Шпионы (15/25) [Форумы Balancer.Ru]

Bredonosec #06.01.2019 20:06 @PSS#06.01.2019 19:55

Bredonosec

аксакал

★★★★★
админ. бан

PSS> То есть у меня было два одинаковых, до последнего байта, файла. С одним названием. Но первый успешно подхватывался программой, а второй выдавал ошибку.
PSS> Есть версия, в чем было дело?

хм... а с потоками нтфс ничего не могло быть? Типа там на одном метка, что "скачан из ненадежного источника" и потому нет прав на исполнение каких-то функций?

PSS #06.01.2019 20:09 @Bredonosec#06.01.2019 20:06

Bredonosec> хм... а с потоками нтфс ничего не могло быть? Типа там на одном метка, что "скачан из ненадежного источника" и потому нет прав на исполнение каких-то функций?

Нет. Все куда проще. Хотя направление верное.

GOGI #06.01.2019 20:09 @PSS#06.01.2019 19:45

GOGI

старожил

★★★☆
админ. бан

PSS> Выложите свой. Я свой скачаю и посмотрим есть ли отличия.
Сознаю, перепроверил, файлы разные. Видимо я первый раз копии одного файла сравнивал

Что, впрочем, ничего не меняет. Как делать перехват, не изменяя оригинальный файл, я уже описал.
Я бы даже изобразил перехват без проблем, но боюсь ФСБ не оценит моих стараний.

PSS #06.01.2019 20:27 @GOGI#06.01.2019 20:09

PSS

литератор

★★☆

PSS>> Выложите свой. Я свой скачаю и посмотрим есть ли отличия.
GOGI> Сознаю, перепроверил, файлы разные. Видимо я первый раз копии одного файла сравнивал

Значит файлы разные. Это радует. То есть точно оценивали возможности перехвата и разрабатывали противодействие.

GOGI> Что, впрочем, ничего не меняет. Как делать перехват, не изменяя оригинальный файл, я уже описал.
GOGI> Я бы даже изобразил перехват без проблем, но боюсь ФСБ не оценит моих стараний.

Так для этого опять же нужно получить как-то оригинальный файл.В результате имитировать отправку в ФСБ можно, а вот отправить туда и туда уже нет. О чем я и писал

Полл #06.01.2019 20:28 @PSS#06.01.2019 19:55

Полл

координатор

★★★★★

PSS> Есть версия, в чем было дело?

Флаги.

PSS #06.01.2019 20:37 @Полл#06.01.2019 20:28

PSS

литератор

★★☆

PSS>> Есть версия, в чем было дело?

Полл> Флаги.

А еще банальнее?

Полл #06.01.2019 20:41 @PSS#06.01.2019 20:37

Полл

координатор

★★★★★

PSS> А еще банальнее?

Первый символ в названии "оригинала" - пробел?

PSS #06.01.2019 20:44 @Полл#06.01.2019 20:41

PSS

литератор

★★☆

PSS>> А еще банальнее?

Полл> Первый символ в названии "оригинала" - пробел?

Нет. Имя файла было точным. Ладно еще попытка и говорю ответ

Полл #06.01.2019 20:47 @PSS#06.01.2019 20:44

+1

Полл

координатор

★★★★★

PSS> Нет. Имя файла было точным.
Дата изменения?

GOGI #06.01.2019 20:48 @PSS#06.01.2019 20:44

GOGI

старожил

★★★☆
админ. бан

PSS> Нет. Имя файла было точным. Ладно еще попытка и говорю ответ

Атрибуты

PSS #06.01.2019 20:52 @Полл#06.01.2019 20:47

PSS

литератор

★★☆

PSS>> Нет. Имя файла было точным.
Полл> Дата изменения?

Бинго.

Только все было еще веселее. То ли автор забыл про дату увлекшись алгоритмом сжатия/компрессии или просто где-то допустил ошибку. Но тот архиватор вообще не сохранял дату файла. Созданный файл имел дату 01-01-1900.

Полл #06.01.2019 21:02 @PSS#06.01.2019 20:52

Полл

координатор

★★★★★

PSS> Бинго.

Почти во всех системах информационной безопасности контролируют параметры времени, так что я с этим нахлебался.

GOGI #06.01.2019 21:35 @PSS#06.01.2019 20:27

GOGI

старожил

★★★☆
админ. бан

PSS> Так для этого опять же нужно получить как-то оригинальный файл.В результате имитировать отправку в ФСБ можно, а вот отправить туда и туда уже нет. О чем я и писал
Клиент делает запрос к серверу ФСБ, тот отдает файл, на промежуточном сервере к нему добавляется нагрузка АНБ и все вместе отдается клиенту.

