Китай осуществляет MiTM-атаку на пользователей iCloud

    Так называемый «великий китайский файрвол» освоил работу с iCloud и теперь перехватывает трафик от китайских пользователей Apple к серверам iCloud.

    Исследователи из организации Greatfire.org выложили доказательства MiTM-атаки, при которой власти получают конфиденциальную информацию пользователей: сообщения iMessage, контакты, фотографии и проч.

    Атака осуществляется с помощью поддельного цифрового сертификата: если пользователь невнимателен и проигнорирует предупреждение, то его соединение с iCloud будет шифроваться ключами китайского правительства.

    Предупреждение о неправильном сертификате при попытке подключиться к https://www.icloud.com


    Работа iCloud через китайский MiTM-прокси


    Пока поддельный сертификат предлагают только при попытке подключения к IP-адресу 23.59.94.46. То есть не все китайские пользователи страдают, потому что iCloud DNS может возвращать и другие IP-адреса.

    Wirecapture with MITM: www.cloudshark.org/captures/03a6b0593436

    Самоподписанный сертификат, используемый в атаке: http://www.mediafire.com/download/ampbnqncc277krv/fakeicloudcert.zip

    Лог соединения: http://pastebin.com/tN7kbDV3

    Traceroute: http://pastebin.com/8Y6ZwfzG

    Hotmail MITM


    Wirecap: https://www.cloudshark.org/captures/6011389a8ea3

    TCP Traceroute: https://twitter.com/siyanmao/status/518963824481681408
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 46
    • НЛО прилетело и опубликовало эту надпись здесь
      • +13
        Товарищ из Китая подтверждает такую же подделку сертификата у Yahoo.
        • +27
          Правильно Google сделали в Chrome — неверный сертификат — вообще нет шансов для юзера туда зайти. В современной обстановке пора перенимать практику и всем остальным.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +18
              Почему нельзя? Вот смотрите, вы — юзер. Вы идете на сайт, вам выскакивает окошко о неверном SSL сертификате. Огромный процент пользователей просто отмахнутся от назойливого браузера, нажав ОК, и даже читать не будут. Еще существенный процент прочтут, почешут голову и подумают — ну нафиг, и тоже нажмут ОК. Потому что пользователю совершенно не важно, что там за SSL и почему браузер ругается, потому что браузер позволяет продолжить. Он не должен. Не валидный сертификат должен восприниматься браузером как совершенно нерабочий сайт, чтобы пользователь не мог зайти на сайт с неверным сертификатом. Тогда и фишка такая у китайцев бы не прокатила, ибо пользователям выдавало бы ошибку. Но им выдает предупреждение. Как по мне — это неверное поведение.

              Вполне ясна причина, по которой так устоялось — ну не было в Web 1.0 таких огромных объемов персональной и чувствительной информации. В Web 2.0 она на каждом шагу, и за пользователей об их данных должны беспокоится разработчики.
              • НЛО прилетело и опубликовало эту надпись здесь
                • +3
                  Не исключено, но подозрений и головной боли будет куда больше. К тому же с Китая все только начинается. Сколько уже так кредиток было украдено — не сосчитать. А все из-за психологии пользователя, которую разработчики игнорируют.
                  • –4
                    А кредитки тут при чем? Фишинг? Так это прошлый век и все крупные почтовики давно фильтруют это дело (только если вы сами не проявите желание). А вся sensitive информация собирается совсем по другому и ssl тут никаким боком…
                    • –3
                      Эмм, то есть китайское правительство ворует кредитки? Я так понял, оно это делает MITM в идеологических целях, а не для наживы
                      • +2
                        Надежность цепочки определяется самым слабым звеном.
                        Правительству может это и не нужно, но есть не нулевая вероятность, что в безграничном море чиновников найдутся деятели, которых это заинтересует и которые будут чувствовать себя достаточно безнаказанно для реализации идеи…
                        • +2
                          дело спасают живительные профилактические расстрелы ;-)
                          • 0
                            Вы так говорите, как будто воровство с кредиток хуже, чем вмешательство в личную жизнь с идеологическими целями.
                        • 0
                          И что прикажете делать с self-signed? Или истекшими сертификатами? (они, замечу, работают также хорошо)
                          • +3
                            А что делать с просроченными доменами?
                            Они тоже могли бы работать хорошо!

                            А с self-signed — кому надо, пусть устанавливает в корневые доверенные…
                            А для всех остальных — пусть покупают.
                            больше покупателей -> ниже цена.
                            • +2
                              Про «больше покупателей ниже цена» чушь собачья, с точки зрения капитализма.
                              Больше конкурентов, ниже цена, и то в случае доступного ресурса.

                              Ресурс сертификатов сильно ограничен компаниями его выдающими.
                              • +1
                                Чем прибыльнее бизнес, чем больше спрос — тем больше компаний захотят этим заниматься, а это повлияет на конкуренцию.

