Taggat med: man-i-mitten

Telia injicerar inte kod i webbsidor

Uppdatering: Telia har nu dementerat detta via Twitter och skriver att det är Twitter själva som visar detta meddelande.

Frågor som kvarstår är dock hur Telia meddelar Twitter att just detta är en kund med abonnemang X. Läcker denna meta-data?

Via @mockzallad på Twitter så uppdagades det att Telia möjligen injicerar HTML-kod i webbsidor. Detta inträffar när en Telia-kund lämnar en webbsida som omfattas av Telia när det gäller sociala medier, se följande skärmdump:

Telia gratis sociala medier

Det som nu inträffar är att när användaren lämnar någon av ovan sociala medier så visar Telia (eller Twitter) följande meddelande:

mockzallad

Och när det gäller nätneutralitet så skriver Telia följande på sin hemsida:

Nätneutralitet är en mycket viktig fråga som vi följer noga, det tror jag gäller för samtliga operatörer. Vårt nya erbjudande om fri surf i sociala medier ger kunderna ännu mer surffrihet, vi gör ingen prioritering av trafik eller någon typ av blockering, därför menar vi att det inte står i konflikt med nätneutraliteten.

Vilket jag tycker är helt felaktigt. Speciellt när man som ovan påverkar innehållet i datatrafiken med en teknisk metod som just nu är okänd.

Vet du hur Telia gör rent tekniskt, MITM? Lämna gärna en kommentar nedan eller på Facebook.

Uppdatering: Även om Telia själva skriver att dom injicerar kod så kan det vara så att Twitter har stöd för att visa dessa meddelanden när länkar går via deras egen länkförkortare t.co.

screenshot

Uppdatering 2: För att förtydliga, innan vi har några tekniska detaljer hur detta går till så har inlägget uppdaterats.

Möjliga metoder för att visa ovan meddelande kan vara följande:

  • MITM på icke https-trafik in-transit
  • Samarbete med Twitter som ändrar utgående länkar
  • DNS-redirect
  • TeliaSonera som är en egen CA genererar certifikat. Minst troligt

Lenovo Superfish/Badfish

Det var kanske ingen direkt överraskning att Lenovos datorer kom med en mjukvara förinstallerad som genomförde man-i-mitten-attacker mot krypterad surftrafik (https). Mjukvaran utvecklades av företaget Komodia som är specialiserade på föräldrakontroll och annonshantering.

Rent tekniskt så fungerar Komodias mjukvara genom att installera ett nytt root SSL-certifikat som gör att dess mjukvara kan generera egna certifikat för godtycklig sajt för att injicera reklam samt lura webbläsaren. Även den privata nyckeln för att genomföra denna mitm installerades också på Lenovos datorer, dock krypterad med lösenordet komodia.

Men varför är detta så allvarlig kanske du undrar? Jo det finns flera aspekter, dels så har Komodia implementerat en egen felaktig SSL/TLS-stack samt så kan vem som helst använda Komodoias privata nyckel och genomföra egna mitm-attacker på exempelvis Internetcaféer. Även så innehåller deras stack andra problem som gör att det går att genomföra mitm.

Superfish

Som tur var så finns det hopp, för Lenovo har gått ut och sagt att de kommer att släppa en uppdatering som tar bort mjukvaran samt installerade certifikat. Även så hittar och klassificerar Microsoft Security Essentials Superfish som adware.

Det är även oklart hur utbrett detta problem är då Komodia Redirector SDK har sålts till 100-talet olika företag där Lenovo enbart är ett av dessa.

Anledningen till att Lenovo installerat denna typ av mjukvara är troligtvis pga minskade marginaler för försäljning av laptops. Om det finns en möjlighet att tjäna 1000kr extra per såld laptop så tar dom den.

Du kan testa om du har Superfish/badfish installerat genom att besöka följande webbsida:

Skärmdump som visar hur proxyn lyssnar på en port:

SuperFish_MITM_proxy

 

Mitmproxy 0.7

Verktyget mitmproxy som används för att genomföra man-i-mitten attacker (man-in-the-middle) angrepp finns nu ute i en ny version. Verktyget kan exempelvis användas för att analysera trafik till och från datorer, iPhone, iPads eller andra enheter.

* New built-in key/value editor. This lets you interactively edit URL query
strings, headers and URL-encoded form data.
* Extend script API to allow duplication and replay of flows.
* API for easy manipulation of URL-encoded forms and query strings.
* Add ”D” shortcut in mitmproxy to duplicate a flow.
* Reverse proxy mode. In this mode mitmproxy acts as an HTTP server,
forwarding all traffic to a specified upstream server.
* UI improvements – use unicode characters to make GUI more compact,
improve spacing and layout throughout.
* Add support for filtering by HTTP method.
* Add the ability to specify an HTTP body size limit.
* Move to typed netstrings for serialization format – this makes 0.7
backwards-incompatible with serialized data from 0.6!
* Many minor bugfixes and improvements.

Här kan du ladda hem mitmproxy 0.7:

Här finnes en video med mitmproxy från YouTube: