Gaurang Pandya - Včeraj je indijski varnostni inženir Gaurang Pandya objavil blog post o tem, da Nokia na določenih novejših modelih (zlasti Ashah, za Lumie še ni podatka) izvaja Man-In-The-Middle napad pri spletnem brskanju, in to tudi za HTTPS povezave. Za nešifriran HTTP to ni nič novega, saj večina operaterjev uporablja take ali drugačne http proxy-je za potrebe kontrole in pohitritve mobilnega prometa, pri varnih povezavah se to ne bi smelo dogajati.
Napad je klasičen: ob vzpostavitvi varne povezave se brskalnik namesto z ciljno stranjo (npr. https://paypal.com) poveže z Nokiinim proxy strežnikom (npr. http://cloud13.browser.ovi.com), tudi šifrirano in podpisano, a z Nokijinimi lastnimi certifikati. Proxy strežnik potem sam sproži https povezavo do tarčnega strežnika in čez njo posreduje izvorni brskalniški zahtevek, oz. v drugo smer odgovor. Na ta način lahko vidi celotno vsebino zahtevka, v cleartext obliki. Mobilni brskalnik pa uporabnika o tem ne obvesti, ker je bil tako skonfiguriran.
Nokia je po objavi hitro odgovorila, da to sicer res počno, vendar izključno zato, da lahko vsebino zahtevka še dodatno stisnejo, preden zapusti oz. se vrne k telefonu. Pravijo tudi, da so pri podjetju uvedli ustrezne procedure, ki naj bi preprečile, da katerikoli od zaposlenih dobi dostop do vsebine prometa.
Če naj je to že res, obstajajo še nekateri drugi dvomi. Ob uporabi vgrajenega Nokijinega brskalnika povezava roma na njihove proxy strežnike (ovi.com), pri Operi Mini pa kar na proxy strežnike Opere, nad katerimi Nokia nima nujno take stopnje kontrole. Najbrž je vse skupaj pripravila kar Opera, ki je znana po svojem turbo načinu za pohitritev brskanja po počasnih povezavah. Obenem je Pandva zabeležil, da brskalnik sprejema tudi certifikate z različnimi poddomenami (cloud1.browser.ovi.com, cloud2.., cloud3...), čeprav certifikati niso bili ti. wildcart tipa. To bi lahko pomenilo, da brskalnik sprejema tudi kakšne druge neveljavne certifikate, kot denimo velja za žalostno visok delež android aplikacij. Tudi ni jasno, kaj njihov brskalnik stori, če spletna stran uporablja public key pinning, tj. skupaj z odgovorom pošlje tudi zgoščene različice (hashe) od svojih javnih ssl ključev. Novejši namizni brskalniki, denimo Chome, v tem primeru eksplodirajo, rekoč, da se v omrežju skoraj zagotovo dogaja nekaj čudnega. Slo-Tech je npr. opremljen s pini in se stricto sensu na Nokijinih telefonih tako ne bi smel odpreti.
V vsakem primeru bi Nokia lahko to bolj jasno sporočila, oz. uporabnika vsaj opozorila na dogajanje za kulisami. SSL ima že tako številne konceptualne težave, še mnogo več pa jih nastane zato, ker se nekdo odloči žrtvovati z dobrim razlogom oblikovane varnostne principe v zameno za kakšno manjšo pohitritev ali poenostavitev.
Večina takih storitev HTTPS povezave ignorira in jih prenaša brez stiskanja. Tako packarijo bi moralo uporabniku vsekakor javiti in ga povprašati če hoče zaupat HTTPS povezave njim in dobit hitrejši prenos v zameno.
Windows Phone 8 in Internet Explorer 10 podpirata takšno kompresijo, prejšnje verzije, ki so bile na starejših Lumijah pa ne. Kolikor se spomnim, se to lahko izklopi. Zadeva naj bi bila pa v delovanju podobna Operi Mini.
If you're not paying for something, you're not the customer; you're the product being sold.
Take citate si zmislijo ponudniki, ciljajo pa na ovce. Te si potem lahko mislijo kako zelo so pametne ko so plačale xxx € za nek nepotreben in brezvezen kos softwarea na kakem mobitelu. V resnici pa ovce dobijo samo drago vstopnico v svet kjer so vsi "kul" ... Potem pa če pa je citat res dober, ja potem ga pa tud ovce same uporabljajo, da širijo svojo ozkomiselnost ... sam da se denar vrti.
Kar se pa nokie tiče: verjamem da s tako očitnim korakom niso mislili krast kakih "ključnih" podatkov ali osebnih podatkov ... ampak prav tako srhljivo pa je dejstvo, da očitno niso niti pomislili kako zelo daleč v zaupanja občutljivo območje so s tem stopili in da brez vednosti tega nikakor ne bi smeli narediti.
If you're not paying for something, you're not the customer; you're the product being sold.
Take citate si zmislijo ponudniki, ciljajo pa na ovce. Te si potem lahko mislijo kako zelo so pametne ko so plačale xxx € za nek nepotreben in brezvezen kos softwarea na kakem mobitelu. V resnici pa ovce dobijo samo drago vstopnico v svet kjer so vsi "kul" ... Potem pa če pa je citat res dober, ja potem ga pa tud ovce same uporabljajo, da širijo svojo ozkomiselnost ... sam da se denar vrti.
