Nsa пытается MITM носки прокси пользователей?
Сегодня я подключился к бесплатному прокси-серверу, проверил DNS и обнаружил, что имя сервера - prism1.nsa.gov! Мне было интересно, если это так, как NSA пытается выполнить Mitm-атаки на клиентов? Как большинство людей знают, что nsa успешно эксплуатирует пользователей, используя выходные узлы, используемые для доступа к прозрачным сетям... но делают ли они такой же метод для пользователей socks? Они надеются, что какой-нибудь злонамеренный пользователь неосознанно подключится к своему серверу и совершит гнусные действия через свой сервер, и все будет зарегистрировано? Провокация? https://imgur.com/IVwswqt (снимок экрана с именем хоста nsa socks)
1 ответ
Если они расположены как DNS-сервер, они могут регистрировать каждое имя хоста, к которому пытается подключиться клиент (потому что они являются ресурсом для разрешения имени хоста и IP-адреса).
Это означает, что они также могут изменить IP-адрес запрошенного имени хоста на любой сервер, который они хотят (один из своих). Оттуда они могут создать поддельную копию сайта, к которой жертва пытается получить доступ, и получить учетные данные для входа в систему, в то же время возвращая пользователю расплывчатое (вымышленное) сообщение об ошибке с чем-то вроде "Пожалуйста, обновите страницу".
Жертва обновит страницу, и к тому времени АНБ сменит IP-адрес хоста обратно на законный и скрыт с учетной записью жертвы.
В этом случае я считаю, что он нацелен на пользователей, которые не знакомы с тем, как что-то подобное работает. Вы поймали это хотя...
Но опять же, это может быть твой прокси-хост Хост prism1.nsa.gov был бы совершенно очевиден для использования АНБ даже для необразованного пользователя.
Вот фантастическая статья OccupyTheWeb на нулевом байте WonderHowTo о другом способе, который они делают, называемом Quantum Insert.