Vlákno názorů k článku Odposloucháváme data na přepínaném Ethernetu (6.) od Martin Haller - Ve standardni instalaci Windows jiz mate spoustu certifikatu...

Ve standardni instalaci Windows jiz mate spoustu certifikatu znamych CA. To znamena ze se k vam dostali cestou, ktera by mela byt v poradku. Pokud vam toto uloziste nikdo nemodifikuje nemelo by se stat ze by mel nekdo certifikat podepsan CA, kterou v ulozisti nemate. Samozrejme ze tam nejsou veskere CA, ale nektere CA tam nejsou napriklad z nedostatecne bezpecnostni politiky pri pridelovani certifikatu. Proto bych certifikatum podepsanym CA, ktere neduverujete neveril.

Dovolil bych si s clankem souhlasit pouze castecne. Je rozhodne dobre vedet, ze tento typ utoku existuje,jak ho nasimulovat a jak se projevuje. Nicmene nedoporucuji utok provadet.

V clanku ale chybi to podstatne:

Co v pripade, ze mam podezdreni na utok typu man-in-the-middle delat ?


Pripravovali demonstraci podobneho utok na uzivatele fiktivniho internetoveho bankovnictvi na IT&Security Conference 2005. Pokud Vam to bude prinosne, zde jsou pristupne materialy:

http://www.logios.cz/a/logios-bezpecnost-internetoveho-bankovnictvi/61

Cili doplnim.

V okamziku, kdy mate podezdreni na utok Man-In-The-Middle vemte do ruky tistene materialy popripade smlouvy, kde budou zverejneny kontaktni telefony na podporu (v zadnem pripade neduverujte cemukoliv, co je na internetu) a trvejte na tom, aby s Vami overili pravost certifikat serveru. Nejlepe na zaklade fingerprintu(otisku).

Proc neduverovat v danem okamziku internetu ? Kdyz uz bude utocnik mezi Vami a serverem na sifrovane ceste, pak bude i na nesifrovane a muze si se spojenim delat co chce. Nejen cist, ale i menit veskerou komunikaci dle sve potreby.
Toto uz Cain&Abel neumoznuje, ale pro potencionalniho utocnika to je vice nez snadne.