MITM - что это? Реальная проблема, или миф?
От: Voblin Россия http://maslyaew.narod.ru/
Дата: 06.02.17 19:39
Оценка: 10 (2)
Всем привет.

Хотелось бы разобраться в subj.

Штука ведь занятная. С одной стороны все мы понимаем схему, когда товарищ Майор круто нагибает Алису и Боба, подсовывая им фальшивые ключи. Но с другой стороны когда начинаешь примерять эту беду к реальной жизни, возникает ряд вопросов.

В первую очередь обращает на себя внимание, что товарищ М должен полностью перекрыть собой канал между А и Б. Иногда (например, если https запущен через коробочку СОРМ) это реально, но в общем случае — нет. Если А и Б — живые люди, а не программные модули, то они могут банально созвониться по телефону и сверить контрольные суммы своих открытых ключей. В этом случае у М нет ни единого шанса.

Ещё обращает на себя внимание то, что MITM-схема работает только в том случае, если процедура обмена ключами проста, прямолинейна и не содержит в себе никаких элементов неопределённости. Если А и Б вынесут дополнительные телодвижения по части противодействия MITM с того уровня модели OSI, где они обычно обитают, куда-нибудь повыше (например, в прикладной уровень), то у товарища М опять же возникают серьёзные проблемы. Предположим, А и Б обменялись открытыми ключами, но не спешат обмениваться сверхсекретными шифровками. Невинно беседуют о погоде. И вдруг неожиданно Алиса шлёт Бобу кусок нечитаемого бинарника со словами "что это такое — потом скажу". У Майора паника, ведь это может быть что угодно. Это может быть новый ключ Алисы, или половина шифровки с контрольной суммой её теперешнего ключа, или половина шифровки с картинкой котика. Что Майору делать? Подменять бинарник на что-то своё? Тормозить передачу данных Бобу и слать Алисе ответ "ОК, получил"?

Понятное дело, что наилучшая MITM-стратегия, расколоть которую Алисе будет особо проблематично — это товарищу Майору самому притвориться Бобом и полностью исключить его из общения. Но при этом никакого "in the middle" не получается. По сути, Майору придётся внутри своего СОРМа выстроить весь прикладной уровень Боба. В частности, если Боб — это Фэйсбук, то Майору нужно научиться генерить правдоподобную выдачу алисиной ленты. А это уже слегка сложнее простой классической манипуляции ключами.

Самое смешное в истории с MITM то, что для противодействия этой "страшной напасти" сделано аж два решения, оба из которых плохие:
1. Централизованная PKI. Безоговорочно победивший вариант. Если вдруг кто не в курсе, основная идея в том, что назначаются специально обученные субъекты, которым все безоговорочно доверяют.
2. Сеть доверия в стиле PGP. Решение не прижилось по причине того, что никто так и не придумал, как эту штуку сделать надёжной и понятной.

К безоговорочно победившей централизованной архитектуре PKI можно предъявить следующие претензии:

1. Мы, простые честные пользователи, подписались доверять неизвестно кому. Откройте список корневых центров сертификации на своём компьютере и просто его почитайте. Всем ли фигурантам этого списка вы доверяете? Или хотя бы слышали о них? Весьма любопытный список. Названия некоторых компаний даже не понятно, как читать. Не хочу сказать ничего плохого ни о ком из них. Наверняка все они очень достойные юрлица. Но проблема в том, что я по факту им безоговорочно доверяю, ничего о них не зная.

2. Тема "гражданская криптография" по факту оказалась монополизирована крупными игроками рынка сертификации. Никто мне, конечно, не мешает сгенерить ключевую пару и обмениваться шифровками с каким-нибудь таким же фриком. Но если я приду в свой банк с предложением использовать для обмена этот свой ключ, сотрудники банка даже не поймут, на что я их пытаюсь сподвигнуть. Все знают, откуда берутся файлики с расширением "cer", и о том, что они могут браться откуда-то ещё, людям если и известно, то только теоретически. Сейчас единственный не маргинальный способ начать использовать криптографию — это сначала сходить на поклон в сертифицированный удостоверяющий центр. С паспортом.

