با سلام
تا به الان از طریق IP کاربرانی که چند حساب کاربری دارن رو شناسایی میکردم، همونطور که میدونید کاربر میتونه با پروکسی ها آی پی رو تغیر بده، میخام از طریق کوکی کاربرهام رو شناسایی کنم.
چه الگوریتمی به ذهتون میرسه؟
ارادت
الگوریتمی برای شناسایی کاربرانی با چند حساب کاربری! (بجز از طریق IP)
با سلام
تا به الان از طریق IP کاربرانی که چند حساب کاربری دارن رو شناسایی میکردم، همونطور که میدونید کاربر میتونه با پروکسی ها آی پی رو تغیر بده، میخام از طریق کوکی کاربرهام رو شناسایی کنم.
چه الگوریتمی به ذهتون میرسه؟
ارادت
ip مشکلات زیادی داره ! مثلا کاربرایی که از روی یک شبکه به هاست شما دسترسی دارند به مشکل میخورند چون از یک ip استفاده میکنند ! توی سیستم های ISP هم که تعداد محدودی ip بین کاربران به اشتراک گذاشته میشه ممکنه باعث عدم دسترسی بعضی بشه !
با cookie میشه ! کافیه یک cookie را برای سه ماه یا بیشتر ست و هی تمدیدش کنید اما این فقط برای کاربرای آماتور جواب میده چون کاربر حرفه ای میره cookie ها را پاک میکنه !
یک کلام : امکان شناسایی به هیچ وجه وجود نداره ، من توی یک پروژه که برای جای بخصوصی مینوشتم و پروژه همه گیری نبود ،ie را توی یک application که با دلفی بود باز میکردم ! اینجوری دسترسی به همه سخت افزار و سریال هاش داشتم و شناسایی میکردمش ! اما به شکلی که به صورت عادی روی مرورگر بخواین این کار را بکنید ۹۹٪ امکان نداره و ۱٪ هم منه کم سواد نمیدونم !
من میتونم ~ ۱۰ راه بگم و همش رو دور بزنم و شخصا به عنوان یک CCNP که داره CEH و LPIC میخونه هیچ راهی نمیبینم که شما بتونی کاربر رو شناسایی کنی.
IP
ActiveX
Session
Cookie
User Agent
Client Port Number Accounting(Windows XP Only/Heuristic)
Client Cache Analysing(Heuristic)
RoundTrip Analysing(Heuristic)
Client Protocol Extension Accounting(Heuristic, ECN, RED, ...)
اینترنت از چیزی که فکر میکنید خیلی پیچیده تره ولی هنوز هم راهی برای تشخیص کاربر تکراری ندارید.
آخرین ویرایش به وسیله FastCode : سه شنبه 20 فروردین 1392 در 23:16 عصر دلیل: heuristic رو اشتباه نوشتم
IP : میشه ردیابی کرد اما به درد نمیخوره چون هی عوض میشه یعنی تعین هویت نمیشه !
ActiveX : البته اگه کاربر ActiveX را تاپید کنه خیلی کار ها میشه کرد و میشه هم تعیین هویتش کرد !
Session : سمت سرور هستش ربطی به کلاینت نداره !
Cookie : میشه تهیعن هویت کرد اما کاربر میتونه حذفش کنه !
User Agent : این که برای خیلی ها یکسانه !!!! کلا ربطی نداره اگه هم داشته باشه میشه تغییرش داد
تا حالا اسمشون را هم نشنیده بودم !Client Port Number Accounting(Windows XP Only/Heuristic)
Client Cache Analysing(Heuristic)
RoundTrip Analysing(Heuristic)
Client Protocol Extension Accounting(Heuristic, ECN, RED, ...)
چون کلمات انگلیسی و فارسی قاطی میشه همه رو انگلیسی نوشتم.
اولی اشاره داره به این که ویندوز پورتهای سمت کلاینت رو به شکل ترتیبی انتخاب میکنه که یک نقطه ضعف امنیتی قابل استفادست.
دومی به این اشاره داره که خیلی از مرورگر ها و شبکه ها قسمت های استاتیک سایت رو cache میکنن که میشه از عدم دریافتشون متوجه شد که کاربر قبلا وارد سایت شده
سومی هم مقدار زمانی هست که طول میکشه کلاینت به بسته های ارسال شده پاسخ ده که میشه ازش برای دسته بندی کاربر ها به چند دسته(مثلا ۱۰) استفاده کرد.
خیلی از کلاینت ها extension های خاصی از پروتوکل های خاص رو پشتیبانی میکنند که میشه با کمک اونها دسته بندیشون کرد.
مثل اون دوتایی که گفتم یا الگوریتم های فشرده سازی مرورگر
خیلی چیزهای دیگه هم هست که تغییرش برای کاربر سخته.مثل ابعاد صفحه گزارش شده توسط مرورگر یا تنظیم فلش و جاوا اسکریپت که میشه ازش استفاده کرد.
احتمالا اگر طراح وب بودم چیزهای بهتری میگفتم.
راستی اون برنامه که با دلفی نوشتید هم با یک sniffer ساده حل میشه.
یکی دو ماه اول خودم encrypt میکردم و بعید میدونم کسی میتونست به این راحتی ها با sniff سوء استفاده کنه چون یکی از آیتم ها IP لحظه ای کاربر بود و نمیتونست IP خودش را جایگزین کنه ! بعد از مدتی هم ssl گرفتیم و در آینده هم قراره *VP بشه. sniff اثری نداره.راستی اون برنامه که با دلفی نوشتید هم با یک sniffer ساده حل میشه.
در ضمن مخلص دبیانی ها هم هستیم ! شدید !!!!!
این روش ها به هیچ عنوان امن نیست.نوشته شده توسط Unique
هر سه جز روشهایی هستن که اگر گیر آدمش بیافته(مثلا من) کمتر از ۳۰ ثانیه دوام میاره.مخصوصا اونی که نصفه نوشتی.
