[GTER] PTT-SP
Evandro Nunes
evandronunes12 at gmail.com
Mon Aug 25 14:01:09 -03 2014
2014-08-25 10:24 GMT-03:00 Danton Nunes <danton.nunes at inexo.com.br>:
> On Sat, 23 Aug 2014, Evandro Nunes wrote:
>
> ou seja uma coisa eh a hipotese, outra coisa eh a realidade tupiniquim
>> mas se eh pra viajar em hipoteses conspiratorias acho mais facil alguem
>> explorando vulnerabilidades SSL (des)conhecidas do que o governo
>> tupiniquim
>> em posse de uma priv key de ca-root
>>
>
> ok, você tem uma priv key de ca-root, agora o que você faz com ela? para
> sniffar uma sessão você precisa da OUTRA priv-key, a do certificado que foi
> usado para iniciar a sessão. Essa não faz parte do certificado, e nem
> trafegou pela rede. enfim, você pode fazer muita falsificação com uma priv
> key de ca-root, mas não sniffar uma sessão.
gerar um certificado pra CN *.bb.com.br ou *.paypal.com ou seu alvo
desejado, assinar pela ca-root e colocar no webmitm, proxy ssl pra ataques
mitm parte da suite dsniff do doug barton, e esta pronto; monkey-work, sem
nenhuma dificuldade tecnica, tudo pronto pra simplesmente usar
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list