Возможен ли MitM при использовании открытого wifi кафе ?

Question

[flashvoid]

Всем привет.

Вопрос к тем кто хорошо понимает в SSL и сертификатах.
Сейчас зашел в кафе и открыл ноут — браузер попытался восстановить соединение с рабочим сайтом и выдал предупреждение о несоответствии сертификатов.

Как оказалось кафе просто захотело показать мне рекламу себя любимого и перенаправило мой запрос на себя — однако файерфокс предложил добавить сертификат провайдера как исключение к рабочему сайту. Внимание вопрос — если подтвердить исключение сможет ли провайдер прикинуться обезъянкой — возможен ли MitM?

Answer 1

[marklarius]

Да, конечно.

Answer 2

[ValdikSS]

Это возможно, несомненно. Причем не только провайдером, но и другими пользователями вайфая.

Comments

[flashvoid]

А вот насчет остальных пользователей я непонял. Если я так тупану и добавлю себе в исключения сертификат провайдера — то как это поможет остальным пользователям перехватить и расшифровать мой траффик?

[Intercepter]

у вас не может быть 100% уверенности что это именно «сертификат провайдера». Подобный CN может подсунуть любой пользователь сети.

[ValdikSS]

Ну а если трафик и вовсе незашифрован (http), то он может его подслушивать пассивно.

[aruseni]

Собственно, да, вы ведь точно не знаете, откуда сертификат. Например, злоумышленник мог воспользоваться ARP-спуфингом (например, вот тут почитайте). Или есть вероятность, что вы вообще подключились к его точке доступа, которая маскируется под точку доступа кафе.

Ещё один вариант — можно запустить скрипт, который будет менять MAC-адрес машины и просить у DHCP-сервера новый MAC-адрес. Через некоторое время у DHCP-сервера незанятые MAC-адреса закончатся. Что в этом случае происходит? Да ничего, DHCP-сервер просто перестаёт выдавать адреса (он даже не отвечает, что у него нет свободных адресов — он просто игнорирует запрос адреса). А это, соответственно, обозначает, что мы можем запустить у себя другой DHCP-сервер и выдавать вновь подключающимся клиентам что захотим (хоть DNS-серверы подменить, хоть адрес роутера — что угодно). Вот тут об этом написано.

[aruseni]

Да, конечно же, я тогда имел в виду «просить у DHCP-сервера новый IP-адрес» и «незанятые IP-адреса закончатся». :)

Answer 3

[Nickel3000]

Есть, например, прогаммка для Android, Droid Sheep называется (4pda, официальный сайт). Проверял лично, часто работает. Да и гугл по запросу снифер wi-fi выдает 17000 результатов. Так что пользоваться открытыми сетями не так уж безопасно даже если полностью доверяешь провайдеру.

Answer 4

[nojoke]

Хозяева интернет кафе могут на своем маршрутизаторе изменять трафик как хотят.
Смотри пример реализации airsnarf.shmoo.com/
Примерно по той же схеме можно организовать свою поддельную точку доступа (необходимо просто сигнал мощнее и такое же название точки).
Все клиенты автоматом соединяются к вам.