Как защититься? Не очень разбираюсь.

← →
Artem (2012-10-22 19:09) [0]

Предположим вы пришли к точке доступа Wifi которой не очень доверяете... То есть могут похитить пароли к ящику и др. Если возможность как-то защититься в незнакомой сети и выйти в Интернет?

← →
Sha © (2012-10-22 19:22) [1]

нет

← →
Дмитрий С © (2012-10-22 19:27) [2]

Как вариант ходить только на https сайты.
Или иметь VPN сервер, которому доверяешь.

← →
Пит (2012-10-22 19:35) [3]

> Если возможность как-то защититься в незнакомой сети и выйти
> в Интернет?

тут надо начать с вопроса - а что такое интернет?

На gmail сходить можно, ибо он работает по https.

На остальные сервисы, которые работают по Https тоже можно.

И в целом можно ходить на сервисы, которые обеспечивают защиты по типу SSL.

Если же ты хочешь работать по небезопасному протоколу - тут вообще философия. Ты можешь установить безопасное соединение до некоего промежуточного сервиса, соединению от которого до нужного конечного сервиса даже по небезопасному протоколу уже доверяешь )))

Промежуточным сервисом как правильно заметили может быть VPN.
Или httpS-прокси. Или что-то в этом духе.

← →
Rouse_ © (2012-10-22 20:03) [4]

http://www.winsecurity.ru/articles/understanding-man-in-the-middle-attacks-arp-part4.html

← →
Медвежонок Пятачок © (2012-10-22 20:08) [5]

Для абонента чужой незнакомой wifi сетки MiM не более опасен, чем для абонента знакомой ему сети.
Одинаково и монопенисуально.

← →
Пит (2012-10-24 19:57) [6]

ну кстати да, Розыч прав.

С тем же гмылом, большинство вобьет в адрес: gmail.com - и нажмет enter - после чего произойдет соединение по http естественно. Что сделает возможным указанную атаку.

А надо вбить хотя бы: https://google.com ;)

← →
Пит (2012-10-24 19:59) [7]

> Для абонента чужой незнакомой wifi сетки MiM не более опасен,
> чем для абонента знакомой ему сети.
> Одинаково и монопенисуально.

ну ты жжошь. По-моему, в том и дело, что критерием знакомой сети является то, что в ней нету всяческих MiM, а если есть - о них известно ))
Иначе - сеть незнакома )
А ты подменил понятия.

← →
Медвежонок Пятачок © (2012-10-24 20:18) [8]

большинство вобьет в адрес: gmail.com - и нажмет enter - после чего произойдет соединение по http естественно.

Ага.
Только естественно и сразу произойдет редирект на https.

в том и дело, что критерием знакомой сети является то, что в ней нету всяческих MiM,

Это ты имеешь ввиду до первого хопа (до маршрутизатора твоей младшей сестры) ?

Пипец.

Сижу я дома, сижу на работе и сижу в кафе.
Первые две сетки мне как бы знакомы. Точнее лан сегмент их знаком.
И чего дальше?

Куда засунуть твой критерий, если MiM сидит на бакбоне после моего провайдера?

Правильно. Именно туда.

← →
Медвежонок Пятачок © (2012-10-24 20:34) [9]

А ты подменил понятия

Это ты не въехал в суть темы.

Вопрос:
Предположим вы пришли к точке доступа Wifi которой не очень доверяете... То есть могут похитить пароли к ящику и др. Если возможность как-то защититься в незнакомой сети и выйти в Интернет?

Ответ: чувак, юзай ssl/https

Возражение: но тебя подстерегает чел-по-середине

Контр-возражение: если тебя подстерегает чел-по-середине, то вообще пофиг, к какой точке доступа вы подошли. Домашней, служебной, или вокзальной.

← →
Пит (2012-10-24 23:58) [10]

> Только естественно и сразу произойдет редирект на https.

Ну если нету MiM - то и обсуждать нечего. А если есть - никакого редиректа на httpS не произойдет )

> но тебя подстерегает чел-по-середине

а вот это вряд ли.

Я думаю ты прекрасно понимаешь, что это именно баловство на низшем уровне.
Вполне представляю, что уже завтра школьник начитавшись журнала хацкер (или этой ветки) поставит нужное ПО и расшарит типа халявный вай фай и будет снифить пароли.

