青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 企业微信公众平台订阅号运营11个秘决双11电商促销是纯增量 不会牺牲线下 »

电信级的RSA加密后的密码的破解方法

  一直以来,电信通过HTTP劫持推送广告的方式已经存在了很多年了,这种手段至今并未停止。这种手段月光博客曾经有多次曝光,见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器?》。虽然HTTP本身的不安全性导致有路由器控制权限的人(比如电信运营商)可以获得没有使用HTTPS登录认证的网站的注册用户的密码,但一开始我并不认为电信运营商会犯触犯法律的风险进行实施。但现在我发现我错了。

  现在有证据显示电信运营商非但获取没有加密的HTTP登录的用户名和密码,还会通过HTTP劫持的手段获取通过RSA加密的用户名和密码。信息来源是国内最大的最权威的漏洞报告平台之一wooyun:链接1链接2

  正如文中所说,国内某邮件服务商在登录入口处将用户输入的帐号和密码通过RSA加密后才会发送到网络上,通过截取网络数据包的方式已经无法对用户输入的密码进行破解了。但由于HTTP本身并没有加密功能,所以RSA的程序必须由邮件服务商以JavaScript的方式进行提供,而登录入口的HTML和所有的JavaScript会通过HTTP发送到用户的浏览器上。而正是由于HTTP的不安全性,导致电信运营商可以在HTML中插入附加的JavaScript代码,在对密码进行RSA加密之前将密码以明文形式发送到网络上。至此,密码已经可以通过抓取网络数据包的方式进行截取了。

电信级的RSA加密后的密码的破解方法

  这种手段并非DNS级的域名劫持。如果是域名劫持,那么用户访问的也就不是邮件服务商的服务器,而是第三方的服务器了。如果要保证用户可以正常登录邮箱,那么第三方服务器就必须将用户浏览器的请求转发到邮件服务商,这样邮件服务商将会看到大量用户通过同一个或少数几个IP地址进行登录,很快就会发现问题。所以只有控制路由器进行TCP级别的HTTP劫持(仿冒邮件服务商的IP发送附加的JavaScript的数据包)才能做到神不知鬼不觉(虽然出了BUG导致曝光了,但如果没有BUG说不定到现在仍旧无人察觉)。

  联想到《破解Google Gmail的https新思路》中所说的情况,电信运营商和国内的CA机构受到某些部门的指使进行实施,对SSL不了解的人完全可以做到神不知鬼不觉地破解用户的密码。如果是DNS劫持还可以通过多种手段进行反劫持,但如果通过类似HTTP劫持的这种IP仿冒的技术呢?据我观察,CNNIC根证书并未在各大浏览器中已被移除,所以关注于安全的朋友还是需要手动进行处理。也正如wooyun的文中所说,看到国内CA随便签署的证书,一定要保存下来提交给各大浏览器厂家,国内的中级CA还有很多。

  题外话:虽然全球的网络自由在恶化,但并不代表我们就可以放弃追求网络自由。

  来源:投稿,作者: lehui99 (at) gmail . com



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3658.html
  • 文章排行:
  • 1.1
  • 虽然全球的网络自由在恶化,但并不代表我们就可以放弃追求网络自由。
  • 2013/11/11 13:45:37   支持(46)反对(12) 回复
  • 2.tkilee
  • 你把美国抹得再黑,美国也是世界NO.1;
    你把美国政府批得一无是处,美国ZF也是人民一票一票选出来的;
    你把美国的人quan说得乌七八糟,美国人民也有枪支,而且是3亿条枪;

    你把你自己画得再美,你也是欠发达的3流国家;
    你把你的领导描绘得再英明,他们也不是百姓选的;
    你把你的梦想赞美得超好,你的人民也没有最基本的言论自由。

    对了,我说的是5毛nc之国!

