|
|
[(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 3] Décodage de trames HTTPS
Par Anthony Havé,
Sysun Technologies
Le 14/09/2007
Résumé : Mise en activité des fonctionnalités de décodage de trame HTTPS au niveau de l'applicatif antivirale de sécurisation situé à la manière d'une attaque par Man In The Middle. Exemple d'analyse, dans ce contexte, de trames HTTPS incluant dans les données en transit le fichier EICAR de test pour les antivirus. - Lire l'article
Activation du décodage de la trame par l'applicatif antivirale de sécurisation situé en MITM
Maintenant, la trame ci-dessous montre que le système "décode" le protocole afin d'analyser le flux HTTPS qui se "transforme" en “flux HTTP” via le déchiffrement des données transitant entre l'application serveur et l'application client ; toute la trame est maintenant lisible et cela uniquement par l'applicatif antivirale de sécurisation mis en place :
09/13-11:20:53.747880 127.0.0.1:49582 -> 127.0.0.1:4443
TCP TTL:64 TOS:0x0 ID:61907 IpLen:20 DgmLen:60 DF
******S* Seq: 0xD0F28A1 Ack: 0x0 Win: 0x7FFF TcpLen: 40
TCP Options (5) => MSS: 16396 SackOK TS: 269212018 0 NOP WS: 0
09/13-11:20:53.747930 127.0.0.1:4443 -> 127.0.0.1:49582
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:60 DF
***A**S* Seq: 0xCFF2F36 Ack: 0xD0F28A2 Win: 0x7FFF TcpLen: 40
TCP Options (5) => MSS: 16396 SackOK TS: 269212018 269212018
TCP Options => NOP WS: 0
09/13-11:20:53.747956 127.0.0.1:49582 -> 127.0.0.1:4443
TCP TTL:64 TOS:0x0 ID:61908 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xD0F28A2 Ack: 0xCFF2F37 Win: 0x7FFF TcpLen: 32
TCP Options (3) => NOP NOP TS: 269212018 269212018
09/13-11:20:53.748005 127.0.0.1:49582 -> 127.0.0.1:4443
TCP TTL:64 TOS:0x0 ID:61909 IpLen:20 DgmLen:467 DF
***AP*** Seq: 0xD0F28A2 Ack: 0xCFF2F37 Win: 0x7FFF TcpLen: 32
TCP Options (3) => NOP NOP TS: 269212018 269212018
47 45 54 20 68 74 74 70 3A 2F 2F 73 65 63 75 72 GET lien
65 2E 65 69 63 61 72 2E 6F 72 67 2F 65 69 63 61 e.eicar.org/eica
72 2E 63 6F 6D 20 48 54 54 50 2F 31 2E 30 0D 0A r.com HTTP/1.0..
48 6F 73 74 3A 20 73 65 63 75 72 65 2E 65 69 63 Host: secure.eic
61 72 2E 6F 72 67 0D 0A 41 63 63 65 70 74 3A 20 ar.org..Accept:
2A 2F 2A 0D 0A 52 65 66 65 72 65 72 3A 20 68 74 */*..Referer: ht
74 70 3A 2F 2F 77 77 77 2E 65 69 63 61 72 2E 6F tp://www.eicar.o
72 67 2F 61 6E 74 69 5F 76 69 72 75 73 5F 74 65 rg/anti_virus_te
73 74 5F 66 69 6C 65 2E 68 74 6D 0D 0A 41 63 63 st_file.htm..Acc
65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 66 72 ept-Language: fr
0D 0A 41 63 63 65 70 74 2D 45 6E 63 6F 64 69 6E ..Accept-Encodin
67 3A 20 67 7A 69 70 2C 20 64 65 66 6C 61 74 65 g: gzip, deflate
0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F ..User-Agent: Mo
7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 zilla/4.0 (compa
74 69 62 6C 65 3B 20 4D 53 49 45 20 36 2E 30 3B tible; MSIE 6.0;
20 57 69 6E 64 6F 77 73 20 4E 54 20 35 2E 31 3B Windows NT 5.1;
20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F Mozilla/4.0 (co
6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 36 mpatible; MSIE 6
2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 35 .0; Windows NT 5
2E 31 3B 20 53 56 31 29 20 29 0D 0A 78 73 73 6C .1; SV1) )..xssl
63 61 74 63 68 3A 20 69 73 6F 6E 0D 0A 4D 61 78 catch: ison..Max
09/13-11:20:53.748039 127.0.0.1:4443 -> 127.0.0.1:49582
TCP TTL:64 TOS:0x0 ID:63045 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xCFF2F37 Ack: 0xD0F2A41 Win: 0x7FFF TcpLen: 32