На кого расчитана будет эта ловушка? На обычных юзверей, чей аккаунт никакой в общем-то информационной ценности не представляет. Взломали - и хрен с ним. Их тысячами ломают каждый день. Шел этот простак по улице, увидел халявный вай-фай, подумал - о дураки, дай ка подцеплюсь.

На каком-то магистральном уровне такое делать - уже некошерно, можно по шапке получить очень сильно, а там и суды, репутация.. Да блин, нафиг я тебя это объясняю

← →
Медвежонок Пятачок © (2012-10-25 08:29) [11]

К чему вся эта болтовня?
Что ты мне объясняешь?

Последовательность обсуждения вопроса читал вообще?
Она в [9]

Мое сообщение касалось уязвимости ssl перед атакой mim.
Я не рассуждал есть она или нет, и начитался кто-то там чего-то или нет.
Я сказал, что если у нас есть mim, - то уже поздно пить боржоми. нет никакой разницы к какой точке доступа ты при этом приклячился.

← →
Empleado © (2012-10-25 13:19) [12]

> Rouse_ © (22.10.12 20:03) [4]
> http://www.winsecurity.ru/articles/understanding-man-in-
> the-middle-attacks-arp-part4.html

Защита от перехвата SSL Как говорилось ранее, SSL перехват в данном случае практически невозможно обнаружить со стороны сервера, поскольку для сервера это просто обычное соединение с клиентом. Он не имеет представления о том, что взаимодействует с клиентом через прокси. К счастью, есть несколько вещей, которые можно выполнить на стороне клиента для обнаружения и предотвращения таких типов атак. Необходимо убедиться в том, что используется защищенное HTTPS подключение - когда выполняется вышеописанная атака, она убирает все аспекты защиты подключения, что можно увидеть в браузере. Это означает, что если вы входите в свой банковский аккаунт через интернет и замечаете, что это простое HTTP подключение, высока вероятность того, что что-то не так. Независимо от модели браузера, необходимо уметь различать защищенные подключения и незащищенные. Выполняйте свои сетевые банковские операции дома - шансы того, что кто-то перехватит трафик в домашней сети, гораздо меньше, чем шансы перехвата трафика в корпоративной сети. Дело не в том, что ваш домашний компьютер более безопасный (давайте смотреть правде в глаза, он даже менее защищен), а просто в том, что если у вас дома всего один или два компьютера, вам лишь нужно беспокоиться (относительно перехвата сеанса) о том, что ваш 14 летний ребенок будет просматривать какие-то видеоролики с YouTube, которые могут использоваться для перехвата сеанса. В корпоративной сети вы не знаете, что происходит этажом ниже или в офисе филиала, расположенном в 200 милях от главного офиса, поэтому количество потенциальных источников атак значительно возрастает. Одной из основных целей перехвата сеанса являют банковские интернет услуги, но этот же принцип может быть применен к чему угодно. Защищайте свои внутренние машины - и снова, такие атаки чаще всего осуществляются из внутренней сети. Если ваши сетевые устройства защищены, то меньше вероятность того, что скомпрометированные узлы будут использоваться для инициации перехвата сеанса.

Могу добавить отсебятину, из своего опыта.

HTTPS, который вдруг превращается в HTTP - это просто заметить.

К сожалению мало пользователей, практически никто не обращает внимания на сертификаты, используемые в HTTPS.
Нужно также проверять сертификат: что он соответствует запрашиваемому ресурсу/сайту.

Например: на работе мы фильтруем весь https трафик не только по названию сайта, но и по контенту, т.е. по содержанию передаваемой информации.
Таким образом, пример:
на выходе из сети стоит аппарат Х, который заменяет сертификат удаленного ресурса на свой собственный. Т.е. пользователь запрашивает https сайта щщщ.охо.цом, а получает ответ от нашего аппарата по https с нужным контентом, но с другим сертификатом (от Х).

А также необходимо обращать внимание на отсутствие запроса интернет браузера об использовании non-trusted сертификатов.

Например: в выше приведенном примере, чтобы пользователь не видел предложение браузера "There is a problem with this website"s security certificate." и потом "Continue to this website (not recommended).", мы можем добавить сертификат нашего аппарата Х в список Trusted Certificates нашего домена.

← →
это как? (2012-10-25 14:27) [13]

> просматривать какие-то видеоролики с YouTube, которые могут использоваться для перехвата сеанса.

