A Finfisher hogy szedi ki pl. a Gmail jelszót az SSL/TLS session-ből?

Az a gáz, hogy még az ARP csomagok ellenőrzése sem feltétlenül véd meg téged.

Nagy adatközpontokban vannak most is (pl BIX) olyan eszközök, amiket "bizonyos emberek" vittek be, közvetlen rá vannak kötve a gerinchálózatra és senki nem nyúlhat hozzájuk.

Bár ezek így önmagukban man in the middle támadásra talán nem alkalmasak, max sniffelni, de nem áll sokból csak úgy beállni közvetlen a kapcsolatba sem.

Még csak el sem kell terelni a forgalmat...

Részben.

BÁRKI azért nem, de bizonyos szervezetek olyan szinten állnak, ahonnan könnyedén hozzáférhetnek olyan dolgokhoz, amihez az átlag ember nem.

A LAN-os dolgok megint más témekörbe tartoznak, itt a Finfisher esetén inkább ugye a kormány ügynökségekről van szó, akiknek jóval nagyobb a "hatalmuk".

(Mint írtam is, ők megtehetik, hogy bemennek egy adatközpontba és kérnek egy tükrözött portot, amire a teljes forgalom szintén átirányításra kerül, az egyik switchen.)

Így van Bárki azért nem teheti meg, de akinek megvan a kellő szakértelme( ez lehet egy profi hacker is nem csak a titkosszolgálatok részéről), az be fog törni a gépbe.

-A sima tűzfal szoftverek, amik lehetnek fizetősek is csak annyi tudnak szavatolni, hogy a géped adatforgalma szabványprotokollokon keresztül történt, és nem olyan alkalmazás aminek nincs joga kimenni az internetre azt tiltja, illetve minimális IDS védelemmel rendelkeznek, azaz képesek lehetnek ARP csomagokat észrevenni, port-scannelést meg egyéb alapszintű hackerek megfogására védelmet.

A vállalatok ahol fontos az adatok védelme, ott is használnak ilyen tűzfalat , de kiegészítésnek használnak egy alkalmazásrétegbeli tűzfalat, ( lényegében létezik ennek fizikai változata, de egy megfelelően konfigurált proxy is alkalmas lehet a célra, ezen felül behatolás érzékelő rendszert( IDS/IPS-t), valamint a hálózatba emulálnak olyan számítógépet, ami valójában nem létezik, de olyan paramétereket adnak meg neki, amivel "jó" célponttá teszik gépet, hogy ahelyet, hogy egy fontos adatokkal ellátott gépet támadnának meg, előbb támadják meg ezt, és bizonyos esetekben ez a félig meddig virtuális gép alkalmas lehet a behatolás technikájának elemzésére, amit átadhat az IDS szoftvernek, hogy amikor sorra kerül egy valódi adatokkal ellátott gép akkorra azt a támadástipust kiszűrje. De ez sem jelent 100%-ot. Ha a támadó olyan technikát használ, ami nem szerepel az IDS adatbázisában, alkalmazásrétekben is megfelel minden paraméternek( nem virusos a kód, valódi protokolokon, valódi és általában használt tcp/ip mezőket használ és egyszerre több gépen próbálkozik), akkor mindezeket meg tudja kerülni, és többféle támadókódot ismer, akkor be tudna hatolni a hálózatba ezek ellenére is. Egy otthoni tűzfal amit letöltesz és elindítasz szinte 0 védelmet jelent. A fentiek konfigurálása elég nehéz dolog, és ráadásul bizonyos esetekben csak linuxos verzió létezik ezeknek a szoftvereknek.

De ez ellen gyakorlatilag semmilyen védelmet nem jelent az, ha valaki a már emlegetett tükrözött portot használja.