دومی احتمالا بیشتر طول میکشه.شاید تا ۳ دقیقه.
یادم رفت بگم برای نمونه سورس tor button رو بخونید.اگر اشتباه نکنم مثل بقیه پروژه OpenSource هست
تاپیک داره جالب میشه !
شما مطئن هستین میتونین سایت های SSL را sniff کنید ؟
منظورتون از sniff اینه که بیاین packet های tcp را چک کنین دیگه ؟
من متخصص الگوریتم های امنیتی نیستم اما تا حالا نشندیم ssl در واقع tamper بشه ، در مورد *** که اصلا جزو موضوعات خنده داره و اگه اینطوری باشه و شما بتونید این کار را بکنید بهتر نیست رزومتون را برای شرکت هایی مثل Oracle یا Microsoft یا Apple یا حتی CIA ارسال کنید ؟!
من فکر کنم منظورش مهندسی معکوس/کرک فایل exe بود. یعنی از توی exe کلیدهای رمزنگاری رو بیرون بکشیم و نفوذها و دستکاری های دیگری که ممکنه و کرکرهای حرفه ای میتونن انجام بدن.
ضمنا در پروتکل SSL ضعفهایی کشف شده تاحالا و حمله هایی بهش ممکنه؛ البته اینطور که فهمیدم SSL v3 تا حدی قابل استفاده است و معادل TLS v1.0 فرض میشه. ولی SSL v3 و TLS v1.0 پایین ترین سطح امنیت قابل استفاده رو دارن. توصیهء منابع امنیت اینه که از نسخه های بالاتر TLS استفاده بشه.
همین یکی دو روز پیش داشتم مقاله ای در این مورد میخوندم: https://www.owasp.org/index.php/Tran...rong_Protocols
تازه اینم که از SSL v3 و TLS v1.0 میشه بعنوان حداقل استفاده کرد فکر کنم بخاطر عدم ساپورت بیشتر مرورگرها از پروتکل های جدیدتره: http://en.wikipedia.org/wiki/Transpo...y#Web_browsers
پس اینکه بشه به SSL/TLS یا *** نفوذ کرد بستگی داره به اینکه از چه پروتکل/نسخه ای برای امنیت ارتباطات استفاده میکنن. اینا هم قابل تنظیم هست توسط سرور و کلاینت. پس شما باید نگاه کنید ببینید عملا از چه پروتکل و نسخه ای برای تامین امنیت داره استفاده میشه.
البته این نفوذ کردن رو نمیدونم تاچه حد دشوار و اساسی میتونه باشه! شاید اصلا آسون نباشه و درجه/وخامت نفوذ هم میتونه خیلی متفاوت باشه.
باید بگم که تقریبا هیچ کدوم از چیزهایی که دوستان عزیز Unique و eshpilen در مورد روش من حدث زدن درست نیست.
چون در موردی که گفتید(برنامه مرورگر ویژه)هدفتون جلوگیری از خرابکاری توسط خود کاربر هست باید بگم که دارید ۱۰۰٪ راه رو اشتباه میرید.
در روش اول مهندسی معکوس جواب میده و البته بعضی اوقات برنامه های DPI و Packet Analyser میتونن تا حدی(خیلی کم/در بیشتر موارد حتی جواب هم نمیده) ترافیک شما رو شناسایی کنن.
در مورد ssl باید بگم که خیلی راحت با ثبت یک CA در سیستم و تغییر در host ها و یک برنامه مثل sslsniff میشه کل ترافیکتون رو باز کرد و خیلی راحت با برنامه هایی مثل sed تغییر داد.
در مورد *** هم که اصلا هیچ کدوم از این سختی ها لازم نیست.فقط کافیه روی اینترفیسی که *** ایجاد کرده(pppN در لینوکس/نمیدونم در ویندوز اسمش چی میشه) sniff کنید.
البته اگر *** به شکل کاملا userspace باشه(معمولا کار خیلی خیلی سختیه/مخصوصا هندل کردن gre و lcp و صد تا مشکل دیگه مثل mtu و fragmentation) یک مقدار کار سخت میشه ولی باز هم فکر نمیکنم بیشتر از یکی دو ساعت برای یک آدم تازه کار طول بکشه.البته اگر دقیقا بدونه داره دنبال چی میگرده که اون هم کار سختی نیست.چون در ویندوز همه توابع شبکه قابل hook هستن و با یک rewind در stack خیلی راحت میشه با یک diversion در کدتون همه ترافیک رو قبل از رمزنگاری dump کرد.البته چون با دلفی نوشتید اینقدر سخته.اگر .net بود کمتر از ۱۵ دقیق کار داشت.(البته اگر کسی بتونه با داتنت خالص *** بنویسه./ممکنه ولی خیلی سخته)
کلا زیاد طول نمیکشه.
@Unique
قدرت یک زنجیر به کوچکترین مهرش وابسته هست.اصل اول امنیت.
آخرین ویرایش به وسیله FastCode : پنج شنبه 22 فروردین 1392 در 16:04 عصر
صورت مسئله یخورده مبهم بود.
الان دقت کردم که گفته IE رو Embed کرده توی یک برنامهء دلفی.
ولی چیزی که مد نظر من بود اینطوری نبود.
راستش من داشتم به یه برنامهء دسکتاپ (exe) فکر میکردم که داخلش کلید رمزنگاری مخفی داره و اطلاعاتی که بین سرور و کلاینت رد و بدل میشه داخل برنامه رمز میشه.
حالا ربطش به موضوع تاپیک چیه دقیقا خودمم نمیدونم
بهرحال توی ذهنم برنامه ای بود که در داخل خودش عملیات رمزنگاری داره و حالا مثلا کاربر میخواد ترافیکش رو کشف/دستکاری/جعل بکنه.
بنظرم این برنامه رو باید مهندسی معکوس و کرک کرد.
البته راههای دیگه هم میتونه داشته باشه بقول شما؛ مثلا hook کردن توابع کتابخانه های سیستم عامل. در لینوکس هم یه زمانی یه مطلبی خوندم و تست کردم که مثلا میتونستی کاری کنی که یک برنامه از تابع printf شما بجای تابع printf سیستم عامل استفاده کنه. البته اگر برنامه از الگوریتم های داخلی خودش برای رمزنگاری استفاده کنه یا مثلا لینک استاتیک شده باشه دیگه فکر نمیکنم این کار فایده ای داشته باشه.
در هر صورت کسی که به سیستم دسترسی داره تقریبا هرکاری میتونه بکنه و اصولا امنیت در این حالت چندان معنایی نداره. نمونش اینکه همهء نرم افزارها رو در نهایت کرک میکنن، چون بهرحال برنامه و سیستم زیر دست کرکر است؛ اما خب حداقل کاربرهای معمولی و افرادی که دانش مهندسی معکوس و کرک رو ندارن رو میشه با این روشها تاحد خوبی با مانع مواجه کرد. تازه از Obfuscator و این حرفا هم میشه استفاده کرد تا کرکش ساده نباشه (البته من خودم درمورد این تکنیک ها دانش و تجربهء خاصی ندارم).
حدث زدم چه اشتباهی کردید.صورت مسئله یخورده مبهم بود.
الان دقت کردم که گفته IE رو Embed کرده توی یک برنامهء دلفی.
ولی چیزی که مد نظر من بود اینطوری نبود.
راستش من داشتم به یه برنامهء دسکتاپ (exe) فکر میکردم که داخلش کلید رمزنگاری مخفی داره و اطلاعاتی که بین سرور و کلاینت رد و بدل میشه داخل برنامه رمز میشه.
حالا ربطش به موضوع تاپیک چیه دقیقا خودمم نمیدونم
بهرحال توی ذهنم برنامه ای بود که در داخل خودش عملیات رمزنگاری داره و حالا مثلا کاربر میخواد ترافیکش رو کشف/دستکاری/جعل بکنه.
بنظرم این برنامه رو باید مهندسی معکوس و کرک کرد.
البته راههای دیگه هم میتونه داشته باشه بقول شما؛ مثلا hook کردن توابع کتابخانه های سیستم عامل. در لینوکس هم یه زمانی یه مطلبی خوندم و تست کردم که مثلا میتونستی کاری کنی که یک برنامه از تابع printf شما بجای تابع printf سیستم عامل استفاده کنه. البته اگر برنامه از الگوریتم های داخلی خودش برای رمزنگاری استفاده کنه یا مثلا لینک استاتیک شده باشه دیگه فکر نمیکنم این کار فایده ای داشته باشه.
در هر صورت کسی که به سیستم دسترسی داره تقریبا هرکاری میتونه بکنه و اصولا امنیت در این حالت چندان معنایی نداره. نمونش اینکه همهء نرم افزارها رو در نهایت کرک میکنن، چون بهرحال برنامه و سیستم زیر دست کرکر است؛ اما خب حداقل کاربرهای معمولی و افرادی که دانش مهندسی معکوس و کرک رو ندارن رو میشه با این روشها تاحد خوبی با مانع مواجه کرد. تازه از Obfuscator و این حرفا هم میشه استفاده کرد تا کرکش ساده نباشه (البته من خودم درمورد این تکنیک ها دانش و تجربهء خاصی ندارم).
با اینکه من هم زیاد از این کارها انجام ندادم ولی باید بگم که obfuscator تاثیر زیادی نداره.چون توابع سیستمی در هر حالت قابل رهگیری هستن و نمیشه فراخوانیشون رو obfuscate کرد.
برای کسی که کتابخونه رو تغییر میده static یا dynamic فقط یک کلمست.تاثیر چندانی نداره چون در حالت فایل recompile میشه.
به موضوع تاپیک که ربطی نداره. ولی "برای مطالعه" بد نیست.
راستی این روش(برنامه مرورگر ویژه) برای شناسایی کاربران تکراری میتونه تا یک جایی واقعا موثر باشه ولی شخصی مثل من در کمتر از دو لایه VM چنین برنامه ای رو اجرا نمیکنه.(اعتماد کاربر)
متاسفانه چون در زمینه امنیت الگوریتم های امنیتی به اندازه دوستان اطلاعات ندارم اصلا نمیخوام بحث الکی کنم اما واقعا اگه بشه ssl را sniff کرد موضوعات خیلی زیاید پیش میاد ،مثلا من در صورت لو رفتن اطلاعات ارسالی بین client و server روی https ! به راحتی میتونم از versign یا شرکتی که مجوز ssl من را صادر میکنه شکایت کنم و پدرشون را در بیارم و اگه به این راحتی که شما میگین بشه کشف کرد روی https من چی دارم برای سرور ارسال میکنم پس امنیت سایت هایی مثل paypal و 2checkout و gmail یعنی کشک و کلا میره زیر سوال.
این کار رو من صد بار برای خودم انجام دادم و ربطی نداره.چون سمت کاربر هست.
وظیفهء SSL/TLS تامین امنیت از خروجی رایانهء شما تا سرور مقصد هست و بعکس (از سرور تا رایانهء شما).
حمله هایی که روی خود PC یا سرور انجام بشن ارتباطی با این ندارن.
البته اون موضوعاتی هم که درمورد ضعف SSL v3 و TLS v1.0 گفتم هست که باعث میشه امنیت در Transit هم پایین تر از حد استاندارد بیاد، ولی لزوما به این راحتی هم نیست و شاید خیلی به سختی قابل اجرا باشه اون حمله ها و اطلاعاتی هم که ازش بدست بیاد و قابل سوء استفاده باشه محدود باشه. حتی بعضی حمله ها ممکنه از نظر تئوریک باشن و هنوز در عمل کسی موفق به اجرای اونا نشده (حداقل در پابلیک). البته با تمام اینها باید به توصیهء متخصصان امنیت حتما توجه کرد، چون هیچ تضمینی نیست! مواردی که متخصصان قبلا هشدار داده بودن و بعدا دیر یا زود عملی شدن در تاریخ وجود داشتن.
