Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Apple & iCloud, HTTPS & HSTS
31-05-2014, 15:42 door Anoniem, 5 reacties
Apple & iCloud, HTTPS & HSTS
Apple heeft voor bezoek van iCloud naast HTTPS, de HSTS functionaliteit ingeschakeld.
https://www.icloud.com/
Hoe zou er dan op een volledige HTTPS verbinding via op een openbare wifi spot, bijvoorbeeld een zonnig Australisch terras, toch ingebroken kunnen worden op een volledig versleutelde verbinding?
Geeft het accepteren van een verkeerd certificaat toch de mogelijkheid van een volledige HTTPS verbinding of wordt dat dan toch een reguliere HTTP verbinding, met de compensatie van wat visuele social engineering in de vorm van een bijgeflanst slotje-favcion ergens in browser beeld?
De vraag spitst zich even toe op up to date Apple IOS / Mac OS X devices waarvan 'bekend is' dat het (inmiddels) iCloud verbinding certificaten controleert.
(voor de helderheid van de vraag en discussie nog even (?) geen Windows devices, of gejailbraikte (?) devices).
Ik vraag me dat af omdat bij de huidige ophef over mogelijke compromittering van iCloud, dat Apple overigens ontkent en ik voorlopig voor waar aanneem totdat goede argumenten het tegendeel lijken te bewijzen, in combinatie met de recente reset hack ontdekking er een onlogische combi van conclusies lijkt op te treden.
De 'locked IOS device reset hack' werkte niet onder Mac OS X, wel voor devices met IOS (ook nog na de nieuwste IOS update?).
Naar later bleek is er ook nog de achterblijvende certificaat controle bij de Windows iTunes versie, in de Australië discussie treedt die niet op de voorgrond, laten we Win-optie er daarom nog even buiten houden.
Op de Apple Support Communities Thread aangaande de Australische 'locked Apple Devices' zijn er inmiddels 3 meldingen over de 'locked' MacBook's en 1 over een Locked iMac met tenminste 1 screenshot (dat is al wat voor de aanname dat het mogelijk ook klopt).
Met je iMac ga je niet op een openbare wifi spot als een terras zitten (nog niet gezien), met een MacBook mogelijk wel maar daar draai je het niet vatbare OS X op en geen IOS (of eventueel een mogelijk vatbaar Windows in een vm of via Bootcamp met daarbij IE als browser zonder HSTS. Als zodanig nog niet genoemd/voorgekomen als getroffen op betreffende Apple Support pages).
Daarmee lijkt de pas ontdekte 'Dutch-'Marrakesh' road' niet de gevolgde weg. Dat door meerdere mensen ook al op de support pages met argumenten als onaannemelijk is onderbouwd.
Of die ook kloppen laat ik ter beoordeling aan anderen.
(Wat ook kan is dat er meerdere partijen tegelijkertijd op verschillende 'aanvals'manieren 'aan het werk' zijn, die optie staat nog open en kan eventueel verklaren waarom het locken van devices nu ook buiten Australië in beperktere mate plaatsvindt).
Maar, hoe zit het in de eerste plaats nu met die HTTPS verbinding en de HSTS implementatie?
Strict Transport Security implementatie aanwezig, certificaat controle aanwezig mits up to date IOS / OS X ;
kan dan nog steeds je verbinding onderschept / omgeleid worden en zich volledig onder een echte HTTPS verbinding presenteren?
Nee?
Ja?
Links
Apple Support Communities Thread, pagina 1
https://discussions.apple.com/thread/6270410?start=0&tstart=0
Thomas Reed, the Safe Mac doet ook wat duiten in het zakje op de eigen site
(naast reacties op de Apple Support community)
http://www.thesafemac.com/australians-getting-locked-out-of-ios-devices/
(Zit ik er helemaal naast met mijn vraag?
Leg eens uit en waarom s.v.p.