PSS #06.01.2019 22:55 @GOGI#06.01.2019 21:35

PSS

литератор

★★☆

PSS>> Так для этого опять же нужно получить как-то оригинальный файл.В результате имитировать отправку в ФСБ можно, а вот отправить туда и туда уже нет. О чем я и писал
GOGI> Клиент делает запрос к серверу ФСБ, тот отдает файл, на промежуточном сервере к нему добавляется нагрузка АНБ и все вместе отдается клиенту.

Не будем спорить о результате.

В результате сервер ФСБ видит, что файл был отправлен некому серверу А, но защищенное соединение устанавливает уже клиент Б? Так?

Просто нет другого варианта как полностью сначала файл, добавить его в программу и только после этого отправить его пользователю. Так как обычно файлы скачиваются блоками, иногда даже не в порядке очередности, и только на компьютере их собирают полностью.

Начать перехватывать отдельные блоки и даже не зная что в оставшихся, запихивать их в новые блоки со своей программой. На такой высший пилотаж боюсь даже ЦРУ не способно.

Кстати, а чем тогда поможет переход на https? Напоминаю, что речь про связь обычных граждан, не кадровых сотрудников. Для последних явно другие методы. Включая перенос флешек

GOGI #07.01.2019 09:14 @PSS#06.01.2019 22:55

GOGI

старожил

★★★☆
админ. бан

PSS> В результате сервер ФСБ видит, что файл был отправлен некому серверу А, но защищенное соединение устанавливает уже клиент Б? Так?
Нет.
PSS> Просто нет другого варианта как полностью сначала файл, добавить его в программу и только после этого отправить его пользователю. Так как обычно файлы скачиваются блоками, иногда даже не в порядке очередности, и только на компьютере их собирают полностью.
Нет, тут не поддерживается разбиение на блоки и многопоточная закачка:

Cache-Control
no-store, no-cache, must-reval…te, post-check=0, pre-check=0
Connection
Keep-Alive
Content-Description
File Transfer
Content-Disposition
attachment; filename="client-w…20190106-165256-00000000.exe"
Content-Length
1838024
Content-Type
application/octet-stream
Date
Mon, 07 Jan 2019 06:07:47 GMT
Expires
Thu, 19 Nov 1981 08:52:00 GMT
Keep-Alive
timeout=5, max=100
Pragma
no-cache
Server
Apache/2.4.17 (FreeBSD) OpenSSL/0.9.8zh-freebsd PHP/5.6.18
X-Powered-By
PHP/5.6.18

Нет заголовка "Accept-Ranges"
А даже если бы и был, никакой разницы не было бы. Промежуточный сервер скачал бы файл целиком, добавил свою нагрузку, а потом может его фрагментами выдать, что ему мешает? Просто клиенту ответ на запрос прийдет на секунду позже, когда промежуточный сервер все скачает.
PSS> Кстати, а чем тогда поможет переход на https? Напоминаю, что речь про связь обычных граждан, не кадровых сотрудников.
Невозможно незаметно встать посредине канала. Ну, если нет возможности подделать сертификат.

PSS #07.01.2019 09:21 @GOGI#07.01.2019 09:14

PSS

литератор

★★☆

GOGI> Невозможно незаметно встать посредине канала. Ну, если нет возможности подделать сертификат.

? Это же как раз проблема https. Что ее можно взломать таким образом. Ну а про подделку сертификата вообще смешно. Это у ЦРУ/АНБ нет такой возможности?

Bredonosec #07.01.2019 11:43 @GOGI#07.01.2019 09:14

Bredonosec

аксакал

★★★★★
админ. бан

GOGI> Невозможно незаметно встать посредине канала. Ну, если нет возможности подделать сертификат.
с чего ты решил, что невозможно, если trusted root certification authorities в сша?
Кто имеет authority, тот может выдавать сертификаты, которые принимаются как настоящие. У нас на работе, к примеру, на официальном уровне митм теперь обязателен, то есть, ты обязан инстальнуть себе в трастед рут сертификат местного прокси для возможности перлюстрации и модификации контента на прокси. Кто не поставил - тем просто нет доступа в сеть.

off-topic-off #07.01.2019 12:51 @PSS#06.01.2019 19:55

off-topic-off

аксакал

★★★
☠☠☠☠

PSS> Есть версия, в чем было дело?