                                Правда надо как-то сертификат в доверенные корневые запихать на кучу компов…
                                Но всё возможно со временем :)
                                • 0
                                  Дык есть же бесплатные, например
                                  • 0
                                    Он не бесплатный. Что бы отозвать сертификат, или восстановить ключ от их системы нужно заплатить денюжку. К тому же не все браузеры считают его доверенным.
                        • 0
                          или, что значительно легче, включат в обязательном порядке своё CA в доверенные
                      • 0
                        Ну NeoTheFox не совсем верно выразился войти на сайт можно, но для этого нужно подтвердить что вы осознаете риск, и при показе сообщения кнопка подтверждения изначально отсутсвует
                        • 0
                          В некоторых случаях, например, если вы заходите на сайты гугла — варианта с продолжение не будет. Просто будет ошибка. И как по мне — это вполне себе верное поведение для браузера.
                          • –1
                            Может я не прав: допустим серт выдан домену qwertyuiop.com, тогда при попытке зайти на под-домен mail.qwertyuiop.com, который юзает тотже ssl, в браузере будет жесткая ошибка без возможности продолжить? А что если это все одна и таже контора?
                            У меня такое периодически случается, но сейчас можно просто подтвердить и все
                            • +1
                              Ну, это на самом деле не совсем правильно со стороны конторы
                              • –1
                                Может быть это и не правильно, но сплошь и рядом — далеко не все делают отдельный серт на каждый свой поддомен.
                                • 0
                                  Ну вот если их клиентам перестанут разрешать ходить на эти поддомены — придется чинить, хочу — не хочу.
                                  • 0
                                    А как быть со *?
                                    • 0
                                      Есть вайлдкардовые сертификаты. Они конечно дороже, но помогают в таких случаях
                              • +2
                                Значит, он юзает другой ssl. Или у вас есть wildcard на все поддомены, или по отдельному сертификату на поддомен. Иначе это не ssl, а что-то свое.
                                • 0
                                  «Что-то свое» через браузер не сильно пропихнешь :) Просто лень бывает на все поддомены серты брать, вот и имеем то, что имеем.
                                  Бывают красавцы, которые на несколько доменов цыпляют один серт — ну, типа, это ж все мы, какая разница :)
                                  • 0
                                    Тогда надо wildcard купить, он не сильно дороже. Но вообще, я заметил, не очень себе представляют, как этот ssl работает, причем не только пользователи, но и админы. Думаю, это потому, что ssl не особенно гибкая штука.
                                    Например, такая простая штука, как промежуточный сертификат, которым можно подписывать сертификаты только для поддоменов, никак не реализован. Из-за этого или имей один сертификат на все (на любые) поддомены, или плати за каждый.
                              • 0
                                Эти домены записаны в конфиг Chrome и их очень немного, там же записаны сайты с strict-transport-security, например заходя на Яндекс даже первый раз вы не отправите запрос по HTTP из-за ограничений внутри хрома
                          • 0
                            Да, это очень круто. Но в чайне, с браузерами все очень плохо. Здесь властвуют IE, всякие говно360 и прочие «браузеры». — Для которых написать что сертификат настоящий, не проблема, пользователь даже не заметит ничего.

                            И сам хром, очень проблематично скачать в китае.
                            • 0
                              В смысле нет шансов? Он блокирует, но если юзер внимательный, то найдет кнопочку «да, понял, понял я, пустите меня все равно на этот сайт!»
                              • +4
                                На самом деле очень грамотное решение. Сейчас выдаётся вот такое сообщение:

                                image

                                И да, для обычного пользователя это всё равно, что нет шансов. Нужно нажать «дополнительно» и, прочитав ещё страшную надпись и проигнорировав её перейти таки куда хочется. Но, как правило, пользователи не будут этого делать, или проконсультируются с кем-нибудь более компетентным.
                                • +1
                                  А им техподдержка китайского провайдера скажет, что всё в порядке, и с картинками нарисует, что надо жать «дополнительно».
                            • +5
                              Боюсь, как бы наши до такого не додумались.
                              • –1
                                С ужасом ожидаю прочесть в завтрашней газете «Депутат Дундуков предложил запретить шифрование, как не отвечающее интересам общества. „Если человек шифрует, значит, он уже виноват — давайте его посадим! Если провайдер пропускает шифрованный трафик — отберем у него лицензию, ибо он помогает виноватым стать еще виновнее!“»

                                И стройные ряды рукоплещущих представителей «народа»!

                                :(
                                • +1
                                  К сожалению, провайдер ТМПК в подмосковном городе Дубна занимается ровно тем же самым, дабы блокировать на YouTube какие-то ролики из списка РосКомНадзора по https. И им наплевать, что они при этом нарушают одну уголовную статью и одну статью конституции
                                • –22
                                  Молодцы китайцы!
                                  • +1
                                    А как они из приложения перехватывают соединения? Там-то не пройдет невнимательность к сертификату.
                                    • 0
                                      Тоже мне новость. Вот если бы китайцы умудрились осуществить MITM без выдачи какого-либо подтвеждения — вот это был бы фокус. Причём мне кажется, что на практике это возможно. Ну то есть теоретически такое невозможно, а вот на практике может быть, потому что, скажем, в SSL есть ещё какая-нибудь пока неизвестная уязвимость, или китайское правительство начнёт сразу браузеры распространять с подменёнными ключами и т. д.
                                      • 0
                                        Такое возможно практически.
                                        Просто вежливо просишь какого-нибудь держателя корневого сертификата сгенерить сертификатик для icloud.
                                        А китайское правительство может попросить очень вежливо.
                                        Особенно, если держатель корневого сертификата находится в китае.
                                      • +1
                                        Без палева парни работают!

                                        Но что-то мне кажется, что это — косяк конфигурирования, а может, и просто некий тест, «проба пера». При деньгах Поднебесной прикупить себе (или официально приказать китайскому же оператору сертификатов издать) sub-CA сертификат, позволяющий создавать сертификаты для любых доменов — не проблема.

                                        Вывод: не стоит верить только SSL-сертификатам, важно делать на уровне приложения свою систему проверки целостности и авторизации второй стороны.

                                        P.S. Я так понимаю, американское правительство такой ерундой не парится. Может, просто имеет другой, более надежный доступ ко всем секретам на хранилищах грандов отрасли?
                                      • 0
                                        Я правильно понимаю, что подмена будет только если я на сайт зайду?

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.