| 1.1, Аноним (-), 14:08, 27/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– | |
> основное назначение mitmproxy не проведение MITM-атак
Да-да-да, мы так и поверили
| | |
| |
| 2.3, тоже Аноним (ok), 14:16, 27/12/2016 [^] [^^] [^^^] [ответить]
| +21 +/– |
 Если некто может впихнуть вам в систему левый корневой сертификат - он вас уже поимел, говорить о безопасности бессмысленно.
Если же вы сами ставите себе в рабочую систему левые сертификаты - "зачем нам враги, когда у нас есть такие друзья"?
| | |
| |
| 3.7, vantoo (ok), 15:36, 27/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Дома нет, но кому надо на рабочих машинах админ установит этот сертификат.
| | |
| |
| 4.8, Crazy Alex (ok), 15:54, 27/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Тогда какой это MITM? Организация на своих машинах мониторит свой трафик
| | |
| |
| 5.16, тоже Аноним (ok), 17:19, 27/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
 А те, кто сгенерил на своих дорвеях сертификаты, подпертые тем же корнем, просто аккуратно к этому мониторингу присоединяются.
| | |
| |
| 6.35, Аноним (-), 14:55, 29/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> А те, кто сгенерил на своих дорвеях сертификаты, подпертые тем же корнем, просто
> аккуратно к этому мониторингу присоединяются.
если организация не в состоянии обеспечить защиту и контроль использования своего корневого сертификата - то, может, и свой дорвей конструировать незачем, проще подобрать супер-пароль q12345we от консоли местного админа-безопасника-специалиста по потряхиванию кардриджей в одном лице, и налаждаться готовым и удобным уеб-дваноль интерфейсом без лишней возни?
Интересно вот - что нынче принято делать с cert pinning? Для андроида решения вроде есть и поддерживаются в кое-как актуальном виде, для ios, как я понимаю, только для старого, в линуксе готовых рецептов я не знаю, но вероятно, это несложно, в крайнем случае см в андроид, для винды - хрен да нихрена?
P.S. нет, не переживайте так, я интересуюсь исключительно с образовательно-научной целью. Ваши данные мне в хрен не нужны.
| | |
|
|
|
| 3.11, Аноним (-), 16:19, 27/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Если же вы сами ставите себе в рабочую систему левые сертификаты - "зачем нам враги, когда у нас есть такие друзья"?
А если мне подебажить надо?
| | |
| |
| 4.17, тоже Аноним (ok), 17:20, 27/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А если мне подебажить надо?
Мне слово "рабочую" нужно было капсом написать, да? Незаметно получилось.
| | |
|
| 3.41, freehck (ok), 15:31, 31/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Если некто может впихнуть вам в систему левый корневой сертификат - он вас уже поимел, говорить о безопасности бессмысленно.
Кстати да, именно этим наша компания поздравила сотрудников с Новым Годом. Всем виндовым машинкам впендюрили корпоративный сертификат автоматически, всем линуксоидам разослали письмо с просьбой подложить сертификат самостоятельно.
Что интересно, у меня чувство, что я один отказался это сделать. Почему-то даже линуксоиды пожали плечами и сказали "ну окей, видимо так надо".
| | |
|
| 2.39, Аноним (-), 21:50, 30/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Да-да-да, мы так и поверили
Однако ж скрипткидизов с сабжем таки попадалось. Есть даже комплекты кульхацкера где для самых маленьких автоматизирован даже arp poisoning какой-нибудь или расстановка fake AP.
| | |
|
| 1.4, Аноним (-), 14:30, 27/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Следует отметить, что основное назначение mitmproxy не проведение MITM-атак, а организация отслеживания трафика в корпоративных системах и диагностика проблем, например, отслеживание скрытой активности приложений.
Таки да, или да?
| | |
| |
| |
| |
| 4.43, Андрейка (?), 14:08, 03/01/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Специально поднимал хост с прозрачным mitmproxy, когда он еще не был 1.0 в гейм-студии для того, чтобы дебажить приложения (т.к. на iphone/andriod ставить какой-то прокси с логированием запросов не реально), имитировать разрыв соединения или потерю пакетов (имитация мобильной сети) и т.д.
