Portál AbcLinuxu, 7. května 2025 05:32

Detekce NSA útoku QUANTUMINSERT

Fox-IT publikovali článek, jak detekovat man-on-the-side útok QUANTUMINSERT používaný NSA (více viz Snowdenovy dokumenty). Publikovány byly i patche pro Snort a Bro umožňující detekci.

7.5.2015 07:36 | xm | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

7.5.2015 13:18 cbtuie
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
Odpovědět | Sbalit | Link | Blokovat | Admin
kua si zoberme že to je v otvorenom kóde kde všade to musí byť v zatvorenom kóde
7.5.2015 13:50 Michal
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
V otevrenem kodu? Neni to nic v zadnym kodu, je to vlastnost TCP protokolu. Pokud ten obsah neni sifrovany nebo nejak jinak neoveruje integritu, tak nekdo na ceste (nebo v tomhle pripade pri ceste) dokaze zasahovat do komunikace, nic noveho.
7.5.2015 23:40 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
No vzhledem k tomu, že NSA má podle všeho nejspíš přístup k podpisovým klíčům různých CA, tak běžné HTTPS proti QUANTUMINSERT útoku člověka nijak neochrání. Jedině v kombinaci s pinningem certifikátů/veřejných klíčů, případně s kontrolou síťové perspektivy pomocí notary serverů (ale oboje naráží na to, že velké weby jako Google, Facebook a spol. rotují certifikáty jak na běžícím páse)...
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Jendа avatar 7.5.2015 23:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
Do HTTPS pasivně nic nevložíš i když máš alternativní důvěryhodný certifikát.

Spíš mě udivuje že dělají to vkládání místo normálního MITM.
8.5.2015 00:12 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
Man-on-the-side funguje tak, že útočníkovi pakety "předběhnou" odpověď reálného serveru. Pokud má útočník vhodný certifikát, nic mu pak přeci nebrání vydávat se za ten reálný server.

Jinak na hromadný man-in-the-middle IMHO nemají infrastrukturu, kdežto man-on-the-side se dá provozovat ve velkém jednodušeji (pokud máte příslušná vrátka u ISP otevřená/optické kabely napíchnuté, prostě pokud jste NSA/GCHQ ;-)). NSA není v pozici Číny, aby mohla všechno filtrovat přes jeden Velký Firewall, tak na to musí jít holt takto bokem. Toť alespoň moje úvaha...
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
8.5.2015 16:23 mm
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
HTTPS by tento utok dost zkomplikovalo

http://blog.fox-it.com/2015/04/20/deep-dive-into-quantum-insert/

"The usage of HTTPS in combination with HSTS can reduce the effectiveness of QI. Also using a content delivery network (CDN) that offers low latency can make it very difficult for the QI packet to win the race with the real server."

https://leaksource.info/2013/12/30/nsa-quantum-files/ https://leaksource.files.wordpress.com/2013/12/14d.jpg https://leaksource.files.wordpress.com/2013/12/16d.jpg

"Often enough, though, they are effective. Implants with QUANTUMINSERT, especially when used in conjunction with LinkedIn, now have a success rate of over 50 percent, according to one internal document."

“Certain QUANTUM missions have a success rate of as high as 80%, where spam is less than 1%,” one internal NSA presentation states.
vlastikroot avatar 7.5.2015 17:22 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Detekce NSA útoku QUANTUMINSERT
Odpovědět | Sbalit | Link | Blokovat | Admin
Na stredni jsem provozoval ARP spoofing MITM a nikdo si toho nevsim :-D
We will destroys the Christian's legion ... and the cross, will be inverted

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.