ambrozy 0 Zgłoś post Napisano Maj 20, 2010 Do tej pory byłem przekonany, że strony z którymi łączymy się przez https są całkowicie bezpieczne. Czy tak jest naprawdę? Czy może moje spostrzeżenia są wynikiem błędnej konfiguracji serwerów bądź samych aplikacji? Mianowicie wykorzystując aplikację Cain & Abel zastosowałem technikę MAC address spoofing, następie łączyłem się przez https z klientami webmail na moim serwerze (później sprawdzałem inne serwery myśląc, że tylko mój jest na to podatny) i o dziwno nazwa użytkownika oraz hasło została bez problemu rozpoznana przez program. Aplikacje webmail takie jak atmail, roundcube oraz squirrelmail poległy, tzn. Cain&Abel pokazał jakie dane zostały wprowadzone przez użytkownika. Tylko logując się przez Afterlogic Webmail Lite nie byłem wstanie odczytać hasła. Czy spotkaliście się z czymś takim? Co może być przyczyną takiego stanu rzeczy i jak to naprawić? Udostępnij ten post Link to postu Udostępnij na innych stronach
www.mzone.uk 1200 Zgłoś post Napisano Maj 20, 2010 Czy te hasła były tylko Twoje, czy także obcych nieznanych Ci ludzi? Program łamie hasła dostępu, co może być nielegalne jesli jest używane niezgodnie z prawem. Udostępnij ten post Link to postu Udostępnij na innych stronach
ambrozy 0 Zgłoś post Napisano Maj 20, 2010 Czy te hasła były tylko Twoje, czy także obcych nieznanych Ci ludzi? Testowałem na własnej skórze, aczkolwiek nie jest problemem uzyskanie loginów oraz haseł innych osób będąc w tej samem sieci LAN. Program łamie hasła dostępu, co może być nielegalne jesli jest używane niezgodnie z prawem. Myślę, że warto jest znać narzędzia które służą innym nie niecnych celów, a nam administratorom dają możliwość przetestowania swoim sieci, serwerów, itp Najważniejszym w tym wszystkim jest jednak pytanie dlaczego https puszcza te dane czystym tekstem. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Maj 20, 2010 (...) i jak to naprawić? Ustawić na switch'u automatyczny shutdown portu jeśli komputer przedstawi się innym MAC'iem aniżeli ten przypisany "na sztywno" do niego. Jeżeli przełącznik nie posiada stosownej funkcjonalności, to należy zastawić dom i zgłosić się do Rufik'a celem zakupu urządzenia o odpowiedniej funkcjonalności jedynej słusznej firmy na rynku wraz z routerem brzegowym mogącym przewalić kilkaset Mbps. ( ) Udostępnij ten post Link to postu Udostępnij na innych stronach
ambrozy 0 Zgłoś post Napisano Maj 20, 2010 bellerofont: w ten sposób zabezpieczę tylko swoją sieć lokalną...a bardziej zależałoby mi na zabezpieczeniu serwera przed czymś takim... nadal nikt nie odpowiedział na moje pytanie...dlaczego witryna z która połączenie jest szyfrowane umożliwia przechwycenie loginów oraz haseł ? Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Maj 20, 2010 sslstrip? Hint: Zablokuj połączenia nieszyfrowane z twoim webmailem (na serwerze wklej takie coś) RewriteCond %{HTTP_HOST} ^www\.domenazmoimwebmailem\.com$ RewriteCond %{SERVER_PORT} ^80$ RewriteRule (.*) https://www.domenazmoimwebmailem.com/$1 [R=301,L] i zobacz, czy nadal będzie takie łatwe uzyskanie hasła PS: Zakładam, że robisz próby logowania z jakiś innych hostów, niż localhost z odpalonym C&A. Bo jeśli na tym samym, to równie dobrze może jakiś keylogger zebrać ci hasło z klawiatury / textboxów przeglądarki Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Maj 20, 2010 bellerofont: w ten sposób zabezpieczę tylko swoją sieć lokalną...a bardziej zależałoby mi na zabezpieczeniu serwera przed czymś takim... Większość dostawców ma odpowiednie zabezpieczenia przed tym, aby któryś z serwerów nie zaczął udawać bramy. Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Maj 20, 2010 Do tej pory byłem przekonany, że strony z którymi łączymy się przez https są całkowicie bezpieczne. Czy tak jest naprawdę? Czy może moje spostrzeżenia są wynikiem błędnej konfiguracji serwerów bądź samych aplikacji?Nawet jeżeli Cain&Abel podszył się pod maszynę docelową, to musiałeś dostać monit o złym certyfikacjie SSL. Jeżeli go zignorowałeś to był to Twój błąd. Udostępnij ten post Link to postu Udostępnij na innych stronach
VIPserv.org 4 Zgłoś post Napisano Maj 22, 2010 Do tej pory byłem przekonany, że strony z którymi łączymy się przez https są całkowicie bezpieczne. Czy tak jest naprawdę? Czy może moje spostrzeżenia są wynikiem błędnej konfiguracji serwerów bądź samych aplikacji? Mianowicie wykorzystując aplikację Cain & Abel zastosowałem technikę MAC address spoofing, następie łączyłem się przez https z klientami webmail na moim serwerze (później sprawdzałem inne serwery myśląc, że tylko mój jest na to podatny) i o dziwno nazwa użytkownika oraz hasło została bez problemu rozpoznana przez program. Aplikacje webmail takie jak atmail, roundcube oraz squirrelmail poległy, tzn. Cain&Abel pokazał jakie dane zostały wprowadzone przez użytkownika. Tylko logując się przez Afterlogic Webmail Lite nie byłem wstanie odczytać hasła. Czy spotkaliście się z