Спасибо за ролик. Было бы отлично ещё записать ролик, где обмен данными происходит не с помощью браузера, а например, между установленным приложением на компьютере, простенькое консольное приложение, и Web API сервисом. Это более интересно с практической точки зрения.
@@AndreySozykin понятно. Я обучаюсь программированию микроконтроллеров и пока ничего не шифровал) Ваши уроки по сетям очень помогли понять что к чему, структурировали в голове начальные знания.
Добрый день! Спасибо за занятие. Подскажите, пожалуйста, в чем может быть причина. Файл с ключами создается (он не пустой, ключи в нем есть), но WireShark не расшифровывает данные с его помощью. Пакеты продолжают приходить зашифрованными. Путь к файлу с ключами также указан. Запускается сайт с подготовленного ярлыка.
@@AndreySozykin Думаю что на самописной программе будет понятнее(можно будет увидеть логику изнутри), а так если нет возможности то и на готовой тоже сойдет
Огромное спасибо за ваш труд. Очень нужная и полезная информация! Не могли бы вы еще пояснить, как в WireShark увидеть проверку ssl сертификата сервера? Как происходит эта расшифровка? Как происходит расшифровка (запросы) и проверка вышестоящих центров сертификации вплоть до корневого?
хром файл с ключами создает и пишет туда тьму ключей, в вайершарк указан этот файл, но трафик не дешифруется, то есть и с указанием файла ключей и без него - одинаково. Видимо, что то поменялось и хром теперь не все ключи сохраняет в файл.
Андрей, если конечно вы увидите, не могли ли вы записать ролик, как расшифровать TLS трафик, используя клиент, условно какой-нибудь игры. Ибо как расшифровать через браузер, много информации, а вот как работать с лаунчерами, толком нету, в заранее спасибо
Андрей, спасибо за ваши курсы! Подскажите пожалуйста, попробовал расшифровать трафик, pre-master в лог, пишется все ок, скормил его Wireshark (в параметрах TLS-протокола, указал путь к нему), но пакеты с данными все равно зашифрованы. Протокол TLS 1.2. Что делаю не так?
Отличный урок, спасибо большое! Но что делать, если нужная тебе программа не экспортирует мастер-ключи в отдельный файл? Какой тогда есть способ этот ключ добыть?
Привет! Подскажи, пожалуйста, правильно ли я понял, что расшифровать https траффик другого устройства, даже если пакеты проходят через нашу сеть вайфай не получится, так как ключи создаются браузерами этого устройства в моменте? Посмотреть расшифрованный траффик https сможем только отправленный с нашего устройства?
Скорее не как взломать себя, а как делать отладку сетевого приложения, если весь трафик зашифрован. Получать чужие ключи и расшифровывать их сессии я не рекомендую.
@@AndreySozykin я понимаю, это называется хакинг уже. Вопрос, а где взять ключи SSL, приложений, которые установлены у меня на андроид и отсылают зашифрованную информацию без моего ведома? Пробовал wireshark перехватывать. Понял, что приложение отправляет пакеты на некий сервер, кроме самого http запроса, когда я открываю браузер и ищу страницу. Но данные зашифрованы. их можно обратно расшифровать, используя данные на смартфоне моем? Хочется понть, что они отсылают. Никакой документации по приложению нет. Приложение нельзя удалить и настроить права.
