GFW发飙,SSL窃听?
pnt
Sent to you by pnt via Google Reader:
据说GFW发飙了,大部分翻墙措施,包括Tor都被攻陷了。via @iGFW
# GFW今天发飙了,各路翻墙楼梯将被锯掉,#GFW
# PUFF 倒下 #GFW
# UltraVPN、AlwaysVPN、AlonwebVPN、YourFreedom倒下 #GFW
# Hotspot、Itshidden、CybeyghostVPN倒下 #GFW
# 大量PHproxy、GlypeProxy、Appspot.com上的Proxy、Psiphon倒下
# Freedur、Skydur倒下
# Gladder、Phzilla倒下
# Skydur倒下 #gfw
# Tor、JAP正慢慢倒下
# Phproxy类Web代理被群奸,建议嵌套一次用。用一个Web代理套另一Web代理再操 #GFW
# JAP也就是现在的Jondo,和Tor是共用节点和桥的
# glype已经和phproxy一起废了
# 用Mirrorrr在GAE上搭建的众多Proxy倒得差不多了
# Tor已完全倒下,套都破了
# Tor死的很惨,目录服务器、桥服务、国外第一条节点等均被破解,就算将Tor套上代理成功启动(洋葱变绿)都是徒劳。
# Puff 惨遭 #gfw 追杀,最新0.03b2版本倒下
无独有偶,看到一个前Netscreen出来的创业公司的产品的介绍,其中谈到它能够截获SSL通讯并进行“审计”,相当恐怖:
对外发信息进行审计,防止机密外泄及不必要的法律纠纷,是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,就连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的,UTM Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议都被纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。
不知道其技术实现具体细节如何,貌似是通过一个“SSL代理”来做到的,但是这个代理是对用户透明的吗? 如果是代理如何欺骗用户端的证书认证的呢?
如果这个技术是真实有效而且透明的,一旦被GFW利用后果不堪设想啊。
Things you can do from here:
- Subscribe to 我blog故我在 using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
cathayan
2009/9/25 pnt <zhe...@gmail.com>
> Things you can do from here:
>
> Subscribe to 我blog故我在 using Google Reader
> Get started using Google Reader to easily keep up with all your favorite sites
>
>
> >
Zheng YAN
sopp
2009/9/26 Zheng YAN <zhe...@gmail.com>:
Chunlin Zhang
现在试试 jap.
> Things you can do from here:
> - Subscribe to 我blog故我在 using Google Reader
> - Get started using Google Reader to easily keep up with all your
> favorite sites
york zhuo
--
===========
-york.zhuo
Chunlin Zhang
jap 是完全连不上...
2009/9/26 Chunlin Zhang <zhangc...@gmail.com>:
cathayan
但要说直接窃听SSL,感觉还不太可能
2009/9/27 Chunlin Zhang <zhangc...@gmail.com>:
Xin LI
Hash: SHA1
cathayan wrote:
> 让这些东西不能用肯定是可以的,互联网毕竟设计初衷是开放,不是保密,天朝也已经展示过能力,可以让Gmail断掉。
>
> 但要说直接窃听SSL,感觉还不太可能
我觉得这个消息可能不确切。窃听而且让对方不知道的话,这个安全漏洞应该早就
上头版头条了。
我认为比较有可能的是这样:
- proxy自己提供SSL;
- 用户连接proxy看到的是proxy的证书(proxy可能提供的是一个CN=*的证书);
- 其他,如和真正的服务器之间做SSL协商之类,是proxy完成的。
这样做用户肯定会知道(除非这个proxy拿了一个用户已经信任的根CA发的证书签
发的证书)。
Cheers,
- --
Xin LI <del...@delphij.net> http://www.delphij.net/
FreeBSD - The Power to Serve!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (FreeBSD)
iEYEARECAAYFAkq++4AACgkQi+vbBBjt66Cm4gCfU5K6tkW19u7BAIt2GCIlNQRX
058AnjDgKNoslqfzy8C8Xg+KZgVlboCD
=ue/7
-----END PGP SIGNATURE-----
Chunlin Zhang
2009/9/27 Xin LI <del...@delphij.net>:
Xin LI
Hash: SHA1
Chunlin Zhang wrote:
> 你说的就是中间人攻击吧
对,中间人攻击。但是这个是一个你认识的中间人。。。
iEYEARECAAYFAkq+/voACgkQi+vbBBjt66ACywCfT9I4usANbpAw1KBIZgI9Wak+
RW0AnRYGNrS0VG0rkGfDbO3bjygKs96I
=5dmm
-----END PGP SIGNATURE-----
FANG Kun (Richard)
--
FANG Kun (Richard)
cathayan
2009/9/30 FANG Kun (Richard) <richa...@gmail.com>:
Zheng YAN
cathayan
1. 能抓住域名解析——这个官府可以
2. 有那个域名的邮箱——这可不一定了
3. 网站要伪造得逼真,能实现功能而不被发现——难度不小吧,网页上联络不比电话,电话上只用把真的语音转过来就行了,网页这个能搞出这种无缝转接吗?也就是插入了中间人而不被注意到?