← →
Пит (2012-10-27 01:59) [14]

> Последовательность обсуждения вопроса читал вообще?

конечно.

Твой пост к вопросу топикстартера вообще имеет мало отношения, поэтому давай разобьем это на два пункта.

1) автор идет по улице с коммуникатором и увидел открытую wi-fi сеть. Он справедливо опасается, что его пароль могут снифануть. Можно ли защититься? Ответ многоуважаемого Sha в целом неверен. Например, если ты хочешь воспользоваться gmail, то тебе нужно в нормальном браузере вбить в адресную строчку:

httpS://gmail.com - и пользуйся наздоровье, главное обращать внимание на ЛЕВЫЙ сертификат, если вдруг кто его начнет подсовывать. Или перенаправление на обычный http

думаю, тут разногласий нет?

2) твой парадоксальный ответ [5], что mim одинаково опасен как для незнакомой сети, так и для знакомой. Как бы да, но тут передергивание понятий на мой взгляд. Свойство ЗНАКОМОЙ сети как раз в том, что там ОТСУТСТВУЕТ mim, вот что я хотел сказать )) Иначе, если в сети присутствует mim и ты об этом не знаешь - то можно сказать, что сеть тебе не знакома ))

Грубо говоря, я в своей квартире организовал мини-локалку, она полностью под моим контролем, это ЗНАКОМАЯ мне сеть и никакого mim там нету, конечно. Поэтому я так и трактую, что "Сеть знакома" -> "mim нету".
Ибо еще раз, если mim есть - то по факту сеть тебе не знакома, ты не в курсе её настроек.

Другое дело, что mim может быть уровнем выше. А тут уже следующий мой пост, что на вышестоящем уровне это нецелесообразно, на уровне обслуживания тысячи клиентов делать такую штуку - идиотизм. Она всё таки достаточно легко определяется и тут уже явные в том числе юридические претензии с финансовыми следствиями.

← →
Пит (2012-10-27 02:04) [15]

Пятачок, по итогу, самая главная моя мысль: ты сказал парадокс. Переформулируя получается так:

"Mim одинаково опасен и для той сети, в которой Mim нету."

Потому что в моих понятиях - ЗНАКОМАЯ СЕТЬ ЭТО ТАКАЯ СЕТЬ, КОТОРУЮ ТЫ ЗНАЕШЬ. В ТОМ ЧИСЛЕ ЗНАЕШЬ, ЧТО В НЕЙ НЕТУ ТАКИХ ПОДСТАВ, КАК MIM.

Если ты не уверен в отсутствии подставы - значит, сеть тебе незнакома. Это и есть отличие знакомой сети от незнакомой. А ты объединил два понятия и конечно у тебя получилось, что монописуально. Ясен пень.
И конечно, яркий пример незнакомой сети - это открытая wi-fi сеть, созданная не тобой.

Надеюсь, донес мысль.

← →
Медвежонок Пятачок © (2012-10-27 17:29) [16]

Свойство ЗНАКОМОЙ сети как раз в том ....

Какой сети?
Твоей комнатной?
Ну допустим что ты уверен, что в твоей квартире нет mim.
И ты после этого сделаешь вывод что ты в безопасной среде?

Если нет, то о какой сети ты вообще здесь говорил?
Да еще про такую, про которую ты чего-то там знаешь на все 146 процентов?

← →
Artem (2012-10-27 17:35) [17]

Можно вопрос по теме.
У меня на телефоне Nokia C6 есть утилита - работа с почтой google. Она работает по протоколу https? То есть в достаточной мере всё защищено?

← →
Медвежонок Пятачок © (2012-10-27 21:19) [18]

Ты Пит путаешь попу с пальцем.

Сетей, в которых нет подстав с мим не существует.
По крайней мере нет никаких оснований считать, что ты сейчас в такой сети.

А путаешь ты следущее.

Ты можешь сидеть в сетке (например домашней или корпоративной).
Всем абонентам этой сети ты доверяешь, снаружи в сеть попасть нельзя, и посему ты можешь отключить свой брандмауэр.

Вот такую сетку ты ошибочно и называешь сеткой, в которой ты уверен.
А то что мим может сидеть сразу за ее пределами - тебе как бы невдомек.
Ты же типа защищен от вторжения в эту сеть посторонних.