3. Сейчас самая простая и реально работающая MITM-схема как раз и реализуется через внедрение поганки в список корневых центров сертификации. Или, что даже ещё проще, путём создания промежуточного центра сертификации, который сначала будет вести себя как приличный, а потом выдаст плохим парням поддельный сертификат, например, на "*.facebook.com". За то время, пока будет выясняться суть дела, плохие парни успеют собрать неплохой урожай.

В делах, связанных с безопасностью, решение "на троечку" обычно бывает лучше, чем решение "на четвёрку". И даже иногда лучше, чем "на пятёрку" ("пять с плюсом" лучше всех, но оно, как правило, запредельно дорогое и невероятно муторное). Просто потому, что "четыре" и "пять" дают ложную уверенность, что всё будет хорошо. Клиент расслабляется и попадает. Кто на деньги, а кто и на жизнь. Централизованная PKI — решение на твёрдую четвёрку. В смысле реальной безопасности хуже этого только полный "не зачёт".

В свете вышесказанного становится вообще не понятно, как относиться к проблеме MITM. Как-то так получается, что с точки зрения настоящего бойца-подпольщика (или, как вариант, теневого финансового воротилы) проблема отсутствует чуть меньше, чем целиком. Просто нужно соблюдать элементарные правила гигиены. Но с точки зрения простого законопослушного гражданина проблема присутствует в полный рост, притом основным её источником является средство, предназначенное для её устранения.

Кто что думает по этому поводу?
Re: MITM - что это? Реальная проблема, или миф?
От: Stanislaw K СССР  
Дата: 06.02.17 20:38
Оценка: 6 (1) +1
Здравствуйте, Voblin, Вы писали:

V>В первую очередь обращает на себя внимание, что товарищ М должен полностью перекрыть собой канал между А и Б. Иногда (например, если https запущен через коробочку СОРМ)


СОРМ тут избыточен. Это функционал рядового корпоративного маршрутизатора.

V>это реально, но в общем случае — нет. Если А и Б — живые люди, а не программные модули, то они могут банально созвониться по телефону и сверить контрольные суммы своих открытых ключей. В этом случае у М нет ни единого шанса.


Да. Ключевое тут "могут". 99.995% пользователей интернета не будут этого делать. Большинство из них даже не узнают о необходимости звонить.
вот например у меня 7 точек подключения к интернету. https://yandex.ru представляется (как минимум) двумя разными сертификатами (о чем мне внезапно стало известно случайно, только благодаря специальному плагину). Мне куда звонить, чтобы сверить контрольные суммы? И в чём практический смысл сего деяния?



Далее. куча сайтов хостятся в облаках типа cloudflare, там https сертификаты ротируются чуть ли не каждую неделю. гугл тоже регулярно меняет туда-сюда (в зависимости от того, через какого провайдера я подключаюсь). плагин исправно кричит "волки волки".

V>выдаст плохим парням поддельный сертификат, например, на "*.facebook.com". За то время, пока будет выясняться суть дела, плохие парни успеют собрать неплохой урожай.


Кстати, сколько сколько там установок firefox? а плагин установлен 11534 раза (и опять же, из них три моих). У парней весьма приличные шансы.
Все проблемы от жадности и глупости
Re: MITM - что это? Реальная проблема, или миф?
От: okman Беларусь https://searchinform.ru/
Дата: 07.02.17 06:56
Оценка:
Здравствуйте, Voblin, Вы писали:

V>В первую очередь обращает на себя внимание, что товарищ М должен полностью перекрыть собой канал между А и Б. Иногда (например, если https запущен через коробочку СОРМ) это реально, но в общем случае — нет. Если А и Б — живые люди, а не программные модули, то они могут банально созвониться по телефону и сверить контрольные суммы своих открытых ключей. В этом случае у М нет ни единого шанса.


V>Ещё обращает на себя внимание то, что MITM-схема работает только в том случае, если процедура обмена ключами проста, прямолинейна и не содержит в себе никаких элементов неопределённости. Если А и Б вынесут дополнительные телодвижения по части противодействия MITM с того уровня модели OSI, где они обычно обитают, куда-нибудь повыше (например, в прикладной уровень), то у товарища М опять же возникают серьёзные проблемы.


А какое отношение все это имеет непосредственно к MITM в TLS/SSL?

Цель атаки MITM — прослушивать и, возможно, изменять трафик незаметно для обеих
сторон, которые участвуют в TLS/SSL-сессии, и с этим MITM успешно справляется
(при определенных условиях, например когда есть возможность подмены сертификата).

То, что Алиса и Боб могут предварительно созвониться или использовать какое-то
дополнительное шифрование поверх TLS/SSL — ну да, есть такое, но это уже не
поле деятельности MITM, это "забота" других типов атак. Например, если второе
шифрование слабое, то, имея MITM, злоумышленник сможет сломать и его. И т.д.

В практическом плане MITM, как мне кажется, весьма актуален.
Когда я захожу на свой любимый сайт, то даже не смотря на "доверенное соединение",
зеленую полосу, SHA2 и все такое, с вероятностью 99% я не замечу, если кто-то
вклинится в трафик и украдет мои пароли и номера кредиток.
[ надеюсь, что этого никогда не произойдет ]
Re[2]: MITM - что это? Реальная проблема, или миф?
От: Voblin Россия http://maslyaew.narod.ru/
Дата: 07.02.17 17:19
Оценка:
Здравствуйте, Stanislaw K, Вы писали:

SK>СОРМ тут избыточен. Это функционал рядового корпоративного маршрутизатора.


СОРМ не к ночи упомянут чисто как характерный пример злонамеренного вмешательства. Понятное дело, что врезка может быть где угодно.

SK>Да. Ключевое тут "могут". 99.995% пользователей интернета не будут этого делать. Большинство из них даже не узнают о необходимости звонить.

SK>вот например у меня 7 точек подключения к интернету. https://yandex.ru представляется (как минимум) двумя разными сертификатами (о чем мне внезапно стало известно случайно, только благодаря специальному плагину). Мне куда звонить, чтобы сверить контрольные суммы? И в чём практический смысл сего деяния?

Нам давно пора привыкнуть, что все эти зелёные замочки — только для самоуспокоения, и любое действие в Интернете всё равно оседает в BigData. Нужно просто научиться относиться к этому спокойно. Но в отдельных случаях всё же нужно иметь возможность перевести тему "безопасность" в режим полностью ручного управления.

SK>Кстати, сколько сколько там установок firefox? а плагин установлен 11534 раза (и опять же, из них три моих). У парней весьма приличные шансы.


А то!
Re[2]: MITM - что это? Реальная проблема, или миф?
От: Voblin Россия http://maslyaew.narod.ru/
Дата: 07.02.17 17:33
Оценка:
Здравствуйте, okman, Вы писали:

O>Когда я захожу на свой любимый сайт, то даже не смотря на "доверенное соединение",

O>зеленую полосу, SHA2 и все такое, с вероятностью 99% я не замечу, если кто-то
O>вклинится в трафик и украдет мои пароли и номера кредиток.
O>[ надеюсь, что этого никогда не произойдет ]

Когда человек общается с банком по поводу своих денег, во всём мире есть всего два субъекта, заинтересованных в том, чтобы всё прошло гладко: собственно этот человек и этот банк. А всей остальной Вселенной в лучшем случае наплевать, а в худшем хотелось бы вмешаться и нагнуть на бабос. Существующие схемы все задействуют третью сторону. Именно она становится гарантом. А этой третьей стороне, как мы помним, или наплевать, или не наплевать, но совсем не так, как нам того бы хотелось.

Надо как-то в перспективе избавляться от третьих сторон. В пекло их.
Re[3]: MITM - что это? Реальная проблема, или миф?
От: Stanislaw K СССР  
Дата: 07.02.17 19:08
Оценка:
Здравствуйте, Voblin, Вы писали:

SK>>СОРМ тут избыточен. Это функционал рядового корпоративного маршрутизатора.

V>СОРМ не к ночи упомянут чисто как характерный пример злонамеренного вмешательства. Понятное дело, что врезка может быть где угодно.

СОРМ readonly.

V>Нам давно пора привыкнуть, что все эти зелёные замочки — только для самоуспокоения, и любое действие в Интернете всё равно оседает в BigData. Нужно просто научиться относиться к этому спокойно. Но в отдельных случаях всё же нужно иметь возможность перевести тему "безопасность" в режим полностью ручного управления.


Я уж не спрашиваю зачем, но как ты собираешься переводить в ручной режим общение с apple.com например?


V>Когда человек общается с банком по поводу своих денег, во всём мире есть всего два субъекта, заинтересованных в том, чтобы всё прошло гладко: собственно этот человек и этот банк. А всей остальной Вселенной в лучшем случае наплевать,


Банку тоже наплевать.
Все проблемы от жадности и глупости
Re[4]: MITM - что это? Реальная проблема, или миф?
От: Voblin Россия http://maslyaew.narod.ru/
Дата: 08.02.17 09:43
Оценка:
Здравствуйте, Stanislaw K, Вы писали:

SK>СОРМ readonly.


Какое-то время назад идея применения MITM-атаки торжественно презентовалась как решение, которое должно позволить применить пакет Яровой ко всему HTTPS-трафику. Повсеместно в масштабах всей страны. Так что СОРМ очень даже при делах. Если не в текущем своём виде, но как перспектива развития оно вполне рассматривалось.

SK>Я уж не спрашиваю зачем, но как ты собираешься переводить в ручной режим общение с apple.com например?


Просто почитать сайт — незачем. Но, загружая обновление айфона (если бы он у меня был ), мне очень было бы интересно иметь возможность самому позаботиться о том, чтобы ни у одного подонка не было ни одного шанса подсунуть мне откуда-то слева какого-нибудь дохлячка.
Для этого, конечно, мне нужно достигнуть по этому вопросу взаимности с фирмой Apple. Если безопасностью озабочена только Алиса, а Бобу на всё наплевать (лишь бы не напрягаться), то безопасной коммуникации между ними по-любому не будет.

SK>Банку тоже наплевать.


При таком раскладе задача решения не имеет. Но если даже 99.9% процентам банков наплевать, то остающиеся 0.1% получают конкурентное преимущество. А это — клиенты и их деньги. Неплохой такой стимул всем остальным тоже потихоньку перенять правильный подход.
Re[5]: MITM - что это? Реальная проблема, или миф?
От: Stanislaw K СССР  
Дата: 08.02.17 17:55
Оценка:
Здравствуйте, Voblin, Вы писали:

SK>>СОРМ readonly.


V>Какое-то время назад идея применения MITM-атаки торжественно презентовалась как решение, которое должно позволить применить пакет Яровой ко всему HTTPS-трафику.


Это ИТшники школьники-фантазёры додумали.

V>Так что СОРМ очень даже при делах.


Закон яровой не заменяет и не отменяет СОРМ. Это ЕЩЕ ОДНА ХРЕНЬ.

SK>>Я уж не спрашиваю зачем, но как ты собираешься переводить в ручной режим общение с apple.com например?


V>Просто почитать сайт — незачем. Но, загружая обновление айфона (если бы он у меня был ), мне очень было бы интересно иметь возможность самому позаботиться о том, чтобы ни у одного подонка не было ни одного шанса подсунуть мне откуда-то слева какого-нибудь дохлячка.


Это без всякого шифрования и https легко контролируется и так же легко игнорируется. но вопрос не про это был.

SK>>Банку тоже наплевать.


V>При таком раскладе задача решения не имеет. Но если даже 99.9% процентам банков наплевать, то остающиеся 0.1% получают конкурентное преимущество. А это — клиенты и их деньги. Неплохой такой стимул всем остальным тоже потихоньку перенять правильный подход.


99.9% банков плевать хотели на конкурентное преимущество 0.1%. эти 0.1% физически не смогут отобрать и обслужить ощутимое число клиентов.
сейчас множество банков вообще не работают с массовым клиентом (как физическими так и юридическими). им от того, что изменилось число клиентов которых они не обслуживают, ни тепло ни холодно.
Все проблемы от жадности и глупости
Re[6]: MITM - что это? Реальная проблема, или миф?
От: Voblin Россия http://maslyaew.narod.ru/
Дата: 08.02.17 19:39
Оценка:
Здравствуйте, Stanislaw K, Вы писали:

SK>Это ИТшники школьники-фантазёры додумали.