TCP Options (3) => NOP NOP TS: 269212018 269212018
09/13-11:20:55.090425 127.0.0.1:4443 -> 127.0.0.1:49582
TCP TTL:64 TOS:0x0 ID:63046 IpLen:20 DgmLen:430 DF
***AP*** Seq: 0xCFF2F37 Ack: 0xD0F2A41 Win: 0x7FFF TcpLen: 32
TCP Options (3) => NOP NOP TS: 269213361 269212018
48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
0A 44 61 74 65 3A 20 54 68 75 2C 20 31 33 20 53 .Date: Thu, 13 S
65 70 20 32 30 30 37 20 30 39 3A 32 31 3A 31 38 ep 2007 09:21:18
20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70 GMT..Server: Ap
61 63 68 65 2F 32 2E 30 2E 35 34 20 28 44 65 62 ache/2.0.54 (Deb
69 61 6E 20 47 4E 55 2F 4C 69 6E 75 78 29 20 50 ian GNU/Linux) P
48 50 2F 34 2E 34 2E 37 2D 30 2E 64 6F 74 64 65 HP/4.4.7-0.dotde
62 2E 30 20 77 69 74 68 20 53 75 68 6F 73 69 6E b.0 with Suhosin
2D 50 61 74 63 68 20 6D 6F 64 5F 73 73 6C 2F 32 -Patch mod_ssl/2
2E 30 2E 35 34 20 4F 70 65 6E 53 53 4C 2F 30 2E .0.54 OpenSSL/0.
39 2E 37 65 20 6D 6F 64 5F 70 65 72 6C 2F 31 2E 9.7e mod_perl/1.
39 39 39 2E 32 31 20 50 65 72 6C 2F 76 35 2E 38 999.21 Perl/v5.8
2E 34 0D 0A 4C 61 73 74 2D 4D 6F 64 69 66 69 65 .4..Last-Modifie
64 3A 20 54 75 65 2C 20 33 31 20 4F 63 74 20 32 d: Tue, 31 Oct 2
30 30 36 20 32 33 3A 32 31 3A 32 36 20 47 4D 54 006 23:21:26 GMT
0D 0A 45 54 61 67 3A 20 22 31 34 31 31 66 37 33 ..ETag: "1411f73
39 2D 34 34 2D 61 35 33 33 30 39 38 30 22 0D 0A 9-44-a5330980"..
41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A 20 62 Accept-Ranges: b
79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 ytes..Content-Le
6E 67 74 68 3A 20 36 38 0D 0A 43 6F 6E 74 65 6E ngth: 68..Conten
74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63 61 74 t-Type: applicat
69 6F 6E 2F 78 2D 6D 73 64 6F 73 2D 70 72 6F 67 ion/x-msdos-prog
72 61 6D 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A ram..Connection:
20 63 6C 6F 73 65 0D 0A 0D 0A close....
09/13-11:20:55.090455 127.0.0.1:49582 -> 127.0.0.1:4443
TCP TTL:64 TOS:0x0 ID:61910 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xD0F2A41 Ack: 0xCFF30B1 Win: 0x7FFF TcpLen: 32
TCP Options (3) => NOP NOP TS: 269213361 269213361
On constate que la signature du fichier EICAR est maintenant entièrement visible car les données ont été déchiffrées préalablement par le système antivirale de sécurisation ; on retrouve alors bien la chaîne spécifique à la signature EICAR dans le dump de la connexion :
- X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE
!$H+H*
Autres ressources dans ce dossier :
[(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 1] Introduction à HTTPS – lien
[(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 2] Analyse de trames HTTPS – lien
[(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 4] Blocage de trames HTTPS contenant du code malicieux – lien
[(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 5] AntiSPIT SPAM_VOIP, Sysun Technologies et références – lien
- Article suivant : [(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 4] Blocage de trames HTTPS contenant du code malicieux
- Article précédent : [(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 2] Analyse de trames HTTPS
- Article suivant dans la catégorie Tutoriels : [(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 4] Blocage de trames HTTPS contenant du code malicieux
- Article précédent dans la catégorie Tutoriels : [(in)Sécurité du protocole HTTPS par Sysun Technologies – partie 2] Analyse de trames HTTPS
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