Здравствуйте Андрей. У Cisco есть такая штука, как SSL VPN в режиме SVC, он же Full Tunnel режим. Это когда удаленный пользователь через AnyConnect подключается к VPN шлюзу, и получает полный доступ к сети, может пинговать любой ресурс корпоративной сети. Предположим, что удалённый пользователь передаёт ICMP пакет через TLS туннель в корпоративную сеть. Весь пакет должен выглядеть следующим образом: Ethernet 🠗 Внешний IP заголовок 🠗 TCP 🠗 TLS 🠗 HTTPS 🠗 Оригинальный IP заголовок 🠗 ICMP Однако, на входе в ASA, в WireShark я вижу следующую картину: Ethernet 🠗 Внешний IP заголовок 🠗 TCP 🠗 TLS 🠗 HTTPS 🠗 data: 5354406011421562434123123124125..... Как видно, внутри TLS находится HTTP. Внутри HTTP, по идеи, должен быть оригинальный IP заголовок с частным адресом назначения, и в IP заголовок должен быть вложен ICMP. Однако, вместо этого, мы видим какие-то data. А с выхода из ASA уже можно наблюдать самый обычный IP с ICMP вложением. Интересно Ваше мнение. Почему вместо заголовков мы видим какие-то data? Каким образом система умудряется передать ICMP внутри HTTP, который, по идеи, изначально был придуман для передачи гипертекста?
Все-таки я даже сбросив фильтры и отследив Весь обмен данными, как показано в Вашем видео, нигде не смог обнаружить никаких запросов к вышестоящим серверам сертификации, как было сказано в предыдущей Вашей лекции. Из этого получается следует, что если Вы обладаете действительным сертификатом веб-сайта, то его можно выдать за какой-то другой. Тогда получается, что имея доступ к DNS, вы можете перенаправлять на свой сайт любые запросы и браузер не сможет это определить.
Добрый день Андрей! Отличные качественные лекции ! Я небольшой специалист в этой области, но судя по вашим объяснениям, защищенный протокол не является защитой. В связи с этим прошу разъяснить мне следующий вопрос: т.к. простые пользователи пользуются Интернетом ч/з провайдеров, то теоретически провайдеры могут сохранять весь трафик проходящий ч/з них. Соответственно достав из трафика ключи шифрования, которыми обмениваются клиент и сервер, можно переводить/сохранять шифрованный трафик в обычный текстовый вид, который можно в последующем обрабатывать/анализировать специализированным ПО. Так ли это? А практически это осуществимо когда у провайдера тысячи клиентов? А практически осуществимо ли ,например, расшифровывать и анализировать текущей трафик на ключевые слова?
Они не могут достать из трафика ключи шифрования. Обмен ключами выполняется специальным образом так чтобы обеспечить безопасность этой передачи. Никто со стороны не может получить эти ключи. Суть процесса в том что используется асимметричное шифрование когда для расшифровки нужен приватный ключ, который хранится в секрете на стороне сервера. Посмотрите на этом же канале ролики о протоколе TLS, раздел в котором обсуждается обмен ключами и протоколы RCA и Диффи-Хелмана
Человек, написавший выше, прав. В том-то и прикол этого TLS, что его невозможно расшифровать, просто перехватив. Обратите внимание, что Андрей не брал ключ шифрования из пойманных в Wireshark пакетов. Он лишь настроил свою ОС так, чтобы та экспортировала эти самые "секретные", закрытые или мастер-ключи в файл. Эти самые ключи, нужные для расшифровки, не передаются по сети, а вычисляются каким-то хитрым способом. В одном только Владимир не прав, насколько мне известно, не только у сервера, но и у клиента есть свой секретный или мастер-ключ. Впрочем, лучше и я пойду посмотрю видео про TLS от Андрея.
Андрей,здравствуйте.Вот,что у меня вышло-Имя конечного файла "C:\Program Files\Google\Chrome\Application\chrome.exe--ssl-version-max=tls1.2--ssl-key-log-file=D:\logs\keys.log" задано неправильно.Проверьтеправильность указанного пути и имени файла. Вот это предупреждение выскакивает при создании ярлыка. Что я делаю не так?
а что делать в таком случае если я хочу расшифровать хэндшейк, но он в приложении? т.е не в браузере, а в мобильном приложении. есть какие нибудь методы? p.s сам перехват пакетов через приложение, а wireshark по всей видимости только может перехватывать ключи из браузера.
