loremOS Admin

"Системное администрирование – это культура"

И еще немного про HTTPS

Опубликовано 4th Oct 2018 22:55:22 в категории Трёп

Здравствуй, дорогой друг! Наверняка ты читал мою статью про HTTPS. Я бы хотел немного прояснить её, так как у меня возник некоторый спор с одним человеком, в результате которого я оказался, якобы, неправ. 

В чем соль

Как я уже сказал, HTTPS небезопасен "искаропки" даже по причине того, что есть третья сторона. Но не так быстро, есть и другие причины, почему я (и не только я) считаю HTTPS вредным. Протокол не делает невозможной расшифровку технически. При правильной реализации не обнаружить SSL Bump. Строго говоря, его вообще не обнаружить. Никто не будет subordinate называть PROVIDER_MEGA_SUPER_PUPER_MITM.proxy.ru.gov, понимаешь? Ну или будет, какой-нибудь отмороженный админ, но ведь речь не о них, а об админах с правильной сексуальной ориентацией.

Правильное исполнение - subordinate кросс-подписать с чем-то нейтральным. Не обязательно даже CA. Атрибут RA поставить можно, он незаметный, и цепочка выдержит все проверки. Дерево "доверия" разрослось настолько, что там ничего не найдешь, черт его знает, что там проверишь, и спрятать можно там хоть три Камаза. Ты сам хоть раз смотрел всё дерево доверия? Только не ври, а честно скажи, дружище.

Для тех, кто не верит

Есть такая вещь под названием BlueCoat. Он стоит в большинстве крупных провайдеров - и вы никогда не догадывались об этом, если только не были допущены грубые ошибки при конфигурировании. BlueCoat продается свыше восьми лет, а ведь никто и не догадывается? ;-) Я не буду здесь описывать этот продукт, для этого есть Гугл | Яндекс. Рекомендую прочитать о нем как можно больше. Ах да, то же самое умеет Squid. Просто нужно сделать то, что я написал выше, и ПРАВИЛЬНО настроить конфиг, а не брать статьи мамкиных админов из тырнетов, которые друг у друга копипастят, причем с грубейшими ошибками, за которые надо жечь напалмом и пытать ключом 22х24.

А на будущее я советую запомнить одну вещь. Чтобы изменить заголовки HTTP под HTTPS - надо HTTPS полностью расшифровать. Или перешифровать. Потому что без этого первоначальные заголовки сервера изменить нельзя. Виден только CONNECT и затем - туннель, никаких заголовков в потоке HTTPS не видно. Поэтому, когда видно явно добавленный транзитный заголовок - типа X-Cache, X-Ecap, X-Proxy, Via или X-Forwarded-For, значит - по дороге либо форвардинговый прокси с бампом, либо реверсивный - с перешифровкой (что равнозначно SSL Bump). 

Послесловие

В дополнение к вышесказанному: достаточно стырить сессию. А расшифровку можно потом в каком-нибудь углу пыльном провести. Корневые сертификаты достать не проблема. Те самые, да, которые обеспечивают безопасность подписью третьей стороны. 

Послесловие 2, или что я могу предложить?

Идея не моя, но я её поддерживаю на 100%. Нужен контроль целостности и надежная аутентификация. Защищённое соединение требуется, но это лишь для передачи личной информации - документов, переписки, банковских данных и прочего, что может быть компрометирующим или требующем приватности. Причем, для защиты необходимо производить обфускацию, а не использовать HTTPS. Вообще, обфускация решает много проблем, ведь обфусцированный трафик невозможно прочесть, от слова "совсем", это мусор. Очень хороший пример - obfs4, на этот тип не было, нет и НИКОГДА не будет сигнатуры. 

Помни, дорогой друг, что иллюзия безопасности хуже небезопасности. Что знают трое - знает и свинья.

Всего наилучшего.

Огромное спасибо трём ребятам, с чьей помощью была написана эта и предыдущая статьи. Те ужасы, что написаны выше, взяты не с потолка, это реальность, и это уже используется. 


Поделиться:


Теги