سوما اینکه مسئولیت ضعف پروتکل استفاده شده گردن شرکتهایی مثل verisign نیست به هیچ وجه.
اونا فقط گواهینامهء دیجیتال رو صادر میکنن. حالا اگر در پروتکل حفره ای بود یا شما از یک نسخهء آسیب پذیر پروتکل استفاده کردید، گردن اونا نیست. این مشکلات هم مربوط به خود گواهینامهء دیجیتال نمیشن. گواهینامهء دیجیتال فقط یک بخشی از مکانیزمهای درگیر در ارتباطات امن است. گواهینامهء دیجیتال رو میتونید بنا به تنظیم و ساپورت سرور و کلاینت، با پروتکل ها و نسخه های مختلفی استفاده کنید.
ضمنا اونا حتی مسئول حفره هایی که بعدا در الگوریتم گواهینامهء دیجیتال کشف بشن هم نیستن. مثل داستان شکسته شدن الگوریتم MD5 که در گواهینامه های دیجیتال هم استفاده میشد و محققین تونستن با استفاده از اون گواهینامهء دیجیتال جعلی هم درست کنن!
verisign که مرجع طراحی و تضمین امنیت این الگوریتم ها نیست.
کلا هم بنظرم هیچ مرجعی نیست که مسئولیت و تضمین در این موارد غیرقابل کنترل به شما بده.
بنظر من فقط در یک مورد شاید شما بتونید شکایت کنید و به جایی برسید، اونم موقعی که مثلا verisign یک گواهینامهء اشتباه صادر کنه به هر علتی؛ مثلا سیستمش هک بشه و هکرها گواهینامه های جعلی مثلا به نام سایت/شرکت شما درست کنن و با استفاده از اون به کاربران شما حمله کنن. تازه اینم مطمئن نیستم!
خلاصه یه چیزی باید باشه خاص صدور و امنیت گواهینامهء دیجیتال، که البته به ضعف الگوریتم های استاندارد این کار هم ارتباطی نداشته باشه.
بقیهء پروتکل های درگیر و امنیت سرور و PC هم که اصولا بی ربطه.
دقیقا منم موافقم
طرف میره این همه هزینه میکنه و مثلا ماهیانه به این شرکت ها پول می ده که اطلاعاتش به صورت امن transfer بشه بعد شما می گی برای یک کاربر مبتدی یکی دو ساعت کار میبره !!!
بعدشم شرکتی که گواهی ssl رو صادر میکنه علاوه بر تضمین امنیت در ارسال اطلاعات هم برای سرویس دهنده و هم سرویس گیرنده اگر اطلاعات حین انتقال مورد سرقت قرار گرفت باید تضمین کنه که این اطلاعات برای رباینده قابل درک و استفاده نباشد که این کار را با کمک الگوریتم های رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام می دهد.
وقتی کامل نمیخونید میتونید اینطوری هم فکر کنید.
برنامه کاملا خودکار برای sniff کردن ssl,
www.oxid.it/ca_um/topics/apr-https.htm
من خودم با sslsniff کار کردم
این شخص هم مثل شما فکر میکنه
http://stackoverflow.com/questions/1...psurlconnectio
FastCode اینا که گذاشتی بصورت Man-in-the-middle کار میکنن و طبیعتا چون گواهینامهء دیجیتال معتبر ندارن مرورگر به کاربر هشدار میده و تنها اگر کاربر باوجود self signed بودن گواهینامه اون رو تایید کنه امکان پذیره.
ضمنا اگر سرور قبلا با ارسال هدر مربوطه مد HSTS رو فعال کرده باشه این روش کلا از کار میفته (چون اجازهء قبول کردن گواهینامه های نامعتبر در این حالت داده نمیشه).
البته نمیشه انکار کرد که تعداد زیادی از کاربران بعلت عدم اطلاعات کافی یا اهمال، گواهینامه رو تایید میکنن.
ضمنا برای کرک و مهندسی معکوس و اینها هم که قابل استفاده است طبیعتا، چون خودت داری تست میکنی و روی سیستم هستی و کنترل کامل داری.
شما هم کامل نخوندی.:wink:
من در پست اول گفتم که یک CA به سیستم اضافه میکنیم.
http://www.freebsdmadeeasy.com/tutor...th-openssl.php
این هم دقیقا روشی هست که گفتم(title که درسته.خودش رو هنوز نخوندم)
https://seventhoctober.net/2011/08/s...-a-dns-hijack/
در ضمن حتی در firefox هم OCSP اجباری نیست.
خب دیگه منظورم همینکه بهرحال باید به سیستم هدف/کلاینت دسترسی داشته باشی.
آخه این چیزا که میذاری فکر نمیکنم بیشتر ملت سردربیارن که یعنی چی؛ الان فکر میکنن SSL پشم هم نیست
در منابع امنیتی که مطالعه میکردم بارها دیدم که اگر فرض کسی این بوده که نفوذگر دسترسی داره به سیستم کلاینت/قربانی، دیگه اصلا روی چیزهای دیگه بحث نمیکنن و میگن خب این سیستم که دیگه امنیت درموردش مفهوم و بحثی نداره!
مثلا میگن طرف میتونه بسادگی یک Key logger نصب کنه و یوزر و پس کاربر رو سرقت کنه. معمولا نیازی نیست حمله های پیشرفته و پیچیده ای انجام بده.
SSL/TLS هم که قبلا گفتم فقط امنیت در Transit رو تامین میکنن، نه امنیت روی یک سیستم Compromise شده.
وقتی هکر رفته قبلا این کارها رو کرده روی سیستم، هک همون موقع و همون جا انجام شده رفته پی کارش!
چند روز پیش این تاپیک رو دیدم 2 تا جواب داشت الان اومدم سر بزنم ببینم به کجا رسید دیدم کلا فرق کرده کم نیست از این تاپیک ها : دی
کسی که تاپیک رو درست کرد از اینکه با این حرفا هکش نکنید فکر کنم در رفته
مشکل همینه.خب دیگه منظورم همینکه بهرحال باید به سیستم هدف/کلاینت دسترسی داشته باشی.
