https 패킷을 해석하는 게 가능한가요
글쓴이: moonhyunjin / 작성시간: 토, 2011/09/17 - 12:31오전
http://www.hani.co.kr/arti/society/society_general/496439.html
"보안을 강화하느라 암호화된 통신규약(HTTPS)을 이용하는 지메일을 감청한다는 것은, 전자우편을 주고받을 때 회선을 오가는 데이터(패킷)를 가로챈 뒤 이를 풀어낼 수 있는 기술을 국정원이 갖고 있다는 뜻이다."
이론상 가능하다 이런거 말고.. 진짜 가능하나요???
Forums:
아닐걸요
기자가 소설 쓰는 것 같네요.
feanor님이 아니라면 아니겠죠. 제가 봐도
feanor님이 아니라면 아니겠죠.
제가 봐도 아닌데 기사로 나와서 제가 뭘 잘 못 알고 있나 했어요.
gmail 웹버전은 로그인뿐만 아니라 전체가다 https거든요..
<- 이거면 안 되는 게 없어~
정품 소프트웨어 사용 캠패인
이상으로 이 글을 읽는 사람들의 정보를 페도라 서버에
이상으로 이 글을 읽는 사람들의 정보를 페도라 서버에 보내고 계신 분의 글이었습니다.
http://fedoraproject.org/w/uploads/2/26/Logo_UsageGuidelines_vert-logo.png
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
소설이라뇨? http://www.thoughtcri
소설이라뇨?
http://www.thoughtcrime.org/software/sslstrip/
http://hummingbird.tistory.com/3212
https://bugzilla.mozilla.org/show_bug.cgi?id=335197
sslstrip
sslstrip은 "https 패킷을 해석"하는게 아니잖아요. 다른 건 인증서 장난인데, 그럴 수도 있지만 아닐 공산이 더 많다고 봄.
구글이 국정원에 협력하는게 아닐까요?
구글이 국정원에 협력하는게 아닐까요?
기사가 사실이라면 이것이 가장 신빙성 있어 보입니다.
기사가 사실이라면 이것이 가장 신빙성 있어 보입니다.
Just do it!
인증서를 입수했다면 가능할 수도...
인증서를 입수했다면 가능할 수도...
HTTPS 프로토콜도 중간자 공격이 가능합니다. 즉,
HTTPS 프로토콜도 중간자 공격이 가능합니다. 즉, 사용자와 구글 사이에 프락시를 하나 놓고, 한쪽 편이 전송하는 메시지를 가로채어 다른 쪽 편에 재전송하는 것입니다. 이 용도로 쓰는 찰즈 프락시라는 프로그램도 있고요.
이게 통하려면 사용자가 프락시를 구글 서버로 착각하게 만들어야 합니다. 그런데 국가 정보원은 두 가지 이유로 이걸 가능하게 할 수 있습니다.
1. DNS를 조작해서 google.com이 프락시의 IP 주소로 변환되게 합니다.
2. 공인 기관에서 *.google.com에 대한 HTTPS 인증서를 발급받습니다.
1번은 도청 대상 컴퓨터의 DHCP 신호를 가로채어 가짜 DNS 서버를 보내주거나, ISP와 짜고 달성할 수 있을 겁니다. 2번은 웹 브라우저 대부분이 한국 인터넷 진흥원(KISA)을 공인 기관(root certificate authority)으로 인정하기 때문에, 국가 정보원이 한국 인터넷 진흥원에 요구한다면 발급 받을 수도 있습니다.
따라서 이론상으로는 충분히 가능하다고 할 수 있습니다. 사실 2번 같은 경우는 저도 이번에 처음 알게 된 사항이라서 적잖이 충격이었습니다. 한국 인터넷 진흥원 같은 단체라면 국가 기관의 압력을 피하기 어려울 테니까요. 얼마 전에 이란 정부가 *.google.com 가짜 인증서를 도청하는 데 썼다는 의혹도 있었죠.
다만 2번은 크롬에서는 통하지 않습니다. 왜냐하면 크롬은 몇몇 유명 사이트에 접속할 때는 특정 기관에서 발급한 인증서만 인정하도록 제한하고 있기 때문입니다. 인증서 고정(certificate pinning)이라고 불리는데, 이에 따르면 구글 사이트에서는 Verisign, Google Internet Authority, Equifax, GeoTrust에서 발급한 인증서만 사용할 수 있다고 합니다.
결론은, 국가 기관이 작심하고 도청하려 한다면 HTTPS라도 완벽하게 안전하지는 않다는 것입니다. 또한 몇몇 유명 사이트 한정으로는 크롬 등의 인증서 고정을 지원하는 브라우저를 씀으로써 도청 위험에서 벗어날 수 있습니다. 저 기사에 나온 분은... 아마
악마 같은인터넷 익스플로러를 쓰셨겠지요.----
블로그 / 위키 / 리눅스 스크린샷 갤러리
http://en.wikipedia.org/wiki/
http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
이게 관련 정보인 것 같습니다.
사용자-브라우저-OS-DNS-라우터-ISP-인터넷-ISP-라우터-DNS-OS-서버
이 고리 중 하나라도 깨지면 변조되는 겁니다.
브루스 슈나이어의 디지털 보안의 비밀과 거짓말에 보면 PKI보다 Web of trust 방식의 PGP가 더 안전하다고 나와있습니다.
사용자-브라우저-서버가 가능하니까요.
P2P로 DNS 정보를 받거나 프리넷에서 정보를 받아오는 DNS가 있을까요?
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
소설을 쓰겠습니다. 백본,코넷 수준에서 DNS후킹,
소설을 쓰겠습니다. 백본,코넷 수준에서 DNS후킹, ISP 수준에서 패킷 덧붙이기, 키보드 보안 프로그램,공인인증서 액티브X에 백도어 설치 등 국가 수준에서는 마음만 먹으면 써먹을 것이 많습니다. 소설끝
추가하자면,최고 위험한 상황에서는 정부가 인터넷을
추가하자면,
최고 위험한 상황에서는 정부가 인터넷을 끊어버리고 건물이나 집 전원까지 차단시킵니다.
무선 전화기도 끊고요.
위급한 순간에 구글이나 네이버에 접속했는데 첫화면 뉴스에 자기 얼굴이 피범이된 사진이 팍 뜬다고 해봅시다.
아니면 글씨가 깜빡인다고 해봅시다.
아니면 윈도우에 내장된 벨이 갑자기 울린다고 생각해 볼수도 있습니다.
캡처하거나 녹음하기도 어렵습니다.
그 충격이 얼마나 심할까 상상해보세요.
네이버 구글, 윈도우, QOOK 라우터가 살인도구가 될 수도 있는 겁니다.
그럼 건물에 갇혀서 죽는 일만 남습니다.
엄청 무서운 상황이죠.
제가 이런 경험을 해봤게요 안해봤게요?
전화기를 안 쓰는 스티븐킹의 영화 1408을 보시면 느낌이 오실 겁니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
이미 한국은 전 국민의 HTTP 헤더를 감시하는
이미 한국은 전 국민의 HTTP 헤더를 감시하는 나라지요. telnet google.com 80 하고 GET / HTTP/1.0 줄 바꿈 Host: sora.net 쳐보면 바로 http://www.warning.or.kr/ 로 바뀌니까요. 저 google.com은 아무 외국 사이트로나 바꿔도 동작합니다. 아마 외국으로 나가는 게이트웨이들에 헤더를 필터링하는 장치가 설치되어 있는 게 아닌가 싶어요.
