Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
PHDays 2014
Security myths
Vladimir ‘3APA3A’ Dubrovin
Ошибки использования «безопасных» протоколов
(уязвимости в стандарта...
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
Из небезопасном соединении защищает от
Случа...
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
Из небезопасном соединении защищает от
Случа...
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
PHDays 2014
Security myths
Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
MFSA2013-20 – Mis-issued TURKTRUST certifica...
PHDays 2014
Security myths
Защищают от обнаружения источника (или точки назначения) трафика
Правительственным агентством (...
PHDays 2014
Security myths
Защищают от обнаружения источника (или точки назначения) трафика
Правительственным агентством (...
PHDays 2014
Security myths
Low-Cost Traffic Analysis of Tor
Steven J. Murdoch and George Danezis
University of Cambridge, ...
PHDays 2014
Security myths
Что если есть exit node и пассивный MitM между клиентом и entry node?
К черту анализ, делаем co...
PHDays 2014
Security myths
DKIM – (DomainKeys Identified Mail)
Подтверждает валидность данных (даты, получателя)?
Подтверж...
PHDays 2014
Security myths
Что общего у двух писем?
PHDays 2014
Security myths
Что общего у двух писем?
PHDays 2014
Security myths
Что насчет остальных провайдеров?
PHDays 2014
Security myths
DKIM – как его вообще можно использовать?
Использовать, как часть другого стандарта.
DMARC: Dom...
PHDays 2014
Security myths
Vladimir ‘3APA3A’ Dubrovin
zaraza@my.com
Upcoming SlideShare
Loading in …5
×

Ошибки использования «безопасных» протоколов и их экс

1,428 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Ошибки использования «безопасных» протоколов и их экс

  1. 1. PHDays 2014 Security myths Vladimir ‘3APA3A’ Dubrovin Ошибки использования «безопасных» протоколов (уязвимости в стандартах, головах и пресс-релизах)
  2. 2. PHDays 2014 Security myths Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)? Из небезопасном соединении защищает от Случайной прослушки на доступе к часто используемому ресурсу? Случайной прослушки при регистрации на новом ресурсе? Прослушки работодателем? Прослушки крупным конкурентом? Прослушки правительственными агентствами? Прослушки трафика между почтовыми серверами?
  3. 3. PHDays 2014 Security myths Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)? Из небезопасном соединении защищает от Случайной прослушки на доступе к часто используемому ресурсу? Случайной прослушки при регистрации на новом ресурсе? – не очень Прослушки работодателем? - НЕТ Прослушки крупным конкурентом? - НЕТ Прослушки правительственными агентствами? – НЕТ Прослушки трафика между почтовыми серверами? – НЕТ
  4. 4. PHDays 2014 Security myths Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)?
  5. 5. PHDays 2014 Security myths Все знают SSL/TLS (HTTPS, STARTTLS, SMTPS, IMAPS)? MFSA2013-20 – Mis-issued TURKTRUST certificates Сертификат использовался работодателем (транспортным агентством) для прослушки трафика работников, а так же в публичных точках доступа. MFSA2013-117 – Mis-issued ANSSI/DCSSI certificate Сертификат использовался правительственным агентством на аппаратных устройствах для прослушки трафика министерства казначейства Франции. Не был учтен SSL certificate pinning в Chrome.
  6. 6. PHDays 2014 Security myths Защищают от обнаружения источника (или точки назначения) трафика Правительственным агентством (АНБ, ФСБ, и т.д.): Proxy chaining? VPN? TOR?
  7. 7. PHDays 2014 Security myths Защищают от обнаружения источника (или точки назначения) трафика Правительственным агентством (АНБ, ФСБ, и т.д.): Proxy chaining? - НЕТ VPN? - НЕТ TOR? – НЕТ
  8. 8. PHDays 2014 Security myths Low-Cost Traffic Analysis of Tor Steven J. Murdoch and George Danezis University of Cambridge, Computer Laboratory - Статистический анализ Traffic Analysis Attacks and Defenses in Low Latency Anonymous Communication Sambuddho Chakravarty - Статистический анализ Recent Attacks On Tor Juha Salo Aalto University Рассматривает много атак - Статистический анализ
  9. 9. PHDays 2014 Security myths Что если есть exit node и пассивный MitM между клиентом и entry node? К черту анализ, делаем covert channel. Модуляция трафика: • По размеру пакетов • По интервалу между ними сохраняется при шифровании. Модулированный трафик может быть добавлен в конец соединения, даже если в самом соединении данные не передавались. В tor достаточно поймать один запрос на exit node.
  10. 10. PHDays 2014 Security myths DKIM – (DomainKeys Identified Mail) Подтверждает валидность данных (даты, получателя)? Подтверждает валидность отправителя? Подтверждает, что письмо не менялось с момента подписи? Обеспечивает неотказуемость? Может быть использован для защиты от спама?
  11. 11. PHDays 2014 Security myths Что общего у двух писем?
  12. 12. PHDays 2014 Security myths Что общего у двух писем?
  13. 13. PHDays 2014 Security myths Что насчет остальных провайдеров?
  14. 14. PHDays 2014 Security myths DKIM – как его вообще можно использовать? Использовать, как часть другого стандарта. DMARC: Domain-based Message Authentication, Reporting & Conformance + Определена роль DKIM, как механизма аутентификации + Домен из подписи должен совпадать с доменом из From: - Не установлен минимальный набор полей и требований к подписи - Требует (опять) изменения механизмов списков рассылки Возможно раскрытие подписчиков списков рассылки Возможно раскрытие перенаправлений почты, в том числе деанонимизация
  15. 15. PHDays 2014 Security myths Vladimir ‘3APA3A’ Dubrovin zaraza@my.com

×