2009/9/30 Zheng YAN <zhe...@gmail.com>:
Zheng YAN
Xin LI
Hash: SHA1
cathayan wrote:
> 已经有后续文章给出这个过程了,要想完成这一点,必须有以下几个条件:
>
> 1. 能抓住域名解析——这个官府可以
> 2. 有那个域名的邮箱——这可不一定了
能抓住解析自然也可以把你的MX转到别的地方。
> 3. 网站要伪造得逼真,能实现功能而不被发现——难度不小吧,网页上联络不比电话,电话上只用把真的语音转过来就行了,网页这个能搞出这种无缝转接吗?也就是插入了中间人而不被注意到?
可以啊,他们要的是数据,直接做个代理不就行了。
- --
Xin LI <del...@delphij.net> http://www.delphij.net/
FreeBSD - The Power to Serve!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (FreeBSD)
iEUEARECAAYFAkrCwAwACgkQi+vbBBjt66DlYQCgvWcVJThpGZWA08Zhv5u0pUBW
674AljH6mGqw2x0QwAsIx7Ee+gsTv10=
=9d3C
-----END PGP SIGNATURE-----
cathayan
2009/9/30 Xin LI <del...@delphij.net>:
>
> 能抓住解析自然也可以把你的MX转到别的地方。
>
Xin LI
Hash: SHA1
Zheng YAN wrote:
> 只要做一個 login 界面,拿到密碼后,就變成 proxy 的工作了
这是好人的思路……
邮箱把MX解析到别处就足够了,而且这个过程如果做的有技巧的话(具体技巧就不
说了)可以做到让你完全无法发现。我的意思是说,是的,如果真想做的话,以他
们掌握的资源,甚至连伪造MX都不是必须做的。
> 2009/9/30 cathayan <cath...@gmail.com <mailto:cath...@gmail.com>>
>
> 已经有后续文章给出这个过程了,要想完成这一点,必须有以下几个条件:
>
> 1. 能抓住域名解析——这个官府可以
> 2. 有那个域名的邮箱——这可不一定了
> 3. 网站要伪造得逼真,能实现功能而不被发现——难度不小吧,网页上联络不
> 比电话,电话上只用把真的语音转过来就行了,网页这个能搞出这种无缝转接
> 吗?也就是插入了中间人而不被注意到?