czymś takim? Co może być przyczyną takiego stanu rzeczy i jak to naprawić? zapoznaj się z modelem osi. Adresy mac czyli warstwa druga leży poniżej warstwy 4/5 (ssl). Kompromitacja bezpieczeństwa na niższym poziomie oznacza (w większości przypadków) że zabezpieczenia na wyższych nie mają znaczenia (stos). Warstwa druga to najbardziej niezabezpieczona warstwa w sieciach, mimo że sieci przełączalne już istnieją od końca lat 80. W warstwie drugiej jest szereg ataków możliwych do przeprowadzenia jak mac spoofing, arp overflow, manipulacja spanning tree, sztormy, łamanie vlanów - podwójne tagowanie, hoping itp itp. Centra certyfikacji są jak najbardziej za tym aby utwierdzać ludzi w przekonaniu ze wydany przez nich certyfikat (pieniądze) zapewnia totalne i absolutne bezpieczeństwo przed wszystkim ps. na innych nadal niższych poziomach modelu osi można by jeszcze naliczyć kilkadzesiąt (set?) wektorów ataków Nie rozwiążesz większości problemów z zabezpieczeniem warstwy 2 wyższymi warstwami. Po prostu masz niedoświadczonego admina lana Udostępnij ten post Link to postu Udostępnij na innych stronach
egi.pl 0 Zgłoś post Napisano Maj 24, 2010 vipserv glupoty piszesz;-). Cain & Abel został użyty zapewne do ataku MITM (man-in-the-middle) i gdyby użytkownik miał świadomość jak należy zarządzać certyfikatami to hasła by nie wprowadził (to o czym wspomniał p). Udostępnij ten post Link to postu Udostępnij na innych stronach
guziec 109 Zgłoś post Napisano Maj 24, 2010 vipserv glupoty piszesz;-). Cain & Abel został użyty zapewne do ataku MITM (man-in-the-middle) i gdyby użytkownik miał świadomość jak należy zarządzać certyfikatami to hasła by nie wprowadził (to o czym wspomniał p). Zgadza się, przykro to pisać, ale nawet na tym forum spierałem się z "gieniuszami" - administratorami z firm hostingowych, uważającymi że certyfikat to nieważny dodatek do ssl-a, bo przecież jak jest ssl nawet bez certyfikatu to jest szyfrowanie. zapoznaj się z modelem osi. Adresy mac czyli warstwa druga leży poniżej warstwy 4/5 (ssl). Kompromitacja bezpieczeństwa na niższym poziomie oznacza (w większości przypadków) że zabezpieczenia na wyższych nie mają znaczenia (stos). Warstwa druga to najbardziej niezabezpieczona warstwa w sieciach, mimo że sieci przełączalne już istnieją od końca lat 80. W warstwie drugiej jest szereg ataków możliwych do przeprowadzenia jak mac spoofing, arp overflow, manipulacja spanning tree, sztormy, łamanie vlanów - podwójne tagowanie, hoping itp itp. Centra certyfikacji są jak najbardziej za tym aby utwierdzać ludzi w przekonaniu ze wydany przez nich certyfikat (pieniądze) zapewnia totalne i absolutne bezpieczeństwo przed wszystkim Akurat przed tym co zostało opisane certyfikat zabezpiecza. Oczywiście pod warunkiem że użytkownik CHCE być zabezpieczany, a nie robi wszystko żeby to zabezpieczenie obejść. ps. na innych nadal niższych poziomach modelu osi można by jeszcze naliczyć kilkadzesiąt (set?) wektorów ataków Nie rozwiążesz większości problemów z zabezpieczeniem warstwy 2 wyższymi warstwami. Po prostu masz niedoświadczonego admina lana Chyba sam nie za bardzo wiesz co piszesz. Testowałem na własnej skórze, aczkolwiek nie jest problemem uzyskanie loginów oraz haseł innych osób będąc w tej samem sieci LAN. Myślę, że warto jest znać narzędzia które służą innym nie niecnych celów, a nam administratorom dają możliwość przetestowania swoim sieci, serwerów, itp Najważniejszym w tym wszystkim jest jednak pytanie dlaczego https puszcza te dane czystym tekstem. A jak ma puszczać? https nic nie ma do kodowania haseł, to jest szyfrowanie POŁĄCZENIA. To co z jednej strony wchodzi, z drugiej musi dać się odczytać. Poczytaj na czym polega ten atak Man-in-the-middle. Udostępnij ten post Link to postu Udostępnij na innych stronach
ambrozy 0 Zgłoś post Napisano Maj 24, 2010 Po 1 dziękuję wszystkim za włączenie się do dyskusji Po 2 w moim lanie jestem sam, więc nie widzę potrzeby jego zabezpieczania. Nawet gdyby była taka potrzeba to wiedziałbym jak to zrobić. Nie mniej dzięki za takie uwagi Po 3 być może Cain & Abel podmienił certyfikat (muszę to sprawdzić) i dlatego był wstanie odczytać login i hasło, ale dlaczego w takim razie logując się przez AfterLogic Webmail Lite dane te nie zostały przechwycone? Po 4 pokusił się ktoś z Was, aby zainstalować tą aplikację i samemu sprawdzić czy tylko teoryzujecie? Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Maj 24, 2010 Po 3 być może Cain & Abel podmienił certyfikat (muszę to sprawdzić) i dlatego był wstanie odczytać login i hasło, ale dlaczego w takim razie logując się przez AfterLogic Webmail Lite dane te nie zostały przechwycone? Afterlogic ma dosyć specyficzny przesył danych - buduje JavaScriptem po stronie klienta i później via POST przesyła taki dosyć specyficzny komunikat - który czystym POST nie jest, więc dosyć ciężko ogólnie z niego z automatu coś wydobyć. Udostępnij ten post Link to postu Udostępnij na innych stronach