آخه این چیزا که میذاری فکر نمیکنم بیشتر ملت سردربیارن که یعنی چی؛ الان فکر میکنن SSL پشم هم نیست
وقتی درست استفاده میکنن فکر میکنن درست استفاده نکردن(دو نمونه دوست پارانوید که خیلی ترسیده بودن) و وقتی کاملا اشتباه استفاده میکنن مثل این مورد فکر میکنن کارشون خیلی امنه.
دوستان میشه فارسی صخبت کنید ما هم متوجه بشیم ؟!
ببینید وقتی من یک گواهینامه دیجیتال میگیرم و روی سرویس دهنده خودم نصبش میکنم هر اطلاعاتی بین کامپیوتر کلاینت که به سایت من وصل شده رد و بدل بشه باید کد بشه و قابل دسترسی نباشه ! من هم چیزی غیر از این نگفتم ! حالا جناب FastCode میاد میگه اینما کشکه ! یعنی گواهینامه ssl شما و اطلاعات شما با plain text ارسال کردن هیچ فرقی نداره و من اگه plain text را توی ۲ دقیقه در میاوردم حالا ssl و کد شدش را ۲۰ دقیقه در میارم !!!!!
بعدش eshpleen میاد میگه مهندسی معکوس ! این ربطی به موضوع ssl نداره و مربوط به برنامه desktop من میشه ! همونطور که گفتم اصلا مهم نیست معکوس بشه چون ما اینجا میخوایم مطمئن بشیم یک شخص داره از یک نام کاربری و کلمه عبور روی یک سیستم استفاده میکنه و بس !!!!
جناب FastCode من شما را اصلا خوب نمیشناسم و ممکنه قضاوت من نادرست باشه اما چند تا پست شما من را یاد یک دوستی مینداخت که فقط از اصطلاحات کامیوتری استفاده میکرد تا طرفش را گیج و بی خیال کنه که حق با اونه و طرف بی خیال بشه ! اما در روبرویی با من چون من نه از مسخره کردن طرف مقابل به خاطر کم سوادیم ناراحت میشم و نه از گوشه کنایه های این تیپ آدم ها کلا کم آورد ! لطفا یا جواب ندین یا اگه میدین قانع کننده جواب بدین و توضیح بدین ،سر فصل ندین چون بحثتون یک موضوع پیش پا افتاده نیست و باید توضیح داده بشه البته اگه قصد کمک به دیگران و به اشتراک گذاشتن علمتون را دارید وگرنه اصلا مهم نیست.
شما ادعا میکنید اگه من یک ip کلاینت و سرور به شما بدم که کلاینت با استفاده از مرورگرش و https (گواهینامه کاملا قانونی و تاریخ دار و صحیح) داره اطلاعاتی را به سرور میفرسته شما میتونید براحتی این اطلاعات را کشف کنید ؟ توجه داشته باشین قرار نیست شما کلاینت را هک کنید یا روی سیستمش چیزی نصب کنه و دسترسی هم به سرور ندارین و خودتون هستین و خودتون. حالا میشه پاسخ بدین ؟
خیر.شما ادعا میکنید اگه من یک ip کلاینت و سرور به شما بدم که کلاینت با استفاده از مرورگرش و https (گواهینامه کاملا قانونی و تاریخ دار و صحیح) داره اطلاعاتی را به سرور میفرسته شما میتونید براحتی این اطلاعات را کشف کنید ؟ توجه داشته باشین قرار نیست شما کلاینت را هک کنید یا روی سیستمش چیزی نصب کنه و دسترسی هم به سرور ندارین و خودتون هستین و خودتون. حالا میشه پاسخ بدین ؟
تا زمانی که دسترسی سطح admin یا root ناشته باشم نمیتونم چنین کاری انجام بدم.
ادعایی که من کردم این بود که اون برنامه که برای جلوگیری از خرابکاری توسط خود کلاینت نوشته شده بود کاملا بیهودست.
اگر نوشته های من رو دقیق میخوندید متوجه میشدید که من از ابتدا چیز دیگه ای نگفتم.(وقتی میگم CA نصب میکنیم اصولا باید دسترسی admin داشته باشیم)
خیلی دوست دارم کامل توضیح بدم ولی تا ۳ شنبه وقت ندارم.اگر فرصت بدین سه شنبه یک توضیح ۴ ۵ صفحه ای مینویسم.
ببینید برنامه اصلا در مورد خرابکاری نیست !!! اگه بخونید من گفت میایم یک IE را embed میکنیم توی پروژه و اطلاعات را از طریق این کنترل Embed شده میفرستیم حالا چون برنامه ما در desktop اجرا شده ما میتونیم به اطلاعات سخت افزاری سیستم شخص دسترسی داشته باشیم در واقع سیستیم که برنامه داره روش اجرا میشه ، حالا برنامه ما میاد یک کد encrypt شذه را بر اساس اطلاعات سخت افزاری و نرم افزاری سیستم شخص درست میکنه و از طریق IE به سروری که باهاش ارتباط https از طریق یک گواهی معتبر ssl داره ارسال میکنه ! یعنی فرقش با حالت عادی اینه که یک encrypt تشخیص سیستم هم همراه user و pass ارسال میشه ،حالا از طریق اون ما میتونیم بفهمیم که کاربر داره از یک سیستم برای اتصال به ما استفاده میکنه و مثلا چند نفر نتونن با یک نام کاربری و کلمه عبور از توی چند تا سیستم وصل بشوند ، حالا ممکنه شما با مهندسی معکوس بتونین encrypt معادل سیستم خودتون یا چیزی غیر واقعی تولید و برای سایت ارسال کنید اما اهمیتی نداره چون اگه اون user و pass با encrypt مربوط به سیستم دیگه ای لاگین کرده باشه شما deny میشین ! مگه اینکه بتونین encrypt سیستم مربوط به اون user و pass را در بیارین ! حالا من کامل توضیح دادم شما توضیح بدین چجوری میخواین برنامه را دور بزنین ؟ادعایی که من کردم این بود که اون برنامه که برای جلوگیری از خرابکاری توسط خود کلاینت نوشته شده بود کاملا بیهودست.