>
> 2009/9/30 Zheng YAN <zhe...@gmail.com <mailto:zhe...@gmail.com>>:
> > 這里說的是沒有警告的方式
> > 因為這個證書是真的
> >
> > 2009/9/30 cathayan <cath...@gmail.com <mailto:cath...@gmail.com>>
> >>
> >> 证书不对浏览器都有警告的,没注意点了确定才会中招
> >>
> >> 2009/9/30 FANG Kun (Richard) <richa...@gmail.com
> <mailto:richa...@gmail.com>>:
> >> >
> >> > 十几年前在大学上课的时候,加密学的课上,老师提到一句,SSL保证你
> 的连接本身是安全的,但不保证你连到哪里。当时也没细想这是什么意思。可
> 能和这种攻击有关。
> >> >
> >> > 2009/9/26 cathayan <cath...@gmail.com <mailto:cath...@gmail.com>>
> >> >>
> >> >> 不太可能啊
> >> >>
> >> >> 2009/9/25 pnt <zhe...@gmail.com <mailto:zhe...@gmail.com>>
> >> >> > Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP
> 和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,
> 就连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊
> 括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的,UTM
> >> >> >
> >> >> > Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内
> 容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议
> 都被纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开
> 启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提
> 示和法律免责申明的方式加以完善。
> >> >> >
> >> >> > 不知道其技术实现具体细节如何,貌似是通过一个“SSL代理”来做到
> 的,但是这个代理是对用户透明的吗?
> >> >> > 如果是代理如何欺骗用户端的证书认证的呢?
> >> >> >
> >> >> >
> >> >> >
> >> >> > 如果这个技术是真实有效而且透明的,一旦被GFW利用后果不堪设想啊。
> >> >> >
> >> >> >
> >> >> >
> >> >> >
> >> >> > Things you can do from here:
> >> >> >
> >> >> > Subscribe to 我blog故我在 using Google Reader
> >> >> > Get started using Google Reader to easily keep up with all your
> >> >> > favorite
> >> >> > sites
> >> >> >
> >> >> >
> >> >> > >
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> cath...@gmail.com <mailto:cath...@gmail.com>
> >> >> http://blog.cathayan.org
> >> >>
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > FANG Kun (Richard)
> >> >
> >> > >
> >> >
> >>
> >>
> >>
> >> --
> >> cath...@gmail.com <mailto:cath...@gmail.com>
> >> http://blog.cathayan.org
> >>
> >>
> >
> >
> > >
> >
>
>
>
> --
> cath...@gmail.com <mailto:cath...@gmail.com>
> http://blog.cathayan.org
>
>
>
>
> >
- --
Xin LI <del...@delphij.net> http://www.delphij.net/
FreeBSD - The Power to Serve!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (FreeBSD)
iEYEARECAAYFAkrCwOwACgkQi+vbBBjt66An+QCdGv4B8hkdetKGsmTP0GKml6W+
dVoAoK3sqxneBy83XuhRH/yHmXMy3U6S
=hkKn
-----END PGP SIGNATURE-----
Zheng YAN
Xin LI
Hash: SHA1
cathayan wrote:
> 这个还不够,得能接收CA发来的信件,主要浏览器内置的那些公司发信时不会受这种DNS影响吧
足够了。很简单的办法就能知道对方是怎么查DNS的,而且做DNS poisoning并没有
那么高的技术门槛。
还有就是,互联网没那么安全,很多事情只是他们的技术人员不知道(可能性不
大)或者故意放水不做而已。
> 2009/9/30 Xin LI <del...@delphij.net>:
>> 能抓住解析自然也可以把你的MX转到别的地方。
Cheers,
- --
Xin LI <del...@delphij.net> http://www.delphij.net/
FreeBSD - The Power to Serve!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (FreeBSD)
iEYEARECAAYFAkrCwhMACgkQi+vbBBjt66COvQCeN7GOt3pszQEI24qRSJ9k/Sb9
GpkAoJoIi6pvVNUwQYndEihXw6aXAMfc
=mjvQ
-----END PGP SIGNATURE-----
Zheng YAN
> 说了)可以做到让你完全无法发现。我的意思是说,是的,如果真想做的话,以他
> 们掌握的资源,甚至连伪造MX都不是必须做的。
cathayan
还要希望浏览器们内置的CA要经过审查,Fx内置的第一个感觉就挺奇怪 turktrust 怪字母都有
2009/9/30 Xin LI <del...@delphij.net>: