Vlákno názorů k článku Vyčmuchejte si svého hackera! od Pepak - Opravte me, jestli se mylim, ale az dosud...

Opravte me, jestli se mylim, ale az dosud jsem zil v domeni, ze pro uspesny sniffing je take potreba vhodna struktura site. Treba klasicka hvezdicova/stromova struktura, kde tim stycnym bodem je switch (dnes zcela bezna situace), uz by k sniffingu mela byt zcela imunni (protoze switch posle packet jenom te sitove karte, ktere patri). Nebo jsem neco pochopil spatne?

Pochopil jste zcela správně, tenhle článek spíše připomíná reklamu, i když nevím na co, nebo spíš špatný pokus o překlad jiného zahraničního článku. Tohle je přesně ten typ článků, které tu nemají co dělat.

a co arp spoofing?

Ano, ale jen teoreticky. Vetsina obycejnych switchu se necha presvedcit, protoze rozhoduje jen na zaklade informaci zaslanych komunikujicim strojem. Viz [http://www.hysteria.sk/prielom/23/index.html#5].

no nevim jak vy ale drtiva vetsina firemnich siti je proti arp-spoofingu naprosto nezabezpecena a to by jste se divil kolik intranetu nejede na SSL protoze "je to vse na switchich" minimalne jednu cestu (klient-server) se dari uspesne sniffovat temer vsude.

Pokud do webmailu pristupujete pres https, jsou pristupove udaje take takto jednoduse zjistitelne, nebo jsou chranene?

pokud pristupujete pres https, jsou data sifrovana a neda se k nim jen tak jednodusse dostat - vicemene lze rict, ze jsou chranene.

Samozrejme, ze je treba i vhodne misto, kam lze stroj zachytavajici komunikaci umistit. Nicmene, struktura site "hvezda" se switchem uprostred neni topologie, ve ktere by bylo neco takoveho nemozne, nebo alespon prilis obtizne. Metod, jak ziskavat i na switchi pakety, ktere mi nepatri, je cela rada, zmineny arp-spoofing je jednou z nich, nicmene, urcitych uspechu se obvykle da dosahnout uz prostym pretizenim switche (zasilanim velkeho mnozstvi ramcu s nahodne zvolenymi MAC) kdy jeho funkce degraduje takrka na uroven HUBu. Jsou mozne i dalsi metody - a mate pravdu, volba nejvhodnejsi z nich skutecne souvisi se strukturou konkretni site a pouzitymi zarizenimi. Na vetsine tech "beznych" ale skutecne nejde o nic nemozneho nebo obtizneho ...

taky mi to prijde tak, ze tenhle clanek je bud propagaci zmineneho programu nebo proste nejaky jiny clanek prelozeny treba z anglictiny...

Ano, pochopil jsi to spravne, v takove prepinane siti je proto jeste zapotrebi pouzit arp-spoof, coz jest utilita na pouziti tak primitivni, jako ethereal, tedy na to, ze switchovana sit je bezpecna zapomen. Samozrejme jsou chytre switche, ktere dokazi arpspoofingu celit, ale ty jsou drazsi, takze je lepsi pocitat s tim, ze takove switche v siti neexistuji. Navic kdo se ve switchich alespon trosku vyzna vi, ze staci switchi dostatecne zahltit cache a on (obvykle) zacne poustet pakety na vsechny porty ve snaze co nejrychleji "vysypat" cache... v takovem pripade je sit asi v podobnem stavu, jako kdybys byl pripojen na koaxu. No.. jiste by se dalo tema rozebrat mnohem obsirneji, ale to by asi bylo spis na samostatny clanek.

ano, samozrejme mate pravdu, vyjadroval jsem se pouze k tematu odposlechu spojeni - man-in-the-middle attack vyzaduje trosku vic znalosti a obratnosti na ktere script-kiddies proste nemaji...

Vůbec to není tak snadné. Protože ve většině firemních sítí trochu inteligentní správce tuší, kdo jediný by to z firmy uměl a ještě byl toho schopen.
Sice se to někomu může podařit, ale zásadní problém je, aby ho nikdo neobjevil (a pak ho za to nepotrestali). Takže daleko snazší je se rovnou v oné firmě stát systémákem. Potom si člověk fízolvání může užívat do sytosti - a ještě ho za to platí.

jenže k tomu se potřebuješ dostat na server

http://www.fefe.de/switch/

Su chranene len vicemene. SSL je zranitelne na man-in-the-middle-attack. Tj. aktivny utocnik (=schopny vkladat pakety) v strede proste pri pokuse o spojenie posle iny certifikat (vystaveny na rovnake DNS meno, sam si ho vygeneruje). Ak ma browser nacachovany stary certifikat z nejakej minulej session, tak pravdepodobne zareve ze serverovy certifikat sa zmenil.
Jeden sposob, ako sa tomu vyhnut, je pouzivat certifikat podpisany od certifikacnej autority (CA) a browser musi mat korenovy certifikat CA aby mohol overit podpis. Co nie je celkom pripad CS/SK webov. Osobne poznam velmi malo webov, ktore by mali podpis od nejakej CA, ktorej korenovy certifikat je zabudovany priamo do browsera. Mame sice nejake certifikacne autority, ale a) ich pouzivanie nie je az take rozsirene, b) nemaju built-in korenovy certifikat v beznych browseroch (IE, FF, Mozilla, Opera, ...). Zaujimalo by ma, kolko ludi si naozaj da tu pracu a zozenie si tie korenove certifikaty. Niekedy je to dost problem. Napr. na post.cz som musel pisat mail aby mi ten certifikat poslali, inak som ho nikde nevedel najst (mozno sa to odvtedy zmenilo, cca 1-2 roky dozadu).