Только вот атака чел-по-середине никак не связана ни с уязвимостью хоста, ни с уязвимостью ос и брандмауэром она никак не лечится. Так это уязвимость протокола.

А протоколу-то пофик где именно сидит этот чел-по-середине, и включен ли у тебя брандмауэр.

← →
Пит (2012-10-28 19:04) [19]

> атака чел-по-середине

Пятачок, прочитай мой пост со слов "Другое дело, что mim может быть уровнем выше"

← →
Медвежонок Пятачок © (2012-10-28 22:52) [20]

Ну прочитал.
И судя по всему тебя это мало волнует, так как в твоей комнатной сети ты уверен на сто процентов. а то что мим - это где-то между тобой и почтовиком (и не обязательно в твоей песочнице) - до тебя как-то тяжело доходит.
Иначе бы ты не повторял как попугай есть сети, в которых ты уверен как в себе.

← →
Пит (2012-10-29 11:17) [21]

> а то что мим - это где-то между тобой и почтовиком (и не
> обязательно в твоей песочнице) - до тебя как-то тяжело
> доходит.

Пятачок, ты вообще по делу умеешь высказываться?

Еще раз - если ты говоришь именно об угрозе "по-середине", то я тебе обосновал - заниматься этим на вышестоящем уровне себе дороже. В частности, потому что это легко доказывается.
Ты ведь пользуешься провайдером доступа к интернету? Ты сам как оцениваешь шансы, что он сделает у себя mim? Как ты оцениваешь, что будет mim еще на более вышестоящем уровне?

Давай ты будешь говорить по теме, есть мысли, доводы - говори. А ты лишь к словам цепляешься, чтобы эмоциональный фон повысить.

← →
Пит (2012-10-29 11:20) [22]

Еще раз для Медвежат.
Если я цепляюсь по вай-фай к своей домашней сети - то я спокоен.

1) потому что сеть мне знакома, отсюда вытекает отсутствие Mim и других подстав в этой подсетке

2) потому что на следующем уровне моего провайдера, который обслуживает сотню тысяч клиентов - он такой фигней страдать не будет. Тем более такой очевидный фигней, как mim.

Тебя очень интересует пункт номер два. Ок, давай говорить о нем. Я высказался по обоим пунктам.
Но вместо того, чтобы аргументировано спорить по второму пункту, который и касается твоего поста - ты решил продолжить спорить по первому пункту. Ты даже после ПРЯМОГО указания сейчас продолжаешь обвинять меня в словах по первому пункту.

Если согласен со мной по второму пункту и нечего возразить - может тогда и писать ничего не нужно?

← →
Медвежонок Пятачок © (2012-10-29 13:37) [23]

Еще раз для Медвежат.
Если я цепляюсь по вай-фай к своей домашней сети - то я спокоен.

С чего бы?

Не с того ли, что ты думаешь, что почтовик гугла сидит в твоей домашней сети?
Или ты думаешь, что если в домашней сетке ты можешь сидеть без фаервола, то и мим тебе не страшен?

Тупить-то долго еще будешь?

2) потому что на следующем уровне моего провайдера, который обслуживает сотню тысяч клиентов - он такой фигней страдать не будет. Тем более такой очевидный фигней, как mim.

О! Зашибись вывод.
Блеск!
Отсюда я делаю другой вывод: все челы-по-середине живут в домашних сетках и никак не выше.

← →
Медвежонок Пятачок © (2012-10-29 13:40) [24]

Но вместо того, чтобы аргументировано спорить по второму пункту

По какому пункту мне с тобой спорить?

Напоминаю, что это ТЫ СО МНОЙ СПОРИШЬ по моему пункту.
Который гласит, что :
если вас атакует MiM то вам вообще без разницы, в какой сети вы и через что вы в нее попали.

← →
Пит (2012-10-29 16:14) [25]

Пятачок, я так в результате и не понял - ты согласен с тем, что магистральный провайдер не будет заниматься mim, а если ты уж так любишь придираться к словам, то вероятность этого пренебрежительно мала?

← →
Медвежонок Пятачок © (2012-10-29 16:55) [26]

а кроме магистрального провайдера и тебя в инете никого нет?

← →
Медвежонок Пятачок © (2012-10-29 17:20) [27]

я так в результате и не понял - ты согласен с тем, что магистральный провайдер не будет заниматься mim

Я так и не понял, почему ты решил что он не будет этим заниматься.
А еще я не понял, почему ты решил, что кроме него этим заниматься вообще некому.

