Другой взгляд на MitM-атаки на HTTPS

Алексей Тюрин, директор департамента анализа защищенности Digital Security, выступил на международной конференции ZeroNights'2017 с докладом "Другой взгляд на MitM-атаки на HTTPS".

Цель TLS/HTTPS – защита от MitM-атак. Мы привыкли смотреть на атаки на TLS/HTTPS с точки зрения криптографии. А если мы взглянем на TLS базовые архитектурные решения? Например, на то, что аутентификация по сертификатам возможна только до уровня отдельного хоста или — ещё шире – группы хостов. И если мы при этом вспомним, что TLS/HTTPS – это не какая-то сущность в вакууме, и что современные системы представляют собой переплетение технологий, протоколов и состоят из множества сервисов, то, добавив немножко логики и трюков, получим возможность проводить успешные MitM-атаки на HTTPS!

Посмотреть презентацию доклада на сайте конференции