Az ARP védelem nem sokat jelent akkor ha a támadónak van egy jó nagy wifi antennája, feltörte a wifi jelszavadat, és létrehoz azonos paraméterekkel egy access pointot, a géped a nagyobb jelerőség miatt hozzá fog csatlakozni nem a saját routeredhez, és innentől elég felcsatlakoznod a "saját" routeredre( legalább is ezt te így fogod tudni), és onnantól megvan ugyanúgy a lehetőség a helyi hálózaton belül is az SSL session eltérítésére. Ez ellen csak az védne, ha a router tartalmazna IDS szoftvert, vagy egy kisteljesítményű gép használna Wireless IDS-t mert ez meg tudja fogni a wifi törés menetét, ugyanis ez is ARP csomagokkal történik( legalább is bizonyos esetekben ez az alapja a támadásnak)

Egyébként meg keress egy titkosított VPN kapcsolatot, elméletileg a google be fog engedni, bár a nagy testvérnek nem jelentene problémát ez sem, mert akkor nem a te adatforgalmadra csatlakozna rá, hanem a VPN szolgáltatóéra, és ha mellette helyi hálón néznék az adatforgalmadat, akkor tudnák, hogy te melyiket használod. DE: még ezt is meg lehet kerülni. Ugyanis ha már a wifidet felnyomták, akkor nyilván nem sok idő lenne a géped feltörése, ahonnan pedig egyszerű DLL injekcióval kiolvassák azt, hogy a böngésző milyen adatot küldött és fogadott.

Mindez nagyon ritka lehet és nem hiszen neked kellene félned ettől hacsak nem csinálsz valami olyat ami a nagytestvér figyelmét felkelti.

Ezek nagy része már-már "fölösleges", de jah kb ez elég lehet.

Mondjuk a wifis dolgok ugyebár az ellen nem védenek, ha valaki közvetlenül a gerinc hálózatot monitorozza.

Az ellen az SSL és a tanúsítványok ellenőrzése ér csak valamit.

De hajrá.

" Ráadásul ahhoz hogy enegem áttereljen egy hasonló AP-re, ahhoz nekem újra kellene csatlakozni, és látszana, ha nyitott a hálózat. "

Ez nem így van. Tegyük fel te nem vagy otthon, nekilát a wifi törésének. Ennek van egy online és egy offline része. Az online részt megcsinálja míg pl. alszol vagy valami.

Utána megcsinálja otthon vagy egy nagyobb gépen a jelszó törést. Tegyük fel sikerül.

Visszamegy és készít a laptoppal egy ugyanolyan titkosítású, ugyanolyan paraméterekkel rendelkező Wifi hálózatot. És egy sima programmal megteheti, hogy ledob a hálózatról alig egy tized másodpercre( ha te közbe netezel, ha nem netezel éppen akkor megvárja míg felcsatlakozol, ez most mindenképp legyen fontos egy x személynek a példa kedvéért, hogy betörjön a gépedbe). Jó sikerült csatlakoznod hozzád, a példámban eltalálta a támadó, hogy te milyen ip címet használsz. Innentől a támadás sémája a következő lenne:

-Először feltelepít egy ún. debug proxy szervert, ezzel bele tud nyúlni weboldalak kódjába, készít egy saját dns szervert és beállítja, hogy minden nem ssl-n keresztül menő adatforgalmat ő fog feloldani. Tegyük fel rámész egy nem ssl alapú weboldalra, és te le akarod tölteni mondjuk pl. egy cd író programot. Találsz is ilyet. A debug proxyval eléri, hogy minden weboldal igazából egy phishing site legyen, a folyamat igazából teljesen automatizálható, és amikor letöltenéd a cd író programot ő átirányít a saját szerverére és te onnan töltöd le. Ha akarja megoldja, hogy minden stimmeljen minden ugyanúgy nézzen ki mint egyébként, és letöltöd az ő gépéről a cd író programot. Ha a támadó profi akkor rendelkezhet másolatokkal ilyen programokból, amiket megfertőzött előtte. Az antivirus nem biztos észreveszi, ugyanis megkerülhetők bizonyos esetekben. Te szépen elindítod, és kész is, azt csinál ami akar. A feni támadás előkészítése hát nah kicsit macerás, ilyet programokat bár 2 perc alatt lehet találni, de az automatizált debug proxyval a phishing site elkészítése őszintén kicsit nagy feladat, nem beszélve arról, hogy a fertőzést is meg kell oldani. Egy sima hacker nem fog ilyet tenni, túl nagy munka lenne benne, a semmiért. A nagy testvérnek meg nem biztos szükség van erre, neki elég a tükrözött port a switch egyik lábára, ami pl hozzád tartozik. Egyébként meg gondolom a finfisher pont arra van kitalálva legalább is a wifis része, hogy ha nem érnek célt a tükrözött porttal(titkosított VPN-t használ az illető személy és a VPN adatforgalmát nem tudják monitorozni, vagy TOR hálózatot használ, akkor helyi hálóból fel tudják törni a gépet.

