Kan dit HTTPS site spoofes?

Se også http://www.youtube.com/watch?v=ibF36Yyeehw

#1

Tak for henvisningen. Lidt mere fra samme kant:

http://www.thoughtcrime.org/software/sslsniff/

http://www.thoughtcrime.org/software/sslstrip/

http://vimeo.com/50018478

http://www.youtube.com/watch?v=XtaAuhQWvcg

Værktøjerne er standard i BackTrack Linux og BackBox Linux.

GRC's artikel er som sædvanligt meget interessant, men jeg mener ikke at hans metode med at bruge grc.com som reference til at tjekke om man bruger en SSL proxy er brugbar. For det er jo ikke sikkert at firmaet/institutionen sender alt igennem proxyen, den kan sagtens være selektiv. Så blot fordi man konkluderer at grc's fingeraftryk er korrekt, er dette ikke nogen som helst garanti for at fx Facebooks eller Gmails også er det.

Jeg har derfor foreslået ham at han laver en tekstboks hvori man kan indtaste en url og ud fra denne få vist url'ens fingeraftryk som så kan sammenlignes med det ens egen browser viser.

#2: Tak for henvisningen. Lidt mere fra samme kant:

Kan man bruge disse og tilsvarende værktøjer til at få et indblik i hvad visse android-apps sender frem og tilbage over https? Til min egen læring og udvikling har jeg ofte glæde at at se hvordan apps kommunikerer (typisk via json) med fjernservere, og hertil bruger jeg wireshark. Der er dog nogle af dem som jeg er interesseret i som benytter https. Det kunne derfor være lækkert hvis jeg kunne få åbnet tunnellen og se hvilke pakker der overføres.

#3: Så blot fordi man konkluderer at grc's fingeraftryk er korrekt, er dette ikke nogen som helst garanti for at fx Facebooks eller Gmails også er det.

Korrekt og Gibson nævner fx også at gmail fungerer lidt anderledes.

Google and Apple are different: Some visitors are being confused by
Google's and Apple's certificate fingerprints which change and may not
match.

#3: Jeg har derfor foreslået ham at han laver en tekstboks hvori man kan indtaste en url og ud fra denne få vist url'ens fingeraftryk som så kan sammenlignes med det ens egen browser viser.

Jeg er mægtig interesseret i at høre hans svar. Hans eget er ikke blot et eksempel, men også en tekstbox til at aflæse andre URL'er, inklusiv forklaringer på hvordan man ser certifikatets fingerprint i de forskellige browsere. Fedt hvis du melder tilbage.

Blot for at afgøre en eventuel misforståelse, IHT afsnittet: How to display this page's (or any page's) SSL certificate fingerprint:

Med hensyn til https://www.facebook.com som eksempel, vises
SHA-1 =>
2B 1F 51 74 76 39 FA 82 11 F0 6F A1 1D 04 A5 5F 93 A5 86 D1 fra Gibson's site.

Enter man https://www.facebook.com i browserens adressefelt, kan man læse fingerprint ved at følge browserens metode, og derefter sammenligne SHA-1 med GRC's.

I mit tilfælde vises det samme SHA-1:
2B 1F 51 74 76 39 FA 82 11 F0 6F A1 1D 04 A5 5F 93 A5 86 D1 hvilket naturligvis er godt.

Men SHA-1 og 2 hash er forældet, og derfor er der nu en ny SHA-256 standard.

#4: Kan man bruge disse og tilsvarende værktøjer til at få et indblik i hvad visse android-apps sender frem og tilbage over https?

Det ved jeg ikke fordi jeg ikke har prøvet. Min egen telefon er blot en old gammel Nokia, der ikke kan andet end ringe og sms'e. Jeg bliver svar skyldig, men er selvfølgelig interesseret i at høre nærmere, hvis du eller en anden venlig sjæl forsøger.

#3: Jeg har derfor foreslået ham at han laver en tekstboks hvori man kan indtaste en url og ud fra denne få vist url'ens fingeraftryk som så kan sammenlignes med det ens egen browser viser.


Men er den ikke allerede på siden: "Custom Site Fingerprinting"? - misforstår jeg dig, eller har han opfyldt dit ønske meget hurtigt?

Jeg skal lige forstå det korrekt. Fra https://www.grc.com/fingerprints.htm : "..simply arranges to add one additional “Pseudo Certificate Authority” to their users' browsers or computers. It's that simple."

Er vi ikke enige om at hvis man selv har installeret sit OS+browser og iøvrigt ikke har givet administrator-rettigheder til andre, så er man på sikker grund?

#7: Er vi ikke enige om at hvis man selv har installeret sit OS+browser og iøvrigt ikke har givet administrator-rettigheder til andre, så er man på sikker grund?

Jo på Linux og hvis det er ens egen maskine med default standard konto, men også spørgsmål om servere der kører root, og Windows OS hvor folk sædvanligvis bruger en administrativ konto. For nogen formentlig support, og generel viden om SSL m.f.,s sikkerhed, eksempelvis hvis man benytter en tunnel løsning fra tredjepart.

#8: Jo på Linux og hvis det er ens egen maskine med default standard konto, men også spørgsmål om servere der kører root, og Windows OS hvor folk sædvanligvis bruger en administrativ konto. For nogen formentlig support, og generel viden om SSL m.f.,s sikkerhed, eksempelvis hvis man benytter en tunnel løsning fra tredjepart.

Det er virkelig ikke for at være pernitten, men nu har jeg læst ovennævnte ti gange, og jeg forstår det stadig ikke. Kan jeg ikke få dig til at tjekke fra "men også...." og fremefter om der mangler en halv sætning somewhere? :)

Hvis det er administrative konti du er i tvivl om, så er der forhøjet systemadgang uanset OS, imodsætning til standard konti, der kun har adgang til profilen.

Er det tredjepart https tunneling, så prøv at tjekke HASH på eksempelvis https://www.privatetunnel.com/ fra Gibsons site.

#6: Men er den ikke allerede på siden: "Custom Site Fingerprinting"? - misforstår jeg dig, eller har han opfyldt dit ønske meget hurtigt?

Hmm. Godt spørgsmål. Jeg har ikke bemærket det før nu, men jeg vil da ikke udelukke at jeg simpelthen har overset det før. Det er ca. 5 dage siden jeg skrev, så han kunne i princippet godt have implementeret det allerede.

#7: Er vi ikke enige om at hvis man selv har installeret sit OS+browser og iøvrigt ikke har givet administrator-rettigheder til andre, så er man på sikker grund?

I Snowden-sagen har det været fremme at NSA har adgang til falske certifikater, og hvis det sker på et meget højt plan (rodcertifikater) tror jeg ingen af os er sikre.

#5: Det ved jeg ikke fordi jeg ikke har prøvet. Min egen telefon er blot en old gammel Nokia, der ikke kan andet end ringe og sms'e. Jeg bliver svar skyldig, men er selvfølgelig interesseret i at høre nærmere, hvis du eller en anden venlig sjæl forsøger.

Det jeg mener er hvis man installerer en SSL proxy på sin linux-pc og kører netværket igennem den, kunne man så følge med i SSL data fra telefonen som således dirigeres igennem proxyen?

#13: Det jeg mener er hvis man installerer en SSL proxy på sin linux-pc og kører netværket igennem den, kunne man så følge med i SSL data fra telefonen som således dirigeres igennem proxyen?

Godt spørgsmål. Det har jeg heller ikke forsøgt.

Custom fingerprint har været der hele tiden, også som nævnt i #5 og også i #0, der var lidt hensigten med tråden.

#12: I Snowden-sagen har det været fremme at NSA har adgang til falske certifikater, og hvis det sker på et meget højt plan (rodcertifikater) tror jeg ingen af os er sikre.

Principielt er det naturligvis et problem, men hvis det begrænser sig til NSA, så stoler jeg på, at de ikke vil risikere at eksponere et man-in-the-middle trick bare for at tjekke min https-trafik. Men det er sgu ret vildt at man ikke kan føle sig sikker over en SSL forbindelse.

#12: I Snowden-sagen har det været fremme at NSA har adgang til falske certifikater, og hvis det sker på et meget højt plan (rodcertifikater) tror jeg ingen af os er sikre.

Jah NSA er nogle værre nogen:

https://db.tt/ctw8VNyJ

Just kidding ...