Azért ez így picit para. Azt hittem nehezebb manapság MITM-t csinálni.
- heckles04 blogja
- A hozzászóláshoz be kell jelentkezni
- 1563 megtekintés
Hozzászólások
Sok szolgáltató rámatricázza a pw+ssid combót az eszközre. Nem kell rögtön halálfejes lobogókat látni.
- A hozzászóláshoz be kell jelentkezni
Átolvastam. Nem derülki egyértelműen, de itt az volt a lényeg, hogy az eszköz cserélődött az ssid mögött.
A telefon pedig úgy csatlakozott, mintha misem történt volna.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni
Ez a helyes működés.
- A hozzászóláshoz be kell jelentkezni
Mit kellett volna észrevennie a telefonnak?
Az AP tulajdonságai változhatnak, különben macerás lenne egy több AP-s, azonos SSID-jű hálózat használata.
Az SSID és az azonosítás a telefon által ismert volt, így feljelentkezett.
Más változó nem nagyon van.
- A hozzászóláshoz be kell jelentkezni
Naívan azt hittem, hogy eleve tudni lehet, hogy egy wirless lan több ap-s vagy sem.
És ha az akkor az ap-k jelölve vannak, hogy melyik a hálózat érsze és melyik az új.
pl. ez egy új ap. az adott ssid-n biztos csatlakozol?
Első csatlakozásnál nyilván kapnál egy listát az adott ssid-t osztó ap-król.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni
pl. ez egy új ap. az adott ssid-n biztos csatlakozol?
Ez még az enterspájz Wifinél is megoldatlan probléma, ahol az AP adatain felül is van miből kiindulni. A leggyakoribb ugye a PEAP (Protected EAP, ahol az EAP beszélgetést becseszik egy TLS csatornába). Ott ugye van mögötte egy RADIUS-od, amivel authol a pici bamba kliensgép, jó esetben tudja, hogy mi a felhasználónév és jelszó. Kapja _valakitől_ a kérdést, hogy "na de te ki vagy?", a _valaki_ felmutatja, hogy hát a Jóska igazolta, hogy én vagyok a Béla.
És itt a probléma: egyrészt ki mondja meg, hogy a Jóskák melyik csoportja igazolhat (általában az OS cert store-ja, mert abban kb. mindenki egyetért, hogy a RADIUS-nál illik saját CA-t használni :) ), másrészt ki mondja meg, hogy a Pista SSID-jú hálózaton a Bélával szabad-e szóba állni (általában az van, hogy _legjobb esetben_ az OS első csatlakozáskor megjegyzi, hogy milyen CN volt a certen, akivel beszélgetett).
A megoldás természetesen az, hogy az első csatlakozás _előtt_, egy másik csatornán valahogy beállítod, hogy az adott SSID-n az adott CA által aláírt, adott CN-re érvényes certet várjon. A valszeg legnagyobb PEAP deployment (eduroam - tippre százezres nagyságrendű az AP-k száma világszinten) ezt úgy oldja meg, hogy generáltathatsz raklap OS-re Identity provider (~intézmény, aki a hitelesítést végzi)-specifikus beállító programot (Eduroam CAT).
Vaaagy, csinálhatod azt, amit a legtöbb OS és simán bármilyen jött-mentnek átküldheted az auth adataid (Androidnál talán most már nem az a default, hogy ne foglalkozzon a cert-tel, de még mindig csak kiállító adható meg, CN nem; makkosiksz idegen CA-nál rákérdez, hogy megbízol-e benne (és helyi admin fiók kell az első csatlakozáskor); Linux disztrók mindenhol máshogy, többnyire semmi; Windows... alapból a megbízható CA-któl bármit elfogad és első csatlakozáskor megjegyzi a CN-t, ha meg nem olyan certet kap, amit megbízható CA írt alá, akkor bármilyen értelmes hibaüzenet nélkül csak közli, hogy "hát nem sikerült csatlakozni")
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Enterprisnál eleve minden userhez kell a jelszó. Igazából nyilvános wifinél lehet ez gyerek játék.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni
Az se biztos (van EAP-PSK-tól kezdve a TLS kliens certig minden), de a gond, hogy ha az eszköz nem nézi, hogy kinek küldi át, továbbra is ott van. Lehet, hogy minden usernek külön jelszava van, de minden user eszköze simán odaadja neked az adott user jelszavát, ha rosszul van beállítva és szépen kéred :) (oks, kapsz valamit, ami alkalmas authra, és pl. egy challenge-response protokollnál aktívan "proxyznod" kell a kérdést/választ, de hozzáférsz a kommunikációhoz)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Egyébként milyen problémát jelent ez?
- A hozzászóláshoz be kell jelentkezni
Egy világ dőlt össze benne. :)
Újjá kell építenie a világnézetét.
- A hozzászóláshoz be kell jelentkezni
a helyett, hogy gúnyolódsz leírhatnád, hogy mért nem probléma. Érdekel, de tényleg.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni
Gondolom az a baja vele, hogy egy tamado mitm-et tud csinalni egy ssid+pw ismereteben (amit ismerve mar amugy is lehet).
