avast의 중간자 공격!
우선 스크린샷에서
알아차린 경위
SSL 관련 설정을 실시한 적도 있고, 다른 사이트에서도 「SSL 설정은 어떻게 되어 있을까」라고 조사하고 있었는데, 증명서가 이런 것이 되어 있는 것을 알아차렸습니다.
기술 세부 사항
브라우저에서 「안전」이라고 하는 증명서는, 증명서의 서명을 따라가서, 브라우저 혹은 OS에 들어가 있는 「루트 증명서」에 다가가는 것, 이라고 됩니다. 그리고 이 루트 증명서의 정확성을 담보하는 것은, 실은 아무것도 없습니다.
그렇다면 누군가가 루트 인증서에 부주의한 것을 추가해 버리면 SSL의 안전성 전체가 붕괴될 수 있다는 것입니다 (조금 전에 Superfish 되었습니다).
이 경우에도 avast!가 추가 한 "avast! Web/Mail Shield Root"가 루트 인증서로 통합되어 avast!가 생성 한 github.com의 인증서가 "정당한 것"으로 통용되어 버렸습니다. 있습니다.
보안을 위해서라면 어쩔 수 없지?
확실히, 이러한 손을 사용하지 않으면 HTTPS의 통신 내용을 취득할 수 없습니다. 실험용 등으로, 의도적으로 MITMProxy를 스스로 장치하는 일도 있을지도 모릅니다.
다만, 이번 눈치채고 놀랐듯이, avast!의 이 장치는, 적어도 의식적으로 설정한 것이 아닙니다. 컴퓨터의 관리자가 사전에 설정해 둔다고 하는 경우는 어쨌든, 자신의 PC에 이러한 설정을 짜는 이상은, 유저측의 명확한 동의가 필요한 것이라고 생각합니다. "허락 계약에 적어둔"수준에서는 좋지 않을 것입니다.
공개키 핀닝은?
Github에서는 공개키 핀닝을 도입하고 있기 때문에, 이런 MITM 공격은 성립하지 않는다고 생각하고 있었습니다. 그런데 이번 경우는 다니고 있었습니다. 그래서, 확인해 보면, 원래 브라우저에 관해 있던 이외의 루트 증명서에 대해서는, 핀닝 체크의 대상외라고 했습니다. 이런 식으로 PC 쪽에 뭔가를 넣었을 경우에는 손 밖에 보이지 않습니다.
Reference
이 문제에 관하여(avast의 중간자 공격!), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/jkr_2255/items/4e0555a541c93662c2c3
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
SSL 관련 설정을 실시한 적도 있고, 다른 사이트에서도 「SSL 설정은 어떻게 되어 있을까」라고 조사하고 있었는데, 증명서가 이런 것이 되어 있는 것을 알아차렸습니다.
기술 세부 사항
브라우저에서 「안전」이라고 하는 증명서는, 증명서의 서명을 따라가서, 브라우저 혹은 OS에 들어가 있는 「루트 증명서」에 다가가는 것, 이라고 됩니다. 그리고 이 루트 증명서의 정확성을 담보하는 것은, 실은 아무것도 없습니다.
그렇다면 누군가가 루트 인증서에 부주의한 것을 추가해 버리면 SSL의 안전성 전체가 붕괴될 수 있다는 것입니다 (조금 전에 Superfish 되었습니다).
이 경우에도 avast!가 추가 한 "avast! Web/Mail Shield Root"가 루트 인증서로 통합되어 avast!가 생성 한 github.com의 인증서가 "정당한 것"으로 통용되어 버렸습니다. 있습니다.
보안을 위해서라면 어쩔 수 없지?
확실히, 이러한 손을 사용하지 않으면 HTTPS의 통신 내용을 취득할 수 없습니다. 실험용 등으로, 의도적으로 MITMProxy를 스스로 장치하는 일도 있을지도 모릅니다.
다만, 이번 눈치채고 놀랐듯이, avast!의 이 장치는, 적어도 의식적으로 설정한 것이 아닙니다. 컴퓨터의 관리자가 사전에 설정해 둔다고 하는 경우는 어쨌든, 자신의 PC에 이러한 설정을 짜는 이상은, 유저측의 명확한 동의가 필요한 것이라고 생각합니다. "허락 계약에 적어둔"수준에서는 좋지 않을 것입니다.
공개키 핀닝은?
Github에서는 공개키 핀닝을 도입하고 있기 때문에, 이런 MITM 공격은 성립하지 않는다고 생각하고 있었습니다. 그런데 이번 경우는 다니고 있었습니다. 그래서, 확인해 보면, 원래 브라우저에 관해 있던 이외의 루트 증명서에 대해서는, 핀닝 체크의 대상외라고 했습니다. 이런 식으로 PC 쪽에 뭔가를 넣었을 경우에는 손 밖에 보이지 않습니다.
Reference
이 문제에 관하여(avast의 중간자 공격!), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/jkr_2255/items/4e0555a541c93662c2c3
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
확실히, 이러한 손을 사용하지 않으면 HTTPS의 통신 내용을 취득할 수 없습니다. 실험용 등으로, 의도적으로 MITMProxy를 스스로 장치하는 일도 있을지도 모릅니다.
다만, 이번 눈치채고 놀랐듯이, avast!의 이 장치는, 적어도 의식적으로 설정한 것이 아닙니다. 컴퓨터의 관리자가 사전에 설정해 둔다고 하는 경우는 어쨌든, 자신의 PC에 이러한 설정을 짜는 이상은, 유저측의 명확한 동의가 필요한 것이라고 생각합니다. "허락 계약에 적어둔"수준에서는 좋지 않을 것입니다.
공개키 핀닝은?
Github에서는 공개키 핀닝을 도입하고 있기 때문에, 이런 MITM 공격은 성립하지 않는다고 생각하고 있었습니다. 그런데 이번 경우는 다니고 있었습니다. 그래서, 확인해 보면, 원래 브라우저에 관해 있던 이외의 루트 증명서에 대해서는, 핀닝 체크의 대상외라고 했습니다. 이런 식으로 PC 쪽에 뭔가를 넣었을 경우에는 손 밖에 보이지 않습니다.
Reference
이 문제에 관하여(avast의 중간자 공격!), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/jkr_2255/items/4e0555a541c93662c2c3
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(avast의 중간자 공격!), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/jkr_2255/items/4e0555a541c93662c2c3텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