← →
Пит (2012-10-29 17:24) [28]

> а кроме магистрального провайдера и тебя в инете никого
> нет?

Ок, ты считаешь, что уровнем ЕЩЕ ВЫШЕ кто-то устроит mim, на уровне обмена трафиком на М-9 например?

Ты очень хорошо научился критиковать. Может ты практически укажешь кто такое сделает? Как-то мы по кругу ходим.

Сначала ты несколько постов подряд придирался вообще не к тем словам. Вроде бы я тебе четко указал, что по твоей теме я говорил слова другие. Теперь ты никак их не комментируешь, хочешь чтобы я что-то другое сказал.

По-моему, ты не хочешь говорить ничего дельного. Ни одного слова по делу, чтобы не дай бог самому не стать объектом критики. Может тогда и разговор закончить, все всё поняли?

> Пит (29.10.12 17:24) [28]

> кто такое сделает?

СОРМ :)

← →
Пит (2012-10-29 17:34) [30]

> Я так и не понял, почему ты решил что он не будет этим заниматься.

а как ты поймешь, если ты читаешь только то, что хочешь?

Я тебе НЕСКОЛЬКО РАЗ уже аргументировал. Крупный провайдер этим никогда не будет заниматься (и его сотрудники конкретные в том числе), потому что такой тип атаки очень легко вычисляется любым мало продвинутым пользователем.

Если у провайдера есть хотя бы тысяча пользователей - практически наверняка подстава будет раскрыта в пределах пары дней, а вполне возможно что и часа не пройдет.
А несмотря на наше корявое законодательство - кара за хищение личных данных клиента (а зачем еще такое делать) - очень суровое. Провайдер после такого может перестать существовать. А делать такое просто так - только ради баловства, реальные логины и пароли вряд ли украдешь.
Итог: целесообразность предприятия просто невероятно мала.

В отличии от школьника, которому ради забавы расшарить вай-фай и своровать пароли от вконтактика ребят со своего района. И он при этом практически ненаказуем. А грамотно сменит там ID роутера или типа того - так вообще хрен найдут в плоскости заинтересованности им.

← →
Пит (2012-10-29 17:42) [31]

> СОРМ :)

Ну да, согласен, такое возможно.
Но когда ворует государство - это уже воровством не называется ))

Крупный провайдер этим никогда не будет заниматься

А где я говорил, что этим будет заниматься тот, о ком ты говоришь?

Может ты практически укажешь кто такое сделает?

А может ты укажешь, что этим никто не занимается, так как крупный пров этого не будет делать никогда, а в твоей комнатной сети тоже никого нет, кто бы этим мог заняться?

Итого: атаки чел-по-середине просто нет в природе (Пит сказал)

Я тебе НЕСКОЛЬКО РАЗ уже аргументировал.

Ты мне много раз тупо повторял, что в своей домашней сети ты уверен типа.
Я тебе много раз объяснял, что это вообще ничего не значит.

Пока до тебя с грехом пополам это наконец-то дошло (наверное)

После чего ты переключился на выдуманное тобой же и ничем не подтвержденное "провайдер такого не сделает"

← →
Пит (2012-10-29 19:12) [35]

аргументы почему провайдер этого не будет делать я тебе привел.

Ты готов говорить о чем угодно, в том числе оскорблять, но только не про эти аргументы, не обсуждать их или критиковать.

Аргумент по прежнему простой: потому что атаку легко обнаружить и она несет весомые последствия для провайдера.

Я уверен, что ты и сейчас не будешь говорить в контексте приведенного аргумента, опровергать его или высказывать свои мысли, а по прежнему будешь стараться оскорбить для того, чтобы перевести разговор в русло взаимных обвинений и неконструктива.

Засим думаю обсуждение смысла дальнейшего не имеет, спасибо за диалог )

Ну ладно.
Еще пару дней, и до тебя дойдет, что ты споришь ни о чем.

Так как я утверждаю, что если тебя атакует мим, то тебе по барабану в какой распрекрасной сетке ты сидишь.

А ты талдычишь, что тебя никто атаковать через мим не будет.

Удачи и крепкого лба!

в четвертом посте приведена ссылка

> в четвертом посте приведена ссылка

Блин, я думал чего нового придумали...

Как защититься? Не очень разбираюсь. Найти похожие ветки