    中国GDP世界第一,但是全国只有一个产业,就是养猪业!
    500个家庭雇佣8000万长工,养13亿头猪!
  • 2013/11/22 5:48:40   支持(40)反对(25) 回复
  • 3.顶神1号
  • 匪夷所思!应该对他们进行起诉,走法律程序将这些盗窃行为绳之以法。除非国家正式制定法规允许电信服务商截取用户名及其密码,否则那就是违法犯罪!
  • 2013/11/11 22:42:50   支持(24)反对(10) 回复
  • 5.David
  • 曾经以为gmail是正道,但是现在我他妈脚着自己就是个裸体。
  • 2013/11/11 20:26:44   支持(20)反对(7) 回复
  • 6.asd
  • 当初把用了好多年的电信宽带退掉后
    电信客服才打电话来:亲,可以不给你发送广告的啊,回来吧
  • 2013/11/11 16:43:21   支持(23)反对(11) 回复
  • 7.独行猫儿
  • 真是可怕,丧心病狂
  • 2013/11/11 11:12:15   支持(18)反对(8) 回复
  • 8.Hef82
  • 简单来讲就是我们的裤子基本都被扒光了
  • 2013/11/11 22:27:47   支持(16)反对(9) 回复
  • 10.anonymouse
  • 这算啥, zf 直接屏蔽 维基 的 https 页面, 然后把 http 页面上的安全用户登录链接改成非安全链接, 然后做了一个中间人代理, 取用户密码
  • 2013/12/13 15:02:56   支持(12)反对(5) 回复
  • 11.von
  • 22楼因为引出了那畅快的回复,不仅没有拿到5毛,反而被倒扣了50元。真悲惨。
  • 2013/11/18 10:01:13   支持(11)反对(5) 回复
  • 12.chongqingddk
  • 重庆联通也是 打电话后 说可以屏蔽你的广告 擦
  • 2013/11/15 21:25:02   支持(12)反对(7) 回复
  • 14.Equator
  • CNNIC根证书并未在各大浏览器中已被移除---》什么意思?
    replyer 于 2013-11-11 13:56:12 回复
    应该是还没被移除吧
  • 2013/11/11 13:53:24   支持(12)反对(8) 回复
  • 15.JunkFood
  • 看了下,大概应该是sina的免费邮箱吧。。
  • 2013/11/11 14:00:10   支持(12)反对(8) 回复
  • 17.tkilee
  • https目前是安全的吧?!
    只是cnnic的证书的确是个问题,firefox好像没有移除?
  • 2013/11/22 5:45:45   支持(12)反对(9) 回复
  • 18.tkilee
  • 不要用任何国内的邮件系统,如果你要用,请使用非关联的密码!
    请使用google的邮件服务,并最好打开2步验证!中间人攻击不是一次两次了!
    请使用密码管理软件来有效的管理你的互联网交流的整个密码系统!!!
  • 2013/11/22 5:44:50   支持(13)反对(11) 回复
  • 20.golol999
  • 这是全身赤裸着站在电脑前上网!
  • 2014/7/5 0:41:49   支持(8)反对(9) 回复
  • 21.东东的韩
  • 棱镜无处不在啊,网络人都是透明人
  • 2013/11/11 22:21:47   支持(9)反对(11) 回复
  • 22.半碗甜白酒
  • 据我观察,CNNIC根证书并未在各大浏览器中已被移除
  • 2013/11/11 22:49:52   支持(8)反对(10) 回复
  • 23.抱歉此微博已被删
  • 曾经铁通的弹窗广告还带病毒,举报后没了
  • 2013/11/11 22:55:54   支持(8)反对(10) 回复
  • 24.caodianxin
  • 尼玛!还让不让人活了!!!
  • 2013/11/11 11:12:37   支持(9)反对(13) 回复
  • 25.1000d有随无涯
  • 不仅仅是电信,联通也是如此。我一发现就举报。另外,好像用了路由就没有了?
    John 于 2013-11-14 11:14:28 回复
    我试过,电信宽带用了路由还有广告。
  • 2013/11/11 22:14:41   支持(7)反对(12) 回复
  • 26.新闻搬运工
  • 虽然没有完全看懂,那么是不是可以这样认为:如果登录页面也是HTTPS的就不必担心这种情况?
  • 2013/11/11 22:38:49   支持(6)反对(11) 回复
  • 27.洒水
  • 博主,推荐你了解比特股,一个去中心化自治组织。 已经成功创造锚定现实货币的去中心化的网络货币发行系统(例如既有比特币的网络特性又有现实货币稳定性的比特美元BITUSD,比特元BITCNY)。 发起人BM志向远大,以后还会打造去中心化的邮件系统,去中心化DNS系统。有些细节的技术上的代码我了解不清楚,但是很赞同BM的理念。
  • 2015/3/4 8:45:04   支持(5)反对(12) 回复
  • 28.test
  • 不光天朝,每个国家都是这样的
  • 2013/11/11 22:32:44   支持(9)反对(17) 回复
  • 29.天剑
  • 对互联网进行依法管制是每个国家的惯例,美国也不例外。棱镜丑闻比这罪恶百倍,爆出时也不见你们义愤填膺,都选择性无视了?况且不做亏心事,不怕鬼叫门,不是美狗网特,也不去看那些乱七八糟的境外网站,需要害怕这些?某些心术不正的人看到这篇文章开始恐慌了?另外文章中的不少措词明显带有煽风点火的倾向性,作者是否别有用心?
    哀其不幸怒其不争 于 2013-11-13 11:15:33 回复
    首先,美国不是中国,中国也不是美国,美国人民的隐私不应该由中国的公民去关心,如果美国的窥探行为涉及到了我们,那应该由国家出面去商议、处罚,而不是让自己的人民去单独面对,这是国家的责任。我们能做的只能是去抵制这些行为。
    然而,换个方面来看,就因为美国侵犯了我们的隐私,那国内的类似行为就合法了?就应该了?这是一种什么逻辑?!!
    再者,什么叫“不做亏心事,不怕鬼叫门”,老祖宗留下的东西不是这样糟蹋的,按你的想法,凡是“不做亏心事”的隐私就应该受侵犯,那岂不是说我们每个人都应该每天向政府报备?什么时候去哪儿干什么事,事无巨细都一一记录,因为谁也不会承认自己做了“亏心事”,这种世界你愿意呆?!
    你这该是有多弱智才会有这种想法啊!!!!!
  • 2013/11/13 0:25:47   支持(12)反对(42) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.