Vlákno názorů k článku Yahoo skenuje poštu pro vládu, Google a Microsoft to prý nedělají od Honza Jaroš - Nedávno jsem rozbíhal jeden server umístěný v Panamě...
-
Honza Jaroš (neregistrovaný)
Nedávno jsem rozbíhal jeden server umístěný v Panamě u CCIHostingu (neptejte se mě proč, prostě to tak zákazník chtěl) a běžel na něm i mailserver. Když jsem poprvé zkusil odeslat zprávu na server do Prahy, pět minut se nic nedělo, mail visel ve frontě a pak teprve zpráva přišla. Pri bližším zkoumání hlavičky a následně logů jsem zjistil, že se nedařilo navázat šifrované spojení a po pěti minutách to tedy spadlo do nešifrovaného. Nejdřív jsem zkusil na tentýž server odeslat mail skrz OpenVPN tunel, to prošlo v pohodě, v nastavení mailserveru tedy chyba nebyla. Analýza paketů na obou stranách komunikace ukázala, že po odeslání STARTTLS dojde do Panamy jeden paket navíc, který pražský server neodeslal a který způsobí, že se panamský server začne pokoušet navazovat spojení přes staré SSL, zatímco pražský očekává TLS, pět minut se marně pokouší domluvit a pak spojení spadne do klasického bez šifrování.
Zkoušel jsem z Panamy přes 'openssl s_client' navazovat spojení s různými (tuším že asi deseti) free mailservery v Evropě i v USA, jediné které prošly bez problému byly servery Googlu a Microsoftu. O tom, proč se tenhle divný MITM útok těchto dvou společností netýkal, můžu jen spekulovat, osobně jsem dospěl k závěru, že NSA se na jejich servery může dostat jinak a tak neplýtvá kapacitami... :-)
Trošku mi uniká, proč útočník dělal takhle blbě, když mailservery obvykle certifikáty protistrany nekontrolují a přijmou i self-signed, ale jiné vysvětlení pro to, co se dělo nemám.
Server jsme pak z Panamy přesunuli jinam.
-
Ondřej CaletkaZlatý podporovatelInjektovat paket navíc je určitě levnější řešení než dělat MitM na všechna spojení.
Je to stejné jako s cenzurováním nepovolených internetových stránek na HTTPS – namísto MitM na veškerý provoz se pouze analyzuje SNI volba a likvidují se jen konkrétní spojení.
-
Ondřej CaletkaZlatý podporovatel
Jinak tohle by se možná dalo změřit systémem RIPE Atlas. Bylo by zajímavé odhalit takovýto útočný systém.
