RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Saturday, August 1. 2015

Wild, wild net

Dziś krótkie nawiązanie do tego komentarza. Dlaczego uważam, że jest sens używać TLS (lub ogólnie - bezpiecznego kanału) dla każdej komunikacji? Dlatego, że inaczej żyjesz w matriksie. Kilka rzeczy, o których warto pomyśleć.

Pierwsza sprawa - skąd komputer bierze ustawienia sieci. Z DHCP? No to warto pamiętać o Rogue DHCP. Jeśli atak się uda - game over (w uproszczeniu):

  • podmiana domyślnej bramki (efekt - man-in-the-middle);
  • podmiana serwera DNS (efekt - skierowanie ruchu na swoje serwery / man-in-the-middle);
  • podanie ustawień WPAD (efekt - skierowanie ruchu na swoje serwery).

Tu przykład tego, co może się stać, jeśli ktoś kontroluje DNS: Sprawdź z jakich DNS-ów korzystasz (...).

Kolejny krok - mapowanie IP na ARP, a tutaj oczywiście ARP Poison Routing. Efekt oczywisty.

I tak można dalej i dalej...

Z mojego punktu widzenia - lepiej jest założyć, że sieć jest ZŁA i dbać o bezpieczeństwo wyżej właśnie z wykorzystaniem bezpiecznego kanału (ogólnie: end-to-end encryption). Czy TLS rozwiązuje wszystkie problemy? Oczywiście, że nie. Widać coraz wyraźniej, że PKI nie działa tak jak powinno w związku z czym pojawiają się nowe pomysły (np. HTTP Public Key Pinning).

P.S: Skutkiem ubocznym przejścia na HTTPS było praktycznie całkowite wyeliminowanie spamu z komentarzy.

Ślady
Brak Śladów
Komentarze
No właśnie, warstwy. Jaki jest sens stosowania wszędzie HTTPS (co ma swój, IMO niepomijalny, patrząc globalnie, koszt), skoro niższe warstwy kuleją? Przypomina to montowanie wypasionych zamków do drzwi z dykty.

Wiele też zależy od tego, kto atakuje. Na script kiddie w sieci LAN oczywiście HTTPS pomoże, natomiast gdziekolwiek "wyżej" robi się problematycznie.

Niezależnie od metody przydzielania adresu IP, mały lokalny ISP jest w stanie przechwycić ruch DNS, a realnie patrząc użytkownik końcowy nie ma żadnego narzędzia szyfrowania czy nawet uwierzytelniania tego ruchu. Zwł. w łatwy sposób, bo ogólnie to "się da" wszystko.

O ile lokalny ISP pewnie będzie miał problem z podstawieniem fałszywego certyfikatu SSL, to już na poziomie państwowym czy instytucji międzynarodowych nie sądzę, by był z tym większy problem. Podobnie jak z przejmowaniem ruchu (BGP nadal lata w większości bez autoryzacji).

Ogólnie: nie twierdzę w żadnym razie, że poprawianie bezpieczeństwa, czy podejście "warstwowe" nie ma sensu, ale obecna sytuacja przypomina leczenie syfa pudrem. Akurat wymuszony HTTPS dla całości ruchu mnie boli o tyle, że to zabawa dość kosztowna (globalnie) ze względu na skalę, a bez poprawy w innych warstwach - niezbyt skuteczna.
#1 rozie (Strona) o 2015-08-03 08:08 (Odpowiedz)
Moim zdaniem analogia z zamkiem i drzwiami jest nietrafiona. Lepszym porównaniem byłoby umieszczenie za tymi drzwiami z dykty sejfu. Tak, drzwi są łatwe do pokonania, jednak by dostać się do środka ciągle jeszcze trzeba pokonać sejf.
#1.1 Paweł Goleń o 2015-08-03 20:26 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Blind SQL Injection z wykorzystaniem regexpów
Thursday, 16 June 2011
Dwie dziury w Acrobat Reader (znów 0-day)
Wednesday, 29 April 2009
Nie używasz Internet Explorer? No i co z tego...
Monday, 18 January 2010
Nowe narzędzie pracy
Sunday, 15 March 2009
Rozważań o usługach część dalsza
Sunday, 12 July 2009
I (prawie) po emigracji
Wednesday, 10 June 2015
I jeszcze o czasie (time_t, FILETIME, TIMESTAMP)...
Monday, 8 December 2008
Czyżby TO było problemem sprzętowym?
Wednesday, 23 October 2013
"GlobalId encoding"
Wednesday, 14 January 2009
Płytka raz jeszcze - timestampy
Tuesday, 13 January 2009