Kar se pa nokie tiče: verjamem da s tako očitnim korakom niso mislili krast kakih "ključnih" podatkov ali osebnih podatkov ... ampak prav tako srhljivo pa je dejstvo, da očitno niso niti pomislili kako zelo daleč v zaupanja občutljivo območje so s tem stopili in da brez vednosti tega nikakor ne bi smeli narediti.
Just upgraded my Nokia browser, the version now is 2.3.0.0.48, and as expected there is a change in HTTPS behaviour. There is a good news and a bad news. The good news is with this browser, they are no more doing Man-In-The-Middle attack on HTTPS traffic, which was originally the issue, and the bad news is the traffic is still flowing through their servers.
Mimogrede, Nokia Lumia ne uporablja Nokia brskalnika. Niti ni možnosti, da bi nastavil alternativo. Je pa res, da IE 9 deluje odlično.
da pa recimo android uporablja googlov dns, pa nikogar ne moti...
Opravičuješ eno veliko svinjarijo z drugo veliko svinjarijo?
Janša vs. Janković all over again? Silvo Plut vs. Josef Visarionovič Stalin? Gangrape India-style vs. Soviet Army in Berlin 1945-1950?
Butale?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Google uporablja za google mail man in the middle napade! Oh wait, google si itak lasti svoj mail in vse tvoje podatke. Razlika je pomoje samo v tem, da google že v pogojih pove, da je vse njihovo, tule pa verjetno piše v pogojih da podatkov ne bodo uporabili. Ali ne? No mene to zanima, kaj piše v TOS. Ker je predvsem to pomembno imho.
A ga lahko ignorirate? Tako neumna izjava ni vredna odgovora.
Glede HTTPS hijacking, Zdaj vem kaj bleknit ko bo kdo navdušen nad Nokio. Zame je v tem trenutku ta firma na ignore listi, skupaj z Apple. Najhujše v tej zgodbi je to da browser ne javi da se kaj dogaja.
Google uporablja za google mail man in the middle napade! Oh wait, google si itak lasti svoj mail in vse tvoje podatke. Razlika je pomoje samo v tem, da google že v pogojih pove, da je vse njihovo, tule pa verjetno piše v pogojih da podatkov ne bodo uporabili. Ali ne? No mene to zanima, kaj piše v TOS. Ker je predvsem to pomembno imho.
Če s svojo el. pošto gostujem pri Google, ima Google tako ali tako njeno vsebino na svojem strežniku in mora ravnati oz. ravna z njo v skladu s pogoji, ki jih vsak uporabnik sprejme - torej sem jih moral pred uporabo sprejeti tudi jaz. Torej gre za klasično razmerje med uporabnikom in ponudnikom z vnaprej točno določenimi pogoji in brez posluževanja obskurnih vektorjev napada.
Če pa nekdo, ne glede na pogoje uporabe, prestreza še eksplicitno zaščiten promet proti prestrezanju in po možnosti ne, da bi uporabnika o tem do potankosti seznanil, promet (npr. do spletne banke, plačilnega posrednika, erotične trgovine ali šolske redovalnice) pa ni njemu namenjen, je vreden vsakega obsojanja in tudi kazenskega pregona!
Tako pravi naš Kazenski zakonik z dopolnitvami (UPB2):
Napad na informacijski sistem
221. člen
(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.
IMO si z nobenimi prismojenimi pogoji uporabe ne morejo prilastiti vsega uporabnikovega prometa, to bi bilo zelo sporno.
Tako pravi naš Kazenski zakonik z dopolnitvami (UPB2):
Napad na informacijski sistem
221. člen
(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.
IMO si z nobenimi prismojenimi pogoji uporabe ne morejo prilastiti vsega uporabnikovega prometa, to bi bilo zelo sporno.
Po moje ni dovolj, da je uporabnik seznanjen! Takšnih pogojev preprosto ne morejo dati, če želijo tako programje prodajati na trgu. Tu gre za to, da kršijo mojo komunikacijsko zasebnost in to s 3. osebo, ne z njimi. Prepričan sem, da bi bili takšni pogoji uporabe/nakupa po naši zakonodaji (in prav tako evropski) nezakoniti. In mislim, da bo iz tega še hud škandal. EDIT: Da se popravim, morda bi bili zakoniti/dopustni, če bi imeli opt-out funkcijo.
Povsem isto je, kot če bi vaš ISP prestrezal promet med vašim brskalnikom in aplikacijo vaše spletne banke. In seveda, to bi pisalo v naročniški pogodbi, da lahko počnejo ... Ajme meni, kako bi skakali vsi po zraku, od Musarjeve, varuhinje čl. pravic do APEK-a ...
Najmanj, kar bi lahko, je na to eksplicitno opozorili. Najmanj.
Tole v zvezi z mobilnim brskalnikom je itak škandal, zadnje čase pa se nekaj v zvezi s securityhem dogaja tudi pri namiznem brskalniku Opera. Ravno tole z raznimi certifikati je postalo zelo sumljivo!
Pred kratkim se je šušljalo tudi, da naj bi Facebook prevzel Opero. Potem se ve, da lahko na zasebnost kar pozabiš!