Fogok egy kaloz ap-t, beallitom rajta a megfelelo azonositast, es elteritem a forgalmat. Ez mondjuk annyira nem erdekes lehetoseg, de ha fogok egy mobiltelefont (mindenkinel ott levo eszkoz, nem feltuno), beallitok egy mobilnet+wifi tetheringet az otthoni ssid+pw-re, akkor menet kozben is racsatlakozhat az aldozat, es ha nem titkositott kapcsolatot hasznal (ami mar hupon is van), elkothetem a dolgait. Nem az evszazad felfedezese (elegge magatol ertetodo, es pont emiatt ugyis titkosit az ember), de erdekes, hogy a hipotetikus mitm-et kb. trivialissa teszi. Persze kell hozza az a franya jelszo..
--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates
- A hozzászóláshoz be kell jelentkezni
kb. és innen a saját dhcp-m oszthatja a saját dns serveremet. ami a saját weboldalamat fogja mutatni pl a gmail helyet.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni
És ilyenkor jön jól a certificate pinning
- A hozzászóláshoz be kell jelentkezni
A sajat dhcp igazabol reszletkerdes, mert a teljes forgalom rajtad megy keresztul. De certed a secure oldalakhoz nem lesz, szoval csak a http, ftp, smtp, es hasonlo, titkositatlan protokollok lesznek tamadhatoak (es abbol is csak az, amit nem lat el a masik fel valami plusz dologgal, pl. gpg). A legnagyobb celpont a https lenne, de az vedett a certek miatt. A mindenfele chat appok - ha jol irtak meg - szinten vedettek. Ahol volt korabban kommunikacio (pl. ssh), vagy felismered a masik oldalt (fingerprint), szinten vedett marad. Igazabol mar nem nagy overhead a titkositas, es ahol szamit, ott altalaban hasznaljak is. Ismetleses tamadasra is remelhetoleg fel vannak keszitve.
--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates
- A hozzászóláshoz be kell jelentkezni
A https-nél azért célszerű odafigyelni. Az egyik korábbi munkahelyemen volt céges proxy, ami bizony belenézett - a dolgozók tudtával - a https-be is. Igaz, ott a desktop gépen a proxy tanúsítványa is telepítve volt. De azt azért vicces volt látni, hogy a Google-höz Symantec-es tanúsítvány kap a böngésző.
- A hozzászóláshoz be kell jelentkezni
Jo, de ha az aldozat gepere certet (vagy ugy altalanossagban, akarmit, pl. spyware-t, keyloggert, stb.) tudsz telepiteni, onnan mar nem a mitm lesz a legnagyobb gondja.
--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates
- A hozzászóláshoz be kell jelentkezni
Nem feltétlen kell telepíteni. Régebben a sima self-signed cert-eket a legtöbb user leokézta - csak haladjon már - és a böngésző se nagyon hisztizett érte.
Onnantól meg olyan https-es oldalt másolsz le és mutatsz a usernek, amilyet akarsz. Viszont mostanság szerencsére azért a legtöbb böngésző nem engedi a self-signed-ot (vagy a lejárt, nem self-signed-ot) egy egyszerű okéval továbbvinni.
- A hozzászóláshoz be kell jelentkezni
"A telefon pedig úgy csatlakozott, mintha misem történt volna."
Mi történt volna?
Tudta az SSID-t, a passwordot.
Lekommunikálta a kulcsot, és kapcsolódott. Ez a dolga.
Máskor hogyan szoktál kapcsolódni?
- A hozzászóláshoz be kell jelentkezni
Nézd a napos oldalát: nyugodtan felmondhatod a szerződésedet és ingyen netezhetsz :-)
Azt hittem egyébként, hogy az lesz a sztori, hogy lopják a netet és veled akarják beállíttatni. Slusszpoén, ha tőled lopják.
- A hozzászóláshoz be kell jelentkezni
Egyebkent abbol kiindulva, hogy 2 elofizetes sokkal tobbe kerul, mint egy dupla sebessegu, a kifizetodo tenyleg az lenne, ha venne egy duplat/triplat, es ok meg a tudtaval hasznalnak/(ha hivatalosan kerdezik, lopnak).
--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates
- A hozzászóláshoz be kell jelentkezni
Tudatosan birtokon kívülre szolgáltatást (át/tovább)adni erősen szürke, mondhatni szolg. szerződéssel szembemenő dolog...
- A hozzászóláshoz be kell jelentkezni
Igen, azert irtam oda a hivatalos reszt is.
--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates
- A hozzászóláshoz be kell jelentkezni
Egy pillanatra megfordult a fejemben , de annyira olcsó itt a net, hogy nem éri meg. Ha lopnám az övék akkor talán. Da ahhoz meg egy rendes wifi kéne oda. Mivel nincs ac eszközöm így venni kéne. Mind két oldalra. 2 év alatt térülne meg talán. Ja pluszba szarabb netük van, drágábban.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni
vicc de volt hasonló. A szomszéd megkért, hogy használhassák a wifit, mert isp váltás miatt egy hétig nem lesz.
3 hét után mondom akkor pw váltás. Aztán kopognak, hogy elromlott a wifi.
Na akkor vették az első routert.
-------------------------------------------------------------------------
Nem, de lehetne.
- A hozzászóláshoz be kell jelentkezni