Для гейм-дева например идеальный инструмент, если в качестве протокола используется http(s)
| | |
|
|
|
| 1.5, Аноним (-), 14:33, 27/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
<newbmode>ну и как этой штукой сматреть пароли вкантактике?</newbmode>
| | |
| |
| 2.6, тоже Аноним (ok), 14:46, 27/12/2016 [^] [^^] [^^^] [ответить]
| –4 +/– |
Шаг первый: рассказываешь пацанам из команды Вконтактика, как этой штукой классно проверять корпоративную сеть...
| | |
|
| 1.12, proud_anon (?), 16:22, 27/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"Исходные тексты проекта написаны на языке Python ... основное назначение mitmproxy не проведение MITM-атак, а организация отслеживания трафика в корпоративных системах.." ха-ха 3 раза - петон для корпоративнеых пользователей
| | |
| |
| 2.29, Аноним (-), 06:46, 28/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Прикинь, Python, Java, C# чаще всего для создания корпоративных приложений юзают. Ибо дёшево и сердито.
| | |
| 2.31, Аноним (-), 14:29, 28/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> "Исходные тексты проекта написаны на языке Python ... основное назначение mitmproxy не
> проведение MITM-атак, а организация отслеживания трафика в корпоративных системах.."
> ха-ха 3 раза - петон для корпоративнеых пользователей
То ли дело Borschelisp!!
| | |
|
| |
| |
| 3.23, Аноним (-), 19:00, 27/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
А что такого? Может кому-то надо свой таким образмо исследовать, не пропадать же удобному инструменту. В итоге вместо каки-то странных сертификатов будут вполне валидные от LE.
| | |
| |
| 4.24, rshadow (ok), 19:15, 27/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 LE проверяет кому выдает сертификаты. На неподконтрольный домен нельзя получить сертификат.
| | |
| 4.38, Аноним (-), 01:25, 30/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Если у тебя есть свой веб-сервер с доменом, и на него ты получил сертификат от Let's Encrypt, то да – можно выставить mitmproxy наружу, а за ним – уже настоящий веб-сервер.
| | |
|
|
|
| 1.14, Аноним (-), 16:41, 27/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
ага, на бидоне писать ТАКОЕ !!
и задержки и издержки по ресурсам будут ТАКИЕ что ... ужос, ужос .
даже на леговесных аналогах вроде руби(некоторые возились с движком, используемым также в metasploit, например. также в корпоративных DLP и одной софтовой(по штилю)IDS он тоже используется).
| | |
| |
| 2.18, Аноним (-), 17:30, 27/12/2016 [^] [^^] [^^^] [ответить]
| +9 +/– |
> ага, на бидоне писать ТАКОЕ !!
> и задержки и издержки по ресурсам будут ТАКИЕ что ... ужос, ужос .
> даже на леговесных аналогах вроде руби(некоторые возились с движком, используемым также в > metasploit, например. также в корпоративных DLP и одной софтовой(по штилю)IDS он тоже используется).
ruby - это легковесный аналог python?
| | |
| 2.30, Аноним (-), 06:48, 28/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Что. Ты. Несёшь?
Криворукая макака и на асме напишет так, что тормозить будет даже на Зеоне.
| | |
| |
| 3.42, Аноним (-), 23:31, 31/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Криворукая макака и на асме напишет так, что тормозить будет даже на Зеоне.
По крайней мере metasploit - кусок глюкавого гумна которое работает через раз. Нет, не эксплойты, само горбатое двигло. Что на питоне, что на рубях один хрен макеты программ. Далеко не всегда действующие.
| | |
|
|
| |
| 2.28, tensor (?), 05:41, 28/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Скорее, замена squid+ssl_bump и icap-мониторилки на питоновый комбайн.
| | |
| 2.44, Андрейка (?), 14:11, 03/01/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Ой, класс!!)) Это замена wireshark ???
