HTTPS, SSL/TLS - Porque você deve usá-los sempre
•Télécharger en tant que PPTX, PDF•
4 j'aime•1,001 vues
O documento fornece exemplos de ataques de man-in-the-middle, incluindo a manipulação da tabela ARP e o roubo de cookies. Ele também discute ferramentas para executar esses ataques e estratégias de defesa, como o isolamento de dispositivos na rede WiFi e a adoção do protocolo HTTPS.
Recommandé
Contenu connexe
Similaire à HTTPS, SSL/TLS - Porque você deve usá-los sempre
Similaire à HTTPS, SSL/TLS - Porque você deve usá-los sempre (20)
Dernier
Dernier (6)
HTTPS, SSL/TLS - Porque você deve usá-los sempre
- 1. Exemplos reais de ataque Indispensávels estratégias de defesa PizzaTech
- 2. Submerso na área de infosec desde 1999 Pivotei profissionalmente de vez em 2003 Trabalhando com consultoria e pentesting desde então Co-fundei a Pontosec (primeira turma do SEED) Twitter: @viniciuskmax Email: vinicius at pontosec.com
- 3. Man in the Middle via manipulação da tabelaARP Sensacionais ferramentas point-and-click: Windows: Cain & Abel - clássica (2001), extremamente funcional, estável, bastante atualizada. Intercepter-NG - (2006), mais recursos que o Cain, estável, bastante atualizada. Linux / Mac: ettercap-NG (2001) - também clássica, ressuscitada em 2011 e atualizada diariamente. Android: DroidSheep, Dsploit, entre outras.
- 4. Sequestro de sessão via roubo de cookies Antes dos browser add-ons/extensions (~2004): complicado 2004 Injeção no FF via add-ons (Add N Edit Cookies) 2009 hamster & ferret – ficou underground, restrito a infosec pros 2010 Firesheep - FF add-on finalmente popularizou o ataque 2012 CookieCadger - fantástica app java, recomendada
- 5. DEMO
- 6. Modificação das páginas HTTP das vítimas em tempo real Todo um delicioso universo cheio de cores e sabores: Substituição de imagens (diversão garantida ) Injeção de javascript malicioso Substituição de executáveis downloadeados (game over p/ usuário) Etc… a imaginação é o limite :P Ferramentas: AirPwn, Intercepter-NG, LANS.py, ettercap-NG
- 7. Usuários: HTTPS Everywhere – força HTTPS em sites que já o suportam. VPN – tunnelaTODA a conexão, ideal pra admin tasks em ambientes públicos/inseguros. Não usar IE - único browser que ainda não suporta HSTS (HTTP StrictTransport Security) Monitoramento de mudança do gateway por pequenos aplicativos. Proteger logins POP3/IMAP/SMTP adotandoTLS ou SSL neles. Abandonar de vez o FTP “puro” e usar FTP-SSL (Explicit AUTHTLS) ou SFTP (SSH FileTransfer Protocol)
- 8. Admins de rede pública ou doméstica: Ativar recursoAP isolation (comum em roteadoresWiFi) Admins de rede corporativa: Setar manualmente a tabela ARP (port-security em switchs Cisco; HP and Juniper tem proteções similares) Proteger logins POP3/IMAP/SMTP adotandoTLS/SSL. Admins de sites: Colocar HTTPS não apenas nos logins, mas onde for possível (aka ALLTHETHINGS)
- 9. PizzaTech
Notes de l'éditeur
- TLS v1.0 is marginally more secure than SSL v3.0, its predecessor. However, subsequent versions of TLS — v1.1 and v1.2 are significantly more secure and fix many vulnerabilities present in SSL v3.0 and TLS v1.0. Se você configurar um programa de email que você vai ver muitas vezes opções separadas para "sem criptografia", "SSL", ou "TLS" criptografia de vocês transmissão. Isso nos leva a supor que TLS e SSL são coisas diferentes.
- TLS v1.0 is marginally more secure than SSL v3.0, its predecessor. However, subsequent versions of TLS — v1.1 and v1.2 are significantly more secure and fix many vulnerabilities present in SSL v3.0 and TLS v1.0. Se você configurar um programa de email que você vai ver muitas vezes opções separadas para "sem criptografia", "SSL", ou "TLS" criptografia de vocês transmissão. Isso nos leva a supor que TLS e SSL são coisas diferentes.