هیچ راهی نداره مگه اینکه encrypt سیستم نظیر با user و pass را بدست بیارین ! یا باید اون user را هک کنین و معادل encrypt مربوط به سیستمش را در بیارین که این متاسفانه از دست ما خارج میشه و تنها راه نفوذ هست و به کارفرما هم گفته شده اما خدایی چند نفر همچین اطلاعاتی دارند ؟! یا ارتباط امن ssl اون با سرور ما را sniff کنین و اطلاعات را کشف کنید که من میگم این امکان پذیر نیست ! من راه دیگه ای به ذهنم نمیرسه !
حالا خوبه کامل توضیح بدین تا من دانش آموز از شما یاد بگیرم.
در این سناریو ssl فقط شما رو در برابر حمله خارجی ایمن میکنه.اگر خود کلاینت بخواد کد رو در بیاره براش آب خوردن هست.
فکر میکنم یک در ۱۰۰ هزار نفر؟؟
الان واقعا سرم شلوغه.(اگر تا چند دقیقه دیگه نهار نخورم چیزی گیرم نمیاد.)
ولی قول میدم در مورد برنامه کمکتون کنم.
برای نمونه کاری که باید انجام بدید MSCHAP نسخه ۱ رو بخونید.(MSCHAP جواب نمیده ولی بهتون ایده میده)
خوب پس ما به هدفمون توی این سناریو رسیدیم ! یعنی مانع از استفاده بیش از یک کاربر (بهتره بگیم یک سیستم) از یک نام کاربری و کلمه عبور شدیم مگه اینکه کسی بیاد encrypt ما را برای یک سیستم دیگه بدست بیاره و از user و Pass اون هم استفاده کنه که درصدش خیلی حیلی کمه و ارزشش را نداره !!!! ، خوب اصل مطلب این Thread هم همین بودش !
کلاینت برای ما بی اهمیته چون ممکنه اصلا بخواد در سیستمش را باز کنه هر کسی بیاد تو! ما توی فواصل چند وقتی هم از یک کاربر درخواست میکنیم کلمه عبورش را حتما تغییر بده ، کلمه عبور را هم توی سیستمش ذخیره میکنیم (البته امن) تا درصد ورود اشتباه کلمه عبور توسط خودش را بگیریم (همینطور تاریخ آخرین باری که دستی کلمه عبور را عوض کرده را هم ارسال میکنیم) ،اینجوری درصد اینکه کاربری که داره سوء استفاده میکنه کلمه عبور اشتباه بده میره بالا ! (چون نه میدونه طرف کی دستی عوض کرده و نه میدونه کی ما درخواست میدیم) توی سیستم ما اگه ۳ بار این اتفاق بیفته مشکوک میشیم و بازخواست میکنیم و شاید کاربر را حذف کنیم. جالبه بدونی با استفاده بیش از چند ده هزار نفری ! تا حالا یکبار هم این اتفاق نیفتاده ! میتونم بگم هنوز کسی دورش نزده !!!
اولا من عذرخواهی میکنم میپرم وسط بحث.هیچ راهی نداره مگه اینکه encrypt سیستم نظیر با user و pass را بدست بیارین ! یا باید اون user را هک کنین و معادل encrypt مربوط به سیستمش را در بیارین که این متاسفانه از دست ما خارج میشه و تنها راه نفوذ هست و به کارفرما هم گفته شده اما خدایی چند نفر همچین اطلاعاتی دارند ؟!
اما دوست عزیز جناب unique فکر میکنم منظور دو دوست دیگر هم همین هست.
شما امنیت اطلاعاتت از لحظه خروج از کامپیوتر کارفرما و تا لحظه ورود به سرور سایت توسط ssl تضمین میشه.
اما اگر کسی بتونه به قبل از اون مرحله (کامپیوتر کارفرما) و یا بعدش (سرور سایت) نفوذ کنه دیگه سامانه شما هک شده هست.
این که گفتید اگر اینجوری باشه جیمیل و اینا هم کشکه بله همینطوره. مثلا گوگل یا verisign که مسئول این نیستن که سیستم من و شما Antivirus داره یا نداره. یا امن هست یا نیست.
بلکه جیمیل امنیت رو از لحظه خروج اطلاعات از سیستم شما به بعد تضمین میکنه و قبل از اون دیگه امنیتتون با خودتون هست.
اینجور حملات دقیقا مثل این هست که یک نفر بیاد بالای سر شما و پسورد رو از روی دستتون بخونه. (حالا کمی پیچیده تر مثلا Key Logger یا نفوذ به رایانه به طرق مختلف یا Fake Mail و Fake Page و...) که دقیقا مربوط میشه به اشتباهات کاربر و نه اشتباهات سرویس دهنده و صادر کننده گواهینامه دیجیتال و ... .
این دوستان هم منظورشون همین هست:
در منابع امنیتی که مطالعه میکردم بارها دیدم که اگر فرض کسی این بوده که نفوذگر دسترسی داره به سیستم کلاینت/قربانی، دیگه اصلا روی چیزهای دیگه بحث نمیکنن و میگن خب این سیستم که دیگه امنیت درموردش مفهوم و بحثی نداره!
مثلا میگن طرف میتونه بسادگی یک Key logger نصب کنه و یوزر و پس کاربر رو سرقت کنه. معمولا نیازی نیست حمله های پیشرفته و پیچیده ای انجام بده.
SSL/TLS هم که قبلا گفتم فقط امنیت در Transit رو تامین میکنن، نه امنیت روی یک سیستم Compromise شده.---------------وظیفهء SSL/TLS تامین امنیت از خروجی رایانهء شما تا سرور مقصد هست و بعکس (از سرور تا رایانهء شما).