в линуксе мне не удалось добиться записи в файлик через переменную окружения SSLKEYLOGFILE="~/.ssl-key.log" обошел это через запуск chromium с ключом --ssl-key-log-file=~/.ssl-key.log
Здравствуйте. Спасибо за урок, сразу стало понятно, как получать данные с браузеров. А можете помочь, пожалуйста, расшифровать TLS 1.2 , который поступает от игры (не-браузер, логгирование сессий игра не поддерживает). Буду очень благодарен за помощь
Часто бывает что Хром по-умолчанию всегда запущен и работает в фоновом режиме. Нужно попробовать остановить все процессы Хром и запустить снова через ярлык.
Верх не вещества говорящего о полном не понимании 😁 тот кто знает тот ссылок не даёт это первое ! Втрое там идёт общение описание не более того солнце есть оно желтое и круглое !
Спасибо большое, Андрей. Но, есть несколько вопросов. Тестирую на Вашем сайте. 1) Метод Гет после обмена ключами идет по протоколу http2, а не просто http как в видео. Есть подозрения, что с момента записи ролика Вы проапгрейдили протокол сайта. 2) Alert почему-то всё ещё зашифрован. Т.е. приветствие и ответ идут Ок, а вот именно alert сообщение не хочет показывать. Если можно сюда выклдывать скриншот, то вот: skr.sh/sCclPxmSXPH
Привет, братан, как дела у меня --ssl-version-max=tls1.2 --ssl-key-log-file=D:\tmp\sslkeylog.log эта команда не сработала по какой-то причине, возможно, это не так созданный
На автомате ставлю лайк, не то что платные псеводо-курсы
Спасибо!
@Byron Conrad Definitely, I've been watching on KaldroStream for months myself =)
Здравствуйте Андрей этот урок очень понравился,я многое ещё лучше понимаю спасибо за труд я буду очень ждать новых лекций
Спасибо за приятный отзыв! Следующее видео по TLS 1.3 будет завтра.
Ох балуете нас, спасибо большое, всегда что-то новое для себя узнаю из ваших видео.😏
Да, стараюсь ;-)
Отличные курсы. Продолжате у вас очень интересные и позновательные курсы.
Спасибо!
Привет, спасибо большое за цикл лекций на эту тему. Мне очень зашло. Это большой труд - спасибо еще раз!
Привет! Спасибо за ваши ролики, обратил внимание на ваш канал еще когда стал увлекаться нейронками
ОГРОМНОЕ спасибо!!! Вы - человечище)
Спасибо за ролик. Было бы отлично ещё записать ролик, где обмен данными происходит не с помощью браузера, а например, между установленным приложением на компьютере, простенькое консольное приложение, и Web API сервисом.
Это более интересно с практической точки зрения.
Планирую делать курс по программированию для сетей, в том числе и про использование Web API. Там вполне можно такое записать.
Поддерживаю
@@AndreySozykin А на каком языке?
@@AndreySozykin
Андрей, какова судьба этого курса??? Он есть или нет?:((
Спасибо за урок, подобным образом расшифровал трафик WireGuard внутри VPN сети
Спасибо большое! Не знал о такой функции WireShark.
Сейчас почти весть трафик в Web зашифрован. Так что без расшифровки никак :-)
@@AndreySozykin понятно. Я обучаюсь программированию микроконтроллеров и пока ничего не шифровал) Ваши уроки по сетям очень помогли понять что к чему, структурировали в голове начальные знания.
Супер спасибо, еще бы вводный курс по защите данных на подобии OWASP и считай уже супер Security Specialist
Спасибо за приятный отзыв! Какой именно курс OWASP имеется в виду?
Andrey Sozykin что-то на подобии 10 топ распространённых уязвимостей (атак) на сети
@@yuriikovalenko3406
Юра, привет:) Прдскажи, может, за 3 года нашёл что-нибудь толковое по теме твоего комментария про топ 10 сетевых уязвимостей?
Spasibo ogromnoe! Ochen' pomoglo vashe video!
Пожалуйста!
Спасибо за проделанную работу!
Пожалуйста!
Андрей, спасибо за видео!
Отлично! Благодарю, Андрей!
Очень круто. Спасибо!
Пожалуйста!
очень класно все обрисовал, спасибо
Добрый день! Спасибо за занятие. Подскажите, пожалуйста, в чем может быть причина. Файл с ключами создается (он не пустой, ключи в нем есть), но WireShark не расшифровывает данные с его помощью. Пакеты продолжают приходить зашифрованными. Путь к файлу с ключами также указан. Запускается сайт с подготовленного ярлыка.
Протокол на сайте тепер TLS 1.3, а в видео TLS 1.2. На сайте Wireshark пишет что он не работает с TLS 1.3, возможно причина в етом.
Хотелось бы видеть такое же видео но только не с браузерами а другими программами, на данный момент мало видео на эту тему
Какими именно программами? Готовыми? Или самописными приложениями?
@@AndreySozykin ssl перехват Android приложений, мало информации на этот счет
@@AndreySozykin Думаю что на самописной программе будет понятнее(можно будет увидеть логику изнутри), а так если нет возможности то и на готовой тоже сойдет
Примерно так - realpython.com/python-https/ ?
Огромное спасибо за ваш труд. Очень нужная и полезная информация! Не могли бы вы еще пояснить, как в WireShark увидеть проверку ssl сертификата сервера? Как происходит эта расшифровка? Как происходит расшифровка (запросы) и проверка вышестоящих центров сертификации вплоть до корневого?
Супер видео, спасибо.
Пожалуйста!
как всегда доходчиво_)
Спасибо!
хром файл с ключами создает и пишет туда тьму ключей, в вайершарк указан этот файл, но трафик не дешифруется, то есть и с указанием файла ключей и без него - одинаково. Видимо, что то поменялось и хром теперь не все ключи сохраняет в файл.
Андрей, если конечно вы увидите, не могли ли вы записать ролик, как расшифровать TLS трафик, используя клиент, условно какой-нибудь игры. Ибо как расшифровать через браузер, много информации, а вот как работать с лаунчерами, толком нету, в заранее спасибо
присоединяюсь к вопросу, тоже интересно как из других приложений расшифровывать
Андрей, спасибо за ваши курсы! Подскажите пожалуйста, попробовал расшифровать трафик, pre-master в лог, пишется все ок, скормил его Wireshark (в параметрах TLS-протокола, указал путь к нему), но пакеты с данными все равно зашифрованы. Протокол TLS 1.2. Что делаю не так?
Дякую за корисний контент !!!:)))
Отличный урок, спасибо большое! Но что делать, если нужная тебе программа не экспортирует мастер-ключи в отдельный файл? Какой тогда есть способ этот ключ добыть?
Я не знаю такого способа.
Привет! Подскажи, пожалуйста, правильно ли я понял, что расшифровать https траффик другого устройства, даже если пакеты проходят через нашу сеть вайфай не получится, так как ключи создаются браузерами этого устройства в моменте? Посмотреть расшифрованный траффик https сможем только отправленный с нашего устройства?
спасибо
Пожалуйста!
Top thanks
You are welcome!
Теперь осталось понять, где взять реальный ключ. Тут же урок как взломать себя:) такие ключи просто так не получишь.
Скорее не как взломать себя, а как делать отладку сетевого приложения, если весь трафик зашифрован.
Получать чужие ключи и расшифровывать их сессии я не рекомендую.
@@AndreySozykin я понимаю, это называется хакинг уже. Вопрос, а где взять ключи SSL, приложений, которые установлены у меня на андроид и отсылают зашифрованную информацию без моего ведома? Пробовал wireshark перехватывать. Понял, что приложение отправляет пакеты на некий сервер, кроме самого http запроса, когда я открываю браузер и ищу страницу. Но данные зашифрованы. их можно обратно расшифровать, используя данные на смартфоне моем? Хочется понть, что они отсылают. Никакой документации по приложению нет. Приложение нельзя удалить и настроить права.
@@AndreySozykin не рекомендуете это понятно а покажите как?))
Привет, а почему два соединения, а не одно или три? Какой из них в итоге рабочий?
Здравствуйте Андрей. У Cisco есть такая штука, как SSL VPN в режиме SVC, он же Full Tunnel режим.
Это когда удаленный пользователь через AnyConnect подключается к VPN шлюзу, и получает полный доступ к сети, может пинговать любой ресурс корпоративной сети. Предположим, что удалённый пользователь передаёт ICMP пакет через TLS туннель в корпоративную сеть.
Весь пакет должен выглядеть следующим образом:
Ethernet
🠗
Внешний IP заголовок
🠗
TCP
🠗
TLS
🠗
HTTPS
🠗
Оригинальный IP заголовок
🠗
ICMP
Однако, на входе в ASA, в WireShark я вижу следующую картину:
Ethernet
🠗
Внешний IP заголовок
🠗
TCP
🠗
TLS
🠗
HTTPS
🠗
data: 5354406011421562434123123124125.....
Как видно, внутри TLS находится HTTP. Внутри HTTP, по идеи, должен быть оригинальный IP заголовок с частным адресом назначения, и в IP заголовок должен быть вложен ICMP.
Однако, вместо этого, мы видим какие-то data.
А с выхода из ASA уже можно наблюдать самый обычный IP с ICMP вложением.
Интересно Ваше мнение. Почему вместо заголовков мы видим какие-то data? Каким образом система умудряется передать ICMP внутри HTTP, который, по идеи, изначально был придуман для передачи гипертекста?
Отлично
А если tls подключение создается не из браузера, а из другого приложения, получается мы полностью во власти условного бинарника?
Все-таки я даже сбросив фильтры и отследив Весь обмен данными, как показано в Вашем видео, нигде не смог обнаружить никаких запросов к вышестоящим серверам сертификации, как было сказано в предыдущей Вашей лекции. Из этого получается следует, что если Вы обладаете действительным сертификатом веб-сайта, то его можно выдать за какой-то другой. Тогда получается, что имея доступ к DNS, вы можете перенаправлять на свой сайт любые запросы и браузер не сможет это определить.
Добрый день Андрей!
Отличные качественные лекции !
Я небольшой специалист в этой области, но судя по вашим объяснениям, защищенный протокол не является защитой. В связи с этим прошу разъяснить мне следующий вопрос: т.к. простые пользователи пользуются Интернетом ч/з провайдеров, то теоретически провайдеры могут сохранять весь трафик проходящий ч/з них. Соответственно достав из трафика ключи шифрования, которыми обмениваются клиент и сервер, можно переводить/сохранять шифрованный трафик в обычный текстовый вид, который можно в последующем обрабатывать/анализировать специализированным ПО. Так ли это? А практически это осуществимо когда у провайдера тысячи клиентов? А практически осуществимо ли ,например, расшифровывать и анализировать текущей трафик на ключевые слова?
Они не могут достать из трафика ключи шифрования. Обмен ключами выполняется специальным образом так чтобы обеспечить безопасность этой передачи. Никто со стороны не может получить эти ключи. Суть процесса в том что используется асимметричное шифрование когда для расшифровки нужен приватный ключ, который хранится в секрете на стороне сервера. Посмотрите на этом же канале ролики о протоколе TLS, раздел в котором обсуждается обмен ключами и протоколы RCA и Диффи-Хелмана
Человек, написавший выше, прав. В том-то и прикол этого TLS, что его невозможно расшифровать, просто перехватив. Обратите внимание, что Андрей не брал ключ шифрования из пойманных в Wireshark пакетов. Он лишь настроил свою ОС так, чтобы та экспортировала эти самые "секретные", закрытые или мастер-ключи в файл. Эти самые ключи, нужные для расшифровки, не передаются по сети, а вычисляются каким-то хитрым способом. В одном только Владимир не прав, насколько мне известно, не только у сервера, но и у клиента есть свой секретный или мастер-ключ. Впрочем, лучше и я пойду посмотрю видео про TLS от Андрея.
