Är HTTPS/SSL/TSL såhär enkelt att knäcka? (Videoinslag i Aftonbladet)

Nej, det är ingen bugg, det är liksom så hela konceptet med en MITM-attack fungerar

Vems SSL-certifikat är det som indikerar att det är en https-anslutning? Är det Outlooks eller hotspot:ens?

Enkelt förklarat hur det kan gå till. Förkortar O - offer, AP - accesspunkten med div program och proxy, M - målet/webbplatsen som besöks.

O ansluter till AP likt klippet intet ont anande. När O kallar på en säker anslutning O -> M, fryser AP:n anslutningen, gör en egen förfrågan hos M och tar reda på certifikatets CN och SAN. AP genererar sen ett eget cert med dessa uppgifter som skickas till O som inte märker någon skillnad. När detta är gjort kommer den krypterade trafiken att sluta och starta hos AP:n likt:

O -> AP [okrypterat] AP -> M och O <- AP [okrypterat] AP <- M


Ja och nej. Myndigheter har inte för vana att stjäla uppgifter från privatpersoner i hopp om att kunna använda dessa olovligen. Att göra en MITM-attack på ett fastnät är ju betydligt svårare för en buse pga den fysiska (o)tillgängligheten. En Wifi-hotspot är betydligt enklare!

Läs mer på:
http://www.roe.ch/SSLsplit

Varför skulle klienten acceptera ett falskt certifikat? Även mobiltelefoner har en egen rotlista som de använder för att verifiera certifikat.

Dessutom visade skärmdumpen att det var http och inte https som användes.

Angående SSLsplit så kräver det att du har kontroll över en betrodd CA. Jag tror inte att snubben i klippet gjorde det.

Amen va fan! Skrev jag ett långt svar så hann jag bli utloggad! Men för att sammanfatta; Ja, det är ju inte helt självklart att hans iPhone ska acceptera certet utan varning. När jag får lite mer tid ska jag testa att installera https://mitmproxy.org/ här hemma.

Skulle denna funktionalitet ha ändrat något, eller förhindrat en sådan attack?

http://www.swedroid.se/android-komme...ad-dns-trafik/
Alltså krypterad DNS-trafik.

Själva poängen med ssl är att det inte skall gå att fejka certifikat. Även om det finns brister i systemet så kommer du inte att kunna ladda ner ett program från github som lurar en uppdaterad webbläsare, eftersom webbläsarna patchas för att förhindra attacker långt innan dessa blir allmänt kända. Den stora svagheten är att de betrodda certifikatutfärdarna antingen kan bli lurade att ge ut falska certifikat eller bli tvingade av myndigheter att göra så.

I det här fallet tror jag inte att det handlar om falska certifikat utan att man lyckas slänga upp något på skärmen som ser ut som en vanlig app. Kan man t.ex. lura telefonen att visa en captive portal i fullskärm så är det trivialt att göra html-element som ser ut som adressfält och hänglås. Sedan kommer det intet ont anande offret att själv knappa in sitt lösenord på begäran.

Det gick - men ändå inte! Nu har jag inte ett swehack-klistermärke på min dator så min begränsade empiriska undersökning ska inte tas som fakta. Möjligt att andra har större framgång med dessa verktyg.

Chrome skrek som en stucken gris vad jag än försökte göra och lät mig inte gå vidare alls:


IE gav mig dock alternativet att installera mitmproxy's certifikat (vilket jag gjorde) och sen fortsätta. Fick ständiga varningar om cert-fel i URL-rutan, men kunde tillslut logga in på live.com och plocka lösenordet trots https.

Med certet installerat prövade jag Chrome igen. Tvärvägrade att låta mig gå till Google och Flashback, men login.yahoo.com fungerade och även där kunde jag se lösenordet.

Så ja, om man fullständigt ignorerar en uppsjö av varningar (som förhoppningsvis börjar redan när man ansluter till ett öppet nätverk), installerar mitmproxy's certifikat och ändrar det så man alltid litar på SSL, fortsätter att klicka sig förbi varningarna, så fungerar det utan problem

Grabbarna borta på https://swehack.org/ kanske skrattar åt mig nu, men riktigt så enkelt som i klippet verkar det inte vara.

Mycket intressant. Alltså kör bara bank id och egna surfen. Ha så lite som möjligt på mobilen. Jag kör inte ens hotmail på den.

Man kan undra vad det är för kuff som orkar sitta och kolla igenom allt. Vad ska man hitta ? att någon runkar åt midgets hehehe.

Man kan ju inte sno något direkt mer än ett hotmail konto och några kort uppgifter.... Klart det finns folk till allt.

https:// är det säkraste ännu.

Det enda som kan vara lite kul är ju att kapa folks facebook. Fult i niggers och länkar till deras penisar =)

Intressant!

Ursäkta om jag hänger dåligt med, men exakt vad har du gjort för att komma fram till detta? Har du använt din egen utrustning, dator, telefon och router?

Det du säger gör ju en MITM-attack betydligt mindre benägen att ställa till med skada. Och håller man sig borta från öppna nät så känns det som att man borde vara helt säker.
Sajter som implementerat HTTPS fel, till exempel https://hstspreload.org/?domain=forsakringskassan.se antar jag kan vara sårbara fortfarande dock?

Jag använder Google WiFi Assistant, en tjänst från Google (finns på Nexus- och Pixel-telefoner endast) som kopplar upp dig automatiskt mot öppna wifi-nätverk av hög kvalitet, över Googles vpn-tunnel. Det är wifi-nätverk som finns med i en betrodd lista, typ Espresso House och Starbucks.
Tack vare vpn-tunneln så antar jag att dessa öppna nätverk kan betecknas som säkra.

Längtar tills man kan ha deras vpn-tunnel aktiv som standard, dvs även aktiv när Wifi Assistant inte kopplat upp dig automatiskt. Vissa kanske är rädda för Google och deras (bristande) integritetsskydd men jag hade i varje fall känt mig tryggare om trafiken gick den vägen. Hellre att Google "ser" än en svensk ISP eller svensk myndighet, anser jag....

Ja precis! Installerade mitmproxy på en "trådad" Linux-burk och sparkade igång WiFi:t som en hotspot. Sen var det bara att ansluta och börja testa.


Som jag skrev är jag försiktig med vad jag påstår För dom få tillfällena (typ en gång om året) jag måste använda öppna nätverk använder jag VPN.


Huruvida FSK är sårbar eller inte ligger utanför min kompetensnivå Google kan ju vara något man vill undvika ja