حمله هایی که روی خود PC یا سرور انجام بشن ارتباطی با این ندارن.
عذر میخوام پستم با پست خودتون همزمان شد
ولی خب این روشهایی که روی سیستم کاربر برنامه نصب کنیم در پابلیک قابل اجرا نیست معمولا.
فکر کنید این رویه باب بشه اونوقت چی به سر امنیت میاد! هر سایتی میگه باید برنامهء مخصوص ما رو روی سیستمتون نصب کنید. این برنامه ها ممکنه حاوی کدهای مخفی/جاسوسی باشن، ممکنه بد طراحی شده باشن و حفره باز کنن توی سیستم و کسان دیگری باهاش نفوذ کنن (مرورگر که اینقدر حساب شده و محدود هست و توسط متخصصین طراحی میشه توش حفره های جدی درمیاد).
خلاصه مسئله از کنترل خارج میشه.
تمام این بند و بساط و اینکه مرورگر ساخته شده و اینقدر محدودیت داره و اینکه نمیتونید به سیستم کاربر دسترسی داشته باشید و هیچ نشانه گذاری غیرقابل پاک شدن در سیستم کاربر نمیشه گذاشت، اینکه هیچ MAC ای بهتون نمیرسه، عمدتا به همین دلایل امنیتی و Privacy است.
پس سعی کنید تاوقتی واقعا ضروری نیست از همون روشهای استاندارد و صرفا از طریق مرورگر عمل کنید.
این همه سایت و سرویس در دنیا دارن همینطوری میگردن. درسته سوء استفاده هایی میشه، ولی در مجموع موفق بودن و به گمانم مزایای این روش بیشتر بوده تا ضررش.
البته مطمئن باشید اگر اینطور روشهای غیراستاندارد فراگیر بشه، کرک و راههای دور زدن و نرم افزارهای مخصوص هک اونا هم درمیاد و عملا مزیت این برنامه ها هم تا حد زیادی از بین میره. بنظرم FastCode تاحدی روشن کرد که این کار میتونه چقدر راحت و سریع باشه.
البته بخصوص اگر یک سرویس عمومی باشه که بقدر کافی کاربر/اهمیت داشته باشه.
تازه مشکلات فنی دیگر هم هست. مثلا لزوما فقط یک نفر از یک PC استفاده نمیکنه که!
متاسفانه منظورشون را نمیشه از یک پست دوستان استخراج کرد ! ببینید وقتی بحث sniff میاد وسط دیگه ما کاری به کامپیوتر کلاینت نداریم ! داریم در مورد انتقال اطلاعات و کشف اونها در ضمن این انتقال صحبت میکنیم ،پس جناب FastCode داشتند کلا موضوع ssl را میبردند زیر سوال که مثل اینکه عقب نشینی کردند و قبول کردن نمیشه اطلاعات را در زمان انتقال از طریق یک گواهی دیجیتال کشف کرد (ادعای خیلی بزرگیه !!!!!!!!!!). موضوع مهندسی معکس هم ربطی به بحث ما نداشت ! چون دونستن روال کار برنامه ۵۰ درصد هست و باید دسترسی به سیستم کلاینت پیدا کنند و من اصلا حرفی در اون مورد نزدم و توی همه پست ها گفته ام اون مهم نیست چون به قول شما اگه هک بشه که دیگه موضوع امنیت اهمیتی پیدا نمیکنه ! یعنی اینجا نرم افزار ما زیر سوال نرفته بلکه ما زیر سوال رفتیم !اما دوست عزیز جناب unique فکر میکنم منظور دو دوست دیگر هم همین هست.
ببینین توی پست های دوستان نشانه ای از این بود که گواهی ssl که توسط خیلی از شرکت های معتبر ارائه میشه و یه جورایی بیمه هست براحتی توی ۴ دقیقه و ۲۰ دقیقه کشف میشه و تمام ! اما یکدفعه از این موضوع شونه خالی کردند چون حرف بی منطقی بود ! من باز هم میگم اگه من گواهینامه ای را تهیه کنم و روی سیستم سرور نصب کنم در صورتی که این گواهی ssl سوراخی داشته باشه قطعا میتونم پدرشون را در بیارم ! همه جای دنیا که مثل ایران بی در و پیکر نیست قاضی بی سواد را باید تفهیم کنی اصلا اینترنت چی هست که حالا گواهی ssl چی باشه ! وقتی داری هزینه ماهانه ای بابت تضمین عدم رمزگشایی پرداخت میکنی باید بتونی یقه طرف را هم در صورت حقه بازی بگیری ! البته منم شکی در ۹۹.۹٪ امن بودن اینها ندارم بلکه دوستان بردنش زیر سوال !
این دو تا برای مرورگر های وب هم مصداق دارند ! یعنی همونطور که در صورت تسلط به کامپیوتر کلاینت و یا سرور هر سایتی کل اون سایت زیر سوال میره ، سامانه ما هم زیر سوال میره ! یعنی صحبت شما بدیهی هستش !اما اگر کسی بتونه به قبل از اون مرحله (کامپیوتر کارفرما) و یا بعدش (سرور سایت) نفوذ کنه دیگه سامانه شما هک شده هست.
راستش وقت نکردم بشینم سایت ها را درست بگردم اما همه این SSL ها Warranty دارند ! هر چی گرونتر باشه Warranty بیشتری داره و پیجیده تر میشه. مثلا comodo از پیش پا افتاده ترین ها هستش. اینو بخونین متوجه میشین.
چقدر توضیح دادن به شما سخته؟،پس جناب FastCode داشتند کلا موضوع ssl را میبردند زیر سوال که مثل اینکه عقب نشینی کردند و قبول کردن نمیشه اطلاعات را در زمان انتقال از طریق یک گواهی دیجیتال کشف کرد (ادعای خیلی بزرگیه !!!!!!!!!!).