Андрей,здравствуйте.Вот,что у меня вышло-Имя конечного файла "C:\Program Files\Google\Chrome\Application\chrome.exe--ssl-version-max=tls1.2--ssl-key-log-file=D:\logs\keys.log" задано неправильно.Проверьтеправильность указанного пути и имени файла. Вот это предупреждение выскакивает при создании ярлыка. Что я делаю не так?
Нужно добавить пробел после chrome.exe и -ssl-version-max
@@AndreySozykin Пробел добавил,та же история((Помогите,пжл.
отличное видео! Получается, что если на клиенте засел шпион, то все данные будут расшифрованы
У клиента в любом случае есть ключ и он способен расшифровать данные.
@@AndreySozykin ну да, чёт я тормознул. я правильно понимаю, что для разных браузеров и сессий разные ключи?
Да, именно так.
прикольно ты выдал😉
У меня лог пустой и после отправки каких-либо запросов wireshark пустой 😐
а что делать в таком случае если я хочу расшифровать хэндшейк, но он в приложении? т.е не в браузере, а в мобильном приложении. есть какие нибудь методы? p.s сам перехват пакетов через приложение, а wireshark по всей видимости только может перехватывать ключи из браузера.
в линуксе мне не удалось добиться записи в файлик через переменную окружения SSLKEYLOGFILE="~/.ssl-key.log"
обошел это через запуск chromium с ключом --ssl-key-log-file=~/.ssl-key.log
удалось через переменную окружения, файлик располагается по пути /tmp/.ssl-key.log
@@ivandobsky2077
так а почему не сработало чз переменную окружения с файликом в домашней директории?🤔
Здравствуйте. Спасибо за урок, сразу стало понятно, как получать данные с браузеров. А можете помочь, пожалуйста, расшифровать TLS 1.2 , который поступает от игры (не-браузер, логгирование сессий игра не поддерживает). Буду очень благодарен за помощь
Если нет возможности сохранять ключи сессий, то, к сожалению, расшифровать не получится.
@@AndreySozykin Спасибо за ответ. Жалко, что не получится
@@alex_merser5420 это тебе придется лезт в внутрь процесса и находить эти ключи в оперативной памяти.
--ssl-version-max=tls1.2 --ssl-key-log-file= почему-то не срабатывает и файлик не создается-браузер хром
Часто бывает что Хром по-умолчанию всегда запущен и работает в фоновом режиме. Нужно попробовать остановить все процессы Хром и запустить снова через ярлык.
Уже ничего не дешифруется.... Наверное за 2 года много изменилось
дешифруется, дешифруется с сайтом автора вышло выудить открытые HTTP2 подключив сохраненные ключи к вайршарк по протоколу tls1.3
этот способ работает с любимы программами ?
С теми программами, которые сохраняют ключи сессии.
А что такое переменная кто знает на этой планете ? 🧐
ru.m.wikipedia.org/wiki/Переменная_среды
Верх не вещества говорящего о полном не понимании 😁 тот кто знает тот ссылок не даёт это первое !
Втрое там идёт общение описание не более того солнце есть оно желтое и круглое !
а зачем?
подключаться к общественным вай-фаям, и мониторить кто что делает. собираешь пароли от соц сетей, читаешь переписки
@@raindr0p96 эээ... а как рассказанное в видео в этом поможет?
@@raindr0p96
хоть один пароль собрал?🤣
Зачем ваша акула тычит прокси сервер в браузеры? Ловите нашь трафик?
Спасибо большое, Андрей.
Но, есть несколько вопросов. Тестирую на Вашем сайте.
1) Метод Гет после обмена ключами идет по протоколу http2, а не просто http как в видео. Есть подозрения, что с момента записи ролика Вы проапгрейдили протокол сайта.
2) Alert почему-то всё ещё зашифрован. Т.е. приветствие и ответ идут Ок, а вот именно alert сообщение не хочет показывать. Если можно сюда выклдывать скриншот, то вот:
skr.sh/sCclPxmSXPH
Привет, братан, как дела у меня --ssl-version-max=tls1.2 --ssl-key-log-file=D:\tmp\sslkeylog.log эта команда не сработала по какой-то причине, возможно, это не так созданный