-Az alacsony kimenő teljesítmény semmit nem jelent, mert egy pl. 20 db antennával 500 mW-os adóteljesítményű wifivel próbálkoznak, az tuti át fog hatolni a falon.

-A saját ip monitorozása hasznos cucc, de ha már megvan a wifi jelszó, anélkül, hogy csatlakozna a wifidhez, monitorozni tudja a te adatforgalmadat, így látja a belső hálózati ip-det, ezt észrevenni nem tudod. Megint csak az a helyzet, hogy ez megfogna egy 1.0-s hackert, de nem fogna meg egy "igazi" komolyabb szakértelemmel rendelkezőt megint csak nem. Mondjuk sztem az ilyen ritka.

A dll injekció nem hálózati támadás, hanem egy metódus amivel bele lehet írni egy dll fájlba egy tetszőleges függvényt( a függvény alatt most egy programeljárást értek, azaz egy rövidebb programblokkot. Ez egyébként egy teljesen legális ha gyakran nem is, de Windowsokon használatos dolog. Viszont fel lehet használni kicsit csúnyább dolgok megvalósítására.

Ezzel, és a társával a közvetlen kód injekcióval, olyanokat is meg lehet csinálni:

-hogy fogom pl. a Firefox-ot, és annak egyik függvényére ráhookol( a kód injekció, és a dll injekció elnevezése),az a függvény pl. eredetileg konkrétan a böngésző ki és bemenetét "nézi" kiiratja valahová, és itt már bőven látszódik akár a ssl-en keresztül menő adatforgalom. A Zeus trojan pl. ezt a technológiát alkalmazta banki jelszavak( tehát bőven ssl-en keresztül menő) adatforgalom kiíratására. Természetesen ezt minden böngészővel meg lehet csinálni, amennyiben ismerik a függvény nevét, ami hasonló csinál a fentiekhez.

-Akkor pl. adott egy csúnya virus ami ezeket a jelszavakat ki akarja küldeni az internetre. Na már most elég ha a böngésző egyik dll-jébe beleteszi ezt, és a tűzfal nem mindig fogja meg ezt a megoldást, de mindkettő detektálható valamilyen anti-rootkites megoldással

A fentiek példák gyakorlatilag akármit meg lehet csinálni, ami az ún. usermódba történik, a kernelmódhoz ezzel nem lehet hozzáférni, kivéve ha a fenti kód injekcióval nem tesz be egy kernel drivert, de ehhez rendszergazdai jogokkal futó process kell keresni.

Egyébként az általam írt példa, hogy programot akar a támadó letöltetni veled simán kivédhető egy fix dns szerveres megoldással, mert ebben az esetben nem történik meg a dhcp kiosztás után a dns szerverek lekérdezése a routertől. Én pl. Comodónál mindig engedélyezem az ő dns szerójuk használatát, de ha a te virusvédelmednél nincs ilyen, akkor használd a google dns szervereit azok finoman szólva biztonságosak, de azok se 100%-osak. És én személy szerint a böngészőket mindig valamilyen sandboxba futtatom, így ha a böngészőre ráhookolnak, vagy netalán ténylegesen exploitálják a böngészőt( ez azt jelenti, hogy a böngésző bizonyos sérülékenységét kihasználó kódot jutatnak be a hálózatba amivel a támadó tetszőleges kódot tud lefuttatni és ne adj isten nem fogja meg a MalWarebytes Anti exploit, akkor se legyen gond, mert a sandboxból kapásból főleg egy nem profi hacker akkor se fogja tudni kijönni.

Szóval én valamilyen anti-rootkites, és sandboxingok biztosító védelmet és néznék ezek mellett. A dns beállítás is hasznos dolog, és keress mellette valamilyen VPN-es megoldás, ez bizonyos védelmet nyújt a belső hálózatból jövő adatforgalomnál is.