Это дополнение к wireshark, чтобы более подробно http(s) смотреть, а не то убогое, что можно вытащить из libpcap
| | |
|
| 1.25, anonymous (??), 20:08, 27/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Ничего нового. squid уже давно умеет делать mitm в https по описанному сценарию. Жаль только, что privoxy этого не умеет, как не умеет работать через squid
| | |
| |
| 2.45, Андрейка (?), 14:13, 03/01/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Ничего нового. squid уже давно умеет делать mitm в https по описанному
> сценарию. Жаль только, что privoxy этого не умеет, как не умеет
> работать через squid
Только squid не умеет тебе показать все отфильтрованное в красивой веб-мордке и/или в консольке - это раз, а два - на лету определить правила для блокирования/модификации запросов по некоторым условиям
Не, на squid все это можно, но с костялыми, геммороем и каждый раз конфиг менять, если ты решил логотип ВКшечки заменить на матерное слово своим юзерам
| | |
|
| 1.33, DmA (??), 16:42, 28/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вчера принесли ноутбук, на котором все браузеры сообщали, что "недоверенное соединение"!Время было правильно. Сначала подумал, что сертификаты доверенных центров потерялись... Смотрю, много их там. Начал присматриваться к сертификатам сайтов что-не так. Оказалось, что сертификаты на всех сайтах выдан одним центром -atompark. Начал искать информацию, оказалось, что в далёком 2012 году кто-то установил на ноутбук программу StaffCop Home, которая призвана следить за действиями пользователя и записывать куда он ходит в инете, все нажатые клавиши, что пишет в инете, даже скриншоты рабочего стола. За 4 года эта программа накопила 45 гигабайт данных(из них 43 скриншоты...) . Для подглядывания в https трафик mitm атака была осуществлена, а все сертификаты подменялись на выданные atompark. Вот у этих сертифкатов 11.11.2016 закончился ключ и браузеры начали ругаться, что соединение недоверенное. При установке этой программы в 2012 году в доверенные был добавлен сертификат AtomPark и пользователь 4 года не замечал, что слежка за ним ведётся...
На сайте staffcop.ru было написано,что удалить программу StaffCop Home можно только найдя в её папке файл unins000.exe . Но такого файла не оказалось :) Наверно предусмотрительно удалили его.
Написал в тех поддежку staffcop как удалить их фигню, но спустя сутки так и не ответили они ничего. Хорошо не стал ждать ответа от них и сбросил через netsh настройки winsock и интерфейсов и отключил службы связанные с Staffcom(принадлежат AtomPark). Просто отключение их спецслужб не помогает! Нужно сбрасывать настройки. Лучше это делать периодически...!
Так что возможно на вашем компе уже кто-то установил нужный сертификат в доверенные пока вы отсутствовали дома или забыли ноутбук у друзей и за вами давно ведётся слежка...
| | |
| |
| 2.34, anon99990 (?), 12:55, 29/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Объясните, как может существовать валидный сертификат для всех сайтов? Разве сертификат выдается не для определенного домена и затем подписывается авторизующим центром? И таким образом должен действовать только на одном сайте?
| | |
| |
| 3.36, Аноним (-), 15:05, 29/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Объясните, как может существовать валидный сертификат для всех сайтов?
банально, юнош, банально..
> Разве сертификат
> выдается не для определенного домена и затем подписывается авторизующим центром?
вот вам и впихивают левый "авторизующий центр" в конфиг.
Дальше прокся строит нормальную сессию с target - но со своего интерфейса, не с твоего.
полученное расшифровывает, тырит оттуда CP, сливает куда надо, а тебе генерит одноразовый сертификат для того домена, подписывает его _своим_ CA, который у тебя в доверенных - и ты ничего не замечаешь, долго, пока за тобой не приходят.
Немного портит эту счастливую картину технология, именуемая certificate pinning (придуманная, как обычно, вовсе не для того чтоб сделать твою жизнь счастливой,хотя, разумеется, и рекламируемая в этом ключе, тихонечко опуская ее истинное назначение). К сожалению, если ты не гугль или MS, или не распространяешь CP, от нее больше вреда чем пользы.
| | |
| 3.37, DmA (??), 00:32, 30/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Браузеры на компе при получении https сертификата сайта, проверяет время его действия сравния со временем текушего компьютера и смотрят, кем выдан этот сертификат. Если сертификат самоподписанный, то недоверяют ему, если просрочен(закончился или наоборот неначался, то тоже нет доверия, это часто бывает, когда нет время на компе сбилось), если сертификат подписан неким удостоверяющим центром, то проверяется есть ли такой удостоверяющий центр в хранилище сертификатов, если есть то сайт признаётся нормальным. Причём браузерам будет пофигу, что все сайты в Интернете будут подписаны всего одним удостоверяющим центром. Главное, чтобы сертификаты были не просрочеными!
На каждом компьютере в системе установленны по умолчанию. десятки центров сертифкации, а ещё каждая программма, которая при своей установке требует админские права может ешё нафуговать нужные ей корневые удостоверящие центры!
| | |
|
|
|
