Юрий Чудновский: Я же говорю, вы читаете крайне не внимательно. Никто не собирается подделывать сертифик[b]АТ[/b] СЦ. Подделывают сам Центр Сертификации в рамках маршрутизации трафика. Блин, я опять боюсь что вы прочтете через одно место. Я писал в посте по ссылке в голове темы: Ребята создали опорную сеть к которой можно подключится по VPN. В их опорной локальной сети уже подделаны большая часть корневых центров сертификации. Подключаясь к сети при обращении к адресу корневого центра, ваш трафик уходит на поддельный, который в свою очередь подписывает налево/направо любые сертификаты. Вы даже не будете знать, что он подделан и устройство не вякнет, т.к будет уверена что перед ней настоящий корневой центр сертификации. А дальше => имея доступ к провайдером можно любого абонента завернуть к себе. Там же я написал, что ребята работают на ГОСЗАКАЗОМ и видимо заказчики имеют доступ к Провайдерам.
Теперь по поводу MITMPROXY. Вы про себя говорите, а не за людей. Люди тыкают на разные кнопки и вводят логин/пароль где нельзя этого делать. Единственное, что я получил из браузера safari > предупреждение о том, что сертификат не достоверный. Далее нажимаем ок и продолжаем пользоваться сайтом. Проще конечно взять закинуть сертификат на устройство, чтобы вообще не было никаких сообщений.
Юрий Чудновский: Я вас призываю к внимательному чтению. Если мы говорим о тех ребятах, которые достали ключи - они четко и прямо ответили, что в рамках внутренней сети, куда я подключился подделаны почти все корневые СЦ и подписывают любые сертификаты налево и направо. Устройство которое находится в этой сети думает, что сертификаты отдает оригинальный СЦ и поэтому не пиликает. В плане MITMPROXY - да, конечно, любой браузер будет ругаться пока не поставишь сертификат.
Я видимо не достаточно верно построил предложение. Постоянных - имеется ввиду, что соединения не отключаются. Т.е висяком на базе будет круглосуточно от 200 до 400 соединений, которые не разрываются почти.
Чуточку внимательнее будьте, я в оригинальном посте написал - что не всегда все зависит от внимательности. По ссылке в голове, найдете инфу что ребята занимаются именно подделкой ЦС и проксируют любой сайт. Браузер даже ничего не скажет. Да, уровень этой MITM атаки просто космос и надо еще иметь доступ к провайдерам (но если у них гос. заказ, то проблем нет). Тебе проксируют сайт с сертификатом собственным и одновременно подтверждают этот сертификат якобы "оригинальным" СЦ. По факту, все подделка...включая СЦ
DuD: В Пункте 3 написано, что сайт чужой. Все остальное - мое. Почему не вышло, уже выяснили - TLS проверка не проходится в приложении, не смотря на то что в iPhone добавили сертификат от MITM.
Это интересный опыт для меня, по крайней мере я осознал насколько дырявая система.
Обратился к ребятам с утра в Москве, попросили только сайт куда конектится и подключить iPhone по VPN. Весь дамп с необходимыми данными получил через 10 минут и в iPhone ставить сертификат даже не пришлось левый. На мой вопрос как, получил замечательный ответ:
При обращении к основным центрам сертификации, заворачивается запрос на их центр с такими же IP в рамках локальной сети. Они только отпроксировали сайт у себя и их же поддельный (типа корневой) подтверждает сертификат. Примерно 1.5 года они налаживали работу, гос. заказ.
Вот такие помидорчики с SSL. Я посмеялся, приложение работало как будто все нормально-все в порядке
DuD: Чуть выше написал. Речь идет о приложении. Т.е даже попытка прогнать через MITM убирает приложение с ошибкой подключения. Да через MITM проходят заголовки и на последнем шаге какой-то шифрованный запрос, после которого общение приложение с https прекращается. Походу тут только sslstrip настраивать и собирать трафик :(
Попробовал MITMPROXY. Даже с установленным профилем зараза нах посылает после нескольких запросов. Видимо проверяет что-то, а без профиля вообще ноль запросов. Жаль. Думал получится.
И хочу отметить, что я не зря написал про шлюз. Я могу завернуть трафик от Iphone на некую программу, которая будет эмулировать все запросы. Но это я как понимаю называется MITM атака. Просто я надеюсь что есть какой-то софт, который позволяет это сделать без особых вниканий...
Теперь по поводу MITMPROXY. Вы про себя говорите, а не за людей. Люди тыкают на разные кнопки и вводят логин/пароль где нельзя этого делать. Единственное, что я получил из браузера safari > предупреждение о том, что сертификат не достоверный. Далее нажимаем ок и продолжаем пользоваться сайтом. Проще конечно взять закинуть сертификат на устройство, чтобы вообще не было никаких сообщений.