뭐 이런 수준의 감시는 어느 나라나 하고 있을 것 같긴 합니다. 다만 이렇게까지 티 나게 하면 좀;
----
블로그 / 위키 / 리눅스 스크린샷 갤러리
논외입니다만, 국가 안보, 청소년 보호를 위해 어느
논외입니다만, 국가 안보, 청소년 보호를 위해 어느 정도는 필요하지만,
컴퓨터 프로그래밍 관련 멀쩡한 사이트까지 차단되는 사례가 있습니다.
또한 정치적으로 악용되는 사례도 있는 것 같습니다.
소설 안써도 저 정돈 가능합니다.
소설 안써도 저 정돈 가능합니다.
...
프락시를 잘-_- 만들면 메시지를 가로챌 수는 있어도, 구글과 짜고 하지 않는한 증거를 안 남기고 메시지를 가로챌 수는 없다고 들었는데, 그렇지 않나요?
(그러니까 프락시에서 사용한 가짜 인증서가 클라이언트 PC에 남기 때문에 그 PC에 남은 인증서를 구글에서 발행한 진짜 인증서와 대조해 보면 도청당했다는 사실을 알 수 있다... 뭐 그런 얘기를 들은 것 같습니다. 사실인지는 저도 보안전문가가 아니라서 잘...)
아마 증거는 남을 테지요. 어떤 브라우저는 기존
아마 증거는 남을 테지요. 어떤 브라우저는 기존 인증서와 새 인증서가 다르면 경고를 뱉는 것도 있다고 하던데, 잘 기억이 안 나네요.
그리고 주소 막대 왼쪽에 뜨는 보안 통신 아이콘을 눌러서 현재 사이트가 위조되어 있는지 여부를 바로 확인할 수도 있습니다. 진짜 구글 인증서라면 발행자가 Thawte로 나올 테고, 아니라면 그 외 기관이 나올 테니까요. 얼마 전에 이란에서 발생한 위조 사례도 이 방법으로 들통났습니다. 단지 이렇게까지 확인하며 쓰는 사람이 없다는 게 문제... 그러니 크롬처럼 해결하는 게 깔끔할 것 같군요.
----
블로그 / 위키 / 리눅스 스크린샷 갤러리
가장 '간단한' 가능한 방법인 듯. SSL 프록시
가장 '간단한' 가능한 방법인 듯.
SSL 프록시 장비 정도야 충분히 갖고 있을 만하고, 인증서만 해결하면 되는데 국정원에서 국가보안법 영장 들고 KISA 가면 협조 안할 것 같진 않습니다. 나라도 그렇게 하겠네.
메일 내용을 PGP같은 걸로 암호화 시켜서 보내면
메일 내용을 PGP같은 걸로 암호화 시켜서 보내면 됩니다.
물론 국정원에서 연락이 오겠지만..^^;
그런 기술 있으면 당장 사업 시작해야죠
그런 기술 있으면 당장 사업 시작해야죠 [...]
진지하게 인류를 문명을 멸망시키는게 가능한 기술입니다 - _-)
우리나라 공공기관이 그렇게 기술력 있거나 전문적이지는
우리나라 공공기관이 그렇게 기술력 있거나 전문적이지는 않을듯 ㅋ
공문에 판사 도장찍어서 보냅니다.
그럼 회사에서는 해당내용 요청기관으로 보냅니다.
법이 그렇게 되어있는거로 알고 있음.
한국 국정원을 북한 해커부대 수준으로 오해하고 있는
한국 국정원을 북한 해커부대 수준으로 오해하고 있는 기자
http://news.kukinews.com/arti
http://news.kukinews.com/article/view.asp?page=1&gCode=pol&arcid=0005373628&code=11121100
요즘엔 심지어 대검찰청도 레이져 감청기도 보유하고 있습니다.
국정원이야 말할 것도 없겠죠.
Breaking the Internet:
Breaking the Internet: Researchers Successfully Hack SSL
http://www.readwriteweb.com/archives/breaking_the_internet_researchers_successfully_hac.php