Leer ik er hopelijk nog wat van ;-)
Apple heeft voor bezoek van iCloud naast HTTPS, de HSTS functionaliteit ingeschakeld.
https://www.icloud.com/
Strict-Transport-Security: max-age=31536000; includeSubDomains
Hoe zou er dan op een volledige HTTPS verbinding via op een openbare wifi spot, bijvoorbeeld een zonnig Australisch terras, toch ingebroken kunnen worden op een volledig versleutelde verbinding?
Geeft het accepteren van een verkeerd certificaat toch de mogelijkheid van een volledige HTTPS verbinding of wordt dat dan toch een reguliere HTTP verbinding, met de compensatie van wat visuele social engineering in de vorm van een bijgeflanst slotje-favcion ergens in browser beeld?
De vraag spitst zich even toe op up to date Apple IOS / Mac OS X devices waarvan 'bekend is' dat het (inmiddels) iCloud verbinding certificaten controleert.
(voor de helderheid van de vraag en discussie nog even (?) geen Windows devices, of gejailbraikte (?) devices).
Ik vraag me dat af omdat bij de huidige ophef over mogelijke compromittering van iCloud, dat Apple overigens ontkent en ik voorlopig voor waar aanneem totdat goede argumenten het tegendeel lijken te bewijzen, in combinatie met de recente reset hack ontdekking er een onlogische combi van conclusies lijkt op te treden.
De 'locked IOS device reset hack' werkte niet onder Mac OS X, wel voor devices met IOS (ook nog na de nieuwste IOS update?).
Naar later bleek is er ook nog de achterblijvende certificaat controle bij de Windows iTunes versie, in de Australië discussie treedt die niet op de voorgrond, laten we Win-optie er daarom nog even buiten houden.
Op de Apple Support Communities Thread aangaande de Australische 'locked Apple Devices' zijn er inmiddels 3 meldingen over de 'locked' MacBook's en 1 over een Locked iMac met tenminste 1 screenshot (dat is al wat voor de aanname dat het mogelijk ook klopt).
Met je iMac ga je niet op een openbare wifi spot als een terras zitten (nog niet gezien), met een MacBook mogelijk wel maar daar draai je het niet vatbare OS X op en geen IOS (of eventueel een mogelijk vatbaar Windows in een vm of via Bootcamp met daarbij IE als browser zonder HSTS. Als zodanig nog niet genoemd/voorgekomen als getroffen op betreffende Apple Support pages).
Daarmee lijkt de pas ontdekte 'Dutch-'Marrakesh' road' niet de gevolgde weg. Dat door meerdere mensen ook al op de support pages met argumenten als onaannemelijk is onderbouwd.
Of die ook kloppen laat ik ter beoordeling aan anderen.
(Wat ook kan is dat er meerdere partijen tegelijkertijd op verschillende 'aanvals'manieren 'aan het werk' zijn, die optie staat nog open en kan eventueel verklaren waarom het locken van devices nu ook buiten Australië in beperktere mate plaatsvindt).
Maar, hoe zit het in de eerste plaats nu met die HTTPS verbinding en de HSTS implementatie?
Strict Transport Security implementatie aanwezig, certificaat controle aanwezig mits up to date IOS / OS X ;
kan dan nog steeds je verbinding onderschept / omgeleid worden en zich volledig onder een echte HTTPS verbinding presenteren?
Nee?
Ja?
Links
Apple Support Communities Thread, pagina 1
https://discussions.apple.com/thread/6270410?start=0&tstart=0
Thomas Reed, the Safe Mac doet ook wat duiten in het zakje op de eigen site
(naast reacties op de Apple Support community)
http://www.thesafemac.com/australians-getting-locked-out-of-ios-devices/
(Zit ik er helemaal naast met mijn vraag?
Leg eens uit en waarom s.v.p.
Leer ik er hopelijk nog wat van ;-)
Reacties (5)
Op de vraag of je dan nog steeds kan spoofen, lees dit eens:
https://www.grc.com/fingerprints.htm
Duidelijker antwoord kan ik niet geven.
https://www.grc.com/fingerprints.htm
Duidelijker antwoord kan ik niet geven.