Ну, здесь спорить не буду. Не суть.

SK>99.9% банков плевать хотели на конкурентное преимущество 0.1%. эти 0.1% физически не смогут отобрать и обслужить ощутимое число клиентов.


Много — не надо. Самыми привередливыми обычно оказываются самые вкусные клиенты. Именно они интересуются всякими фишками типа электронного документооборота, и тем самым проталкивают правильные технологии. Если от банка к конкурентам уходит тысяча нищебродов, банку на это, конечно, покласть. Но если уходит несколько уважаемых господ с многомиллиардными оборотами каждый, то это точно повод задуматься.
Re: MITM - что это? Реальная проблема, или миф?
От: Somescout  
Дата: 16.02.17 16:04
Оценка:
Здравствуйте, Voblin, Вы писали:

V>Ещё обращает на себя внимание то, что MITM-схема работает только в том случае, если процедура обмена ключами проста, прямолинейна и не содержит в себе никаких элементов неопределённости. Если А и Б вынесут дополнительные телодвижения по части противодействия MITM с того уровня модели OSI, где они обычно обитают, куда-нибудь повыше (например, в прикладной уровень), то у товарища М опять же возникают серьёзные проблемы.


Вообще это следует из определения противодействия MitM — обмен ключами по надёжному каналу. То есть если вы по телефону согласовали отпечатки ключей, то это и есть обмен по надёжному (относительно) стороннему каналу — аналог центров сертификации. А вот любой обмен внутри канала, без наличия согласованных ключей уязвим по определению. Да, возможно не в режиме реального времени, но ведь и задача, обычно, не предотвратить обмен информацией (это как раз просто), а узнать какой информацией вы обмениваетесь.

V> В первую очередь обращает на себя внимание, что товарищ М должен полностью перекрыть собой канал между А и Б. Иногда (например, если https запущен через коробочку СОРМ) это реально, но в общем случае — нет.


Вы не в ту сторону смотрите. Никакой СОРМ не нужен — у малвари есть несколько хороших способов вклиниться в диалог между Алисой и Бобом: подмена DNS, подмена Gateway (для этого малвари даже не нужно быть установленной на вашем компе — достаточно быть в одной с вами подсети), подмена/установка прокси, фишинг и, скорее всего, ещё множество вариантов.
ARI ARI ARI... Arrivederci!
Re[2]: MITM - что это? Реальная проблема, или миф?
От: Voblin Россия http://maslyaew.narod.ru/
Дата: 16.02.17 19:21
Оценка:
Здравствуйте, Somescout, Вы писали:

S>Вообще это следует из определения противодействия MitM — обмен ключами по надёжному каналу. То есть если вы по телефону согласовали отпечатки ключей, то это и есть обмен по надёжному (относительно) стороннему каналу — аналог центров сертификации. А вот любой обмен внутри канала, без наличия согласованных ключей уязвим по определению. Да, возможно не в режиме реального времени, но ведь и задача, обычно, не предотвратить обмен информацией (это как раз просто), а узнать какой информацией вы обмениваетесь.


Дело даже не в надёжности канала. Они оба могут быть вдрызг ненадёжны. Важно лишь, чтобы они не могли быть перехвачены согласованно. То есть обмен по одному каналу сопоставлен с данными в другом канале и единой злой волей в одинаковую сторону подделан и там, и там. Даже когда проводок один, всё равно остаётся возможность виртуально разнести два канала. То есть если основной обмен ключами идёт на уровне TLS, а вспомогательный (контрольный) прёт, допустим, через SOAP со всем остальными данными, то товарищу "М" нужно не только уметь нагибать простой и прямолинейный TLS, но и уметь разбираться в SOAPовском хаосе.

V>> В первую очередь обращает на себя внимание, что товарищ М должен полностью перекрыть собой канал между А и Б. Иногда (например, если https запущен через коробочку СОРМ) это реально, но в общем случае — нет.


S>... подмена DNS, подмена Gateway (для этого малвари даже не нужно быть установленной на вашем компе — достаточно быть в одной с вами подсети), подмена/установка прокси, фишинг и, скорее всего, ещё множество вариантов.


И то верно.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.