Кроме содержимого файла есть еще и егоатрибуты - дата, метки, тип и прочая. Программа побайтного сравннеия их не сравнивает

GOGI #07.01.2019 18:42 @PSS#07.01.2019 09:21

GOGI

старожил

★★★☆
админ. бан

PSS>Ну а про подделку сертификата вообще смешно. Это у ЦРУ/АНБ нет такой возможности?
Подделать корневой сертификат? Пока не допилят квантовые компьютеры, это фантастика

GOGI #07.01.2019 18:43 @Bredonosec#07.01.2019 11:43

GOGI

старожил

★★★☆
админ. бан

Bredonosec> с чего ты решил, что невозможно, если trusted root certification authorities в сша?
Разумеется, первым пунктом необходимо установить в браузер корневой сертификат ФСБ. Это кстати полный п, что в браузерах по умолчанию нет ни одного российского. Тайваньский есть, российского нет.
Ну и пользователь должен контролировать, кто выдал сертификат, когда будет связываться с сайтом ФСБ.

Bredonosec #07.01.2019 18:46 @GOGI#07.01.2019 18:43

Bredonosec

аксакал

★★★★★
админ. бан

GOGI> Разумеется, первым пунктом необходимо установить в браузер корневой сертификат ФСБ. Это кстати полный п, что в браузерах по умолчанию нет ни одного российского. Тайваньский есть, российского нет.
а в каком-нибудь я-броузере тоже нет?
Я просто не в курсе.
Браузеры, созданные в сша - логично, что будут по дефолту иметь корневые сертификаты, выданные сша.

GOGI> Ну и пользователь должен контролировать, кто выдал сертификат, когда будет связываться с сайтом ФСБ.
для начала тогда все удалить )) Что очевидная глупость, комп почти ничего не откроет тогда.

GOGI #07.01.2019 18:59 @Bredonosec#07.01.2019 18:46

GOGI

старожил

★★★☆
админ. бан

Bredonosec> а в каком-нибудь я-броузере тоже нет?
Никогда не ставил.
Bredonosec> Браузеры, созданные в сша - логично, что будут по дефолту иметь корневые сертификаты, выданные сша.
Там не только США. Там есть Тайвань. Вот сайт самого Яндекса в итоге ведет к корневому УЦ CERTUM (вроде как Польша). А нас нет.
Bredonosec> для начала тогда все удалить )) Что очевидная глупость, комп почти ничего не откроет тогда.
Не обязательно так радикально. Просто каждый раз проверять путь сертификации при открытии сайта.

PSS #07.01.2019 19:36 @GOGI#07.01.2019 18:42

+1

PSS

литератор

★★☆

PSS>>Ну а про подделку сертификата вообще смешно. Это у ЦРУ/АНБ нет такой возможности?
GOGI> Подделать корневой сертификат? Пока не допилят квантовые компьютеры, это фантастика

Да вы реально издеваетесь. В каком мире вообще живете?

Устройства сил правопорядка подрывают SSL

Маленький замок в окне вашего браузера, указывающий, что вы безопасно общаетесь с вашим банком или электронной почтой, не всегда означает то, что должен... // habr.com

Также там и дыры в безопасности порой находят. Правда почему-то часто в старых протоколах которые решают уже прекратить поддержку.

Этот пудель кусается: использование дыр в протоколе SSL 3.0

Интересующиеся веб-безопасностью хабражители уже в курсе очередной уязвимости в SSL, именуемой POODLE. Мы подробно рассмотрим, что же собой представляет эта... // habr.com

В компанию

RSA Security получила $10 млн. от АНБ за использование заведомо дырявого генератора псевдослучайных чисел

На Хабре уже писали, как RSA Security заявила о наличии АНБ-бэкдора в своих продуктах, теперь же, появилась информация, что на использование в качестве... // habr.com

А вот как сами американцы по этому поводу шутят

84e26cb5775f41823827b0474de4b37d.jpg @ habrastorage.org [кеш]

1990-е: В интернете никто не знает, что ты — собака.
Сегодня: Наш анализ данных показывает, что он — коричневый лабрадор. Он живёт с чёрно-белым биглем, и по-моему, у них есть отношения.

GOGI #07.01.2019 20:00 @PSS#07.01.2019 19:36

GOGI

старожил

★★★☆
админ. бан

PSS> Да вы реально издеваетесь. В каком мире вообще живете?
PSS> Устройства сил правопорядка подрывают SSL / Хабр
Читай внимательно что я написал:

Просто каждый раз проверять путь сертификации при открытии сайта.

PSS> Также там и дыры в безопасности порой находят. Правда почему-то часто в старых протоколах которые решают уже прекратить поддержку.
Ты мне покажи пример хоть одного случая подделки сертификата, а не подмены.
Но не покажешь.

Реклама Google — средство выживания форумов :)

PSS #07.01.2019 20:15

+1

PSS

литератор

★★☆

Кстати, был не прав. Такие специалисты есть

Еще одна любопытная история на тему доверия к системам защиты, в данном случае: к инструменту обеспечения анонимности. В конце октября исследователь Джош Питтс обнаружил выходной узел сети Tor, на лету добавлявший вредоносный код к любому исполняемому файлу, скачиваемому пользователем.