من از اولش هم چنین ادعایی نکردم.
اگر پست ها رو از اول بخونید متوجه میشید.
وقتی میگم CA نصب کنید یا روی pppN اسنیف کنید یعنی چی؟چون احتمالا باز هم متوجه نمیشید میگم, لوکال
این Warranty ها فقط مربوط به صحت صدور گواهینامه میشن.
همونطور که خودش گفته:
PositiveSSL certificates carry warranty of $10,000 against certificate mis-issuance
mis-issuance یعنی چی؟
یعنی اشکالی در صدور.
جمله کاملا واضحه و از نظر قانونی فقط مسئولیت mis-issuance رو بعهده گرفته.
یعنی مثلا اگر یک گواهینامه رو اشتباهی صادر کنن که باعث سوء استفاده بشه.
و فکر میکنم مثلا اگر هویت صاحب گواهینامه طبق درجهء امنیتی گواهینامه و قوانین و مراحل لازم مورد بررسی و تایید لازم قرار نگرفته باشه یا اشتباهی از جانب شرکت صادرکنندهء گواهینامه در این جریان پیش آمده باشه.
وگرنه مطمئن باشید حفره در پروتکل ها و حتی الگوریتم گواهینامه های دیجیتال رو هیچکس تضمین نمیکنه. چون قابل پیشبینی و کنترل کسی نیست. اصولا هم مراجع طراحی و استانداردسازی این پروتکل ها و الگوریتم ها شرکتهای صادرکنندهء گواهینامه نیستن که بخوان تضمینشون کنن!
البته الان میتونه خیالتون نسبتا راحت باشه؛ چون اگر حفرهء جدی ای در این پروتکل ها و گواهینامه ها بود خب بالاخره یه سری یه صدایی و عکس العملی هم میبود!! تمام دنیا میریخت بهم. این همه بانک، موسسات و ارتباطات مهم و محرمانه به خطر میافتاد. گرچه مقالات و ضعفهای تئوریک در این زمینه وجود دارن ولی بطور عملی لابد حملهء مهمی تاحالا نبوده و انجام حملات بسیار دشواره و وخامت اونا هم لزوما زیاد نیست. بهرحال از دید حرفه ای و اصولیش کم کم باید نسخه های قدیمی و ضعیف با نسخه های جدیدتر جایگزین بشن.
اگر حفرهء جدی ای در پروتکل SSL/TLS یا الگوریتم گواهینامه های دیجیتال باشه، طبیعتا ملت نمیرن اینقدر پول بدن این گواهینامه ها رو بخرن؛ ولی خب تضمینی نیست اگر فردا یک حفرهء بزرگ توی این الگوریتم ها کشف بشه، هیچکس به شما خسارتی نمیده.
خوب ، به نظر من شاید اولین تاپیکی باشه در سال جاری که من دارم ازش استفاده میکنم.وقتی میگم CA نصب کنید یا روی pppN اسنیف کنید یعنی چی؟چون احتمالا باز هم متوجه نمیشید میگم, لوکال
باشه قبول ، شما میگین من برنامه را روی سیستم خودم نصب میکنم و حالا میام با روش ها مذکور میام sniff میکنم ببینم چی میفرسته به server درست ؟! (لوکال دیگه)
خوب حالا من متوجه میشم به غیر از نام کاربری و کلمه عبور داره یک رشته عجیب میفرسته که فرض را بر این میگذاریم شما میفهمین encrypt شده ! حالا که چی ؟ چطور میخواین سیستم را دور بزنین ؟ مثلا شما نه نام کاربری دارین نه کلمه عبور و نه میدونین اون رشته encrypt شده با چه روشی و چه محتوایی و چه کلیدی encrypt شده ؟ درسته ؟
شما نیازی هم به مهندسی معکوس ندارین ! چه اهمیتی داره اون encrypt چطور ساخته شده ! شما نیاز به نام کاربری و کلمه عبور و encrypt سیستمی که بار اول اون نام کاربری و کلمه عبور از طریقش login کرده ! یعنی این اطلاعات sniff روی سیستم شما به هیچ دردی نمیخوره !
پس شما نه میتونید اطلاعات رد و بدل شده بین یک کاربر فعال با سرور را بدست بیارین ! نه میتونید به صورت local روی سیسام خودتون کاری انجام بدین !
تنها کاری که میشه کرد اینه برین این کار را روی سیستم یک نفر که نام کاربری و کلمه عبور داره و رشته ecnrypt ش را نمیدونید انجام بدین و از اطلاعات sniff شده روی سیستم خودتون استفاده کنید !!! ولی خوب این کار نمیده چون از پارامتر های توی encrypt مقدار ip و resolution و آخرین نسخه flash و ویندوز و غیره هست که شما حداقل ip را نمیتونید tamper کنین !!! یعنی برنامه ما متوجه میشه نفر دومی داره ازش استفاده میکنه و دسترسی را میبنده !
حالا فرض میکنیم شما باهوشی و گیر استفاده از مهندسی معکوس و دردسر هاش هم نیستی ! و میای encrypt را روی سیستم خودت با همون sniff در میاری ! ولی باز هم به دردت نمیخوره ! چون اگه encrypt را عوض کنی دیگه اون نام کاربری و کلمه عبور به درد نمیخورن !
توضیح دادن به آدم هایی که میدونن چی کار کردن و اطلاعاتشون در حدی هست که فرق ادعا و واقعیت را بدونند خیلی سخته ! قبول دارم.چقدر توضیح دادن به شما سخته؟
من قصدم از ادامه این تاپیک اینه که یا دوستان متوجه بشوند این کار به این سادگی ها هم نیست و این تکنیک کاملا قابل اطمینانه یا اینکه من از شما که استاد ما باشی چیزی یاد بگیرم که برنامه ام را بهتر کنم ! دوست من این برای من دو سر برده ! پس راحت توضیحتون را بدین و من تا هر وقتی که بخوای این تاپیک را ادامه میدم.
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول