WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
AWS News Blog
Add your Ruby gems to AWS CodeArtifact Ruby developers can now use AWS CodeArtifact to securely store and retrieve their gems. CodeArtifact integrates with standard developer tools like gem and bundler. Applications often use numerous packages to speed up development by providing reusable code for common tasks like network access, cryptography, or data manipulation. Developers also embed SDKs–such
Lavabit 事件とその余波、そして Forward Secrecy - セキュリティは楽しいかね? Part 2
Lavabit事件 Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情報を提供したあと、現在はロシアに一時亡命しているが、亡命が認められる前にモスクワ空港にしばらく滞在していたことがある。7月12日に空港内でプレスカンファレンスを行ったのだが、その時複数の人権団体に送った招待状が “edsnowden@lavabit.com” というメールアドレスからだった。この事が報道されると、「あの」Snowden氏が使っているメールサービスということで、利用希望者が殺到したらしい。(それまで新規登録は 200人/日だったのが、4,000人/日と20倍になった。) しかしそんな表の騒動の影で、
BREACH ATTACK
SSL, GONE IN 30 SECONDS A BREACH beyond CRIME - Introducing our newest toy from Black Hat USA 2013: Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext At ekoparty 2012, Thai Duong and Juliano Rizzo announced CRIME, a compression side-channel attack against HTTPS. An attacker with the ability to: Inject partial chosen plaintext into a victim's requests Measure the size of e
お前このサブネットでも同じ事言えんの? - 知らないけどきっとそう。
,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
mitmproxy×透過型×ARPスプーフィング - 知らないけどきっとそう。
mitmproxy - an interactive HTTPS proxy の最新のソースが透過型プロキシをサポートしているようなので、iOSネイティブアプリの通信を調査しようと思います 最初に http://www.backtrack-linux.org/ のISOをダウンロードします BT5R3-KDE-32.iso を選択しました 起動させます 今回は Virtual PC 2007 を利用しました 既に mitmproxy 0.8 がインストールされていますが、透過型ではないので、iOSの設定でHTTPプロキシを指定する必要があります しかしこの場合、アプリによっては、期待通りに動作をしないことがあるかもしれません 例えばドラコレ&ポーカー 透過型プロキシを使うと、アプリからプロキシを通っていることを知ることができないため、このような問題を解決できる可能性があります 検証環境は、
tcpdump + wireshark で https な通信を解読する - Qiita
webアプリケーション開発者たるもの、時には https と戦わねばならぬこともあるのです。 打つ手がなくて泣きそうになっていたら同僚から救いの手が! (ただしサーバ側/クライアント側のいずれかで鍵交換アルゴリズムを変更できる場合に限る) まず、tcpdump でダンプしたものを wireshark で見るには -w FILE オプションをつけてダンプデータをファイルに書き出させます。環境によってはデフォルトで先頭数十バイトしかダンプしない (man によれば、CentOS 5.x で 68 bytes, 同じく Ubuntu 10.04 で 65535 bytes)ようなので、-s 65535 とか -s 0 などとダンプさせるサイズを指定してやるのが吉 今回は https なのでお手軽にポートで絞ることにして...こんな感じで叩けば良いかと。 出力されたファイルは普通に wiresha
企業でのAndroid活用に。SSLクライアント認証をサポートしたWebブラウザ·Sandrob MOONGIFT
SandrobはAndroidにおいてSSLクライアント認証をサポートしたWebブラウザ。 SandrobはAndroid用のオープンソース・ソフトウェア。認証の仕組みは幾つかあるが、企業において時々使われているのがクライアント認証だ。独自の認証局から証明書を発行し、それをクライアントでインストールしてアクセスする仕組みだ。証明書がなければアクセスできない。 見た目は普通のWebブラウザ デスクトップならまず問題はないが、今の時代はスマートフォンだ。AndroidでSSLクライアント認証を使うならばSandrobを利用しよう。 AndroidのWebブラウザはSSLクライアント認証に対応していない。それを対応させたのがSandrobになる。証明書はSDカード等に入れておく必要がある。そしてクライアント認証が必要になった時に証明書とパスワードを入力して利用する。 認証時(Android Ma
セキュアにインターネットを使うために。SSLを強制するSafari機能拡張·SSL Everywhere MOONGIFT
SSL Everywhereは30近くのWebサービスについてSSL接続を強制するSafari機能拡張。 SSL EverywhereはSafari用の機能拡張。インターネットが流行るのに従って、次第にセキュリティが問われるようになってきた。インターネットは自由である状態を保っているため、個々人で自分自身のプライバシーを守らなければならない。 対応サービス1 最近、もっともプライバシーが脅かされた出来事と言えばFiresheepだろう。無線LANのアクセスポイントに接続した状態でネットワークサービスを使うとアカウントを乗っ取られてしまう可能性があった。それを防ぐソフトウェアとしてSSL Everywhereを紹介しよう。 Firesheepから身を守る最も簡単な方法はSSLを使うことだ。大抵のWebサービスではHTTP、HTTPS両方の接続をサポートしている。HTTPSを常時使うことで接続
Google App EngineをSSLプロキシにする·G-Proxy MOONGIFT
G-ProxyはGoogle App EngineをSSLプロキシにする。 [/s2If] G-ProxyはGoogle App Engine/Java製のオープンソース・ソフトウェア。10数年前のインターネットでプロキシというとアングラな雰囲気があった。また企業においてはインターネット接続速度の改善やセキュリティ上の理由で用いられることが多かった。 デモ 今でも企業では使われているだろうが、最近では上記の理由以外でも使われることがある。一つはFiresheepと言う公開無線LANをターゲットにした情報漏洩から逃れるため、もう一つは中国の検閲から逃れるために使われるのだ。それがG-Proxyだ。 G-ProxyはGoogle App EngineをWebプロキシにするソフトウェアだ。Google App EngineではSSLが無料で提供されているので、G-Proxyを使えば常時SSLを使
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開 
United States
