használj anonim proxyt vagy TOR-t. Kapcsold be a böngészõdben azt az opciót, hogy titkosítatlan jelszóküldésnél figyelmeztessen.
Sajnos a tanácsok közül az elsõ nem mindig járható, gondolok itt például a paypal-es checkoutokra, ebben az esetben nem marad más, mint a tanúsítvány kiadójának manuális ellenõrzése minden alkalommal.
Azt viszont meg lehet csinálni, hogy feltörnek/megszereznek egy olyan gépet, amin átmegy a Te adatforgalmad (MITM - man in the middle), és elhitetik veled, hogy titkosított csatornán forgalmazol, pedig közben szépen lenyúlják a password-öd. Tipikus ilyen veszélyforrások az elgépelt webcímek, warez oldalakon talált linkek, a DNS poisoning, a névtelen proxyk és a TOR hálózat (amit a hacker is használt). Ez utóbbi egyébként a legegyszerûbb, hiszen így nem is kell gépet törögetni, csak felrakod a szkriptet a saját gépedre, és várod, hogy öledbe hulljanak a jelszavak. És bármilyen hihetetlen egyeseknek, de gmailes jelszavak is ugyanúgy megszerezhetõk ezzel a módszerrel, mint az összes többi (a Google amúgy sem a felhasználói adatok védelmérõl lett híres/hírhedt, sõt...). Bár az MTI hír itt is pontatlan, 117 email accountról és nem gmail címrõl van szó. De Moxie anyagában pontosabban szerepel: 114 yahoo, 50 gmail, 9 paypal, 9 linkedin és 3 facebook account 24 óra alatt.
Pár tanács a "parázósoknak": Mentsd el könyvjelzõnek az érzékeny weboldalaid https-t is tartalmazó URL-jét és csak ezeken lépj be. A hosts fájlodba rakd be ezeknek az oldalaknak az aktuális IP címét (DNS fertõzés ellen). Ezen oldalak meglátogatására soha ne használj anonim proxyt vagy TOR-t. Kapcsold be a böngészõdben azt az opciót, hogy titkosítatlan jelszóküldésnél figyelmeztessen.
Sajnos a tanácsok közül az elsõ nem mindig járható, gondolok itt például a paypal-es checkoutokra, ebben az esetben nem marad más, mint a tanúsítvány kiadójának manuális ellenõrzése minden alkalommal.
Muszáj ugyanazt szajkóznom mindig, az ujjam is elkopik már, minek tanul az olyan nyelvet, aki a sajátjához is szamár?
#7
Köszi! Pontosan ezért jó a fórum. THX 😊
feltörésrõl szó sincs. amaz ugyanis, a tudomány mai állása szerint, még a távoljövõben is több, mint lehetetlen volna. amirõl itt szó van az egy régi módszer tökéletesítése, abban az esetben, ha a https oldal üzemeltetõje figyelmetlen volt és rosszul konfigurálta az SSL protokolt.
Ebben az esetben a támadónak lehetõsége nyílik a server által kiállított ideiglenes aláírás meghamisítására és a klienssel elhitetni, mintha õ volna az eredeti server.. a továbbiakban bonyolított adatforgalomból pedig kiderítheti a kliens egyéb személyes adatait, és/vagy a bejelentkezéshez szükséges jelszavát.
Kifogástalanuls beállított https oldalaknál ez a módszer nem használható, továbbá azt is hozzá kell tenni, hogy e módszer alkalmazása rendkívül bonyolult és szinte soha nem jön össze célzott támadásoknál (személyre szabott támadásnál)
csak véletlenszerûen , sokadik próbálkozás után.
A cikknek enyhén fogalmazva is HOAX szaga van és egy kicsit túl akarják ezzel spirázni, paráztatni a jónépet, továbbá nem hiszem, sõt egyenesen kizártnak tartom, hogy GMAIL-os postafiókokat ezzel a módszerrel megtörtek volna, bár a többi felsorolt oldalról még -talán- elhiszem, hogy (véletlenül vagy akár szándékosan könnyen törhetõvé konfigurálták)
Ebben az esetben a támadónak lehetõsége nyílik a server által kiállított ideiglenes aláírás meghamisítására és a klienssel elhitetni, mintha õ volna az eredeti server.. a továbbiakban bonyolított adatforgalomból pedig kiderítheti a kliens egyéb személyes adatait, és/vagy a bejelentkezéshez szükséges jelszavát.
Kifogástalanuls beállított https oldalaknál ez a módszer nem használható, továbbá azt is hozzá kell tenni, hogy e módszer alkalmazása rendkívül bonyolult és szinte soha nem jön össze célzott támadásoknál (személyre szabott támadásnál)
csak véletlenszerûen , sokadik próbálkozás után.
A cikknek enyhén fogalmazva is HOAX szaga van és egy kicsit túl akarják ezzel spirázni, paráztatni a jónépet, továbbá nem hiszem, sõt egyenesen kizártnak tartom, hogy GMAIL-os postafiókokat ezzel a módszerrel megtörtek volna, bár a többi felsorolt oldalról még -talán- elhiszem, hogy (véletlenül vagy akár szándékosan könnyen törhetõvé konfigurálták)
A MUNKA SZABADDÁ TESZ
Jó, akkor mondok egy még nagyobb csodát. Egy keyloggerrel meg még az a titkosítás is "feltörhetõ" (vagyis megkerülhetõ), amit még ki se találtak. Mekkora dráma.
Tisztán kell tartani a gépeket, meg mindenhez authentikációs tokent használni, vagy SMS-ben kapott egyszer használatos jelszót.
Tisztán kell tartani a gépeket, meg mindenhez authentikációs tokent használni, vagy SMS-ben kapott egyszer használatos jelszót.
#4
Ami késik nem múlik.
Értem én, csak leszarom. :) Nem kell válaszolnod, igazam van.
#3
Magyarországon, nem hiszem, hogy akkora lenne a veszély! A Gmail-em nem tartalmaz oly fontos, illetve titkos információkat, a PayPal-em meg bannolták!<#szomoru1>
Pontosan, elkezdtem olvasni és valahogy nem klappolt. A hwsw-n még normálisan szerepel.
#1
"feltörhetõ az SSL-védelem ..... az SSL encryptiont megkerülve"
Na most melyik? Segítek: nem törték fel, megkerülték. Tipikus bulvárhír, ami szépen bejárja a világot és értelmetlen félelmeket kelt. Olyan, mint a wpa feltörés videokártyával: lehet, de nem emberi idõvel mérve.
Na most melyik? Segítek: nem törték fel, megkerülték. Tipikus bulvárhír, ami szépen bejárja a világot és értelmetlen félelmeket kelt. Olyan, mint a wpa feltörés videokártyával: lehet, de nem emberi idõvel mérve.