Полностью самопальные протоколы лучше делать на основе известных библиотек, - например сделать некий нестандартный хендшейк, по которому поднимается шифрованный канал на основе уже имеющихся готовых библиотек с открытым кодом (многократно оттестированных общественностью на предмет банальных stack overflow и ошибок ограничения размеров буферов), т.е. чтобы для анализирования трафика было категорически недостаточно подменить один сертификат в MITM.
Да не получится жонглировать сертификатами в нормальной ситуации - просто в HTTPS одно недоразумение, а не секьюрити, поэтому-то банки давно на свои сайтах используют даже при заходе аутентификацию по SMS. С тем же SSH любая попытка подменить сертификат вызовет орево демона, что на канале дебош, и никак это не вылечишь кроме явного разрешения работать через назад, вычистив руками правильные фингерпринты. Если в продукте уже есть дополнительная защита в виде открытых ключей, не связанных с каналом, то обойти такую защиту даже с подменой сертификата будет нельзя, поскольку железку не научишь инспектить пакеты, которые внутри SSH имеют дополнительное нестандартное кодирование. Запретить же на территории России одновременно Вайбер, Вотсапп, Скайп, Телеграм и ещё толпу мессенджеров с пропиетарными протоколами нереально, да даже если запретить - появится куча новых, свято место пусто не бывает. :)
Заметят. :) Эдак можно и до запрета колокейшна додуматься, - не будет ничего подобного. Вон в Европе давно уже трафик анализируют провайдеры на предмет торрентов и стучат по голове, когда кого-то ловят, - это ничем по сути от гипотетического товарища майора не отличается. И что - кто-то из грамотных пользователей перестал качать? Да я умоляю - арендуют свой сервак за 25 евро в месяц в дата-центре в стране, где торренты не запрещены, ставят туда никсы, трансмишн, цепляются по SSH и качают себе всё, что надо.
Речь не о том, что секьюрити надо писать полностью самому - там действительно закрытая группа разработчиков может сделать какие-то идиотские ошибки, которые порушат безопасность, - а о том, что если протокол полностью open source и очень распространён, то вероятность того, что он будет включён в число анализируемых SPI в роутерах провайдерского класса резко возрастает. Делать анализ протокола, который не документирован (например того же Скайпа) в железе невозможно.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2016-08-27 08:49 am (UTC)Да не получится жонглировать сертификатами в нормальной ситуации - просто в HTTPS одно недоразумение, а не секьюрити, поэтому-то банки давно на свои сайтах используют даже при заходе аутентификацию по SMS. С тем же SSH любая попытка подменить сертификат вызовет орево демона, что на канале дебош, и никак это не вылечишь кроме явного разрешения работать через назад, вычистив руками правильные фингерпринты. Если в продукте уже есть дополнительная защита в виде открытых ключей, не связанных с каналом, то обойти такую защиту даже с подменой сертификата будет нельзя, поскольку железку не научишь инспектить пакеты, которые внутри SSH имеют дополнительное нестандартное кодирование. Запретить же на территории России одновременно Вайбер, Вотсапп, Скайп, Телеграм и ещё толпу мессенджеров с пропиетарными протоколами нереально, да даже если запретить - появится куча новых, свято место пусто не бывает. :)
Заметят. :) Эдак можно и до запрета колокейшна додуматься, - не будет ничего подобного. Вон в Европе давно уже трафик анализируют провайдеры на предмет торрентов и стучат по голове, когда кого-то ловят, - это ничем по сути от гипотетического товарища майора не отличается. И что - кто-то из грамотных пользователей перестал качать? Да я умоляю - арендуют свой сервак за 25 евро в месяц в дата-центре в стране, где торренты не запрещены, ставят туда никсы, трансмишн, цепляются по SSH и качают себе всё, что надо.
Речь не о том, что секьюрити надо писать полностью самому - там действительно закрытая группа разработчиков может сделать какие-то идиотские ошибки, которые порушат безопасность, - а о том, что если протокол полностью open source и очень распространён, то вероятность того, что он будет включён в число анализируемых SPI в роутерах провайдерского класса резко возрастает. Делать анализ протокола, который не документирован (например того же Скайпа) в железе невозможно.