Update m.b.t. opmerking iTunes versies
• 27 mei stille OS X iTunes update van 11.2.1. naar 11.2.2 beschikbaar via interne OS X update functie.
(Nog) niet weergegeven in de HT1222 "Apple security updates" pages ;
https://support.apple.com/kb/HT1222
http://support.apple.com/kb/HT1222
• ! Windows iTunes versie 11.2(.0) is inmiddels gelijk getrokken naar 11.2.2 versie.
Idem (nog) niet weergegeven op de "Apple security updates" pages.
Wel te zien en te downloaden via ;
https://www.apple.com/itunes/download/
Kies maar :
- iTunes 11.2.2 for Mac OS X (zelfs ook nog compatible met/voor Snow Leopard 10.6)
- iTunes 11.2.2 for Windows XP, Vista or Windows 7 (zelfs voor XP)
- iTunes 11.2.2 for Windows (64-bit)
to zover,
T.s
Naar later bleek is er ook nog de achterblijvende certificaat controle bij de Windows iTunes versie
• 27 mei stille OS X iTunes update van 11.2.1. naar 11.2.2 beschikbaar via interne OS X update functie.
(Nog) niet weergegeven in de HT1222 "Apple security updates" pages ;
https://support.apple.com/kb/HT1222
http://support.apple.com/kb/HT1222
• ! Windows iTunes versie 11.2(.0) is inmiddels gelijk getrokken naar 11.2.2 versie.
Idem (nog) niet weergegeven op de "Apple security updates" pages.
Wel te zien en te downloaden via ;
https://www.apple.com/itunes/download/
Kies maar :
- iTunes 11.2.2 for Mac OS X (zelfs ook nog compatible met/voor Snow Leopard 10.6)
- iTunes 11.2.2 for Windows XP, Vista or Windows 7 (zelfs voor XP)
- iTunes 11.2.2 for Windows (64-bit)
to zover,
T.s
Door Anoniem: Op de vraag of je dan nog steeds kan spoofen, lees dit eens:
https://www.grc.com/fingerprints.htm
Duidelijker antwoord kan ik niet geven.
https://www.grc.com/fingerprints.htm
Duidelijker antwoord kan ik niet geven.
Dank voor de link.
Maar zou in het geval van spoofing bijvoorbeeld :
- Safari geen groene certificaat melding rechts weergeven?
- Firefox geen groen maar een grijs certificaatmeldinge weergeven maar een grijze, of zelfs een certificaat error melding geven?
- IE ? ,...
T.s.
Als je nog nooit naar een website met HSTS bent gegaan en je gaat op een rogue accesspoint toch naar deze site op http:// dan kan sslstrip nog prima werken.
hSTS werkt pas als je de site ooit al hebt bezocht.
Dus: Ja.
(Ps. Korte vragen leveren je betere antwoorden op ;)).
hSTS werkt pas als je de site ooit al hebt bezocht.
Dus: Ja.
(Ps. Korte vragen leveren je betere antwoorden op ;)).
Dank voor de link.
Maar zou in het geval van spoofing bijvoorbeeld :
- Safari geen groene certificaat melding rechts weergeven?
- Firefox geen groen maar een grijs certificaatmeldinge weergeven maar een grijze, of zelfs een certificaat error melding geven?
- IE ? ,...
T.s.
Maar zou in het geval van spoofing bijvoorbeeld :
- Safari geen groene certificaat melding rechts weergeven?
- Firefox geen groen maar een grijs certificaatmeldinge weergeven maar een grijze, of zelfs een certificaat error melding geven?
- IE ? ,...
T.s.
In het genoemde geval zou een MITM attack niet naar een HTTP verbinding wijzen, maar simpelweg een vervalst SSL certificaat aanbieden. Doordat iTunes het certificaat niet verifieerde werd elk willekeurig certificaat (dat voor de Apple server is getekend) geaccepteerd.
Bij de browsers zou je een melding krijgen dat een mismatch in de certificaat is en wat je ermee wilt doen (accepteren of reject). Daarvoor het gebruikelijke advies: zit je op een open wifi/hotspot station, gebruik dan een VPN.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
