Допустим я установил юзеру самопальный сертификат в "Доверенные корневые центры сертификации". Как потом расшифровать его трафик? Можно ли как нибудь это сделать на лету в WireShark???
Хм... А для чего давать пользователю зашифровать трафик с помощью сампального сертификата, чтобы потом думать, как же потом его расшифровать? Коль вы смогли подменить сертификат, неужели не сможете перенаправить трафик по незашифрованному протоколу? Покопайте в сторону sslstrip
Sslstrip не интересует. Нужно именно расшифровать трафик. Для этого устанавливается сертификат. Т.е. для юзера это всё должно быть прозрачно. Никакого левого софта. Только сертификат в корневых(не важно как установленный) Именно это и надо.
Пассивный злоумышленник не может расшифровать SSL. Сертификат испльзуется для того, чтобы идентифицировать сервер клиенту. Дальше обмен сеансовыми ключами обычно происходит по протоколу Ephemeral Diffie-Hellman. Обычно замена сертификата позволяет провести атаку человека посередине - то есть выдать себя за сервер и произвести обмен ключами вместо сервера. А пассивному злоумышленнику замена сертификата не дает ничего. Так как сертификат испозуется не для шифрования, а для идентификации. Единственный выход будет взлом симметричного шифра, что врядли возможно в вашем случае. Может быть, возможна такая атака против старых версий протокола, где ключ генерации ключей хранился в сертификате. Однако, общего решения для всех версий протокола не существует, и, конечно, его не существует для Ephemeral Diffie-Hellman.
Именно это и надо. Я хочу быть активным Атаку посередине провести не проблема. Вопрос: как это реализовать с сертификатом??? Вроде intercepter это както умеет делать... Есть ли чтонибудь для линукс аналогичное?? Пните хотябы в правильную сторону...
Атака посередине в любом случае требует дополнительного взлома атакуемого компьютера. Конкретно под HTTPS, можно прописать в настройках браузера атакующий прокси-сервер. Под Windows, это Fiddler, под Линукс, это ZAP или тот же Fiddler под Mono. На мой вкус, Fiddler под Windows лучше всего. Однако, это при условии, что вы сможете скрытно прописать прокси. Более общее решение под Линукс - sslsplit. Это опен-соурс утилита, которая взламывает SSL в общем виде. Я ее без проблем собирал под CentOS 6, думаю, под любой другой не слишком экзотический линукс можно собрать. Однако, при этом вам надо направить трафик с атакуемого сайта на SSLSplit. Это можно сделать путем подмены DNS-сервера атакуемого компьютера на ваш DNS-сервер. Такая атака потенциально менее заменты, чем прописка вашего прокси в настройках браузера, но вам тогда прийдется прописывать все атакуемые сайты на ваш DNS и под каждый сайт потенциально нужен свой ай-пи. Если вы атакуете конкретный сайт, скажем, PayPal, то это не пробема, если ваша задача перехват любого трафика, то такой подход будет требовать кучу ручной работы.
У меня есть доступ к роутеру. Есть доступ к дхцп и днс. В таком случае не обязательно взламывать комп клиента. А с подменой всех днс записей легко справляется ettercap: cat /etc/ettercap/etter.dns *.com A 192.168.0.2 *.ru A 192.168.0.2 *.org A 192.168.0.2 *.com PTR 192.168.0.2 *.ru PTR 192.168.0.2 *.org PTR 192.168.0.2 И всё. Никакой ручной работы. Вопрос как это всё проксировать с сертификатом???
